专利名称:一种无线局域网接入方法、设备及系统的制作方法
技术领域:
本发明涉及网络通信领域,特别是涉及一种无线局域网接入方法、设备和系统。
背景技术:
随着无线网络的迅速发展,无线局域网(Wireless Local Network, WLAN) 已成为网络接入的重要方式。在近几年,IEEE为WLAN制定了众多的应用规范, 来满足日益增加的用户需求。当前,IEEE的W工作组(TaskGroupW, TGW) 正从事于WLAN的管理帧的安全保护机制的研究,并已经制定了相关的安全需 求。由于管理帧安全机制的引进,带来了一些新的问题,如STA接入死锁问题。WLAN中的STA接入死锁问题由IEEE 802.11 i的安全接入机制引起,STA (Station)在与AP (Access Point)已经建立的安全关联(Security Association, SA)的情况下,如果STA由于意外情况而重新启动,将原有的SA的状态全部 丟失,而在AP端仍然保持该STA的SA状态。那么,当STA重新启动完成后希望 再次接入该AP的时候,AP由于存在有这个STA的原来SA状态,就会拒绝其请 求。针对在WLAN中的STA接入死锁的问题,现有技术中使用了一种完全动态 的随机MAC (Media Access Control)地址来代替原有的STA的静态MAC地址。 这种动态的MAC地址在STA的MAC层之上是透明的,只有在STA与AP进行通 信的底层使用,从而使AP可以允许同一个STA进行多次接入。但是,AP需要 全面改动以兼容这种动态MAC地址的引入。由于STA使用动态MAC地址代替 静态MAC地址,将会《1起认证接入时的身份认证和安全关联的产生发生变动, 导致需要对现有的系统进行较大的改动,不能与现有的系统兼容。针对在WLAN中的STA接入死锁的问题,另 一现有技术提出一种基于硬件 的解决方案给STA配置一个掉电后不会丢失信息的硬件存储装置,用来保存 STA中的关于SA的状态信息。这样,当STA由于意外发生重新启动后,就可以 从存储装置中恢复故障发生以前的SA状态,从而可以不用再次接入认证,继续 使用以前的SA进行通信。但是,由于需要在STA上增加硬件存储装置,增加移动设备的成本;STA 在与AP正常通信的过程中,要及时将SA的状态保存到硬件存储装置中,这 样增加了系统的处理开销;由于保存SA的状态信息时,需要访问速度很慢的 硬件存储装置,会增加系统的时延,给STA的系统带来较大的负担。发明内容本发明所要解决的技术问题是提供一种无线局域网接入方法、设备和系统, 能够解决STA接入死锁的问题,可避免系统开销的增长和能够与现有系统兼容。一种无线局域网接入方法,包括以下步骤 步骤A:产生随机数,执行STA和AP的接入认证; 步骤B:利用随机数计算PMKID,建立安全关联PMKSA; 步骤C: STA利用建立的PMKSA接入网络。其中,所述的随机数由STA产生,STA发出的Probe消息中包含一个随机 数元素Nonce 。其中,所述随机数由AP产生,STA收到的Probe Response消息中包括随 机数元素Nonce 。其中,STA和AP分别计算相应的PMKID,其中, PMKID =腹AC-SHA1-128(PMK, "PMK Name" || APMAC || STAMAC || Nonce ),APMAC和STAMAC分别为AP和STA的MAC地址。其中,步骤C中,AP检测是否已存在与STA相关的PMKSA,如果是, 则删除已有的PMKSA,利用新的PMKSA接入网络。
其中,STA和AP利用新建立的PMKSA协商后续的PTKSA和GTKSA,接入网络。其中,所迷STA可创建虛拟STA,所迷随机数为虛拟STA的临时MAC 地址,PM^ffi) = S/^7-"S(PA/^:, '?M《iVame" || ^尸M4C || ||^联/DII M "c<=rM4>」,# # APMAC为AP的MAC地址;STAMAC为STA 的MAC地址;TMA为虛拟STA的临时MAC地址。一种无线局域网终端,包括随机数生成模块,用于生成随机数;接入认证 模块,用于实现STA的接入认证,其中,向AP发出的Probe消息中包含一个 随机数元素Nonce;密码算法才莫块,用于利用所述的随机数计算PMKID,并 与AP协商建立安全关联PMKSA。其中,所述PMKID =画AC-SHA1-128(PMK, "PMK Name" || APMAC || STAMAC || Nonce ),一种接入点,包括随机数生成模块,用于生成随机数;接入认证处理模 块,用于处理STA的接入认证请求,其中,向STA发出的Probe Response消 息中包含一个随机数元素Nonce;密码算法模块,用于利用所述的随机数计算 PMKID,并与STA协商建立安全关联PMKSA。其中,还包括检测模块,用于检测是否已存在与所述STA相关的PMKSA, 如果是,则删除已有的PMKSA。一种无线局域网系统,包括无线局域网终端和接入点,该无线局域网系统 还包括随机数生成器,所述无线局域网终端和接入点分别包括密码算法模块, 密码算法模块利用随机数生成器产生的随机数计算PMKID,并协商安全关联 PMKSA, STA利用该安全关联PMKSA接入网络。其中,还包括协议调度模块,协议调度^f莫块用于给所述无线局域网终端发 出的Probe消息增加一个随机数元素Nonce;或者给所述接入点发出的Probe Response消息增加一个随机数元素Nonce;
所述的PMKID = HMAC-SHA1-128(PMK, "PMK Name" || APMAC || STAMAC || Nonce ),其中,APMAC和STAMAC分别为接入点和无线局域网终端的MAC 地址。其中,该无线局域网系统还包括安全关联库,所述接入点还包括检测模块, 用于检测安全关联库中是否已存在与所述无线局域网终端相关的PMKSA,如 果是,则删除已有的PMKSA。其中,所述随机数生成器可以整合在所述无线局域网终端或接入点。 其中,所述协议调度模块可以整合在所述无线局域网终端或接入点。 本发明的有益效果如下随机数的引入,并没有改变认证过程,只是在请 求消息中增加了一个承载随机数的载荷,所以不会削弱已有的IEEE 802.11i 的安全性,有效地避免了系统开销的增长,并能够灵活地与现有系统兼容,对 后期的应用扩展也能够充分支持。
图1为本发明无线局域网接入方法流程图; 图2为包含虚拟STA的WLAN系统结构示意图; 图3为本发明无线局域网终端的结构示意图; 图4为本发明接入点的结构示意图。
具体实施方式
在IEEE的802.11w方案中,提出了对管理帧进行安全保护的需求。要求在 完成认证和授权后,STA和AP之间拥有了共享的PMK(Pairwise Master Key), 就要对后续的WLAN的管理帧进行安全保护。在管理帧受安全机制保护的情况 下,由于STA的意外重新启动,造成STA无法与AP端连接状态同步,导致不能 再次接入AP的死锁现象。根本原因是由于管理帧受到机密性和完整性的安全保 护,当STA的连接状态丢失后,不再拥有与AP同步的安全保护的密钥,所以无 法为解除安全关联帧和解除认证帧这两种管理帧提供安全保护,无法有效的通知AP解除与STA的原有的连接状态,从而导致STA不能以新的连接状态再次接 入AP。在WLAN中,STA接入AP时,STA要进行端口认证,认证消息采用EAP (Extensible Authentication Protocol,扩展i^i正十办i义)i人i正才莫式进4亍去于装和交换。 STA通过认证后,将在STA和AP之间形成一个安全关联PMKSA ( Pairwise Master Key Security Association,两方的主密钥安全关联)。该安全关联由一个 PMKID ( Pairwise Master Key Identifier,两方的主密钥标识)来唯一标识。当 STA和AP是采用预共享密钥的方式认证的时候,PMKID是由STA和AP双方的 MAC地址以及它们共享的PSK作为PMK ,利用HMAC-SHA1 -128函数计算产 生PMKID = HMAC-SHA1-128(PMK, "PMK Name" || APMAC || STAMAC); 其中,APMAC是AP的MAC地址,STAMAC是STA的MAC地址,PMK作为函 数HMAC-SHA1-128的密钥,在STA和AP两端各自计算,并保持相同。当STA由于意外发生重新启动后,因为管理帧需要安全认证,所以STA无 法发送合法的管理帧给AP,通告它的当前状况,因而AP仍然认为STA处于正 常的连接状态,并继续维护STA的状态信息。在采用预共享密钥的情况下,STA 进行重新接入时,由于通过再次认证,协商出的PMKSA的唯一标识PMKID与 原先已经存在的PMKID是相同的,将佳AP无法区分两个PMKSA。所以在这种 情况下,AP将拒绝STA的再次接入请求,造成STA无法接入AP。请参考图l,是本发明实施例无线局域网接入方法的流程图。本发明实施 例中引入了随机数参与PMKSA的协商,成为PMKID计算的一部分,这样就会 使STA在每次请求接入时,都会协商出不同的PMKSA,不同的PMKSA通过不 同的PMKID来区分。当新的PMKSA协商成功后,根据双方的MAC地址,AP 可以及时地将原有的PMKSA删除,完成STA的再次接入。本发明包括以下步 骤 1) 产生随才几凄t。随才几凄史的作用主要是^)夸AP和STA之间每次协商的PMKID进行随机化。本实施例中,随机数可以由STA产生,AP可以不参与随机数的产生;随机 数也可以由AP来产生,为STA统一分配,这样可以节省STA的系统资源。另夕卜, STA或AP的随机数都可由系统中的随机数产生器来提供。2) STA的接入认证。当引入了随机数后,在STA的接入认证过程中,只需 要在原有的协议消息中,由系统中的协议调度模块给ST嫂出的Probe请求消息 增加一个随机数元素Nonce,发送给AP即可。如果是由AP来给STA分配随机数, 则STA的Probe消息中不包含随机数,AP就会产生一个随机数,由系统的协议 调度模块将随机数附加到AP发出的Probe Response消息中,然后发送给STA。3) PMKID的计算。当STA和AP的接入认证完成后,在STA和AP两端各自 利用密码算法模块计算相应的PMKID:PMKID =薩AC-SHA1-128(PMK, "PMK Name" || APMAC || STAMAC || Nonce);其中,APMAC是AP的MAC地址,STAMAC是STA的MAC地址。这样STA 和AP将拥有相同的PMKID,而且由于随机数的引入,每次协商产生的PMKID也将不同。在WLAN中,IEEE802,llu提出一种关于STA临时MAC的使用方法,如图 2所示,能够将STA的功能进行扩展,利用多个虚拟终端的思想为上层的应用 提供多个连接。STA上设置相应的虚拟STA服务模块和一组虚拟STA,所述的 虚拟STA服务模块可以使得同一个STA上对应不同即虚拟STA分配到一个临时 的MAC地址(T-MAC-ADDR),这样, 一个物理上的STA就相当于多个虚拟 STA,即所述的虚拟STA服务模块可以创建多个虚拟STA,不同虚拟STA可分 别服务于不同的客户端或应用,每个虚拟STA可根据不同客户端或应用的接入 策略需求如安全、QoS、网络互通等,分别与AP建立不同的关联,实现不同的 接入策略。不同虚拟S T A在空口进行不同业务流的传输时分别以对应的 T-MAC-ADDR取代STA真实的MAC地址,从而实现不同业务的隔离。STA1上 仿真为两个虚拟STA: V-STA1 (虚拟STA1 )和V-STA2 (虚拟STA2 ),成为 基本服务集BSS独立的成员。当支持虛拟STA时,PMKID = HMAC-SHA1-128(PMK, "PMK Name" || APMAC li STAMAC U关联IDU Nonce(=TMA))。其中TMA是虚拟终端的临时 MAC地址。4) PMKSA的处理。当STA成功的完成接入认证后,AP将检测与该STA相 关的PMKSA,如果发现有旧的PMKSA存在,则由协议调度模块将安全关联库 中的该PMKSA以及由它产生的所有的PTKSA (Pairwise Transient Key Security Association,两方的临时密钥安全关联)和GTKSA( Group Temporal Key Security Association,组临时密钥安全关联)全部删除。5) 新PMKSA的使用。利用新建立的PMKSA, STA和AP继续协商后续的 PTKSA和GTKSA,并最终完成STA的完整的安全接入过程,使IEEE802.1X的 凄t氺居端口开启。图3是本发明无线局域网终端的结构示意图,无线局域网终端包括随机数生 成模块,接入认证模块和密码算法模块。随机数生成模块用于产生随机数,接 入认证模块用于实现该无线局域网终端的接入认证,其中在发出的Probe消息 中,包含一个随机数元素Nonce;密码算法模块用于根据该随机数计算PMKID。该随机数元素Nonce可以由无线局域网终端的协议调度模块完成,也可以 由系统中的协议调度模块来完成。图4是本发明接入点的结构示意图,接入点包括随机数生成模块,接入认证 处理模块和密码算法模块。随机数生成模块用于产生随机数,接入认证处理模 块用于处理无线局域网终端发出的接入请求,实现该无线局域网终端的接入认 证,其中在发出的ProbeResponse消息中,包含一个随机数元素Nonce;密码算 法模块用于根据该随机数计算PMKID。该随积』数元素Nonce可以由接入点的协议调度才莫块完成,也可以由系统中 的协议调度模块来完成。接入点还包括检测模块,用于检测是否已存在与无线
局域网终端相关的PMKSA,如果是,则删除已有的PMKSA。本发明实施例还包括一种无线局域网系统,包括无线局域网终端和接入点。 该无线局域网终端或接入点可以包括随机数生成模块,或者该无线局域网系统 包括随机数产生器,用于产生随机数。无线局域网终端和接入点分别包括密码 算法模块,密码算法模块利用随机数计算PMKID。该无线局域网系统还包括协 议调度模块,协议调度模块用于给所述无线局域网终端发出的Probe消息增加 一个随机数元素Nonce;或者给所述接入点发出的Probe Response消息增加一个 随机数元素Nonce。其中,该协议调度模块可以是无线局域网终端或者接入点 的一个模块。该无线局域网系统还包括安全关联库,该接入点还包括检测模块,则删除已有的PMKSA。本发明实施例中,恰当地处理了STA产生的接入死锁的问题,而且整个接 入过程并没有增加太多的计算代价和通信负担,以较高的效率完善地解决了产 生STA接入死锁的问题。随机数的引入,由于并没有改动EAP的认证过程,只 是在EAP请求消息中增加了一个承栽随机数的载荷,所以不会给已有的IEEE 802.1 li的安全性带来任何的削弱。本发明可以通过简单的软件升级实现,能够很好的与原有的系统兼容,同 时可将此随机数当作STA的临时MAC地址,为在STA上引入多个虚拟终端的方 案提供支持,并能够支持后续系统的扩展,可以将引入的随机数作为其他的用 处,增强系统的可扩展性。明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种无线局域网接入方法,包括以下步骤步骤A产生随机数,执行STA和AP的接入认证;步骤B利用随机数计算两方的主密钥标识PMKID,建立两方的主密钥安全关联PMKSA;步骤CSTA利用建立的PMKSA接入网络。
2、 如权利要求1所述的无线局域网接入方法,其特征在于,所述的随机 数由STA产生,STA发出的Probe消息中包含一个随机数元素Nonce;或者所述随机数由AP产生,STA收到的Probe Response消息中包括随机数元 素Nonce 。
3、 如权利要求2所述的无线局域网接入方法,其特征在于,STA和AP 分别计算相应的PMKID,其中,PMKID = HMAC陽SHA1-128(PMK, "PMK Name" || APMAC || STAMAC || Nonce ), APMAC和STAMAC分别为AP和STA的MAC地址。
4、 如权利要求1所述的无线局域网接入方法,其特征在于,步骤C中, AP检测是否已存在与STA相关的PMKSA,如果是,则删除已有的PMKSA, 利用新的PMKSA接入网络'
5、 如权利要求4所述的无线局域网接入方法,其特征在于,STA和AP 利用新建立的PMKSA协商后续的PTKSA和GTKSA,接入网络。
6、 如权利要求1所述的无线局域网接入方法,其特征在于,所述STA可 创建虚拟STA,所述随^L数为虚拟STA的临时MAC地址,M "c<=IM4」入^ # APMAC为AP的MAC地址;STAMAC为STA 的MAC地址;TMA为虚拟STA的临时MAC地址。
7、 一种无线局域网终端,其特征在于,包括随机数生成模块,用于生成 随机数;接入认证4莫块,用于实现STA的接入认证,其中,向AP发出的Probe消 息中包含一个随机数元素Nonce;密码算法模块,用于利用所述的随机数计算PMKID,并与AP协商建立安 全关联PMKSA。
8、 如权利要求7所述的无线局域网终端,其特征在于,所述 PMKID = HMAC-SHA1-128(PMK, "PMK Name" || APMAC || STAMAC || Nonce ),其中,APMAC和STAMAC分别为AP和STA的MAC地址。
9、 一种接入点,其特征在于,包括 随机数生成模块,用于生成随机数;接入认证处理模块,用于处理STA的接入认证请求,其中,向STA发出 的Probe Response消息中包含一个随才几数元素Nonce;密码算法模块,用于利用所述的随机数计算PMKID,并与STA协商建立 安全关联PMKSA。
10、 如权利要求9所述的接入点,其特征在于,还包括检测模块,用于检 测是否已存在与所述STA相关的PMKSA,如果是,则删除已有的PMKSA。
11、 一种无线局域网系统,包括无线局域网终端和接入点,其特征在于, 该无线局域网系统还包括随机数生成器,所述无线局域网终端和接入点分别包 括密码算法模块,密码算法模块利用随机数生成器产生的随机数计算PMKID, 并协商安全关联PMKSA, STA利用该安全关联PMKSA接入网络。
12、 如权利要求11所述的无线局域网系统,其特征在于,还包括协议调 度模块,协议调度模块用于给所述无线局域网终端发出的Probe消息增加一个 随机数元素Nonce;或者给所述接入点发出的Probe Response消息增加一个随 机数元素Nonce;所述的PMKID = HMAC-SHA1-128(PMK, "PMKName" || APMAC || STAMAC || Nonce ),其中,APMAC和STAMAC分别为接入点和无线局域网终端的MAC地址。
13、 如权利要求11所述的无线局域网系统,其特征在于,该无线局域网系统还包括安全关联库,所述接入点还包括检测模块,用于检测安全关联库中是否已存在与所述无线局域网终端相关的PMKSA,如果是,则删除已有的 PMKSA。
14、 如权利要求11所述的无线局域网系统,其特征在于,所述随机数生 成器可以整合在所述无线局域网终端或接入点;所述协议调度;f莫块可以整合在 所述无线局域网终端或接入点。
全文摘要
本发明涉及一种无线局域网接入方法,包括以下步骤产生随机数,执行STA和AP的接入认证;利用随机数计算PMKID,建立安全关联PMKSA;STA利用建立的PMKSA接入网络。本发明还涉及无线局域网终端、接入点和无线局域网系统。有效地避免了系统开销的增长,并能够灵活地与现有系统兼容。
文档编号H04L12/28GK101155092SQ20061006294
公开日2008年4月2日 申请日期2006年9月29日 优先权日2006年9月29日
发明者姚忠辉, 帆 张, 李亚晖, 杨卫东, 马建峰 申请人:西安电子科技大学;华为技术有限公司