一种安全服务的控制方法及无线局域网终端的制作方法

专利名称：一种安全服务的控制方法及无线局域网终端的制作方法
技术领域：
本发明涉及通信领域，尤其涉及一种安全服务的控制方法及无线局域网 终端。
背景技术：
为了解决无线局域网国际标准ISO/IEC 8802-11中定义的WEP ( Wired Equivalent Privacy,有线等效隐私)安全机制存在的安全漏洞，中国颁布了 无线局域网国家标准及其第一号修改单，采用无线局域网认证与保密基础结
称为WAPI)替代WEP ，以解决无线局域网(Wireless Local Area Network, 简称为WLAN )的安全问题。
WAPI由无线局域网鉴别基础结构(WLAN Authentication Infrastructure, 简称为WAI)和无线局域网保密基础结构(WLAN Privacy Infrastructure，筒 称为WPI)组成。WAI采用了公开密钥加密技术，用于无线站点(STA，也 可称为终端)与接入点(Access Point,简称为AP)之间的互相身份鉴别； WPI采用国家密码管理委员会办公室批准的用于WLAN的对称密码算法实 现H据4呆护，对MAC ( Media Access Control,介质访问控制)子层的MPDU (MAC Protocol Data Unit, MAC协议数据单元)进行加、解密处理。
WAPI规范中介绍的基础结构包括了三个功能实体鉴别请求者实体 (Authentication Supplicant Entity,简称为ASUE )、鉴别器实体(Authenticator Entity,筒称为AE )和鉴别服务实体(Authentication Service Entity,简称为 ASE);其中-.
鉴别请求者实体(ASUE )是在接入服务之前请求进行鉴别操作的实体； 鉴别器实体(AE)是为鉴别请求者实体在接入服务之前提供鉴别操作的实体；该实体驻留在接入点或终端内；接入点是指任何一个具备站点功能， 通过无线网络为与其关联的终端提供访问分布式服务的实体；
鉴别服务实体(ASE)是为鉴别器实体和鉴别请求者实体提供身份鉴别 服务的实体，该实体驻留在鉴别服务单元(Authentication Service Unit,简 称为ASU)中；鉴别服务单元(ASU)的基本功能包括对用户证书的管理 和对用户身份的鉴别等，是基于公开密钥密码技术的WAI鉴别基础结构中 重要的组成部分；鉴别服务单元在网络中对应的节点为WAPI鉴别服务器。
上述用户证书为公开密钥证书，它是WAI系统体系结构中重要的环节。 公开密钥证书是网络用户的数字身份凭证，通过私有密钥验证可以唯一地确 定网络用户的身份。
支持WAPI功能的终端在完成WAI的鉴别后，通过无线局域网空口链 路，接入有线分组网络，随后终端与支持WAPI功能的接入点利用WAI过 程中协商出的单播密钥和协商好的对称密码算法，完成对各自的MPDU的 力口密和解密。以TCP/IP (Transfer Control Protocol/Internet Protocol,传输控 制协议/互联网协议)分层;f莫型考察终端侧的网络协议栈，802.11 d泉体访问 控制与其上层的802.2逻辑链路控制一起构成了数据链路层，如图l所示。
终端上的网络应用大多基于IP分组，IP层有自己的安全服务，各个网 络应用客户端可以利用IP层的安全服务与其应用服务器或与其交互的用户 的客户端完成对通讯数据的加密和完整性保护。对于无线接入链路上传输的 数据，在具备IP层或IP层以上(例如，应用层)的数据安全保护的前提下， 再对数据链路层的MPDU报文进行加密通常不能进一步增强业务数据的安 全性，并且需要消耗大量的计算资源。

发明内容
本发明所要解决的技术问题是，克服现有技术的不足，提供一种安全服 务的控制方法及无线局域网终端，以便在已启用IP层或IP层以上的凝:据安 全保护服务的情况下节省终端的计算资源。
为了解决上述问题，本发明提供一种安全服务的控制方法，该方法包括IP层和/或IP层以上的安全服务时，
停止该终端与接入点之间的无线局域网保密基础结构WPI服务；
所述WPI服务包括对待发送的数据链路层报文进行加密、以及对接 收到的数据链路层报文进行解密。
此外，所述WPI服务停止后，无线局域网终端在取消IP层和/或IP层 以上的安全服务时，通过与无线局域网的接入点依序完成解除关联、关联、 用户鉴别和密钥协商过程，并启用密钥协商过程协商得到的会话密钥来恢复 所述WPI服务。
此外，采用如下方式停止所述WPI服务
无线局域网终端与无线局域网的接入点解除关联，解除关联成功后与接 入点进行关联操作；
关联操作成功后，无线局域网终端与接入点进行用户鉴别过程；
用户鉴别过程完成并接收到接入点发送的单播密钥协商请求后，无线局 域网终端向接入点返回单播密钥协商失败响应；
无线局域网终端和接入点停止对两者之间传输的数据链路层报文进行 加解密处理。
此外，仅当创建所述IP层和/或IP层以上的安全服务的应用为无线局域 网终端中唯一使用无线局域网通信的应用、或除创建所述IP层和/或IP层以 上的安全服务的应用以外，无线局域网终端中所有使用无线局域网通信的应 用都已启用IP层和/或IP层以上的安全服务时，无线局域网终端才停止所述 WPI服务。
此外，无线局域网终端的安全控制才莫块接收到无线局域网终端的应用层 模块发送的创建所述IP层和/或IP层以上的安全服务的请求时，执行所述停 止WPI服务的操作；
所述WPI服务停止后，所述安全控制模块根据所述创建IP层和/或IP 层以上的安全服务的请求，为所述应用层模块创建并启用IP层和/或IP层以 上的安全服务。本发明还提供一种无线局域网终端，该终端中设置有应用层^f莫块、无 线局域网鉴别基础结构WAI模块和WPI模块；该终端中还设置有安全控 制模块；其中
所述安全控制模块用于接收所述应用层模块发送的创建IP层和/或IP层 以上的安全服务的请求，并在接收到该请求后，向所述WAI模块发送停止 WPI服务的指示；
所述WAI模块用于在接收到所述停止WPI服务的指示后，与无线局域 网的接入点依序完成解除关联、关联和用户鉴别过程，并在接收到所述接入 点发送的单播密钥协商请求后，向所述接入点返回单播密钥协商失败响应， 并指示所述WPI模块停止对数据链路层报文进行加解密处理，以停止与接 入点之间的WPI服务；
所述WPI服务包括对待发送的数据链路层报文进行加密、以及对接 收到的数据链路层报文进行解密。
此外，所述安全控制模块还用于在所述WPI服务停止后，接收所述应
到所述请求后，向所述WAI模块发送恢复WPI服务的指示；
所述WAI模块用于在接收到所述恢复WPI服务的指示后，与无线局域 网的接入点依序完成解除关联、关联和用户鉴别过程，并与所述接入点进行 密钥协商过程，密钥协商完成后，将协商得到的会话密钥发送给所述WPI 模块。
此外，接收到所述创建IP层和/或IP层以上的安全服务的请求后，所述 安全控制模块还判断除发送所述创建IP层和/或IP层以上的安全服务的请求 的应用层模块以外，该终端中是否存在使用无线局域网通信且未启用IP层 和/或IP层以上的安全服务的应用层模块，仅当判断结果为不存在时，才发 送所述停止WPI服务的指示。
此外，接收到所述创建IP层和/或IP层以上的安全服务的请求后，所述 安全控制模块还緩存该请求，并发送所述停止WPI服务的指示；
所述WAI模块还用于在所述WPI服务停止后，通知所述安全控制模块所述WPI服务已停止；
所述安全控制模块接收到所述通知后，根据所述緩存的请求为所述应用 层模块创建并启用所述IP层和/或IP层以上的安全服务。
此外，所述WAI模块通过向所述WPI模块发送空密钥来指示所述WPI 模块停止对数据链路层报文进行加解密处理。
终止WPI服务，节省了终端和接入点的计算资源，有利于在终端中运行实 时性要求较高的应用。


图1为802.11 J泉体访问控制与802.2逻辑《连路控制在TCP/IP分层沖莫型 中的位置示意图2是本发明实施例无线局域网终端上的安全模块、控制模块与其它 实体之间的层次与接口关系示意图3是根据本发明的安全服务控制方法，在无线局域网终端上停止WPI 服务的方法流程图4是控制模块根据安全特性信息判断是否可以停止WPI服务的方法 流程图5是根据本发明的安全服务控制方法，在无线局域网终端上恢复WPI 服务的方法流程图6是控制模块根据安全特性信息判断是否需要恢复WPI服务的方法 流程图7是本发明实施例无线局域网终端的结构示意图8是在本发明的无线局域网终端中，应用层模块通过调用安全控制模 块的接口实现数字签名的方法流程图9是在本发明的无线局域网终端中，应用层模块通过调用安全控制模块的接口实现数字签名验证的方法流程图。
具体实施例方式
由于在启用IP层和/或IP层以上的安全服务后，可以不要求进行数据链
路层的MPDU报文的加密，以节省终端与接入点上的计算资源，并有利于 实时性要求较高的应用部署，本发明在支持WAPI的无线局域网终端中对IP 层和/或IP层以上的安全服务的创建/取消请求进行检测，当检测到创建IP 层和/或IP层以上的安全服务的请求时，停止WPI服务，当检测到取消IP 层和/或IP层以上的安全服务的请求时，恢复WPI服务。
下面将结合附图和实施例对本发明进行详细描述。
图2是本发明实施例无线局域网终端上的新增的安全模块和控制模块 与其它模块/实体之间的层次与接口关系示意图。图2中与本发明直接相关 的模块/实体包括应用层，TCP/IP层，安全模块、控制模块、WAI模块、 WPI模块；下面将结合图2对上述模块和实体进行简要描述。
应用层用于为用户提供应用服务，包括基于无线局域网的应用服务；
TCP/IP层是实现TCP/IP协议的实体，并可为应用层创建IPSec(Internet Protocol Security ，互联网协议安全)服务，并向应用层提供使用IPSec服务 的接口；此夕卜，在本发明中IPSec服务的创建和取消由控制模块来控制完成， 因此TCP/IP层还为控制模块提供创建和取消IPSec服务的接口 ；
安全模块为应用层提供了 WAI鉴别服务与WPI数据保护服务接口 (统 称为WAPI服务接口 )，供应用层调用，以进行数据加解密、签名、签名验 证的操作；WAPI服务接口具体包括
WAI的散列计算功能与非对称密钥加密解密功能接口 ；
WPI的对称密钥加密解密功能和随机数生成功能接口 ；
联系人和终端用户的数字证书存储、获取和解析功能接口 。
控制模块为应用层提供IPSec创建和取消接口 ，供应用层调用，以创建 和取消IPSec服务；此外，控制模块还用于决定是否取消和恢复WPI服务；此外，控制4莫块还向应用层提供安全特性信息注册接口，以供应用层进
行安全特性信息的注册；
安全特征信息包括该应用模块/应用是否依赖WAPI提供的数据安全 服务(即WPI服务)；是否已启用IP层或IP层以上的安全服务并且该安全 服务可以取代WAPI提供的数据安全服务。
上述IP层或IP层以上的安全服务包括IPSec服务(运行于IP层的安 全服务)、传输层安全服务、应用层安全服务等。
上述模块/实体的具体功能以及连接关系(消息/命令交互关系)将在下 文中详细描述。
图3是根据本发明的安全服务控制方法，在无线局域网终端上停止WPI 服务的方法流程图，如图3所示，该方法包括
301:无线局域网终端的应用层模块请求创建IPSec服务，向无线局域 网终端的控制模块发送IPSec创建请求；
302:接收到IPSec创建请求后，控制模块緩存该请求；
303:控制模块根据当前所有应用层模块所注册的安全特性信息判断此 时是否可以停止WPI服务，如果不可以停止WPI服务，则执行步骤304, 否则执行步骤305;具体的判断流程如图4所示，判断策略包括
>如果发起IPSec创建请求的应用层模块为当前唯一使用无线局域网 进行通信的应用层模块，则控制模块判定可以停止WPI服务；
>如果当前有多个应用层模块使用无线局域网进行通信，除当前发起 IPSec创建请求的应用层模块外，其它应用层模块均已启用IP层或IP层以 上的安全服务(加密、加扰等)，无需WAPI提供数据链路层的安全服务， 则控制模块判定可以停止WPI服务；
>如果当前有多个应用层模块使用无线局域网进行通信，除当前发起 IPSec创建请求的应用层模块之外，存在至少一个应用层模块依赖于WAPI 提供的数据链路层安全服务，而没有启用其它安全服务，则控制模块判定不 可以停止WPI服务。304:如果控制模块判定不可以停止WPI服务，则立即执行IPSec服务 的创建操作，并在IPSec服务创建成功后向应用层模块返回包含成功信息的 响应，应用层模块可以启用IPSec服务进行数据传输保护，本流程结束；305:如果控制模块判定可以停止WPI服务，则向安全模块发起WPI 服务停止请求，指示当前无线链路上不需要WPI服务；306:接收到WPI服务停止请求后，安全模块停止本终端与接入点之间 的WPI服务；具体地说，安全模块可以通过控制WAI模块(例如，向WAI模块发送 WPI服务停止指令)进行如下操作来停止WPI服务306a:无线局域网终端的WAI模块与接入点解除关联；306b:解除关联操作成功后，WAI模块与接入点进行关联操作；306c:关联操作成功后，WAI才莫块与接入点进行基于证书或预共享密钥 的用户鉴别过程；306d:完成用户鉴别过程后，接入点发起单播密钥协商过程，向WAI 模块发送单播密钥协商请求；接收到该请求后，WAI模块向接入点返回单 播密钥协商失败响应；306e: WAI模块指示WPI模块停止对MPDU进行加解密处理；例如WAI模块可以向WPI模块传递一个空密钥值(例如，0) , WPI 才莫块接收到空密钥值后，不再对其发送的MPDU进行加密处理，也可以不 再对其接收到的MPDU进4亍解密处理(对已接收到的已加密的MPDU可以 直接丟弃，并向发送端(即接入点)报告数据错误)，WPI服务停止。当然， WAI模块也可以向WPI才莫块发送一个停止进行加解密处理的指示来停止 WPI服务。需要注意的是，对于已经完成用户鉴别过程的终端，在与该终端的单播 密钥协商过程失败后，接入点允许该终端接入，并允许其数据通过接入点的 受控端口传输，且接入点不对该受控端口进行基于对称密码算法的加密或解 密操作。306f: WAI模块通知安全^^块WPI服务已停止。307:安全模块在停止WPI服务之后，发送包含成功信息的响应给控制 模块，通知控制模块WPI服务已停止；308:控制模块确认WPI服务停止成功后，调用相关的IPSec接口创建 IPSec服务；IPSec服务创建成功后，安全模块通知应用层模块IPSec服务已 经成功创建，应用层模块可以启用IPSec服务进行数据传输保护，本流程结 束。图5是根据本发明的安全服务控制方法，在无线局域网终端上恢复WPI 服务的方法流程图，如图5所示，该方法包括501:无线局域网终端的应用层模块主动取消IPSec服务或接收到网络 对端发送的IPSec服务的取消通知时，应用层模块向控制模块发送IPSec取 消请求；502:接收到IPSec取消请求后，控制模块根据当前各应用层模块所注 册的安全特性信息判断是否需要恢复WPI服务，如果不需要恢复WPI服务， 则跳转至步骤506;否则执行步骤503;进行上述判断的具体流程如图6所示，判断策略包括>如果当前已启用WPI服务，则不需要执行恢复操作；>如果当前发起IPSec取消请求的应用层模块为当前唯一使用无线局 域网进行通信的应用层模块，则控制模块判定可以恢复WPI服务(这是由 于在这种情况下恢复WPI服务不会对应用层模块的通信造成影响)；>如果当前有多个应用层模块使用无线局域网进行通信，并且除了当 前发起IPSec取消请求的应用层模块以外，其它应用层模块均已启用IP层 或IP层以上的安全服务进行数据安全保护，则控制模块判定无需恢复WPI 服务，否则需要恢复WPI服务。503:如果控制模块判定需要恢复WPI服务，则向安全模块发起WPI 服务恢复请求，指示当前链路需要WPI服务；504:接收到WPI服务恢复请求后，安全模块恢复WPI服务；具体地说，安全模块可以通过控制WAI模块(例如，向WAI模块发送 WPI服务恢复指令)进行如下操作以恢复WPI服务504a: WAI模块与接入点解除关联；504b:解除关联操作成功后，WAI模块与接入点进行关联操作；504c:关联操作成功后，WAI模块与接入点进行基于证书或预共享密钥 的用户鉴别过程；504d:完成用户鉴别过程后，接入点发起单播密钥协商过程，WAI模 块按照标准流程与接入点完成单播会话密钥的协商(其中，在接收到接入点 发送的单播密钥协商请求后，需要向接入点返回单播密钥协商成功响应)； 如果需要，完成单播密钥协商过程后，WAI模块还与接入点按照标准流程 完成组播密钥协商过程；504e:成功完成单播密钥协商过程和组播密钥协商过程后，WAI;溪块向 WPI模块传递协商得到的单播会话密钥和组播会话密钥；WPI模块使用单播 会话密钥对准备发送和已接收到的MPDU进行加解密处理，使用组播会话 密钥对已接收到的MPDU进行解密处理；需要注意的是，接入点此时允许该终端对应的数据通过受控端口 ，并对 发送给该终端或从该终端接收到的MPDU进行基于对称密码算法的加解密 操作。504f: WAI模块通知安全模块WPI服务已恢复。505: WPI服务恢复成功后，安全模块向控制模块发送包含成功信息的 响应；506:控制模块调用相关的IPSec接口取消IPSec服务；IPSec服务取消 成功后，安全模块通知应用层模块IPSec服务已经成功取消。需要注意的是，控制模块也可以在接收到应用层模块发送的IPSec取消 请求后，先执行取消IPSec服务的"t喿作，然后在执行判断是否需要恢复WPI 服务等后续步骤。根据本发明的基本原理，上述实施例还可以有多种变换方式，例如( 一 )在无线局域网终端上，可以将安全模块和控制模块合并成一个模 块，称为安全控制模块。(二 )在上述实施例中，由控制模块向应用层模块提供创建/取消IPSec 服务请求的接口 ，以便在接收到上述请求后获知应用层模块准备创建/取消 IP层的安全服务，并执行停止/恢复WPI服务的操作；在本发明的其它实施 例中，控制模块也可以通过拦截并检测TCP/IP模块的协议报文来获知各应 用层模块何时创建/取消IP层的安全服务，并进行后续的处理；对TCP/IP 模块的具体拦截和检测方法不属于本发明的范畴，可以参考相关文档。此外，也可以直接对TCP/IP模块进行修改，使TCP/IP模块接收到应用 层模块或网络对端发送的与创建IPSec服务、取消IPSec服务相关的协议报 文时，通知控制模块，等待控制模块的进一步指示后再进行后续处理。(三) 除了在创建并启用应用层的安全服务和IP层的安全服务后可以 停止WPI服务外，创建并启用任何IP层以上的安全服务，例如SSL ( Secure Socket Layer,安全套接字层协议)服务、TLS ( Transport Layer Security,传 输层安全)服务、SSH( Secure Shell,安全外壳)服务，SOCKS( socket security, 套接字安全)等服务对业务(应用)数据进行保护后，都可以采用本发明的 方法停止WPI服务。同样，控制模块也可以通过拦截并检测相应的功能实体(例如，SSL功 能实体、TLS功能实体等)的协议报文来获知各功能实体何时创建/取消对 应的安全服务，并进行后续的处理；也可以直接对各功能实体的代码进行修 改，使各功能实体在建立/取消安全服务时，通知控制模块，等待控制模块 的进一步指示后再进行后续处理。(四) 除了本发明上述实施例所描述的停止WPI服务的方法外，也可 以采用其它方式停止WPI服务，例如安全模块直接向WPI模块发出停止 服务的指示，WPI模块在接收到该指示后，停止对其发送的MPDU进行加 密(但仍然需要对接收到的MPDU进行解密，或丢弃已加密的MPDU ), 同时在MPDU的WPI头中添加明文传输"标识，以标识出该MPDU未进4亍加 密；在这种情况下，接入点需要支持相应的功能，即通过检测WPI头来判密则不对其进行解密处理。此后，文传输标识，以指示终端的wpi模块该mpdu没有进行加密。图7是本发明实施例无线局域网终端的结构示意图，图7中将图2所示 的安全模块和控制模块合并为安全控制模块，并省略了与本发明没有直接关 系的各功能实体；如图7所示，该终端中设置有应用层模块、安全控制模 块、wai模块、wpi模块和安全服务模块；其中安全控制模块用于接收应用层模块发送的创建ip层和/或ip层以上的安 全服务的请求，并在接收到该请求后，向wai模块发送停止wpi服务的指 示；wai模块用于在接收到停止wpi服务的指示后，与无线局域网的接入 点交互，依序完成解除关联、关联和用户鉴别过程，并在接收到接入点发送 的单播密钥协商请求后，向接入点返回单播密钥协商失败响应，并指示wpi 才莫块停止对数据《连路层才艮文进行加解密处理，以停止与4妄入点之间的wpi 服务。此外，安全控制模块还在wpi服务停止后，接收应用层模块发送的取 消ip层和/或ip层以上的安全服务的请求，并在接收到该请求后，向wai 模块发送恢复wpi服务的指示；wai模块在接收到所述恢复wpi服务的指示后，与接入点交互，依序 完成解除关联、关联和用户鉴别过程，并与接入点进行密钥协商过程，密钥 协商完成后，将协商得到的会话密钥发送给wpi模块，以恢复wpi服务。此外，如上所述，安全控制模块还向应用层;f莫块提供安全特性信息注册 接口，以供应用层进行安全特性信息的注册；安全特征信息包括该应用模 块/应用是否依赖wapi提供的数据安全服务(即wpi服务)；是否存在ip接收到所述创建ip层和/或ip层以上的安全服务的请求后，安全控制模 块还根据注册的安全特征信息判断除发送所述创建ip层和/或ip层以上的安全服务的请求的应用层模块以外，该终端中是否存在使用无线局域网通信且 未启用IP层和/或IP层以上的安全服务的应用层模块，仅当判断结果为不存 在时，才发送所述停止WPI服务的指示。图7中的安全服务模块可以是IPSec服务模块，该模块与应用层模块相 连，在安全服务被成功创建后为应用层模块提供安全服务(加密、解密、加 扰、解扰等)，与安全控制模块相连，接收安全控制模块发送的创建/取消 安全服务的连接指示，并根据该指示为应用层模块创建或取消安全服务。当然，安全服务模块也可以存在于其它功能实体(例如，图2中的TCP/IP 层)中，而不以独立功能模块的形式设置在终端中。以上为本发明的无线局域网终端中与安全服务的控制相关的功能模块 的描述，具体的实现方法可参考对图3和图5的描述部分。下面将介绍本发 明的安全控制模块向应用层提供的WAPI服务接口 ，以及具体的实现方法。图8是在本发明的无线局域网终端中，应用层;^莫块通过调用安全控制沖莫 块的接口实现数字签名的方法流程图，如图8所示，该方法包括801:应用层调用安全控制模块的WAPI服务接口，请求安全控制模块 进行签名生成操作，并将需要生成签名值的明文数据(例如，用户标识符等 信息)发送给安全控制模块；802:安全控制模块将上述明文数据输出至WAI模块，指示WAI模块 进行签名运算；803: WAI模块生成所述明文数据的散列值(哈希值)，并使用用户的 私钥，采用非对称加密算法对上述散列值进行加密，生成签名值；804: WAI模块将生成的签名值返回给安全控制模块；805:安全控制模块将签名值返回给应用层模块。图9是在本发明的无线局域网终端中，应用层模块通过调用安全控制模 块的接口实现数字签名验证的方法流程图，如图9所示，该方法包括901:应用层调用安全控制模块的WAPI服务接口，请求安全控制模块 进行签名验证操作，并将需要验证的签名值、明文数据和用户证书ID(标识符)发送给安全控制模块；902:安全控制模块根据用户证书ID从本地获取或通过证书管理体系的 网络接口从证书服务器获取对应的用户证书，并从该证书中4是取对应的/> 钥；903:安全控制模块将公钥和上述需要验证的签名值发送给WAI模块， 请求WAI模块对签名值进行解密；904: WAI模块使用所述公钥对签名值进行解密，得到签名值对应的明 文，并将其返回给安全控制模块；905:安全控制模块将WAI模块返回的签名值对应的明文与应用层模块 发送的明文数据进行对比，如果两者相同，则表示签名正确，否则表示签名 错误；906:安全控制模块将签名验证结果返回给应用层模块。
权利要求
1、一种安全服务的控制方法，其特征在于，该方法包括无线局域网终端在创建互联网协议IP层和/或IP层以上的安全服务时，停止该终端与接入点之间的无线局域网保密基础结构WPI服务；所述WPI服务包括对待发送的数据链路层报文进行加密、以及对接收到的数据链路层报文进行解密。
2、 如权利要求l所述的方法，其特征在于，所述WPI服务停止后，无线局域网终端在取消IP层和/或IP层以上的 安全服务时，通过与无线局域网的接入点依序完成解除关联、关联、用户鉴 别和密钥协商过程，并启用密钥协商过程协商得到的会话密钥来恢复所述 WPI服务。
3、 如;f又利要求1所述的方法，其特征在于， 采用如下方式停止所述WPI服务无线局域网终端与无线局域网的接入点解除关联，解除关联成功后与接 入点进行关联操作；关联操作成功后，无线局域网终端与接入点进行用户鉴别过程；用户鉴别过程完成并接收到接入点发送的单播密钥协商请求后，无线局 域网终端向接入点返回单播密钥协商失败响应；无线局域网终端和接入点停止对两者之间传输的数据链路层报文进4亍 加解密处理。
4、 如权利要求l所述的方法，其特征在于，仅当创建所述IP层和/或IP层以上的安全服务的应用为无线局域网终端 中唯一使用无线局域网通信的应用、或除创建所述IP层和/或IP层以上的安 全服务的应用以外，无线局域网终端中所有使用无线局域网通信的应用都已 启用IP层和/或IP层以上的安全服务时，无线局域网终端才停止所述WPI 服务。
5、 如权利要求l所述的方法，其特征在于，无线局域网终端的安全控制模块接收到无线局域网终端的应用层模块 发送的创建所述IP层和/或IP层以上的安全服务的请求时，执行所述停止WPI服务的操作；所述WPI服务停止后，所述安全控制模块#4居所述创建IP层和/或IP层以上的安全服务的请求，为所述应用层模块创建并启用IP层和/或IP层以 上的安全服务。
6、 一种无线局域网终端，该终端中设置有应用层模块、无线局域网 鉴别基础结构WAI模块和WPI模块；其特征在于，该终端中还设置有安 全控制才莫块；其中所述安全控制模块用于接收所述应用层模块发送的创建IP层和/或IP层 以上的安全服务的请求，并在接收到该请求后，向所述WAI模块发送停止 WPI服务的指示；所述WAI模块用于在接收到所述停止WPI服务的指示后，与无线局域 网的接入点依序完成解除关联、关联和用户鉴别过程，并在接收到所述接入 点发送的单播密钥协商请求后，向所述接入点返回单播密钥协商失败响应， 并指示所述WPI模块停止对数据链路层报文进行加解密处理，以停止与接 入点之间的WPI服务；所述WPI服务包括对待发送的数据链路层报文进行加密、以及对接 收到的数据链路层报文进行解密。
7、 如权利要求6所述的终端，其特征在于，所述安全控制模块还用于在所述WPI服务停止后，接收所述应用层模 块发送的取消所述IP层和/或IP层以上的安全服务的请求，并在接收到所述 请求后，向所述WAI模块发送恢复WPI服务的指示；所述WAI模块用于在接收到所述恢复WPI服务的指示后，与无线局域 网的接入点依序完成解除关联、关联和用户鉴别过程，并与所述接入点进行 密钥协商过程，密钥协商完成后，将协商得到的会话密钥发送给所述WPI模块。
8、 如权利要求6所述的终端，其特征在于，接收到所述创建IP层和/或IP层以上的安全服务的请求后，所述安全控 制模块还判断除发送所述创建IP层和/或IP层以上的安全服务的请求的应用 层模块以外，该终端中是否存在使用无线局域网通信且未启用IP层和/或IP 层以上的安全服务的应用层模块，仅当判断结果为不存在时，才发送所述停 止WPI服务的指示。
9、 如权利要求6所述的终端，其特征在于，接收到所述创建IP层和/或IP层以上的安全服务的请求后，所述安全控 制模块还緩存该请求，并发送所述停止WPI服务的指示；所述WAI模块还用于在所述WPI服务停止后，通知所述安全控制模块 所述WPI服务已停止；所述安全控制模块接收到所述通知后，根据所述緩存的请求为所述应用 层模块创建并启用所述IP层和/或IP层以上的安全服务。
10、 如权利要求6所述的终端，其特征在于，所述WAI模块通过向所述WPI模块发送空密钥来指示所述WPI模块停 止对数据链路层报文进行加解密处理。
全文摘要
一种安全服务的控制方法及无线局域网终端，该方法包括无线局域网终端在创建互联网协议IP层和/或IP层以上的安全服务时，停止该终端与接入点之间的无线局域网保密基础结构WPI服务；所述WPI服务包括对待发送的数据链路层报文进行加密、以及对接收到的数据链路层报文进行解密。所述WPI服务停止后，无线局域网终端在取消IP层和/或IP层以上的安全服务时，通过与无线局域网的接入点依序完成解除关联、关联、用户鉴别和密钥协商过程，并启用密钥协商过程协商得到的会话密钥来恢复所述WPI服务。
文档编号H04W88/02GK101600203SQ20091015075
公开日2009年12月9日 申请日期2009年6月30日 优先权日2009年6月30日
发明者康望星, 施元庆, 梁洁辉 申请人:中兴通讯股份有限公司