专利名称:利用预先建立的会话密钥来辅助802.11漫游的制作方法
背景技术:
本申请要求2003年10月14日提交的美国临时专利申请No.60/511,187和2003年5月27日提交的美国临时专利申请No.60/473,507的优先权。
无线局域网(无线LAN或WLAN)已经改变了计算机联网的前景。诸如膝上型电脑和个人数字助理之类的移动计算设备的使用,以及对于在无需“插入”的情况下的连续网络连接的需求正在推动企业WLAN的采用。
WLAN允许最终用户从会议房间、教室、合作者的书桌以及实质上任何地方访问e-mail,安排会议,以及访问企业或大学网络上的文件和应用。利用无线联网,最终用户无论身在何处,都能够仅仅通过点击鼠标来获取密钥信息和应用。
随着对WLAN的依赖性不断增长,商业越来越关心网络安全性。利用WLAN,所发送的数据使用无线电波通过空气被广播出去。这意味着位于接入点(AP)服务区内的任何无线客户端都可以接收到被发送到该接入点或来自该接入点的数据。由于无线电波行进穿过天花板、地板和墙壁,因此所发送的数据可以到达安装了该AP的建筑物的不同楼层上的,甚至建筑物外部的非预期接收者。利用WLAN,网络的边界已经移动。在没有实施严格的安全性措施的情况下,安装WLAN就等同于将以太网端口带到各处,包括停车场。
与其他网络相同,WLAN的安全性集中在访问控制和保密。传统的WLAN安全性包括使用开放式或共享密钥认证、静态的有线等效加密(WEP)密钥和可选的媒体访问控制(MAC)认证的服务集标识符(SSID)的使用。这种组合提供了某种级别上的访问控制和保密,但是却损害了每个组成成份。
802.11标准是由电气和电子工程师学会(IEEE)创建的一组用于WLAN的规范,并且支持两种客户端认证方式开放式认证和共享密钥认证。开放式认证等同于提供正确的SSID。对于共享密钥认证,AP向客户端设备发送询问文本分组,客户端必须利用正确的WEP密钥对询问文本分组加密,并将其发回接入点。如果客户端密钥错误或没有密钥,则认证失败,并且将不允许客户端关联到接入点。共享密钥认证不被认为是安全的,因为检测到明文询问和已利用WEP密钥加密后的同一询问的黑客可以解出WEP密钥。
利用开放式认证,即使客户端能够完成认证并被关联到AP,WEP的使用也防止客户端向AP发送数据和从AP接收数据,除非客户端具有正确的WEP密钥。
图1示出了在802.11规范的客户端认证中所涉及的事务。起初,在“发现”阶段期间,移动节点(MN)客户端10在若干信道上广播探测请求帧20。范围内的有线网络14的接入点12以探测响应帧22作出响应。然后客户端10判定哪个接入点12是用于接入的最好接入点,并发送认证请求24,该认证请求启动“认证”阶段。接入点12发送认证回复26。在成功认证之后,客户端10通过向接入点12发送关联请求帧28来启动“关联”阶段。接入点随后以关联响应30进行回复,并且此后,客户端将能够向接入点传递流量并从接入点接收流量。
已经意识到,在802.11的认证和数据保密方案中存在弱点。为此,IEEE采用802.1X作为用于有线和无线网络上的会话认证的新标准。该标准能够向WLAN提供在客户端和认证服务器之间的强有力的相互认证。另外,802.1X能够提供动态的可用于保护数据链路层的每用户、每会话密钥,从而消除了围绕静态WEP密钥产生的一系列管理负担和安全性问题。
存在多种802.1X认证类型,其中每种认证类型提供不同的认证方法,但是它们都依赖于相同的框架和用于客户端和AP之间的通信的可扩展认证协议(EAP)。相互认证被实现在客户端和认证服务器(AS)之间,所述AS例如是远程认证拨入用户服务(RADIUS)服务器。用于认证的证明(例如登录密码)从未通过无线介质以明文形式或在未经加密的情况下被发送。
一般来说,诸如移动节点(MN)之类的请求者站点(STA)通过被动监控信标或通过主动探测来发现AP的安全性方针。但是,如果使用802.1X认证,那么当AP发送如图2所示的EAP请求32时,或当STA发送EAPOL开始消息34时,EAP认证过程开始。如图2所示,EAP认证帧36经由认证者和请求者的未受控端口来在请求者和申请服务器之间传递。请求者和认证服务器彼此认证(例如EAP-TLS),并且产生成对主密钥(PMK)。PMK 38经由如图2所示的安全信道被从AS发送到认证者。本领域技术人员知道PMK是通过成功认证而建立的。这是在集中于IEEE802.11安全性的任务组“i”(TGi)和WiFi的无线受保护访问(WPA)草案规范中所使用的术语,并且是用于导出被用于保护802.11数据帧的成对暂时密钥或者说PTK的密钥。
最后,如图3所示,由认证者发起利用802.1X EAPOL密钥消息的4次握手40,以准许安全的一般数据流量。4次握手确认存在PMK,并且还确认PMK是当前的。成对暂时密钥(PTK)是在4次握手期间从PMK中导出的。而且,单播加密和完整性密钥被安装到802.11中。群组暂时密钥(GTK)被从认证者发送到请求者,并且GTK被安装在STA中,并且如果GTK尚未被安装在AP中,则将其安装在AP中。最后,密码选择被确认。
虽然当前的密钥管理方案提供了安全性关联,但是它们缺乏用于在客户端从一个接入点移动到另一接入点时优化客户端的转换所需的要素。诸如电话之类的实时设备需要具有无缝漫游的能力,同时它们的安全性关联只能有很少中断或没有中断。已经提出了一种用于尝试使越区切换过程延迟最小的方案,该方案在图4中示出。如图所示,所谓的“IEEE 802.1X预认证”协议涉及在越区切换期间的发现阶段52和整个重认证过程56的重关联交换部分54之间包括预认证交换50。此插入步骤是用于使越区切换等待时间最小化的一种尝试。通过802.1X预认证方案,站点可以通过在关联之前生成成对主密钥PMK来进行部分认证。
但是,越区切换延迟仍旧发生,并且在某些情况下,这些延迟会危害需要语音数据的某些设备(例如电话)的漫游能力。更具体而言,在主动或被动扫描期间的发现阶段都包括一个用于找到新AP的确定过程,这是由于信号强度丢失或者无法与当前AP通信所致。当客户端搜索新AP时导致的探测延迟可能会阻碍语音型设备的漫游。另外,当站点重认证并重关联到新的AP时,在重认证阶段期间会产生延迟。这些可能的延迟包括每个认证分组的计算延迟,以及每个需要产生密码值(例如消息完整性值)的分组的计算延迟。另外,由于在认证分组之间存在由其他NIC发送的分组,因此存在媒体访问延迟。
因此,总而言之,用于语音应用的快速漫游能力需要完整的预认证和密钥管理(例如4次握手),以使越区切换延迟最小化。已经证实,用于产生PTK的重关联4次握手过于费时,并且直到重关联交换之后无法被延迟。在重关联交换之后用于传递GTK的另一2次握手也无助于使漫游延迟最小化。
因此,存在向诸如电话之类实时设备提供无缝漫游的方法、系统、装置和计算机可读介质的需求,在所述无缝漫游中,安全性关联延迟只会给服务带来少量中断或没有中断。
本申请中描述的方法、装置、系统和计算机可读介质解决了上述问题和其他问题。
发明内容
根据本发明的一个方面,提供了用于减小在无线网络WLAN中的接入点之间漫游的移动节点MN的越区切换等待时间的方法、系统和制品。向接入点AP认证移动节点MN,以产生成对主密钥PMK。成对暂时密钥PTK被建立,以作为链路层会话密钥,从而为移动节点MN和接入点AP之间的802.1X消息和802.11数据提供安全通信。此后,移动节点MN被重关联到所述无线网络WLAN中的第一接入点AP。
根据另一方面,认证和建立步骤在所述重关联之前被启动。优选地,在启动重关联步骤之前,在移动节点和接入点之间协商或建立成对暂时密钥PTK。
此外,重关联包括由所述移动节点MN向接入点AP发布重关联请求,该请求包括指示持有新鲜(fresh)/活的(live)成对暂时密钥PTK的移动节点MN的签名信息。该签名信息被接入点AP核实,并且群组暂时密钥GTK被从移动节点MN传递到接入点AP。群组暂时密钥被用于保护移动节点MN、接入点AP和无线网络WLAN之间的通信。
根据本发明的另一方面,重关联确认消息被从移动节点MN转发到接入点AP,以确认移动节点MN已接收到群组暂时密钥GTK。
在更有限的方面中,移动节点MN发布重关联请求包括发布复兴(resuscitation)请求,以作为“认证PTK(SRandom,PTKID,MIC)”。而且,核实和传递步骤包括将重关联响应从接入点AP传递到移动节点MN,以作为“认证PTK(ARandom,SRandom,PTKID,GTKID,GTK,MIC),传递群组密钥”。此外,转发重关联确认消息的步骤包括将重关联确认从移动节点MN转发到接入点AP,以作为“群组密钥确认(ARandom,MIC)”。
优选地,802.11的4次握手被用于使用成对主密钥PMK来产生成对暂时密钥PTK。而且,认证交换包括通过从接入点AP的缓存存储器中获取成对主密钥PMK,或通过由接入点AP与无线网络WLAN的认证服务器AS一起执行802.1X可扩展认证协议EAP以产生成对主密钥PMK,来产生成对主密钥PMK。
虽然现有的密钥管理方案提供了安全性关联,但是,它们缺乏用于在客户端从一个接入点移动到另一接入点时优化客户端的转换的需求元素。但是,本发明在客户端从一个接入点移动到另一接入点时,优化客户端的转换,同时提供用于安全无线通信的必要安全性关联。
在阅读和理解了以下详细描述之后,本领域技术人员将明了本发明的很多其他优点和益处。
本发明在某些部件以及部件的布置中可以采用物理形式,下面将在本说明书中详细描述并在构成说明书的一部分的附图中示出本发明的优选实施例,在附图中图1是根据现有技术,在漫游设备客户端和有线网络中的接入点之间的数据交换的示意性表示;图2是使用802.1X协议在漫游设备和接入点之间的数据交换的示意性表示;图3是使用802.1X EAP认证并且利用附加的4次握手来导出唯一的成对暂时密钥的在漫游设备和接入点之间的数据交换的示意性表示;图4是使用802.1X预认证协议根据现有技术在漫游设备和接入点之间的数据交换的示意图和表示;图5是根据本发明的实施例,在漫游设备和接入点之间的数据交换的示意图和示意性表示;以及图6是根据图5所示的本发明实施例,在漫游设备和接入点之间的握手的示意性表示。
具体实施例方式
现在参考附图,其中所示附图仅仅是出于举例说明本发明的优选实施例的目的,而并非出于限制本发明的目的。图5和图6以示意性方式示出了通过预认证和提早建立PTK以及减少重关联阶段的密码计算的方式来优化无线网络中的快速漫游的方法、系统和制品,其中不需要传播MK或PMK。
如图5所示,在发现阶段62期间的探测请求60包括PHKID以允许AP 12预先取得密钥。虽然这会在探测响应64中添加某种微小等待时间,但是AP必须在响应之前获取密钥。
根据本发明的优选实施例,新的802.11认证类型(下面将描述)被定义为在认证交换阶段66期间初始化安全性关联并建立PMK。
4次握手或任意其他合适的协议被用于步骤68,以使用随机不重性(nonce)来建立新鲜的PTK。根据优选实施例,不使用计数器,而是使用强大的随机值来确保PTK新鲜。
此后,认证元素被嵌入到重关联交换70中,以证明PTK的活性,还有一个新元素被引入以在受保护字段中传递群组密钥GTK。下面将描述的新的802.11消息被定义为确认群组密钥的传递。将会意识到,如果群组密钥在第二消息中被传递,那么只需要第三消息。
继续参考图5和图6,四个(4)管理帧在重关联之前被定义,以允许建立链路层会话密钥。链路层会话密钥的建立或者依赖于之前建立的(缓存的)在初始认证中建立的主密钥,或者通过由漫游服务器或认证服务器执行的前摄密钥(proactive key)分配。这4个管理帧优选地在语义上类似于Wi-Fi受保护访问或TGi 4次握手的管理帧。4个管理帧被用于证明主密钥的活性,并且被用于交换不重性,以导出新鲜的链路层会话密钥。在管理帧中,还实现了密码的协商。另外,这些管理帧传递用于识别这些密钥将影响的会话和密码所需的信息。
这4个管理帧可以被例示为特殊的认证消息或者其他802.11管理帧。这些帧在客户端的重关联请求之前被交换。如图5所示,这有助于在客户端重关联到AP之前建立链路层会话密钥。
对于标准1999 802.11规范过程和链路层会话密钥PTK的附加活性证明来说,预先产生链路层会话密钥的能力能够缩短重关联过程。这些密钥的活性证明可以通过在重关联交换中定义信息元素来实现。此外,用于多播通信的群组密钥也可以被安全地分布在这些信息元素中,以进一步使用于建立安全性关联所需的交换次数最小化。
实质上,用于在重关联之前预先建立链路层会话密钥的装置被提供,以使重关联过程时间最小化,并改善越区切换的等待时间性能以支持VoIP。所示优选实施例的一个重要优点在于,WPA系统被允许保持其功能,同时还有助于快速漫游。
如图6所示,越区切换过程实质上被提炼为三个交换重关联请求70、重关联响应72和重关联确认74。重关联请求具有以下形式“认证PTK(SRandom,PTKID,MIC)”。重关联响应优选地具有以下形式“认证PTK(ARandom,SRandom,PTKID,GTKID,GTK,MIC),传递群组密钥”。群组密钥被传递,同时包含密钥名称、GTKID和经加密的密钥GTK。所述加密可以通过使用标准加密技术(例如利用AES)保护GTK来实现。PTK被用作AES加密密钥。此外,MIC是诸如HMAC-SHAI之类的单向散列加密,它被用于利用消息完整性值(例如MIC)来保护整个消息。最后,重关联确认优选地具有以下形式“群组密钥确认(ARandom,MIC)”。此后,客户端或移动节点10和AP 12可以保护802.1X和802.11分组76。执行的每次接收都必须在响应之前核实MIC。如果消息完整性(MIC)值无效,则重关联失败。
本领域技术人员将意识到,压缩是通过单播会话密钥PTK的预认证和预建立而实现的。而且,如果PMK先前被AS所分配,则可以避开与认证服务器(AS)相接触的移动台的STA。此外,通过命名PMK以及允许探测响应/请求使用标识符(PMKID)来指示PMK请求,可以避开STA与AS的接触。
本领域技术人员还将意识到,安全性关联在重关联之前被初始化。该初始化可以涉及与AS之间的全部STA认证或者如上所述的最小化初始化过程。此外,PTK建立可以如IEEE TGi所定义的那样通过使用不重性交换PTK导出功能来实现,或者可以通过其他合适的装置的来实现,但是PTK建立优选地在STA重关联到新的AP之前被实现。
除此之外,可以基于所述新的认证类型或通过其等同物,在认证时协商安全性关联类型。所述优选的新认证类型包括能力字段,由此在密钥建立时确认密码能力。
已经参考优选实施例描述了本发明。显然,在阅读和理解了本说明书之后,可以作出多种修改和变化。本发明想要包括落入所附权利要求书或其等同物范围内的所有这些修改和变化。
权利要求
1.一种用于减小在无线网络WLAN中的接入点之间漫游的移动节点MN的越区切换等待时间的方法,该方法包括向一个接入点AP认证所述移动节点MN,以产生成对主密钥PMK;建立成对暂时密钥PTK作为链路层会话密钥,以为所述移动节点MN和所述接入点AP之间的802.1X消息和802.11数据提供安全通信;以及使所述移动节点MN与所述无线网络WLAN中的所述接入点AP相关联。
2.如权利要求1所述的方法,其中在所述重关联之前启动所述认证和所述建立。
3.如权利要求1所述的方法,其中所述建立在启动所述关联之前建立所述成对暂时密钥PTK。
4.如权利要求3所述的方法,其中所述关联包括由所述移动节点MN向所述接入点AP发布关联请求,该关联请求包括指示所述持有新鲜/活的成对暂时密钥PTK的移动节点MN的签名信息。
5.如权利要求4所述的方法,还包括由所述接入点AP核实所述签名信息;以及将受保护的群组暂时密钥GTK从所述移动节点MN传递到所述接入点AP,并且产生关联响应以发送到所述STA,其中所述群组暂时密钥被用于保护所述接入点AP的广播通信,并且所述关联响应包含保护所述GTK的经加密字段,并包括指示持有与所述STA相同的新鲜/活的密钥PTK的所述AP的签名信息。
6.如权利要求5所述的方法,还包括由所述STA核实所述签名信息,并且储存经加密的GTK,以用于所述AP的多播通信;以及将重关联确认消息从所述移动节点MN转发到所述接入点AP,以确认所述移动节点MN已接收到所述群组暂时密钥GTK。
7.如权利要求6所述的方法,其中所述由移动节点MN发布重关联请求的步骤包括发布复兴请求,以作为“认证PTK(SRandom,PTKID,MIC)”;所述核实和所述传递步骤包括将重关联响应从所述接入点AP传递到所述移动节点MN,以作为“认证PTK(ARandom,SRandom,PTKID,GTK,GTKID,MIC),传递加密的群组密钥”;并且所述转发重关联确认消息的步骤包括将重关联确认从所述移动节点MN转发到所述接入点AP,以作为“群组密钥确认(ARandom,MIC)”。
8.如权利要求3所述的方法,其中所述建立步骤包括执行802.11的4次握手,以使用所述成对主密钥PMK来产生所述成对暂时密钥PMK。
9.如权利要求3所述的方法,其中所述认证包括通过以下方式中的至少一种来产生所述成对主密钥PMK从所述接入点AP的缓存存储器中获取所述成对主密钥PMK,以及由所述接入点AP与所述无线网络WLAN的认证服务器AS一起执行802.1X可扩展认证协议EAP,以产生所述成对主密钥PMK。
10.如权利要求1所述的方法,其中所述认证包括协商安全性关联类型。
11.一种在包括至少一个在无线网络WLAN的接入点之间漫游的移动节点MN的无线网络WLAN中用于减小越区切换等待时间的系统,该系统包括用于向一个接入点AP认证所述移动节点MN来产生成对主密钥PMK的装置;用于建立成对暂时密钥PTK作为链路层会话密钥来为所述移动节点MN和所述接入点AP之间的802.1X消息和802.11数据提供安全通信的装置;以及用于使所述移动节点MN与所述无线网络WLAN中的所述接入点AP相关联的装置。
12.如权利要求11所述的系统,其中所述用于认证的装置和所述用于建立的装置在所述用于重关联的装置之前被启动。
13.如权利要求11所述的系统,其中所述用于建立的装置适合于在启动所述关联装置之前,建立所述成对暂时密钥PTK。
14.如权利要求13所述的系统,其中所述重关联装置包括用于由所述移动节点MN向所述接入点AP发布关联请求的装置,该关联请求包括指示所述持有新鲜/活的成对暂时密钥PTK的移动节点MN的签名信息。
15.如权利要求14所述的系统,还包括用于由所述接入点AP核实所述签名信息的装置;以及用于将受保护的群组暂时密钥GTK从所述移动节点MN传递到所述接入点AP,并且产生关联响应以发送到所述STA的装置,其中所述群组暂时密钥被用于保护来自所述接入点AP的广播通信,并且所述关联响应包含保护所述GTK的经加密字段,并包括指示持有与所述STA相同的新鲜/活的密钥PTK的所述AP的签名信息。
16.如权利要求15所述的系统,还包括由所述STA核实所述签名信息,并且储存经加密的GTK,以用于所述AP的多播通信;以及用于将重关联确认消息从所述移动节点MN转发到所述接入点AP,以确认所述移动节点MN已接收到所述群组暂时密钥GTK的装置。
17.如权利要求16所述的系统,其中所述用于由移动节点MN发布重关联请求的装置包括用于发布复兴请求来作为“认证PTK(SRandom,PTKID,MIC)”的装置;所述用于核实和传递的装置包括用于将重关联响应从所述接入点AP传递到所述移动节点MN以作为“认证PTK(ARandom,SRandom,PTKID,GTKID,GTK,MIC),传递加密的群组密钥”的装置;并且所述用于转发重关联确认消息的装置包括用于将重关联确认从所述移动节点MN转发到所述接入点AP以作为“群组密钥确认(ARandom,MIC)”的装置。
18.如权利要求13所述的系统,其中所述用于建立的装置包括用于执行802.11的4次握手,以使用所述成对主密钥PMK来产生所述成对暂时密钥PMK的装置。
19.如权利要求13所述的系统,其中所述用于认证的装置包括用于通过以下方式中的至少一种来产生所述成对主密钥PMK的装置从所述接入点AP的缓存存储器中获取所述成对主密钥PMK,以及由所述接入点AP与所述无线网络WLAN的认证服务器AS一起执行802.1X可扩展认证协议EAP,以产生所述成对主密钥PMK。
20.如权利要求11所述的系统,其中所述用于认证的装置包括用于协商安全性关联类型的装置。
21.一种包括计算机可读的程序存储介质的制品,该制品包含可由计算机执行来执行如下方法步骤的一条或多条指令,所述方法步骤用于执行命令以执行减小在无线网络WLAN中的接入点之间漫游的移动节点MN的越区切换等待时间的方法,该方法包括向一个接入点AP认证所述移动节点MN,以产生成对主密钥PMK;建立成对暂时密钥PTK作为链路层会话密钥,以为所述移动节点MN和所述接入点AP之间的802.1X消息和802.11数据提供安全通信;以及使所述移动节点MN与所述无线网络WLAN中的所述接入点AP相关联。
22.如权利要求21所述的制品,其中在所述重关联之前启动所述认证和所述建立。
23.如权利要求21所述的制品,其中所述建立在启动所述关联之前建立所述成对暂时密钥PTK。
24.如权利要求23所述的制品,其中所述重关联包括由所述移动节点MN向所述接入点AP发布重关联请求,该重关联请求包括指示所述持有新鲜/活的成对暂时密钥PTK的移动节点MN的签名信息。
25.如权利要求24所述的制品,还包括由所述接入点AP核实所述签名信息;以及将受保护的群组暂时密钥GTK从所述移动节点MN传递到所述接入点AP,并且产生关联响应以发送到所述STA,其中所述群组暂时密钥被用于保护所述移动节点MN和所述接入点AP之间的通信,并且所述关联响应包含保护所述GTK的经加密字段,并包括指示持有与所述STA相同的新鲜/活的密钥PTK的所述AP的签名信息。
26.如权利要求25所述的制品,还包括由所述STA核实所述签名信息,并且储存经加密的GTK,以用于所述AP的多播通信;以及将重关联确认消息从所述移动节点MN转发到所述接入点AP,以确认所述移动节点MN已接收到所述群组暂时密钥GTK。
27.如权利要求26所述的制品,其中所述由移动节点MN发布重关联请求的步骤包括发布复兴请求,以作为“认证PTK(SRandom,PTKID,MIC)”;所述核实和所述传递步骤包括将重关联响应从所述接入点AP传递到所述移动节点MN,以作为“认证PTK(ARandom,SRandom,PTKID,GTKID,GTK,MIC),传递加密的群组密钥”;以及所述转发重关联确认消息的步骤包括将重关联确认从所述移动节点MN转发到所述接入点AP,作为“群组密钥确认(ARandom,MIC)”。
28.如权利要求23所述的制品,其中所述建立包括执行802.11的4次握手,以使用所述成对主密钥PMK来产生所述成对暂时密钥PMK。
29.如权利要求23所述的制品,其中所述认证包括通过以下方式中的至少一种来产生所述成对主密钥PMK从所述接入点AP的缓存存储器中获取所述成对主密钥PMK,以及由所述接入点AP与所述无线网络WLAN的认证服务器AS一起执行802.1X可扩展认证协议EAP,以产生所述成对主密钥PMK。
30.如权利要求21所述的制品,其中所述认证包括协商安全性关联类型。
全文摘要
本发明描述了一种方法和系统,其用于在重关联之前,对漫游设备(10)预先认证预先建立的密钥管理,以辅助无线网络中的快速越区切换。为了增强移动性,在重关联多个接入点(12)之间的漫游设备(10)之前,执行认证和密钥建立。当漫游设备与接入点之一联系时,在重关联到该接入点之前,执行接入点和漫游设备之间的本地认证,以实现该设备在网络中的接入点之间的快速越区切换。
文档编号H04L12/28GK1836404SQ200480010374
公开日2006年9月20日 申请日期2004年5月27日 优先权日2003年5月27日
发明者南希·卡姆温恩特 申请人:思科技术公司