专利名称:基于无线局域网安全标准wapi的无线交换网络重认证方法
技术领域:
本发明涉及无线网络安全的应用方法,具体涉及无线网状网络中无线局域网安全标准WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别和保密基础架构)的应用方法。
背景技术:
未来10到15年,随着无线和移动设备数量的激增,无线技术将会对下一代互联网络的发展产生重大影响。无线环境下各种新型实时流媒体应用对网络漫游切换能力提出了全新的要求,研究发现,重认证时延是影响漫游切换延时的关键因素,因此在应用无线局域网鉴别和保密基础结构WAPI的无线网络中,提出采用预鉴别的机制来解决用户快速移动切换的问题。但是这种预鉴别方法效率低、不适合应用在大规模无线网络,特别是难以有效的应用于大规模无线交换网络(Wireless Switching Networks)中。
在无线交换网络中,无线交换机集中实现了链路层的功能,访问接入点AP(Access point)只是实现无线电波的收发功能。除了一些基本信息,例如AP的编号、IP地址、缺省网关、无线交换机地址等参数之外,AP本身不再储存任何无线网络的配置信息。AP在启动的时候会从交换机下载启动脚本和无线电波的配置参数,这些启动脚本和配置参数并不储存在AP上。这种架构下的AP与传统的AP完全不同,不能够单独使用。无线交换架构有非常好的扩展性,如果需要增加新的功能,可以通过升级交换机的软件来实现,而无须对部署的每一个AP进行升级。无线交换架构另一大特点是AP和无线交换机之间通过某种隧道进行通信,所有进入AP的无线数据都是通过隧道传输到交换机上进行处理。即使AP和交换机不在同一个局域网内部,远端的AP只须预设相应的隧道参数就可以与无线交换机通过Internet互连。简而言之,无线交换网络的特点是将无线电波的收发功能和无线网络的链路层功能分别在AP和无线交换机上实现,用以解决无线组网中的一些缺陷。
根据现有WAPI标准,当终端STA(Station)从一个无线接入点AP切换到另一个AP上时,需要再次进行STA和新AP的证书鉴别和密钥协商过程,从而导致STA在两个AP间重认证时延过长,影响漫游切换性能。为此,现有WAPI标准提出预鉴别机制来解决这一问题漫游前,STA通过当前连接的AP进行证书预鉴别过程,并生成基密钥,分别存储在STA和将要漫游的AP中;当STA漫游到新AP上时,如果之前的预鉴别通过,STA和AP则直接进行单播密钥的协商和组播密钥的通告过程,不用再次进行WAPI证书鉴别过程。
然而,通过分析发现WAPI预鉴别过程存在以下问题(1)需当STA和所连接AP完成单播会话密钥的协商并安装密钥之后才可启动预鉴别过程,因此需要占用STA和所连接AP已经建立好的通信信道,影响AP和STA之间正常的数据通信;(2)预鉴别过程中,由STA所连接AP来发现周围的AP,然后对其进行预鉴别。这种方法会受到发现机制的影响,造成预鉴别的AP不是STA将要移动的目标AP。若采用其他发现机制,则会增加STA和AP的开销;(3)预鉴别完成后,在STA端会生成一个基密钥的列表。在大规模网络中,STA生成和维护这个列表会很复杂,从而增加STA端的负担;(4)在大规模无线网络中,预鉴别方法满足不了用户的快速移动需求,不利于网络进一步扩展。
发明内容
本发明的目的在于提供一种无线交换网络中应用WAPI机制的方法,使用该方法可以减少WAPI机制应用于无线交换网络时的漫游切换重认证时延,提高无线交换网络中WAPI机制的应用效率。
本发明的特征在于,依次含有以下步骤步骤(1)把终端首次连接到无线交换网络步骤(1.1)终端和所连接的无线接入点AP1按照WAPI规定的鉴别过程完成证书鉴别和密钥协商,在该终端和所连接的无线接入点AP1分别生成对应的基密钥和包括单播会话密钥以及组播会话密钥在内的会话密钥;步骤(1.2)步骤(1.1)中所述的无线接入点AP1把基密钥标识以及会话密钥转发给无线交换机处理,所述基密钥标识至少包括基础密钥标识,标识了基密钥安全关联;所连接终端的无线局域网媒体访问控制MAC地址;该无线接入点AP1的无线局域网媒体访问控制MAC地址;基础密钥;生存期;步骤(1.3)步骤(1.2)中所连的无线交换机把收到的基密钥标识与会话密钥绑定,生成一个相互一一对应的列表,缓存;步骤(1.4)步骤(1.1)中所述的终端和无线接入点AP1各自打开受控端口,准备进行终端在无线交换网络中的通信;步骤(2)所述终端在无线交换网络中移动时重新进行连接步骤(2.1)所述终端漫游到网络中其它无线接入点AP2时,按WAPI标准向该AP2发送探寻请求;该AP2同时按WAPI标准向该终端发送探寻响应;步骤(2.2)该终端向所述AP2发送链路验证请求,所述AP2向该终端发送链路验证响应;
步骤(2.3)终端按WAPI标准鉴别机制的规定,向该AP2发送关联请求,其中包括下述WAPI信息元素已生成的基密钥;能力信息字段,为1,表明已经进行预鉴别缓存;基密钥列表字段,为同上一个无线接入点AP1过去生成的基密钥信息;步骤(2.4)在所述AP2收到步骤(2.3)中所述的关联请求后,按以下步骤处理步骤(2.4.1)向无线交换机发送鉴别请求分组,其中包括标识,表示该AP2向无线交换机发送基础密钥信息;鉴别标识,用随机方法生成,表示请求鉴别;该AP2的MAC地址;终端的MAC地址;终端发送给当前无线接入点AP2的基密钥标识;步骤(2.4.2)无线交换机收到步骤(2.4.1)中所述的鉴别请求后,将其中的基密钥标识与缓存的基密钥标识对比,若存在,则向该AP2返回鉴别响应分组,其中包括标识,表示无线交换机向所述AP2发送会话密钥信息;鉴别标识,其值与步骤(2.4.1)所述鉴别请求分组中鉴别标识字段值相同;该AP2的MAC地址;终端的MAC地址;长度可变的会话密钥信息,包括无线交换机中缓存的与基密钥标识对应的会话密钥;若无线交换机中无对应的基础密钥标识,则会话密钥信息为0,无论是何种情况,都返回该鉴别响应分组;步骤(2.4.3)该AP2收到步骤(2.4.2)中所述的鉴别响应分组后,做以下处理先从该响应分组中取出密钥信息,按WAPI规定安装会话密钥;再把受控端口打开,向终端发送按照WAPI标准生成的关联响应分组;若会话密钥字段为空,则执行步骤(2.4.5);步骤(2.4.4)终端收到步骤(2.4.3)中所述的关联响应分组后,与该AP2通信;步骤(2.4.5)重新按WAPI标准进行认证。
本发明对原有WAPI机制的改进,是在完成首次WAPI鉴别之后,将STA和AP生成的会话密钥在无线交换机中进行缓存,缓存的方式是将STA和所连接AP生成的基密钥标识与会话密钥绑定,也就是一个基密钥标识对应一组会话密钥。当STA漫游到网络中其它AP上时,在发送的关联请求中包含WAPI信息,其中包含之前生成的基密钥信息。AP收到关联请求后,将其中包含的基密钥信息发送到无线交换机中进行对比,若无线交换机中缓存有对应的基密钥信息,且在有效期内,则将与之绑定的会话密钥发送给AP。AP收到密钥后启动原语安装会话密钥,并将AP上受控端口置打开。由于之前STA拥有这个会话密钥,且在密钥更新之前不会将它删除,所以此时STA和AP拥有相同的会话密钥,且受控端口都已经打开,此时允许通信数据利用STA和AP拥有的单播或组播密钥进行保护传输,进行WAPI加密保护下的数据通信过程。
本发明针对无线交换网络结构特点,提出一套完整的无线交换网络WAPI应用机制,与现有WAPI预鉴别机制相比具有以下优势(1)利用无线交换机对预鉴别缓存的方法,在不改变原有WAPI认证结构情况下,本发明的应用使得STA在无线交换机管理下的任何一个AP上完成WAPI鉴别过程和密钥协商过程后,漫游到无线交换机管理的其它AP上时不用再次进行WAPI鉴别过程和密钥协商过程,大大缩短了STA在不同AP间切换的延迟时间。
(2)与原有预鉴别机制相比,本发明的应用可以实现在更大范围内STA的快速移动。
(3)本发明没有增加STA的负担,整个过程对于STA完全透明。使得在减少WAPI AP和STA负担的同时,以较短的时间完成了WAPI重新认证的过程。
(4)本发明适合应用于大规模无线网络,有利于无线交换网络大规模的扩展。
图1STA首次连接到无线网络中认证过程流程图。
图2基于预鉴别缓存机制的重新连接过程流程图。
图3鉴别请求分组数据字段格式示意图标识字段,修改其中比特7(保留字段)的值为0,表示AP向无线交换机发送基础密钥信息过程;鉴别标识,若标识字段比特值第7位为0,其值用随机生成数生成算法生成;AP MAC(无线局域网媒体访问控制)地址,长度为12个八位位组;STA MAC地址,长度为12个八位位组;基密钥标识BKID,表示STA的基密钥信息,其值计算同现有WAPI标准一致。
图4鉴别响应分组数据字段格式示意图标识字段,同现有WAPI标准中定义一致,其中比特值第7位(保留字段)为1,表示无线交换机向AP发送会话密钥信息过程;鉴别标识,若标识字段比特7值为1,其值同鉴别请求分组中鉴别标识字段值相同;AP MAC地址,长度为12个八位位组;STA MAC地址,长度为12个八位位组;会话密钥信息,长度可变,内容包括无线交换机中缓存的与基密钥标识对应的单播会话密钥和组播会话密钥。
图5无线交换网络中WAPI应用结构示意图。
具体实施例方式
下面结合附图对本发明作进一步详细的描述。
在本应用方法中利用无线交换机将之前的密钥信息进行缓存,当STA到新的AP上时,利用之前的这个密钥信息完成快速的连接,以适应实时流媒体应用对网络所支持的移动性能的要求。在完成切换的一段时间之后,可以启动现有WAPI标准密钥更新过程,在STA和AP之间协商出新基密钥和会话密钥。
基于预鉴别缓存机制的无线交换网络WAPI应用机制过程如下第一阶段,STA首次连接到无线交换网络的过程。
图1为STA首次连接到无线交换网络中认证过程流程图。具体步骤如下步骤1按照现有WAPI标准规定的鉴别过程完成证书鉴别和密钥协商过程流程。在STA和AP上分别生了对应的基础密钥,单播会话密钥以及组播会话密钥(在本发明中统称为会话密钥)。
步骤2本发明对于现有WAPI标准的改进是,在完成步骤1后,由STA所连接的AP将生成的基密钥标识以及会话密钥转发给无线交换机进行处理,具体处理过程见步骤3。其中的基密钥标识同现有WAPI标准中定义的基密钥标识一致,是基密钥安全关联的标识,在证书鉴别过程完成后得到的结果,在STA和AP中创建,包括以下内容1)基密钥标识,标识基密钥安全关联;2)STA的MAC(无线局域网媒体访问控制)地址;3)AP的MAC地址;4)基础密钥;5)生存期;6)其它安全参数。
步骤3无线交换机将收到的基密钥标识和会话密钥绑定进行缓存,在无线交换机中生成一个列表,通过这个列表将将基密钥标识与会话密钥一一对应。
完成上述过程后,STA和AP双方打开受控端口,允许通信数据利用协商的单播或组播密钥进行保护传输。按照现有WAPI标准,进行STA在无线交换网络中的通信过程。
第二阶段,STA在无线交换网络中移动时重新连接的过程。
图2为基于预鉴别缓存机制的重新连接过程流程图。当STA发生移动,漫游到网络中其它AP下时,重新建立物理连接过程如下步骤1按照现有WAPI标准规定,STA向AP发送探寻请求。
步骤2按照现有WAPI标准规定,AP向STA发送探寻响应。
步骤3按照现有WAPI标准规定,STA向AP发送链路验证请求。
步骤4按照现有WAPI标准规定,AP向STA发送链路验证响应。
步骤5按照现有WAPI标准预鉴别机制规定,STA向AP发送关联请求,其中包括WAPI信息元素,其中包含之前生成的基密钥的信息。其中WAPI能力信息字段值设为1,表明之前已经进行了预鉴别缓存。基密钥列表字段为同上个连接AP生成的基密钥信息。
步骤6在AP收到STA的关联请求后,本发明对于现有WAPI标准的改进是进行如下处理a)向无线交换机发送鉴别请求分组,分组内容包含STA之前的基密钥标识信息,图3所示为在本发明中定义鉴别请求分组数据字段格式。b)无线交换机收到鉴别请求后,与缓存的基密钥标识进行对比,若存在,则返回鉴别响应分组给AP,图4所示为在本发明中鉴别响应分组数据字段格式,分组内容包含基密钥标识对应的会话密钥。若无线交换机中没有缓存对应的基础密钥,则返回鉴别响应分组中会话密钥信息字段为空。c)AP收到响应分组后进行如下处理验证鉴别响应分组中的会话密钥信息字段是否为空。若不为空,则取出其中的会话密钥信息,并按照现有WAPI标准规定安装会话密钥,包括单播会话密钥和组播会话密钥。并将AP中受控端口置为ON,并发送关联响应分组给STA,关联响应分组格式同现有WAPI标准中定义的格式一致。若会话密钥信息字段为空,则执行步骤8。
步骤7STA收到AP发送的关联响应分组。此时,STA和AP双方受控端口均已经打开,允许通信数据利用协商的单播或组播密钥按照现有WAPI标准规定进行保护传输。
步骤8若在步骤6中AP得到的鉴别响应分组中会话密钥信息字段为空,即在无线交换机中没有缓存相对应的基密钥标识,此时WAPI AP中的受控端口仍然处于关闭状态,下一步则按照现有WAPI标准规定的鉴别机制进行,在完成物理连接后需要进行完整的WAPI认证过程。
完成上述过程后,STA和AP之间重新建立了连接,进行WAPI加密保护下的数据通信过程。图5为无线交换网络中WAPI应用结构示意图。
权利要求
1.基于无线局域网安全标准WAPI的无线交换网络重认证方法,其特征在于,依次含有以下步骤步骤(1)把终端首次连接到无线交换网络步骤(1.1)终端和所连接的无线接入点AP1按照WAPI规定的鉴别过程完成证书鉴别和密钥协商,在该终端和所连接的无线接入点AP1分别生成对应的基密钥和包括单播会话密钥以及组播会话密钥在内的会话密钥;步骤(1.2)步骤(1.1)中所述的无线接入点AP1把基密钥标识以及会话密钥转发给无线交换机处理,所述基密钥标识至少包括基础密钥标识,标识了基密钥安全关联;所连接终端的无线局域网媒体访问控制MAC地址;该无线接入点AP1的无线局域网媒体访问控制MAC地址;基础密钥;生存期;步骤(1.3)步骤(1.2)中所连的无线交换机把收到的基密钥标识与会话密钥绑定,生成一个相互一一对应的列表,缓存;步骤(1.4)步骤(1.1)中所述的终端和无线接入点AP1各自打开受控端口,准备进行终端在无线交换网络中的通信;步骤(2)所述终端在无线交换网络中移动时重新进行连接步骤(2.1)所述终端漫游到网络中其它无线接入点AP2时,按WAPI标准向该AP2发送探寻请求;该AP2同时按WAPI标准向该终端发送探寻响应;步骤(2.2)该终端向所述AP2发送链路验证请求,所述AP2向该终端发送链路验证响应;步骤(2.3)终端按WAPI标准鉴别机制的规定,向该AP2发送关联请求,其中包括下述WAPI信息元素已生成的基密钥;能力信息字段,为1,表明已经进行预鉴别缓存;基密钥列表字段,为同上一个无线接入点AP1过去生成的基密钥信息;步骤(2.4)在所述AP2收到步骤(2.3)中所述的关联请求后,按以下步骤处理步骤(2.4.1)向无线交换机发送鉴别请求分组,其中包括标识,表示该AP2向无线交换机发送基础密钥信息;鉴别标识,用随机方法生成,表示请求鉴别;该AP2的MAC地址;终端的MAC地址;终端发送给当前无线接入点AP2的基密钥标识;步骤(2.4.2)无线交换机收到步骤(2.4.1)中所述的鉴别请求后,将其中的基密钥标识与缓存的基密钥标识对比,若存在,则向该AP2返回鉴别响应分组,其中包括标识,表示无线交换机向所述AP2发送会话密钥信息;鉴别标识,其值与步骤(2.4.1)所述鉴别请求分组中鉴别标识字段值相同;该AP2的MAC地址;终端的MAC地址;长度可变的会话密钥信息,包括无线交换机中缓存的与基密钥标识对应的会话密钥;若无线交换机中无对应的基础密钥标识,则会话密钥信息为0,无论是何种情况,都返回该鉴别响应分组;步骤(2.4.3)该AP2收到步骤(2.4.2)中所述的鉴别响应分组后,做以下处理先从该响应分组中取出密钥信息,按WAPI规定安装会话密钥;再把受控端口打开,向终端发送按照WAPI标准生成的关联响应分组;若会话密钥字段为空,则执行步骤(2.4.5);步骤(2.4.4)终端收到步骤(2.4.3)中所述的关联响应分组后,与该AP2通信;步骤(2.4.5)重新按WAPI标准进行认证。
全文摘要
基于无线局域网安全标准WAPI的无线交换网络重认证方法属于无线网络安全领域,其特征在于,采用WAPI首次鉴别后,把终端所连接入点生成的基密钥标识和会话密钥发送给无线交换机,无线交换机把基密钥标识和会话密钥列成一一对应的列表后缓存;当终端漫游到下一个无线接入点发送包括基密钥标识的关联请求后,该新接入点发送包括基密钥标识的鉴别请求,经无线交换机审核存在该基密钥标识后,向新接入点发送包括对应会话密钥的响应分组,供新接入点用该会话密钥分组与终端通信,若不存在则重新开始认证过程。本发明缩短了终端在不同接入点间切换的延迟时间,便于终端在更大范围内进行移动,适用于大规模无线网络。
文档编号H04L12/28GK101079891SQ20071011892
公开日2007年11月28日 申请日期2007年6月15日 优先权日2007年6月15日
发明者李贺武, 张鹏, 李风华, 陈荣第, 吴建平 申请人:清华大学