专利名称:无线局域网中预鉴别方法和系统的制作方法
技术领域:
本发明涉及无线局域网(Wireless Local Area Networks,简称WLAN), 尤其涉及一种无线局域网中预鉴别方法和系统。
背景技术:
无线局域网作为宽带无线IP (InternetProtocol,因特网协议)网络的一 种典型的实现形式,是指采用无线传输媒介的计算机局域网络,它能在难以 布线的区域进行通信,是传统有线局域网的重要补充。无线局域网技术是计 算机网络技术与无线通信技术相结合的产物,具有支持移动计算、架构灵活 快捷、维护所需费用较低和可扩展性好等优点,为通信的移动化和个人化提 供了手段。
随着全球信息化的逐步深入,网络安全的重要性越来越明显,因为信息
均将网络信息安全提升至国家安全战略的位置。
现有技术中的WAPI ( WLAN Authentication and Privacy Infrastructure, 无线局域网鉴别与保密基础结构)是一种提高无线局域网的安全性的机制。 WAPI将基于三元对等鉴别的访问控制方法应用于无线局域网技术领域,以 保障合法客户端通过合法接入点接入网络,并实现客户端和接入点间的保密 通信。
WAPI由无线局i或网鉴别基础结构(WLAN Authentication Infrastructure, WAI)和无线局域网保密基础结构(WLAN Privacy Infrastructure, WPI)两
部分组成。
WAI是实现无线局域网中的身份鉴别和密钥管理的安全方案,用于完 成STA ( STAtion,无线站点)和AP ( Access Point,接入点)之间、STA和STA之间的双向身份鉴别,并协商建立安全关联。WPI是用于实现无线 局域网中数据传输保护的安全方案,包括使用WAI过程中协商出的各密钥 进行数据加密、数据鉴别和重放保护等功能。
其中,WAPI中的安全关联包含
> BKSA ( Base Key Security Association,基密钥安全关联)是证书鉴 别过程协商的结果、或通过预共享密钥(PSK)导出的结果;其中包含BK
(基密钥)、BK/BKSA的生存期等参数;
> USKSA (单播密钥安全关联)是单播密钥协商(基于BK协商)的 结果;其中包含USK (单播密钥)、USK/USKSA的生存期等参数;
> MSKSA (组播会话密钥安全关联)是组播密钥通告的结果;其中 包含MSK (组播会话密钥)、MSK/MSKSA的生存期等参数;
> STAKeySA (站间密钥安全关联)是站间密钥通告的结果,其中包 含STAKey (站间密钥)等参数。
其中,若目的AP支持预鉴别,STA可以通过当前关联的AP和目的 AP进行预鉴别,但现有技术中缺少具体的预鉴别方法。
发明内容
本发明要解决的技术问题是提供一种无线局域网中预鉴别方法和系统, 减少STA接入时间。
为了解决上述问题,本发明提供了一种无线局域网中预鉴别方法,包括, 站点通过关联接入点转发一预鉴别开始分组给目的接入点,请求开始预鉴 别;目的接入点收到该预鉴别开始分组后,向该站点发出鉴别激活分组,开 始证书鉴别过程,站点和该目的接入点间建立并緩存基密钥安全关联。
进一步地,上述方法还可具有以下特点,所述站点在所述目的4妄入点的 信号范围外时,由所述关联接入点转发所述目的接入点与所述站点在证书鉴 别过程中交互的消息。
进一步地,上述方法还可具有以下特点,所述方法还包括,所述站点在 发送预鉴别开始分组前,通过关联接入点发送探询请求分组给目的接入点,根据目的接入点返回的探询响应分组获取目的接入点的预鉴别能力信息,当 所述目的接入点支持预鉴别时,才发送所述预鉴别开始分组给目的接入点。
进一步地,上述方法还可具有以下特点,所述方法还包括,所述关联^妄 入点在转发所述预鉴别开始分组前,发送一探询请求分组给目的接入点,根 据目的接入点返回的探询响应分组获取目的接入点的预鉴别能力信息,当所 述目的接入点支持预鉴别时,才转发所述预鉴别开始分组给目的接入点。
进一步地,上述方法还可具有以下特点,所述方法还包括,所述关联接
入点进行是否支持预鉴别的广播,保存各接入点返回的预鉴别能力信息;所
述关联接入点在转发所述预鉴别开始分组前,根据保存的各接入点的预鉴别 能力信息判断所述目的接入点支持预鉴別时,才转发所述预鉴别开始分组给 目的接入点。
本发明还提供一种无线局域网中预鉴别系统,包括站点、关联接入点和
目的接入点,其中
站点,用于通过关联接入点转发一预鉴别开始分组给目的接入点,请求 开始预鉴别;还用于和目的接入点进行证书鉴别过程,建立并緩存基密钥安 全关联;
关联接入点,用于转发预鉴别开始分组给目的接入点;
目的接入点,用于收到预鉴别开始分组后,向站点发出鉴别激活分组, 开始证书鉴别过程,站点和该目的接入点间建立并緩存基密钥安全关联。
进一步地,上述系统还可具有以下特点,所述关4关接入点,还用于所述 站点在所述目的接入点的信号范围外时,转发目的接入点与所述站点进行证 书鉴别过程中交互的消息。
进一步地,上述系统还可具有以下特点,所述站点包括预鉴别能力获取 单元和预鉴别开始单元,其中
所述预鉴别能力获取单元,用于通过关联接入点发送#:询请求分组给目 的接入点,根据目的接入点返回的探询响应分组获取目的接入点的预鉴别能 力信息;所述预鉴别开始单元,用于在所述预鉴别能力获取单元获知所述目的接 入点支持预鉴别时,才发送所述预鉴别开始分组给目的接入点。
进一步地,上述系统还可具有以下特点,所述关联接入点还包括判断预
鉴别能力获取单元和转发单元,其中
所述预鉴别能力获取单元,用于发送一探询请求分组给目的接入点,根
据目的接入点返回的探询响应分组获取目的接入点的预鉴别能力信息;
所述转发单元,用于当所述预鉴别能力获取单元获知目的接入点支持预 鉴别时,才转发所述预鉴别开始分组给目的接入点。
进一步地,上述系统还可具有以下特点,所述关联接入点还包括预鉴别 能力获取单元和转发单元,其中
所述预鉴别能力获取单元,用于进行是否支持预鉴别的广播,保存各接 入点返回的预鉴别能力信息;
所述转发单元,用于根据所述预鉴别能力获取单元保存的给接入点的预 鉴别能力信息判断目的接入点是否支持预鉴别,当所述目的接入点支持预鉴 别时,才转发所述预鉴别开始分组给目的接入点。
本发明提供的预鉴别方法和系统,实现了 STA在关联前和目的AP进行 关联,减少了STA的接入时间。
图1是本发明实施例一预鉴别方法流程图; 图2是本发明实施例二预鉴别方法流程图。
具体实施例方式
如图1所示,为本发明实施例一预鉴别方法流程图,STA已和关联AP 完成了 BKSA和USKSA的建立,STA需要和目的AP进行预鉴别,具体包 括
步骤IOI, STA开始预鉴别过程,发送预鉴别开始分组给关联AP,关联AP将其转发给目的AP;
预鉴别开始分组中包含标识FLAG字段、USKID字段、ADDID字段、 重放计数器和消息鉴别码。其中标识FLAG字段的预鉴别标识比特值为1, ADDID字段的值为发起方STA的MAC地址||目的AP的MAC地址;其中 "||"为链接操作。
关联AP收到预鉴别开始分组后,还需要检查重放计数器和消息鉴别码 是否有效,如果有效,才转发预鉴别开始分组给目的AP。
步骤102,目的AP收到预鉴别开始分组后,发送鉴别激活分组给STA, 开始WAI的证书鉴别过程。
其中,目的AP根据预鉴别开始分组中的ADDID字段向相应的STA发 出鉴别激活分组。
鉴别激活分组中包含标识字段、鉴别标识字段、本地ASU的身份字段、 ECDH参数字段,其中,标识字段的预鉴别标识比特值为1。
步骤103, STA发送接入鉴别请求分组给关联AP,关联AP将其转发给 目的AP;
步骤104,目的AP发送证书鉴别请求分组给ASU;
步骤105, ASU发送证书鉴别响应分组给目的AP;
步骤106,目的AP发送接入鉴别响应分组给关联AP,关联AP将其转 发给STA。
至此,预鉴别过程完成,STA和目的AP之间建立BKSA并緩存该BKSA。 当STA与预鉴别过的AP进行关联后,可以利用该已緩存的BKSA进行 单播密钥协商和组播密钥通告过程。
图2是本发明实施例二 STA在目的AP信号范围外时预鉴别流程图,目 的AP和STA之间的消息由关联AP进行转发,具体包括
步骤201, STA开始预鉴别过程,发送预鉴别开始分组给关联AP,关 联AP将其转发给目的AP;
8预鉴别开始分组中包含标识FLAG字段、USKID字段、ADDID字段、 重放计数器和消息鉴别码。其中标识FLAG字段的预鉴别标识比特值为1, ADDID字段的值为发起方STA的MAC地址||目的AP的MAC地址;其中
"||"为链接操作。
关联AP收到预鉴别开始分组后,还需要检查重放计数器和消息鉴别码 是否有效,如果有效,才转发预鉴别开始分组给目的AP。
步骤202,目的AP收到预鉴别开始分组后,发送鉴别激活分组给STA, 开始WAI的证书鉴别过程。
其中,目的AP根据预鉴别开始分组中的ADDID字段向相应的STA发 出鉴别激活分组。
鉴别激活分组中包含标识字段、鉴别标识字段、本地ASU的身份字段、 ECDH参数字段,其中,标识字段的预鉴别标识比特值为1;
步骤203, STA发送接入鉴别请求分组给关联AP,关联AP将其转发给 目的AP;
步骤204,目的AP发送证书鉴别请求分组给ASU;
步骤205, ASU发送证书鉴别响应分组给目的AP;
步骤206,目的AP发送接入鉴别响应分组给关联AP,关联AP将其转 发给STA。
在本发明另一实施例中,步骤101或步骤201之前还包括如下步骤
a) STA发送探询请求分组给关联AP,探询目的AP的预鉴别能力信息, 关联AP将其转发给目的AP;
b) 目的AP发送探询响应分组给STA,或者,通过关联AP转发该探询 响应分组给STA;
c) STA根据该探询响应分组,判断目的AP是否支持预鉴别,如果支 持,则执行步骤101或步骤201,否则,结束。本发明又一实施例中,步骤101或者步骤201中,关联AP收到预鉴别 开始分组后,首先发送探询请求分组给目的AP,根据目的AP返回的探询 响应分组判断目的AP是否支持预鉴别,如果支持,关联AP才转发该预鉴 别开始分组给目的AP,否则,发送一响应分组《会STA,告知STA目的AP 不支持预鉴别。
在本发明再一实施例中,步骤101和步骤201之前还包括,关联AP进 行是否支持预鉴别的广播;关联AP保存各AP返回的预鉴别能力信息,步 骤101或201中,关联AP收到STA的预鉴别开始分组后,首先根据保存的 各AP的预鉴别能力信息判断目的AP是否支持预鉴别,如果支持,才转发 预鉴别开始分组给目的AP,否则,发送一响应分组给STA,告知STA目的 AP不支持预鉴别。
本发明还提供一种无线局域网中预鉴别系统,包括站点、关联接入点和 目的4妄入点,其中
站点,用于通过关联接入点转发一预鉴别开始分组给目的接入点,请求 开始预鉴别;还用于和目的接入点进行证书鉴别过程,建立并緩存基密钥安 全关联;
关联接入点,用于转发预鉴别开始分组给目的接入点;还用于站点在所 述目的接入点的信号范围外时,转发目的接入点与所述站点进行证书鉴别过 程中交互的消息。
目的接入点,用于收到预鉴别开始分组后,向站点发出鉴别激活分组, 开始证书鉴别过程,站点和该目的接入点间建立并緩存基密钥安全关联。
进一步地,站点包括预鉴别能力获取单元和预鉴别开始单元,其中
所述预鉴别能力获取单元,用于通过关联接入点发送探询请求分组给目 的接入点,根据目的接入点返回的探询响应分组获取目的接入点的预鉴别能 力信息;所述预鉴别开始单元,用于在所述预鉴别能力获取单元获知所述目的冲妄 入点支持预鉴别时,才发送所述预鉴别开始分组给目的接入点。
进一 步地,所述关联接入点还包括判断预鉴别能力获取单元和转发单 元,其中
所述预鉴别能力获取单元,用于发送一探询请求分组给目的接入点,根
据目的接入点返回的探询响应分组获取目的接入点的预鉴别能力信息;
所述转发单元,用于当所述预鉴別能力获取单元获知目的接入点支持预 鉴别时,才转发所述预鉴别开始分组给目的接入点。
或者,所述关联接入点还包括预鉴别能力获取单元和转发单元,其中
所述预鉴别能力获取单元,用于进行是否支持预鉴别的广播,保存各接 入点返回的预鉴别能力信息;
所述转发单元,用于根据所述预鉴别能力获取单元保存的各接入点的预 鉴别能力信息判断目的接入点是否支持预鉴别,当所述目的接入点支持预鉴 别时,才转发所述预鉴别开始分组给目的接入点。
权利要求
1、一种无线局域网中预鉴别方法,其特征在于,包括,站点通过关联接入点转发一预鉴别开始分组给目的接入点,请求开始预鉴别;目的接入点收到该预鉴别开始分组后,向该站点发出鉴别激活分组,开始证书鉴别过程,站点和该目的接入点间建立并缓存基密钥安全关联。
2、 如权利要求l所述的方法,其特征在于,所述站点在所述目的接入 点的信号范围外时,由所述关联接入点转发所述目的接入点与所述站点在证 书鉴别过程中交互的消息。
3、 如权利要求1所述的方法,其特征在于,所述方法还包括,所述站 点在发送预鉴别开始分组前,通过关联接入点发送探询请求分组给目的接入 点,根据目的接入点返回的探询响应分组获取目的接入点的预鉴别能力信 息,当所述目的接入点支持预鉴别时,才发送所述预鉴别开始分组给目的接 入点。
4、 如权利要求1所述的方法,其特征在于,所述方法还包括,所述关 联接入点在转发所述预鉴别开始分组前,发送一探询请求分组给目的接入 点,根据目的接入点返回的探询响应分组获取目的接入点的预鉴别能力信 息,当所述目的接入点支持预鉴别时,才转发所述预鉴别开始分组给目的接 入点。
5、 如权利要求1所述的方法,其特征在于,所述方法还包括,所述关 联接入点进行是否支持预鉴别的广播,保存各接入点返回的预鉴别能力信 息;所述关联接入点在转发所述预鉴别开始分组前,根据保存的各接入点的 预鉴别能力信息判断所述目的接入点支持预鉴别时,才转发所述预鉴别开始 分组给目的接入点。
6、 一种无线局域网中预鉴别系统,其特征在于,包括站点、关联接入 点和目的接入点,其中站点,用于通过关联接入点转发一预鉴别开始分组给目的接入点,请求 开始预鉴别;还用于和目的接入点进行证书鉴别过程,建立并緩存基密钥安 全关联;关联接入点,用于转发预鉴别开始分组给目的接入点;目的接入点,用于收到预鉴别开始分组后,向站点发出鉴别激活分组, 开始证书鉴别过程,站点和该目的接入点间建立并緩存基密钥安全关联。
7、 如权利要求6所述的系统,其特征在于,所述关联接入点,还用于 所述站点在所述目的接入点的信号范围外时,转发目的接入点与所述站点进 行证书鉴别过程中交互的消息。
8、 如权利要求6所述的系统,其特征在于,所述站点包括预鉴别能力 获取单元和预鉴别开始单元,其中所述预鉴别能力获取单元,用于通过关联接入点发送探询请求分组给目 的接入点,根据目的接入点返回的探询响应分组获取目的接入点的预鉴别能 力信息;所述预鉴别开始单元,用于在所述预鉴别能力获取单元获知所述目的接 入点支持预鉴别时,才发送所述预鉴别开始分组给目的接入点。
9、 如权利要求6所述的系统,其特征在于,所述关联接入点还包括判 断预鉴别能力获取单元和转发单元,其中所述预鉴别能力获取单元,用于发送一探询请求分组给目的接入点,根 据目的接入点返回的探询响应分组获取目的接入点的预鉴别能力信息;所述转发单元,用于当所述预鉴别能力获取单元获知目的接入点支持预 鉴别时,才转发所述预鉴别开始分组给目的接入点。
10、 如权利要求6所述的系统,其特征在于,所述关联接入点还包括预 鉴别能力获取单元和转发单元,其中所述预鉴别能力获取单元,用于进行是否支持预鉴别的广播,保存各接 入点返回的预鉴别能力信息;所述转发单元,用于根据所述预鉴别能力获取单元保存的各接入点的预 鉴别能力信息判断目的接入点是否支持预鉴别,当所述目的接入点支持预鉴 别时,才转发所述预鉴别开始分组给目的接入点。
全文摘要
本发明提供了一种无线局域网中预鉴别方法,包括,站点通过关联接入点转发一预鉴别开始分组给目的接入点,请求开始预鉴别;目的接入点收到该预鉴别开始分组后,向该站点发出鉴别激活分组,开始证书鉴别过程,站点和该目的接入点间建立并缓存基密钥安全关联。本发明还提供了一种无线局域网中预鉴别系统。本发明提供的预鉴别方法,减少了站点接入时间。
文档编号H04W84/02GK101568117SQ20091014294
公开日2009年10月28日 申请日期2009年5月14日 优先权日2009年5月14日
发明者建 刘 申请人:建 刘