专利名称:一种无线个域网接入方法
技术领域:
本发明涉及一种无线网络接入方法,尤其涉及一种无线个域网接入方法。
技术背景近年来,无线移动通信的发展日新月异,新技术层出不穷,从蜂窝通信中的3G到宽带无线接入中的LMDS、画DS,再到无线局域网的WAPI、 IEEE 802. llb、 802. lla、 802. llg,世界在无线这张大网中变得越来越小。无处不在的网络终 端,以人为本、个性化、智能化的移动计算,以及方便、快捷的无线接入、无 线互联等新概念和新产品,已经逐渐地融入人们的工作领域和日常生活中。各 种便携式消费电子产品如手机、个人数字助理(PDA)、笔记本电脑、数码相机 等日益成为人们生活中的一部分。随着这些外围设备的增多,如何在有限多变 的小范围办公和家居环境中,低成本地轻易实现多种设备及其信息共享的确是 --件令人烦心的事。无线个域网(WPAN, Wireless Personal Area Network) 就是为解决这种活动半径小、业务类型丰富、面向特定群体,实现无线无缝连 接的新兴无线通信网络技术。WP認是一种与广域网、局域网并列但覆盖范围相对较小的无线网络,目前 已成为通信网络中一个至关重要的组成部分,同时也是4G无线通信和控制中的 主流技术,并能与2G、 3G移动通信的各种空中接口实现无缝连接。如果说接入 网是迈向数字化的"最后一公里",那么WPAN就是"最后的50米"。它在个人 操作空间(P0S, Personal Operating Space)内提供业务类型丰富、面向特定 群体的无缝连接。POS只是个人周围的一个小覆盖空间,典型距离为10m,通信 在这里以"Ad hoc"(自组织)的方式产生。P0S仅限于个人,尤其是个人所持 的设备,并随着用户的移动而移动。它不但使POS内的设备具有通信能力,而且 还允许它们与进入POS的其它设备进行通信。WPAN能在用户需要时自然产生, 而无需用户太多的干预,并与己建立的网络或独立的网络之间具有互操作性。 WP認还可提供验证和安全的操作模式,它允许与获得许可的个人设备进行快速 连接,而拒绝与其它未经许可的设备进行连接。WPAN的主要目标是个人用户市 场,用于消费类电子设备之间方便、快速的数据传输等,因而WPAN设备具有价 格便宜、体积小、易操作和功耗低等优点。为了接入WPAN,设备需要与WP認中的协调器进行连接。WPAN中的协调器是 指那种能将设备接入WPAN且为它提供路由功能的设备,自身通常也完成一定的 终端功能。对于WPAN接入方法,目前主要有三种接入方法第一种接入方法设备以非安全模式接入WPAN并获得网络地址,然后与WPAN 中的其他设备进行通信,或者从WPAN获得安全服务密钥后与WPAN中的其他设备 进行安全通信;第二种接入方法设备利用预共享会话密钥对关联过程进行安全操作,若协调器能成功解安全操作,则协调器将该设备接入WPAN,从而设备以安全模式 接入WPAN并获得网络地址;第三种接入方法设备以非安全模式接入WP^^并获得网络地址,然后与WPAN 管理者进行认证,若认证通过,则将该设备接入WPAN,否则,将该设备移离WPAN。对于第一种接入方法,满足于那种不需要任何安全的WPAN或仅需要安全通 信的WPAN,通常为WPAN建网过程中的一种可选接入形式。对于第二种接入方法, 设备与协调器之间需要预共享会话密钥,然而预共享会话密钥不具有新鲜性, 使得预共享会话密钥易被攻破,从而安全性较低。对于第三种接入方法,由于 每个设备接入WP認都需要与WPAN管理者进行认证,通信量较大,使得效率较低; 此外,任意设备都可以发起Dos攻击,即以非安全模式接入WPAN并获得网络地址, 然后与WPAN管理者认证失败而结束。端口是一种抽象的软件结构。基于端口的控制可以实现对输入输出的数据进行控制。在网络分层结构中,各层之间是严格单向依赖的,各层次的分工和 协作集中体现在相邻层之间的界面上。"服务"是描述相邻层之间关系的抽象概念,即网络中各层向紧邻上层提 供的一组操作。下层是服务提供者,上层是请求服务的用户。服务的表现形式 是原语(primitive),如系统调用或库函数。系统调用是操作系统内核向网络 应用程序或高层协议提供的服务原语。网络中的n层总要向n+l层提供比n-l层更 完备的服务,否则n层就没有存在的价值。 发明内容本发明的目的是提供一种无线个域网接入方法,其解决了现有无线个域网 接入方法存在安全性较低和效率较低的技术问题。 本发明的技术解决方案是--种无线个域网接入方法,其特殊之处是其包括以下步骤步骤ll]协调器广播信标帧;信标帧中包括对设备的认证需求; 步骤12]如果协调器对设备有认证需求,则协调器与设备进行认证和关联; 如果协调器对设备没有认证需求,则协调器与设备进行关联。 上述步骤12]的认证过程为歩骤21]设备从步骤ll]中协调器发送的信标帧获知协调器所支持的认证及密钥管理套件;步骤22]设备选定认证及密钥管理套件后向协调器发送接入请求;步骤23]协调器收到设备的接入请求后根据设备选定的认证及密钥管理套件与设备进行认证过程。当协调器和设备在步骤12]的认证过程中获得的密钥为主密钥时,所述步骤 12]还包括认证结束后的会话密钥协商过程。 上述步骤12]中的关联过程具体如下歩骤41]当设备在步骤ll]中获知协调器对设备没有认证需求时,设备向 协调器发送关联请求;若设备与协调器之间存在会话密钥,则设备利用该会话 密钥对关联请求进行安全保护;歩骤42]协调器收到设备发送的关联请求后,验证关联请求是否为安全保 护的关联请求,若不是安全保护的关联请求,则验证关联请求信息后生成关联 响应,否则对关联请求进行解安全保护以及验证关联请求信息后生成关联响应;步骤43]协调器将关联响应发送给设备;步骤44]设备通过协调器接入无线个域网。上述步骤12]中的协调器与设备关联过程具体如下步骤51]当设备和协调器经认证及会话密钥协商过程后获得设备与协调器 之间的会话密钥时,设备向协调器发送关联请求,且设备利用该会话密钥对关 联请求进行安全保护;步骤52]协调器收到设备发送的关联请求后,对该关联请求进行解安全保 护以及验证关联请求信息后生成关联响应,且关联响应是使用设备与协调器之 间的会话密钥进行安全保护的关联响应;步骤53]协调器将关联响应发送给设备;步骤54]设备通过协调器接入无线个域网。上述的关联响应包括协调器分配给设备的网络地址或关联失败的原因。 上述的认证过程中还包括以下步骤步骤71]定义设备和协调器在MAC层的认证原语;步骤72]将认证协议数据封装在MAC层的认证命令帧中传输。上述的认证过程中还包括以下步骤步骤81]定义设备和协调器在MAC层的非受控端口和受控端口; 歩骤82]将认证协议数据封装在MAC层的数据帧中传输。上述的会话密钥协商过程中还包括以下步骤步骤91]定义设备和协调器在MAC层的会话密钥协商原语;步骤92]将会话密钥协商协议数据封装在MAC层的会话密钥协商命令帧中传输。上述的会话密钥协商过程中还包括以下步骤歩骤101]定义设备和协调器在MAC层的非受控端口和受控端口; 步骤102]将会话密钥协商协议数据封装在MAC层的数据帧中传输。本发明具有如下优点1、 设备既支持非认证模式接入WPAN,又支持认证模式接入WPAN,而且认 证模式接入WPAN是基于设备与协调器之间的认证,有效地防止了DoS攻击,从 而提高了设备接入WPAN的兼容性、安全性和性能。2、 相对于已有的WPAN接入方法,关联过程没有进行任何更改,只是在关 联过程之前增加了接入请求和认证及会话密钥协商过程,而且这些过程的具体 内容是可替换的;若协调器对设备没有认证需求,则整个接入过程和已有WPAN 接入方法一样,从而实现了很好的兼容性和提高了设备接入WP颜的可扩展性。3、 在支持认证的情况下,设备与协调器进行关联过程时所使用的会话密钥 是设备和协调器在认证过程中生成的或者利用认证过程中生成的主密钥协商 的,使得设备与协调器的认证过程和关联过程具有很好的关联性,会话密钥具 有新鲜性,从而提高了设备接入WPAN的安全性。4、 当基于原语来实现设备与协调器的认证及会话密钥协商时,设备和协调 器在MAC层都定义了认证原语和会话密钥协商原语,认证协议数据和会话密钥 协商协议数据封装在MAC层的认证命令帧和会话密钥协商命令帧中传输,提髙 了设备接入WPAN的可集成性,使得认证及会话密钥协商过程可以集成在硬件中。5、 当基于端口控制来实现设备与协调器的认证及会话密钥协商时,设备和 协调器都定义了非受控端口和受控端口,在成功关联之前受控端口是关闭的且 非受控端口仅允许认证及会话密钥协商协议数据和管理信息通行,实现了设备与协调器之间的访问控制,从而提高了设备接入WP認的安全性。
图1为WPAN接入系统的接入方法示意图,其中A为请求接入WPAN的设备, B是WPAN中A所关联的协调器,实线为必须完成的过程,虚线表示可能需要完 成的过程。图2为WPAN接入系统的流程示意图。
具体实施方式
在WPAN接入系统中,设备通过WPAN中的协调器接入WPAN,设备所关联的 协调器在接入过程决定是否允许该设备接入WP^t参见图1。协调器广播信标 帧,设备根据协调器所广播的信标帧识别协调器对设备的认证需求,若协调器 对设备的没有认证需求,则设备直接与协调器进行关联过程;若协调器对设备 有认证需求,则设备选定一种协调器所支持认证及密钥管理套件向协调器发送 接入请求,协调器收到接入请求后启动协调器与设备的认证及会话密钥协商过 程,当协调器和设备相互认证且获得它们之间的会话密钥时,设备与协调器才 进行关联过程。关联成功后,设备通过协调器接入WPAN,从而可以进行正常通 信。WPAN接入系统的接入方法具体实现如下,参见图l。 WPAN接入系统的流程示意图参见图2。步骤1]协调器广播信标帧。若协调器对接入设备没有认证需求时,则协调 器在信标帧中指明对设备没有认证需求;否则,协调器在信标帧中指明对设备 有认证需求,此时还需在信标帧中指明协调器所支持的认证及密钥管理套件。步骤2]设备收到步骤l]中协调器发送的信标帧后,首先验证协调器对设 备的认证需求,若协调器对设备没有认证需求,则执行步骤5];若协调器对设 备有认证需求且设备也支持认证,则设备选定一种协调器所支持的认证及密钥 管理套件,然后向协调器发送接入请求。接入请求中包括设备选定的认证及密 钥管理套件。步骤3]协调器收到步骤2]中设备发送的接入请求后,协调器首先识别设 备选定的认证及密钥管理套件,然后启动与该设备的认证过程。当认证过程是基于原语的认证过程时,设备和协调器在MAC层都定义了认 证原语,利用认证原语实现设备与协调器的认证,认证协议数据封装在MAC层 的认证命令帧中传输。当认证过程是基于端口控制的认证过程时,设备和协调器都定义非受控端口和受控端口,利用MAC层的数据传输原语和端口控制来实现设备与协调器的认证,认证协议数据封装在MAC层的数据帧中传输。若认证失败,则中止接入过程;否则,当协调器和设备在认证过程中成功生成了协调器与设备之间的会话密钥时,执行步骤5];当协调器和设备在认证过程中成功生成了协调器与设备之间的主密钥时,执行步骤4]。歩骤4]当协调器和设备在步骤3]中成功生成了协调器与设备之间的主密 钥时,协调器和设备利用协调器与设备之间的主密钥进行会话密钥协商过程。当会话密钥协商过程是基于原语的会话密钥协商过程时,设备和协调器在 MAC层都定义会话密钥协商原语,利用会话密钥协商原语实现设备与协调器的会 话密钥协商,会话密钥协商协议数据封装在MAC层的会话密钥协商命令帧中传 输。当会话密钥协商过程是基于端口控制的会话密钥协商过程时,设备和协调 器都定义非受控端口和受控端口,利用MAC层的数据传输原语和端口控制来实 现设备与协调器的会话密钥协商,会话密钥协商协议数据封装在MAC层的数据 帧中传输。若会话密钥协商失败,则中止接入过程否则,执行步骤5]。 步骤5]当设备在歩骤2]中获知协调器对设备没有认证需求时或设备和协 调器经认证及会话密钥协商过程后成功获得设备与协调器之间的会话密钥时, 设备向协调器发送关联请求。若设备与协调器之间存在会话密钥,则设备利用 该会话密钥对关联请求进行安全保护。步骤6]协调器收到步骤5]中设备发送的关联请求后,验证关联请求是否 为安全保护的关联请求。若步骤5]中设备发送的关联请求为安全保护的关联请 求,则对该关联请求进行解安全保护以及验证关联请求信息后生成关联响应发 送给设备,该关联响应是使用设备与协调器之间的会话密钥进行安全保护的关 联响应。否则,直接验证关联请求信息后生成关联响应发送给设备,该关联响 应是没有进行安全保护的关联响应。若协调器允许该设备接入WPAN,则关联响 应屮包含协调器分配给设备的网络地址,设备通过协调器成功接入WPAN,从而 设备与协调器之间可以正常通信;否则,关联响应中包含设备与协调器关联失 败的原因。
权利要求
1、一种无线个域网接入方法,其特征在于其包括以下步骤步骤11]协调器广播信标帧;信标帧中包括对设备的认证需求;步骤12]如果协调器对设备有认证需求,则协调器与设备进行认证和关联;如果协调器对设备没有认证需求,则协调器与设备进行关联。
2、 根据权利要求1所述的无线个域网接入方法,其特征在于所述步骤12] 的认证过程为歩骤21]设备从步骤ll]中协调器发送的信标帧获知协调器所支持的认证 及密钥管理套件;步骤22]设备选定认证及密钥管理套件后向协调器发送接入请求;歩骤23]协调器收到设备的接入请求后根据设备选定的认证及密钥管理套 件与设备进行认证过程。
3、 根据权利要求1或2所述的无线个域网接入方法,其特征在于当协调器和设备在步骤12]的认证过程中获得的密钥为主密钥时,所述步骤12]还包括 认证结束后的会话密钥协商过程。
4、 根据权利要求3所述的无线个域网接入方法,其特征在于 所述步骤12]中的关联过程具体如下步骤41]当设备在步骤ll]中获知协调器对设备没有认证需求时,设备向协调器发送关联请求;若设备与协调器之间存在会话密钥,则设备利用该会话 密钥对关联请求进行安全保护;歩骤42]协调器收到设备发送的关联请求后,验证关联请求是否为安全保 护的关联请求,若不是安全保护的关联请求,则验证关联请求信息后生成关联响应,否则对关联请求进行解安全保护以及验证关联请求信息后生成关联响应; 步骤43]协调器将关联响应发送给设备;步骤44]设备通过协调器接入无线个域网。
5、 根据权利要求3所述的无线个域网接入方法,其特征在于 所述步骤12]中的协调器与设备关联过程具体如下步骤51]当设备和协调器经认证及会话密钥协商过程后获得设备与协调器之间的会话密钥时,设备向协调器发送关联请求,且设备利用该会话密钥对关联请求进行安全保护;歩骤52]协调器收到设备发送的关联请求后,对该关联请求进行解安全保 护以及验证关联请求信息后生成关联响应,且关联响应是使用设备与协调器之 间的会话密钥进行安全保护的关联响应;步骤53]协调器将关联响应发送给设备;步骤54]设备通过协调器接入无线个域网。
6、 根据权利要求4或5所述的无线个域网接入方法,其特征在于 所述的关联响应包括协调器分配给设备的网络地址或关联失败的原因。
7、 根据权利要求2所述的无线个域网接入方法,其特征在于 所述的认证过程中还包括以下步骤步骤71]定义设备和协调器在MAC层的认证原语;步骤72]将认证协议数据封装在MAC层的认证命令帧中传输。
8、 根据权利要求2所述的无线个域网接入方法,其特征在于所述的认证过程中还包括以下步骤歩骤81]定义设备和协调器在MAC层的非受控端口和受控端口; 歩骤82]将认证协议数据封装在MAC层的数据帧中传输。
9、 根据权利要求3所述的无线个域网接入方法,其特征在于 所述的会话密钥协商过程中还包括以下步骤歩骤91]定义设备和协调器在MAC层的会话密钥协商原语; 步骤92]将会话密钥协商协议数据封装在MAC层的会话密钥协商命令帧中传输。
10、 根据权利要求3所述的无线个域网接入方法,其特征在于 所述的会话密钥协商过程中还包括以下步骤步骤101]定义设备和协调器在MAC层的非受控端口和受控端口 ; 步骤102]将会话密钥协商协议数据封装在MAC层的数据帧中传输。
全文摘要
本发明涉及一种无线个域网接入方法。协调器广播信标帧后,设备根据信标帧识别协调器对设备的认证需求。若协调器对设备无认证需求,则设备与协调器直接进行关联过程;否则,设备选定一种协调器支持的认证及密钥管理套件向协调器发送接入请求,然后协调器根据设备选定的认证及密钥管理套件与该设备进行认证及会话密钥协商,认证及会话密钥协商过程可以基于原语,也可以基于端口控制,最后设备和协调器利用协商的会话密钥进行关联过程。若设备与协调器成功关联,则协调器给设备分配网络地址,从而设备和协调器可进行正常通信。其解决了现有无线个域网接入方法存在安全性较低和效率较低的技术问题。
文档编号H04L12/28GK101227362SQ20081001734
公开日2008年7月23日 申请日期2008年1月18日 优先权日2008年1月18日
发明者宋起柱, 张变玲, 军 曹, 秦志强, 肖跃雷, 赖晓龙, 黄振海 申请人:西安西电捷通无线网络通信有限公司