专利名称:无线局域网中密钥下发的方法
技术领域:
本发明涉及无线局域网技术,特别涉及和无线局域网数据加密有关的安全技术。
背景技术:
无线局域网(Wireless Local Area Network,简称“WLAN”)是指以无线信道作传输媒介的计算机局域网络,是计算机网络与无线通信技术相结合的产物,它以无线多址信道作为传输媒介,提供传统有线局域网的功能,能够使用户真正实现随时、随地、随意的宽带网络接入。
WLAN使网上的计算机具有可移动性,能快速、方便地解决有线方式不易实现的网络信道的连通问题。WLAN具有安装便捷、覆盖范围广、经济节约、易于扩展等优点,而且相对于有线网络,WLAN的组建、配置和维护较为容易,一般计算机工作人员都可以胜任网络的管理工作。由于WLAN具有多方面的优点,其发展十分迅速。
经过几年的推进和发展,WLAN技术标准和产品已经日见成熟,应用也日渐广泛。随着WLAN在全球的迅速发展,WLAN正在从最初的仅作为有线局域网的一种延伸逐渐转变为一种宽带无线接入手段,并正在对最终用户的发展产生着深远的影响。
WLAN的主要组成部分包括用户终端(Station,简称“STA”)、无线接入点(Access Point,简称“AP”)、接入控制器(Access Controller,简称“AC”)和认证服务器等。其中,AP类似于一个交换机,用于将从有线网络接收到的数据转换成无线信号并发出,将接收到的无线信号转换成数据并发回到有线网络;AC是WLAN和外部网络之间的接口网关,用于完成对网络的业务控制和计费信息采集以及对网络的监控;认证服务器完成接入层(Access Stratum,简称“AS”)功能,提供与WLAN无线接入区域之间的认证和计费信息接口。
目前WLAN的应用模式可以分为两大类一类是企业或个人自建的WLAN,广泛用于金融、医疗、制造、零售等行业;另一类是电信运营商构建的可运营的WLAN。随着国内电信运营市场竞争的日益激烈,各运营商都在不断的发展新的业务增长点,而WLAN的出现则给移动运营商开发新业务、吸引高端客户提供了良机,可运营的WLAN获得了迅速的发展。对于运营商构建的WLAN,能够实现对用户的认证、鉴权和计费是其可运营的基本条件。在WLAN中,用户认证通常有以下几种环球网(Web)+动态主机控制协议(Dynamic Host Configuration Protocol,简称“DHCP”)认证、基于以太网的点对点协议(Point to Point Protocol over Ethernet,简称“PPPoE”)认证、802.1x认证。Web+DHCP认证方式对于用户使用最合适,并且运营商可以配合入口(Portal)服务器推出特色业务;PPPoE认证是目前最成熟可靠的认证方式,现网设备支持程度好;802.1x认证是基于端口控制的一种认证方式,可以实现用户级的接入控制,在目前没有解决WLAN安全问题的情况下,802.1x是较好的选择。无论采用以上哪种认证方式,用户通过认证和授权后就可以利用WLAN接入到城域网,并享受城域网所提供的各种宽带业务。
WLAN的发展对用户的安全性、可管理性提出了更高的要求,为了满足这种需求,AS、AC与AP之间迫切需要有效的通信手段,例如用户在认证后下发数据密钥时,就需要在AS、AC与AP之间进行通信。用户在认证后下发数据密钥使用获得的密钥对WLAN拨号上网的用户的数据报文进行加密,以保证通信的安全性,不同用户使用不同的密钥,用户的密钥在AS上配置,AP需要从AS上获取用户的密钥,才能解析出用户的数据报文进行转发。
对于需要下发密钥的组网方式,现有技术方案首先在AP上终结用户认证协议,然后转为使用远端接入拨号用户服务(Remote Access Dial-In UserService,简称“RADIUS”)报文来向AS发送认证请求,并通过RADIUS协议交互来下发用户的密钥。
以802.1x认证方式为例,AC与STA通过基于局域网的扩展认证协议(Extensible Authentication Protocol Over Lan,简称“EAPOL”)协议进行通信,与AS通过基于远端接入拨号用户服务的扩展认证协议(ExtensibleAuthentication Protocol Over Radius,简称“EAPOR”)或扩展认证协议(Extensible Authentication Protocol,简称“EAP”)承载在其他高层协议上进行通信。AC要求STA提供用户名和密码,接收到后将EAP报文承载在RADIUS格式的报文中,发送到AS,返回过程相反,最后根据认证结果控制端口是否可用。AS核实用户的用户名与密码,通知AC认证是否通过,并控制用户权限。
在实际应用中,上述方案存在以下问题现有技术方案中,用户只能采用802.1x认证方式才能下发密钥,对于采用其它认证方式的用户,不能下发用户的密钥。
造成这种情况的主要原因在于,RADIUS协议只能够支持终结802.1x认证,因此现有的方案只有采用终结802.1x认证后转为使用RADIUS报文,才能从AS上下发数据加密的密钥。
发明内容
有鉴于此,本发明的主要目的在于提供一种无线局域网中密钥下发的方法,使得在WLAN中对于使用不同认证方式的用户都可以下发密钥。
为实现上述目的,本发明提供了一种无线局域网中密钥下发的方法,包含以下步骤A用户终端和无线接入点建立物理连接后,无线接入控制器从所述无线接入点获取所述用户终端的媒体访问控制地址并建立所述媒体访问控制地址和所述无线接入点的对应表;B所述用户终端发起认证,若认证成功则接入层将所述密钥发送给所述无线接入控制器;C所述无线接入控制器将所述密钥发送给所述无线接入点并通知所述用户终端接入成功;D所述用户终端和所述无线接入点完成密钥协商后,所述无线接入点发送协商结果给所述无线接入控制器。
其中,所述用户终端使用的认证方式可以是以下之一环球网+动态主机控制协议认证、基于以太网的点对点协议认证、802.1x认证。
此外在所述方法中,所述无线接入控制器和所述接入层之间使用远端接入拨号用户服务协议进行通信。
此外在所述方法中,所述用户终端和所述无线接入点、所述用户终端和所述无线接入控制器间使用标准认证协议进行通信。
此外在所述方法中,所述步骤A中,所述无线接入控制器通过所述无线接入点发送的报文获取所述媒体访问控制地址,所述无线接入控制器还在获取所述媒体访问控制地址后回复响应报文。
此外在所述方法中,所述步骤C中,所述无线接入控制器通过报文将所述密钥发送给所述无线接入点,所述无线接入点收到后还回复响应报文。
此外在所述方法中,所述步骤D中,所述无线接入点通过报文发送协商结果给所述无线接入控制器,所述无线接入控制器收到后还回复响应报文。
此外在所述方法中,还包含以下步骤所述用户终端和所述无线接入控制器进行动态主机控制协议地址分配,获取所述用户终端的网间互联协议地址。
通过比较可以发现,本发明的技术方案与现有技术的主要区别在于,提供了AP和AC之间交互用户信息、密钥和密钥协商结果的方案,并利用AP和AC之间报文的交互,完成AC到AP的密钥下发。
这种技术方案上的区别,带来了较为明显的有益效果,由于不需要RADIUS协议直接终结用户的认证协议,因此本发明方案对于认证协议和认证方式没有限制,可以支持包括Web+DHCP、PPPoE和802.1x在内的所有认证方式,这将大大拓展本发明的使用范围和场合,有利于产品和方案的推广。
图1是根据本发明第一较佳实施例的WLAN中密钥下发方法的WLAN各实体间报文传递示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
本发明方案在AP和AC之间利用自定义的报文交互用户信息、密钥和密钥协商结果等信息,并结合标准流程完成用户的物理连接建立、认证、密钥管理和地址分配等步骤,本发明方案终结802.1x认证后不直接转为使用RADIUS报文,而是通过在AP和AC间实现相关信息的交互,间接地实现认证协议和RADIUS协议之间的转换,从而实现密钥的下发。由于不需要RADIUS协议直接终结用户的认证协议,因此本发明方案对于认证协议和认证方式没有限制,可以支持包括Web+DHCP、PPPoE和802.1x在内的所有认证方式,这将大大拓展本发明的使用范围和场合,有利于产品和方案的推广。
为了更好地说明本发明方案,下面结合本发明较佳实施例来说明。
图1所示为根据本发明第一较佳实施例的WLAN中密钥下发方法的WLAN各实体间报文传递示意图。其中,AC与STA通过EAPOL协议进行通信。
首先,用户终端即STA和无线接入点即AP之间通过标准流程建立物理连接。熟悉本领域的技术人员可以理解,在使用EAPOL模式下,该步骤可以通过在STA和AP之间交互一系列请求和响应报文实现,具体实现时,由STA先发出探查请求报文(Probe Request)查询周围是否有可以接入的AP,AP收到(Probe Request)后,响应探查响应报文(Probe Response),STA接着发送认证请求报文(Authentication Request)给AP请求认证,AP收到后响应认证响应报文(Authentication Response),然后STA发送关联请求报文(Association Request)给AP,AP收到后响应关联响应报文(AssociationResponse)完成物理连接的建立。
接着,AP向接入控制器即AC之间发送包含用户的媒体访问控制(Medium Access Control,简称“MAC”)地址的接入点用户接入通知报文(AP_User_Access_Notify),AC收到后建立用户MAC地址和AP的对应表并响应接入点用户接入响应报文(AP_User_Access_Ack)。本领域的普通技术人员理解,利用本步骤AP_User_Access_Notify和AP_User_Access_Ack的交互,不必将AP上终结的用户认证协议转换为RADIUS协议,AC也可以从AP获得向需要认证的用户的MAC地址等信息。
接着,STA发起接入请求,AP和AC按照标准流程进行处理完成对用户的认证。其中,出于简化的原则,图1中该步骤没有详细展开,熟悉本领域的技术人员可以理解,该步骤具体实现时,AC收到STA的接入请求后,向接入层即AS转发认证请求,然后由AS进行认证并在认证成功后向AC发送RADIUS协议标准报文RADIUS-ACCESS-ACCEPT,并且通过MS_MPPE_SEND_KEY将生成的密钥(session-key)以及其他的授权属性发送给AC。
接着,AC通过发送密钥报文(Send_Key)发送session-key给AP,AP收到后响应发送密钥响应报文(Send_Key_Ack)。本领域的普通技术人员可以理解,该步骤使得AP可以不通过RADIUS协议获得session-key。
接着,AC向STA发送接入成功报文,通知STA认证已通过。在本发明第一较佳实施例中,AC和STA通过EAPoL协议进行通信,该步骤中发送的接入成功报文为EAP-SUCCESS。
接着,AP和STA之间通过密钥交换报文完成密钥协商后,由AP使用接入点密钥协商通知报文(AP_Key_Negotiate_Notify)通知AC密钥协商结果,并由AC响应接入点密钥协商响应报文(AP_Key_Negotiate_Ack)。其中,AP和STA之间的密钥协商采用现有标准流程,在此不详细说明。需要说明的是,该步骤中,AP和AC之间交互的报文同样不使用RADIUS协议。
最后,在地址分配过程中,AC发现STA用户已经认证通过并且密钥已经交换,转发或处理STA用户的DHCP报文,获取网间互联协议(InternetProtocol,简称“IP”)地址。
虽然通过参照本发明的某些优选实施例,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
权利要求
1.一种无线局域网中密钥下发的方法,其特征在于,包含以下步骤A用户终端和无线接入点建立物理连接后,无线接入控制器从所述无线接入点获取所述用户终端的媒体访问控制地址并建立所述媒体访问控制地址和所述无线接入点的对应表;B所述用户终端发起认证,若认证成功则接入层将所述密钥发送给所述无线接入控制器;C所述无线接入控制器将所述密钥发送给所述无线接入点并通知所述用户终端接入成功;D所述用户终端和所述无线接入点完成密钥协商后,所述无线接入点发送协商结果给所述无线接入控制器。
2.根据权利要求1所述的无线局域网中密钥下发的方法,其特征在于,所述用户终端使用的认证方式可以是以下之一环球网+动态主机控制协议认证、基于以太网的点对点协议认证、802.1x认证。
3.根据权利要求1所述的无线局域网中密钥下发的方法,其特征在于,所述无线接入控制器和所述接入层之间使用远端接入拨号用户服务协议进行通信。
4.根据权利要求1所述的无线局域网中密钥下发的方法,其特征在于,所述用户终端和所述无线接入点、所述用户终端和所述无线接入控制器间使用标准认证协议进行通信。
5.根据权利要求1至4中任一项所述的无线局域网中密钥下发的方法,其特征在于,所述步骤A中,所述无线接入控制器通过所述无线接入点发送的报文获取所述媒体访问控制地址,所述无线接入控制器还在获取所述媒体访问控制地址后回复响应报文。
6.根据权利要求1至4中任一项所述的无线局域网中密钥下发的方法,其特征在于,所述步骤C中,所述无线接入控制器通过报文将所述密钥发送给所述无线接入点,所述无线接入点收到后还回复响应报文。
7.根据权利要求1至4中任一项所述的无线局域网中密钥下发的方法,其特征在于,所述步骤D中,所述无线接入点通过报文发送协商结果给所述无线接入控制器,所述无线接入控制器收到后还回复响应报文。
8.根据权利要求1至4中任一项所述的无线局域网中密钥下发的方法,其特征在于,还包含以下步骤所述用户终端和所述无线接入控制器进行动态主机控制协议地址分配,获取所述用户终端的网间互联协议地址。
全文摘要
本发明涉及无线局域网技术,公开了一种无线局域网中密钥下发的方法,使得在WLAN中对于使用不同认证方式的用户都可以下发密钥。本发明中,提供了AP和AC之间交互用户信息、密钥和密钥协商结果的方案,并利用AP和AC之间报文的交互完成AC到AP的密钥下发。
文档编号H04L12/28GK1859085SQ200510036629
公开日2006年11月8日 申请日期2005年8月12日 优先权日2005年8月12日
发明者郭俊, 李建军 申请人:华为技术有限公司