专利名称:发送消息的方法、建立安全连接的方法、接入点和工作站的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种发送消息的方法、建立安全连接的方法、接入点和工作站。
背景技术:
美国电气电子工程师学会(IEEE) 802.11是第一代无线局域网(Wireless LocalArea Networks,即WLAN)标准之一。该标准定义了物理层和媒体访问控制(MAC)协议的规范,允许无线局域网及无线设备制造商在一定范围内建立互操作网络设备。经过二十年的发展,IEEE 802.1lWLAN标准工作组发展完善了一系列标准家族,其中具有较大影响力以及应用较为广泛的是802.1la,802.1lb,802.Hg,802.1ln等标准。与IEEE 802.11相对应的无线保真(W1-Fi)联盟是1999年成立的非营利性国际组织,用来检验以IEEE 802.11规格为基础的WLAN产品的互操作性。W1-Fi联盟成员的目标是通过产品的互操作性来提高使用者的经验。如图1所示,一个 ffiEE 802.11网络包括:工作站(Station,STA)和无线接入点(Access Point, AP) 其中,STA是任何具备IEEE 802.11的MAC层和物理(PHY)层接口的设备,通常由一台PC机或笔记本计算机加上一块无线网卡构成,此外无线的终端还可以是非计算机终端上的能提供无线连接的嵌入式设备(例如具备WLAN功能的智能终端)。AP可以看成是一个无线的Hub,用于提供STA和现有骨干网络(有线或无线的)之间的桥接。一个AP和在其覆盖范围的一个或多个STA组成一个基本服务集(Basic Service Set,即BSS)。BSS通过基本服务集标识(BSSID)来进行唯一标识,BSSID即是AP的MAC地址。终端在一个BSS内可以互相通信。采用相同的服务集标识(SSID)的多个BSS形成的更大规模的虚拟BSS,则定义为扩展服务集(Extended Service Set,即ESS)。终端在同一 ESS内可以通信并且可以在下属的多个BSS间移动。在ESS内连接多个BSS的网络以及有线网络称为分布式系统(Distribution System,即DS)。DS可以采用无线或有线技术,通常采用以太网技术。为了完成认证以及IP地址分配功能,WLAN网络还包括认证服务器(Authentication Server, AS)和动态主机配置协议(Dynamic Host Configurationprotocol Server,DHCP)服务器,如图2所示。AS是为STA提供认证服务的实体,仅有通过认证的STA才能被授权接入802.11网络。AS也可以嵌入在AP中。DHCP服务器则为STA分配IP地址。STA通过该WLAN网络可以接入Internet。如图3所示,为IEEE 802.1li所引入的安全的密钥体系架构,其中,成对主密钥(Pairwise Master Key,PMK)是STA和AS在扩展认证协议(EAP)认证过程中各自生成的密钥,长度为256位。成对临时密钥(Pair Transient Key,PTK)是STA和AP分别根据PMK,以及STA生成的随机数(SNonce)和AP生成的随机数(ANonce),各自推导出的密钥。PTK的低128位为密钥确认密钥(Key Confirmation Key,KCK),中间128位为密钥加密密钥(Key Encryption Key, KEK),剩下的高位 MSB 为临时密钥(Temporal Key, TK)。其中,KCK用于为4次握手过程和组密钥握手过程中的基于局域网的扩展认证协议(ΕΑΡ Over LAN,EAPOL)-密钥(KEY)消息提供数据源认证;KEK用于为4次握手和组密钥握手的EAPOL-KEY消息提供机密性保护;TK用于保护STA和AP之间的数据报文的传输。此外,IEEE 802.11还定义了组临时密钥(GTK)。GTK是AP生成的一个随机数,在组密钥握手过程中,AP将GTK用KEK加密后,传输给STA。如图4所示,为现有技术中一种STA初始接入IEEE 802.11网络时带有IP地址分配的安全建立连接的流程图,具体步骤如下:步骤401-402、STA与网络完成关联之前的相关程序;这包括被略过的在步骤401之前的被动扫描(Beacon)或主动扫描(Probe Request/Response)过程;STA发送携带了EAP 响应(EAP Response) /ID 的 Auth 消息给 AP ;AP 将 AAA EAP-Response/ID 消息转发给AS ;步骤403-409、此过程为EAP算法特定的认证过程,包括以下步骤:AS 向 AP 发送 AAA EAP 请求(EAP-Request)消息;AP生成随机数ANonce,并将其携带于EAPoL-Key消息中;AP向STA发送Auth消息,此消息中包含了 EAP_Request消息和/或EAPoL-Key消息;STA收到Auth消 息后,可能需要和AS进行多步的交互过程继续EAP认证;此后STA生成随机数SNonce,并生成MSK、PMK,根据PMK和SNone和ANonce生成PTK,根据PTK生成KCK 和 KEK ;STA向AP发送关联请求消息,此消息中包含了 EAP_Response, DHCP-Discover w/Rapid C0mmit,EAP0L-Key消息以及被KCK保护的全部MAC服务数据单元(MSDU)的消息完整性编码(MIC)。其中EAPoL-Key消息包含了 STA生成的随机数SNonce。DHCP相关消息可以用KEK进行加密保护。整个关联请求消息用KCK进行完整性保护,并携带计算的MIC值;AP 缓存 MSDU MIC 和加密的 DHPC Discover 消息;AP向AS发送AAA EAP-Response消息,继续进行EAP认证;步骤410、EAP认证成功完成,AS生成MSK和/或PMK ;步骤411、AS向AP发送AAA EAP成功(ΕΑΡ-Success)消息,该消息中携带PMK ;步骤412、AP根据收到的PMK、SNonce和ANonde生成PTK,并根据PTK生成KCK和KEK ;AP使用生成的KCK校验MSDU MIC。如果验证成功,AP使用生成的KEK解密DHCP-Discover 消息;步骤413、AP向DHCP服务器发送有快速分配的DHCP发现或没有快速分配的DHCP发现(DHCP-Discover w/Rapid Commit)消息;步骤414、0! ^服务器为5了4分配1 地址,向4 发送0! ^-401^/1^^(1 Commit消息来完成DHCP程序;步骤415、AP向STA发送关联答复消息,此消息包含了 AP为STA分配的关联标识(Association Identifier,AID),EAP_Success,DHCP-Ack w/RapidCommit 消息,EAPoL-Key消息,KCK保护的全部MSDU的MIC。该消息使用KCK进行完整性保护。其中,EAPoL-Key消息包含了 GTK 和 IGTK(Integrity Group Temporal Key,完整性组临时密钥);步骤416、STA校验关联答复消息的MIC,如果校验成功,STA安装PTK,GTK和IGTK ;步骤417、AP安装PTK。至此STA与AP之间的安全连接建立完成。
在上述安全连接建立的过程中,步骤415中的关联答复消息需在AP收到DHCP服务器发送的DHCP-Ack w/Rapid Commit后才会发送给STA。STA收到该关联答复消息后,才能根据该消息中携带的内容,进入已认证已关联的状态,状态机进入全EAP上下文的状态。但在DHCP服务器进行IP地址分配的过程中可能会有一定的延时(AP在合理的时间段过了之后仍未收到DHCPACK时才会发送消息知会STA此问题,然后再采用合适的默认方式来开始网络程序,比如重新发送DHCP请求等),STA在DHCP程序没有完成之前无法收到关联答复消息。如果因为某些原因,DHCP服务器为STA分配IP地址的时间比较长,STA处的定时器到期后STA还未收到AP发送的关联答复消息。这将导致STA无法判断此安全建立的过程中何处出现问题,不利于STA中状态机的控制,STA也无法及时获知EAP认证是否成功,并在EAP认证失败时会导致STA不能再次快速发起EAP认证。上述问题在STA与网络之间进行包含IP地址分配的EAP重新认证时同样存在,EAP重新认证包含了 EAP-RP等各种EAP相关的重新认证协议。因DHCP程序导致的安全建立过程的延时会大大降低STA建立安全连接及初始入网的速度,影响用户体验。移动用户不断地进入或离开一个ESS的覆盖区域。当移动设备初始进入一个ESS时,移动设备必须进行如图4所示的STA初始入网建立初始链路的过程。而在该初始链路建立的过程中,如果大量用户同时在较短时间内需要接入WLAN网络时(例如在飞机场,大量用户下了飞机后需要连接WLAN网络获取相关的交通信息),入网时延较长的问题会更严重。为了解决移动用户的入网延迟问题,ffiEE 802.11已经成立了 802.1lai工作组,旨在不降低原802.11网络健壮安全网络关联(Robust Security Network Association,RSNA)安全级别的前提下,解决移动设备能够快速建立初始链路的问题。作为移动设备快速建立安全链路程序的一部分,DHCP相关的入网延时也需要被解决来实现移动设备与网络之间链路的快速建立。综上所述,由安全建立过程中DHCP程序导致的入网延迟问题需要被解决来加快移动用户入网速度以及改善用户体验。
发明内容
本发明实施例提供了 一种发送消息的方法、建立安全连接的方法、接入点和工作站,以解决DHCP导致的入网延迟问题。本发明实施例提供了一种发送消息的方法,该方法包括:接入点(AP)生成成对临时密钥(PTK)和/或校验消息完整性编码(MIC);所述AP向工作站(STA)发送关联答复消息并和动态主机配置协议(DHCP)服务器进行DHCP过程;或者,仅向所述STA发送包含IP地址的关联答复消息。优选地,所述关联答复消息包含以下参数之一或其任意组合:所述AP为所述STA分配的关联标识(AID)、扩展认证协议(EAP)认证成功消息、基于局域网的扩展认证协议密钥(EAPoL-Key)消息和 MIC ;所述包含IP地址的关联答复消息还包含所述AID、EAP认证成功消息、EAPoL-Key消息和MIC ;其中,EAPoL-Key消息包含组临时密钥(GTK)和/或完整性组临时密钥(IGTK)。
优选地,所述AP和DHCP服务器进行DHCP的过程包括:
所述AP向所述DHCP服务器发送DHCP过程请求消息。
优选地,所述AP和DHCP服务器进行DHCP过程还包括:
所述AP接收所述DHCP服务器为所述STA分配的IP地址。
优选地,所述DHCP过程包括DHCPv4、DHCPv6、邻居发现(ND)和无状态地址自动配置过程。
优选地,所述AP向STA发送关联答复消息包括:
所述AP直接向所述STA发送所述关联答复消息;或者
所述AP中设置一定时器,该定时器在所述AP向所述DHCP服务器发送所述DHCP过程请求消息后开始计时,如果该定时器到期,所述AP还未收到所述DHCP服务器返回的DHCP过程答复消息,则所述AP向所述STA发送所述关联答复消息;或者
所述AP中设置一定时器,该定时器在所述AP向所述DHCP服务器发送所述DHCP过程请求消息后开始计时,如果该定时器未到期,所述AP收到所述DHCP服务器返回的DHCP过程答复消息,则所述AP向所述STA发送所述包含IP地址的关联答复消息。
优选地,所述方法还包括:
如果该定时器到期,所述AP还未收到所述DHCP服务器返回的DHCP过程应答消息或DHCP过程否定应答消息,则AP向所述STA发送消息,以便所述STA重新进行DHCP过程。
优选地,所述AP和DHCP服务器进行DHCP过程之后,所述方法还包括:
所述AP在收到所述DHCP服务器发送的DHCP过程应答消息后,将所述DHCP过程应答消息发送给所述STA。
优选地,所述DHCP过程应答消息携带于所述AP向所述STA发送的关联响应消息中。
本发明实施例提供了一种建立安全连接的方法,该方法包括:
工作站(STA)接收接入点(AP)发送的关联答复消息;
所述STA校验消息完整性编码(MIC),并根据校验结果选择重新进行扩展认证协议(EAP)认证,或选择等待动态主机配置协议(DHCP)过程答复消息。
优选地,所述关联答复消息包含以下参数之一或其任意组合:所述AP为所述STA分配的关联标识(AID)、EAP认证成功消息、基于局域网的扩展认证协议密钥(EAPoL-Key)消息和MIC ;其中,EAPoL-Key消息包含组临时密钥(GTK)和/或完整性组临时密钥(IGTK)。
优选地,当所述关联答复消息为包含IP地址的关联答复消息时,所述方法还包括:
所述STA校验MIC,并在校验成功后安装成对临时密钥(PTK)、组临时密钥(GTK)和完整性组临时密钥(IGTK)。
优选地,所述STA根据校验结果选择重新进行EAP认证,或选择等待动态主机配置协议(DHCP)过程答复消息,包括:
所述STA校验所述MIC失败后,重新进行EAP认证或重新建立安全连接;或者
所述STA校验所述MIC成功后,选择等待所述AP返回的DHCP过程答复消息。
优选地,所述选择等待所述AP返回的DHCP过程答复消息之后,所述方法还包括:
所述STA接收所述AP返回的包含为STA分配的IP地址的DHCP过程答复消息;或者
所述STA接收所述AP返回的未包含为STA分配的IP地址的DHCP过程答复消息,所述STA再次发起DHCP过程;或者
所述STA中设置定时器,该定时器在所述STA收到所述关联答复消息后或者所述STA校验所述MIC成功后开始计时,如果所述定时器到期,所述STA还未收到所述AP返回的DHCP过程答复消息,则所述STA再次发起DHCP过程。
优选地,所述STA校验MIC之后,所述方法还包括:
所述STA进入已认证已关联状态,所述STA对应的状态机进入全EAP上下文状态。
本发明实施例提供了一种发送消息的方法,该方法包括:
接入点(AP)接收认证服务器(AS)进行扩展认证协议(EAP)认证失败后发送的EAP认证失败消息;
所述AP向工作站(STA)发送关联答复消息,所述关联答复消息包含EAP认证失败消息。
本发明实施例提供了一种建立安全连接的方法,所述方法包括:
工作站(STA)接收接入点(AP)发送的包含扩展认证协议(EAP)认证失败消息的关联答复消息;
所述STA重新进行EAP认证或重新建立安全连接。
本发明实施例提供了一种接入点(AP),该AP包括:
生成校验模块,用于生成成对临时密钥(PTK)和/或校验消息完整性编码(MIC);
处理模块,用于向工作站(STA)发送关联答复消息并和动态主机配置协议(DHCP)服务器进行DHCP过程;或者,仅向所述STA发送包含IP地址的关联答复消息。
优选地,所述关联答复消息包含以下参数之一或其任意组合:所述AP为所述STA分配的关联标识(AID)、扩展认证协议(EAP)认证成功消息、基于局域网的扩展认证协议密钥(EAPoL-Key)消息和 MIC ;
所述包含IP地址的关联答复消息还包含所述AID、EAP认证成功消息、EAPoL-Key消息和MIC ;
其中,EAPoL-Key消息包含组临时密钥(GTK)和/或完整性组临时密钥(IGTK)。
优选地,所述处理模块和DHCP服务器进行DHCP过程,具体用于:
向所述DHCP服务器发送DHCP过程请求消息。
优选地,所述处理模块,还用于接收所述DHCP服务器为所述STA分配的IP地址。
优选地,所述处理模块向STA发送关联答复消息,具体用于:
直接向所述STA发送所述关联答复消息;或者
在所述AP中设置一定时器,该定时器在所述处理模块向所述DHCP服务器发送所述DHCP过程请求消息后开始计时,如果该定时器到期,还未收到所述DHCP服务器返回的DHCP过程答复消息,则向所述STA发送所述关联答复消息;或者
所述AP中设置一定时器,该定时器在所述AP向所述DHCP服务器发送所述DHCP过程请求消息后开始计时,如果该定时器未到期,所述AP收到所述DHCP服务器返回的DHCP过程答复消息,则所述AP向所述STA发送所述包含IP地址的关联答复消息。
优选地,所述处理模块,还用于如果该定时器到期,还未收到所述DHCP服务器返回的DHCP过程应答消息或DHCP过程否定应答消息,则向所述STA发送消息,以便所述STA重新进行DHCP过程。
优选地,所述处理模块,还用于和DHCP服务器进行DHCP过程之后,若收到所述DHCP服务器发送的DHCP过程应答消息,则将所述DHCP过程应答消息直接发送或携带在关联响应消息中发送给所述STA。
优选地,所述AP还包括:
接收模块,用于接收认证服务器(AS)进行EAP认证失败后发送的扩展认证协议(EAP)认证失败消息;
所述处理模块,具体用于向所述STA发送包含EAP认证失败消息的关联答复消息。
本发明实施例提供了 一种工作站(STA),该STA包括:
接收模块,用于接收接入点(AP)发送的关联答复消息;
处理模块,用于校验所述关联答复消息中的消息完整性编码(MIC),并根据校验结果选择重新进行扩展认证协议(EAP)认证,或选择等待动态主机配置协议(DHCP)过程答复消息。
优选地,所述关联答复消息包含所述AP为所述STA分配的关联标识(AID)、EAP认证成功消息、基于局域网的扩展认证协议密钥(EAPoL-Key)消息和MIC ;其中,EAPoL-Key消息包含组临时密钥(GTK)和/或完整性组临时密钥(IGTK)。
优选地,当所述关联答复消息为包含IP地址的关联答复消息时,
所述处理模块,还用于校验所述MIC,并在校验成功后安装成对临时密钥(PTK)、组临时密钥(GTK)和完整性组临时密钥(IGTK)。
优选地,所述处理模块,具体用于:
校验所述MIC失败后,重新进行EAP认证或重新建立安全连接;或者
校验所述MIC成功后,选择等待所述AP返回的DHCP过程答复消息。
优选地,所述处理模块,还用于:
选择等待所述AP返回的DHCP过程答复消息之后,接收所述AP返回的包含为STA分配的IP地址的DHCP过程答复消息;或者
选择等待所述AP返回的DHCP过程答复消息之后,接收所述AP返回的未包含为STA分配的IP地址的DHCP过程答复消息,再次发起DHCP过程;或者
选择等待所述AP返回的DHCP过程答复消息之后,在所述STA中设置定时器,该定时器在所述STA收到所述关联答复消息后或者所述STA校验所述MIC成功后开始计时,如果所述定时器到期,还未收到所述AP返回的DHCP过程答复消息,则再次发起DHCP过程。
优选地,当所述关联答复消息包含EAP认证失败消息时,所述处理模块,还用于重新进行EAP认证或重新建立安全连接。
上述发送消息的方法、建立安全连接的方法、接入点和工作站,可以加快STA建立安全链路的速度,减少终端初始接入WLAN网络的时延;特别是对于大量用户需要在极短时间内接入WLAN网络的场景,性能有极大的提升,很好地改善了用户体验。
图1为现有的IEEE 802.11网络的架构图2为现有的WLAN网络的架构图3为现有的IEEE 802.1li所引入的密钥体系架构图4为现有STA初始接入IEEE 802.11网络时带有IP地址分配的安全建立连接的信令流程图5为本发明建立安全连接方法实施例一的信令流程图6为本发明建立安全连接方法实施例二的信令流程图7为本发明建立安全连接方法实施例三的信令流程图8为本发明建立安全连接方法实施例四的信令流程图9为本发明建立安全连接方法实施例五的信令流程图10为本发明建立安全连接方法实施例六的信令流程图11为本发明建立安全连接方法实施例七的信令流程图12为本发明建立安全连接方法实施例八的信令流程图13为本发明AP实施例的结构示意图14为本发明STA实施例的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本发明实施例提供了一种发送消息的方法,该方法从AP侧进行描述,该方法包括:
步骤11、接入点(AP)生成成对临时密钥(PTK)和/或校验消息完整性编码(MIC);
步骤12、所述AP向工作站(STA)发送关联答复消息并和动态主机配置协议(DHCP)服务器进行DHCP过程;或者,仅向所述STA发送包含IP地址的关联答复消息。
其中,所述关联答复消息包含所述AP为所述STA分配的关联标识(AID)、EAP认证成功消息、EAPoL-Key消息和MIC ;所述包含IP地址的关联答复消息还包含所述AID、EAP认证成功消息、EAPoL-Key消息和MIC ;EAPoL-Key消息包含组临时密钥(GTK)和完整性组临时密钥(IGTK)。
上述方法是在EAP认证成功后进行的,当EAP认证失败后,AP侧执行的操作可以为:
接入点(AP)接收AS进行EAP认证失败后发送的EAP认证失败消息;
所述AP向工作站(STA)发送关联答复消息,所述关联答复消息包含EAP认证失败消息。
上述发送消息的方法中,AP不需要在接收到DHCP服务器发送的DHCP过程答复消息后就可以向STA发送关联应答消息,从而可以加快STA建立安全链路的速度,减少终端初始接入WLAN网络的时延;特别是对于大量用户需要在极短时间内接入WLAN网络的场景,性能有极大的提升,很好地改善了用户体验。
本发明实施例还提供了一种建立安全连接的方法,该方法从STA侧进行描述,该方法包括:
步骤21、工作站(STA)接收接入点(AP)发送的关联答复消息;
其中,所述关联答复消息包含所述AP为所述STA分配的关联标识(AID)、EAP认证成功消息、EAPoL-Key消息和消息完整性编码(MIC);其中,EAPoL-Key消息包含组临时密钥(GTK)和完整性组临时密钥(IGTK)。
步骤22、所述STA校验消息完整性编码(MIC),并根据校验结果选择重新进行EAP认证,或选择等待动态主机配置协议(DHCP)过程答复消息。
当所述关联答复消息为包含IP地址的关联答复消息时,所述方法还包括:所述STA校验MIC,并在校验成功后安装成对临时密钥(PTK)、组临时密钥(GTK)和完整性组临时密钥(IGTK)。
当所述关联答复消息包含EAP认证失败消息时,所述方法还包括:所述STA重新进行EAP认证或重新建立安全连接。
上述建立安全连接的方法中,STA可以快速地收到AP发送的关联答复消息,从而可以尽快地建立安全链路,减少终端初始接入WLAN网络的时延;特别是对于大量用户需要在极短时间内接入WLAN网络的场景,性能有极大的提升,很好地改善了用户体验。
下面从AP和STA交互的角度对本发明的技术方案进行详细描述:
实施例一
如图5所示,为本发明建立安全连接方法实施例一的信令流程图,该过程包括:
步骤501、与图4中的步骤401-411相同,此处不再赘述;
步骤502、AP根据收到的PMK,以及SNonce和ANonde生成PTK,并根据PTK生成KCK和KEK ;AP使用生成的KCK校验MSDU MIC ;验证成功,AP使用生成的KEK解密DHCP-Discover 消息;
解密DHCP Discover消息的过程也可以发生于步骤503之后。
步骤503、AP向STA发送关联答复消息,AP向STA发送的关联答复消息可包含AID,EAP_Success, EAPoL-Key 和 MIC ;其中 EAPoL-Key 包括 GTK 和 IGTK ;
步骤504、AP向DHCP服务器发送DHCP-Discover消息,其中携带Rapid Commit选项;
其中,DHCP-Discover消息即是DHCP过程请求消息;Rapid Commit是快速IP地址分配机制,为可选。
当然,该步骤也可以为:AP向DHCP服务器发送其他DHCP过程请求消息例如DHCP-请求(Request)消息;
上述步骤503和步骤504的执行不分时间先后顺序,步骤504也可以发生于步骤503之前,还可以和步骤503同时进行。
步骤505、STA收到关联答复消息后,校验MIC成功;STA可以进入已认证已关联状态,状态机进入全EAP上下文状态;
STA选择等待DHCP-Ack w/Rapid Commit消息。STA收到关联答复消息后校验MIC可与DHCP程序并行,或者在DHCP程序之前和之后。
步骤506、DHCP服务器向AP发送DHCP-Ack消息,该消息携带快速IP地址分配(Rapid Commit)选项;其中,快速IP地址分配机制为可选;
相应地,DHCP-Ack消息即是DHCP过程答复消息;
若上述DHCP过程请求消息为DHCP-Request消息,则相应的DHCP过程答复消息为DHCP-响应(Response)消息;
步骤507、AP将DHCP-Ack消息发送给STA,其中携带Rapid Commit选项。
优选地,DHCP Ack消息可携带于DHCP-Ack中。
实施例二
如图6所示,为本发明建立安全连接方法实施例二的信令流程图,该过程包括:
步骤601、与图4中的步骤401-411相同,此处不再赘述;
步骤602、AP根据收到的PMK,以及SNonce和ANonde生成PTK,并根据PTK生成KCK和KEK ;AP使用生成的KCK校验MSDU MIC ;验证成功,AP使用生成的KEK解密DHCP-Discover 消息;
步骤603、AP向DHCP服务器发送DHCP-Discover消息,该消息携带Rapid Commit选项;
其中,快速IP地址分配机制为可选。
步骤604、AP中设置一个定时器,在AP向DHCP服务器发送DHCP-Discover消息后开始计时。如果定时器到期,AP还没有收到DHCP服务器发送的DHCP-Ack消息,则AP发送关联答复消息给STA,此关联答复消息可包含AID,EAP_SuCCesS消息,EAPoL-Key消息,MIC ;其中EAPoL-Key消息包括GTK和IGTK。
步骤605、STA收到关联答复消息后,校验MIC成功,STA可以进入已认证已关联状态,状态机进入全EAP上下文状态。
STA选择等待DHCP-Ack w/Rapid Commit消息。STA收到关联答复消息后校验MIC可与DHCP程序并行,或者在DHCP程序之前和之后。
步骤606、DHCP 服务器向 AP 发送 DHCP-Ack w/Rapid Commit 消息;
其中,快速IP地址分配机制为可选。
步骤607、AP 将 DHCP-Ack w/Rapid Commit 消息发送给 STA。
实施例三
如图7所示,为本发明建立安全连接方法实施例三的信令流程图,该过程包括:
步骤701、与图4中的步骤401-411相同,此处不再赘述;
步骤702、AP根据收至IJ的PMK,以及SNonce和ANonde生成PTK,并根据PTK生成KCK和KEK ;AP使用生成的KCK校验MSDU MIC ;验证成功,AP使用生成的KEK解密DHCP-Discover 消息;
步骤703、AP 向 DHCP 服务器发送 DHCP-Discover w/Rapid Commit 消息;
其中,快速IP地址分配机制为可选。
步骤704、AP向DHCP服务器发送DHCP-Discover消息,该消息携带Rapid Commit选项;AP中设置一个定时器,在AP向DHCP服务器发送DHCP-Discover消息后开始计时,如果定时器到期,AP仍未收到DHCP发送的DHCP-Ack或DHCP NAK消息,则AP向STA发送消息通知此问题。优选地,此消息可以为关联答复消息。
步骤705、STA收到关联答复消息后,校验MIC成功,STA可以进入已认证已关联状态,状态机进入全EAP上下文状态;
STA选择等待DHCP确认消息。STA收到关联答复消息后校验MIC可与DHCP程序并行,或者在DHCP程序之前和之后。
步骤706、DHCP服务器向AP发送DHCP确认消息,该消息中携带有Rapid Commit选项;
其中,快速IP地址分配机制为可选。
步骤707、如果AP在特定时间内接收到DHCP确认消息,则AP将携带Rapid Commit选项的DHCP确认消息发送给STA。优选地,所述DHCP确认消息携带于关联答复消息中;如果在特定时间内,AP仍未收到DHCP发送的DHCP确认消息,AP给STA发送消息通知此问题。优选地,此消息为关联答复消息。STA或AP采用合适的默认方式来重新开始网络程序,比如向DHCP服务器重新发送DHCP请求等。
实施例四
如图8所示,为本发明建立安全连接方法实施例四的信令流程图,该过程包括:
步骤801、与图4中的步骤401-411相同,此处不再赘述;
步骤802、AP根据收至IJ的PMK,以及SNonce和ANonde生成PTK,并根据PTK生成KCK和KEK ;AP使用生成的KCK校验MSDU MIC ;验证成功,AP使用生成的KEK解密DHCP-Discover 消息;
解密DHCP Discover消息的过程也可以发生于步骤803之后。
步骤803、AP向STA发送关联答复消息,AP向STA发送的关联答复消息可包含AID,EAP_Success, EAPoL-Key, MIC ;其中 EAPoL-Key 包括 GTK 和 IGTK ;
步骤804、AP 向 DHCP 发送 DHCP-Discover w/Rapid Commit 消息;
其中,快速IP地址分配机制为可选。
其中,步骤803和步骤804不分时间先后顺序,步骤804也可以发生于步骤803之前,也可以和步骤803同时进行。
步骤805、STA收到关联答复消息后,校验MIC成功,STA可以进入已认证已关联状态,状态机进入全EAP上下文状态;STA选择等待DHCP-Ackw/Rapid Commit消息。STA中设置定时器在STA收到关联答复消息后或者MIC校验成功后开始计时;
STA收到关联答复消息后校验MIC可与DHCP程序并行,或者在DHCP程序之前和之后。
步骤806、STA中定时器到期,STA仍未收到AP发送的DHCP相关消息,STA重新发起DHCP程序或初始化程序或重新建立安全连接,其中DHCP程序可以仅在数据面进行。
实施例五
如图9所示,为本发明建立安全连接方法实施例五的信令流程图,该过程包括:
步骤901、与图4中的步骤401-411相同,此处不再赘述;
步骤902、AP根据收到的PMK,以及SNonce和ANonde生成PTK,并根据PTK生成KCK和KEK ;AP使用生成的KCK校验MSDU MIC,验证成功;
步骤903、AP向STA发送关联答复消息,AP向STA发送的关联答复消息可包含AID,EAP_Success 消息,EAPoL-Key 消息,MIC ;其中 EAPoL-Key 包括 GTK 和 IGTK。
步骤904、AP 解密 DHCP-Discover 消息,AP 向 DHCP 发送 DHCP-Discoverw/RapidCommit 消息;
其中,快速IP地址分配机制为可选。解密DHCP Discover消息的过程也可以发生于步骤902中。
其中,步骤903和步骤904的执行不分时间先后顺序,步骤904也可以发生于步骤903之前,也可以和步骤903同时进行。
步骤905、STA收到关联答复消息后,校验MIC失败。
步骤906、STA会重新进行EAP认证过程,或重新建立安全连接。
实施例六
如图10所示,为本发明建立安全连接方法实施例六的信令流程图,该过程包括:
步骤1001、与图4中的步骤401-411相同,此处不再赘述;
步骤1002、AP根据收到的PMK,以及SNonce和ANonde生成PTK,并根据PTK生成KCK和KEK,AP使用生成的KCK校验MSDU MIC,验证成功;
步骤1003、AP向STA发送包含IP地址信息的关联答复消息,AP向STA发送的关联答复消息可包含 AID,EAP_Success, EAPoL-Key, MIC ;其中 EAPoL-Key 包括 GTK 和 IGTK ;
其中,AP已经获取DHCP服务器的IP地址分配。
步骤1004、STA收到关联答复消息后,校验MIC成功;STA进行PTK、GTK和IGTK的安装。
实施例七
如图11所示,为本发明建立安全连接方法实施例七的信令流程图,该过程包括:
步骤1101、与图4中的步骤401-409相同,此处不再赘述;
步骤1102、EAP认证失败;
步骤1103、AS 向 AP 发送 EAP_ 失败(Failure)消息;
步骤1104、AP向STA发送关联答复消息,AP向STA发送的关联答复消息包含EAP_失败(Failure)消息;
步骤1105、STA重新进行EAP认证,或重新建立安全连接。
实施例八
如图12所示,为本发明建立安全连接方法实施例八的信令流程图,该过程包括:
步骤1201、与图4中的步骤401-411相同,此处不再赘述;
步骤1202、AP根据收到的PMK,以及SNonce和ANonde生成PTK,并根据PTK生成KCK和KEK ;AP使用生成的KCK校验MSDU MIC ;验证成功,AP使用生成的KEK解密DHCP-Discover 消息;
步骤1203、AP向DHCP服务器发送DHCP-Discover w/消息,该消息携带RapidCommit 选项;
其中,快速IP地址分配机制为可选。
步骤1204、AP中设置一个定时器,在AP向DHCP服务器发送DHCP-Discover消息后开始计时。如果定时器未到期,AP收到DHCP服务器发送的DHCP-Ack消息;
步骤1205、AP发送包含IP地址的关联答复消息给STA,此关联答复消息可包含AID, EAP_Success 消息,EAPoL-Key 消息,MIC ;其中 EAPoL-Key 消息包括 GTK 和 IGTK ;
步骤1206、STA收到关联答复消息后,校验MIC成功,STA可以进入已认证已关联状态,状态机进入全EAP上下文状态。
上述实施例一至实施例八可以发生于STA与网络快速建立安全连接时,或STA与网络进行EAP重新认证时。
本发明上述实施例不限于IEEE 802.11系统,可以将它的相关模式应用于其它无线通信系统中。
如图13所示,为本发明AP实施例的结构示意图,该AP包括生成校验模块1301和处理模块1302,其中:
生成校验模块,用于生成成对临时密钥(PTK)和/或校验消息完整性编码(MIC);
处理模块,用于向工作站(STA)发送关联答复消息并和动态主机配置协议(DHCP)服务器进行DHCP过程;或者,仅向所述STA发送包含IP地址的关联答复消息。
其中,所述处理模块和DHCP服务器进行DHCP过程,具体用于:向所述DHCP服务器发送DHCP过程请求消息。可选的,所述处理模块,还用于接收所述DHCP服务器为所述STA分配的IP地址。
另外,所述处理模块向STA发送关联答复消息,具体用于:直接向所述STA发送所述关联答复消息;或者,在所述AP中设置一定时器,该定时器在所述处理模块向所述DHCP服务器发送所述DHCP过程请求消息后开始计时,如果该定时器到期,还未收到所述DHCP服务器返回的DHCP过程答复消息,则向所述STA发送所述关联答复消息;或者,所述AP中设置一定时器,该定时器在所述AP向所述DHCP服务器发送所述DHCP过程请求消息后开始计时,如果该定时器未到期,所述AP收到所述DHCP服务器返回的DHCP过程答复消息,则所述AP向所述STA发送所述包含IP地址的关联答复消息。所述处理模块,还用于如果该定时器到期,还未收到所述DHCP服务器返回的DHCP过程应答消息或DHCP过程否定应答消息,则向所述STA发送消息,以便所述STA重新进行DHCP过程。
进一步地,所述处理模块,还用于和DHCP服务器进行DHCP过程之后,若收到所述DHCP服务器发送的DHCP过程应答消息,则将所述DHCP过程应答消息直接发送或携带在关联响应消息中发送给所述STA。
针对EAP认证失败的情况,所述AP还包括:接收模块,用于接收认证服务器(AS)进行EAP认证失败后发送的扩展认证协议(EAP)认证失败消息;所述处理模块,具体用于向所述STA发送包含EAP认证失败消息的关联答复消息。
上述AP进行处理的过程与图5-12中AP对应的操作相同,此处不再赘述。
上述AP不需要在接收到DHCP服务器发送的DHCP过程答复消息后就可以向STA发送关联应答消息,从而可以加快STA建立安全链路的速度,减少终端初始接入WLAN网络的时延;特别是对于大量用户需要在极短时间内接入WLAN网络的场景,性能有极大的提升,很好地改善了用户体验。
如图14所示,为本发明STA实施例的结构示意图,该STA包括接收模块1401和处理模块1402,其中:
接收模块,用于接收接入点(AP)发送的关联答复消息;
处理模块,用于校验所述关联答复消息中的消息完整性编码(MIC),并根据校验结果选择重新进行扩展认证协议(EAP)认证,或选择等待动态主机配置协议(DHCP)过程答复消息。
其中,所述关联答复消息包含所述AP为所述STA分配的关联标识(AID)、EAP认证成功消息、EAPoL-Key消息和消息完整性编码(MIC);其中,EAPoL-Key消息包含组临时密钥(GTK)和完整性组临时密钥(IGTK)。
另外,当所述关联答复消息为包含IP地址的关联答复消息时,所述处理模块,还用于校验所述MIC,并在校验成功后安装成对临时密钥(PTK)、组临时密钥(GTK)和完整性组临时密钥(IGTK)。
优选地,所述处理模块,具体用于:校验所述MIC失败后,重新进行EAP认证或重新建立安全连接;或者,校验所述MIC成功后,选择等待所述AP返回的DHCP过程答复消息。所述处理模块,还用于:选择等待所述AP返回的DHCP过程答复消息之后,接收所述AP返回的包含为STA分配的IP地址的DHCP过程答复消息;或者,选择等待所述AP返回的DHCP过程答复消息之后,接收所述AP返回的未包含为STA分配的IP地址的DHCP过程答复消息,再次发起DHCP过程;或者,选择等待所述AP返回的DHCP过程答复消息之后,在所述STA中设置定时器,该定时器在所述STA收到所述关联答复消息后或者所述STA校验所述MIC成功后开始计时,如果所述定时器到期,还未收到所述AP返回的DHCP过程答复消息,则再次发起DHCP过程。
进一步地,当所述关联答复消息包含EAP认证失败消息时,所述处理模块,还用于重新进行EAP认证或重新建立安全连接。
上述STA进行处理的过程与图5-12中STA对应的操作相同,此处不再赘述。
上述STA可以快速地收到AP发送的关联答复消息,从而可以尽快地建立安全链路,减少终端初始接入WLAN网络的时延;特别是对于大量用户需要在极短时间内接入WLAN网络的场景,性能有极大的提升,很好地改善了用户体验。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,上述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上实施例仅用以说明本发明的技术方案而非限制,仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。
权利要求
1.一种发送消息的方法,其特征在于,该方法包括: 接入点(AP)生成成对临时密钥(PTK)和/或校验消息完整性编码(MIC); 所述AP向工作站(STA)发送关联答复消息并和动态主机配置协议(DHCP)服务器进行DHCP过程;或者,仅向所述STA发送包含IP地址的关联答复消息。
2.根据权利要求1所述的方法,其特征在于: 所述关联答复消息包含以下参数之一或其任意组合:所述AP为所述STA分配的关联标识(AID)、扩展认证协议(EAP)认证成功消息、基于局域网的扩展认证协议密钥(EAPoL-Key)消息和 MIC ; 所述包含IP地址的关联答复消息还包含所述AID、EAP认证成功消息、EAPoL-Key消息和 MIC ; 其中,EAPoL-Key消息包含组临时密钥(GTK)和/或完整性组临时密钥(IGTK)。
3.根据权利要求1所述方法,其特征在于: 所述AP和DHCP服务器进行 DHCP的过程包括: 所述AP向所述DHCP服务器发送DHCP过程请求消息。
4.根据权利要求1所述的方法,其特征在于: 所述AP和DHCP服务器进行DHCP过程还包括: 所述AP接收所述DHCP服务器为所述STA分配的IP地址。
5.根据权利要求1所述的方法,其特征在于: 所述DHCP过程包括DHCPv4、DHCPv6、邻居发现(ND)和无状态地址自动配置过程。
6.根据权利要求3所述的方法,其特征在于: 所述AP向STA发送关联答复消息包括: 所述AP直接向所述STA发送所述关联答复消息;或者 所述AP中设置一定时器,该定时器在所述AP向所述DHCP服务器发送所述DHCP过程请求消息后开始计时,如果该定时器到期,所述AP还未收到所述DHCP服务器返回的DHCP过程答复消息,则所述AP向所述STA发送所述关联答复消息;或者 所述AP中设置一定时器,该定时器在所述AP向所述DHCP服务器发送所述DHCP过程请求消息后开始计时,如果该定时器未到期,所述AP收到所述DHCP服务器返回的DHCP过程答复消息,则所述AP向所述STA发送所述包含IP地址的关联答复消息。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括: 如果该定时器到期,所述AP还未收到所述DHCP服务器返回的DHCP过程应答消息或DHCP过程否定应答消息,则AP向所述STA发送消息,以便所述STA重新进行DHCP过程。
8.根据权利要求1-7任一权利要求所述的方法,其特征在于: 所述AP和DHCP服务器进行DHCP过程之后,所述方法还包括: 所述AP在收到所述DHCP服务器发送的DHCP过程应答消息后,将所述DHCP过程应答消息发送给所述STA。
9.根据权利要求8所述的方法,其特征在于: 所述DHCP过程应答消息携带于所述AP向所述STA发送的关联响应消息中。
10.一种建立安全连接的方法,其特征在于,该方法包括: 工作站(STA)接收接入点(AP)发送的关联答复消息;所述STA校验消息完整性编码(MIC),并根据校验结果选择重新进行扩展认证协议(EAP)认证,或选择等待动态主机配置协议(DHCP)过程答复消息。
11.根据权利要求10所述的方法,其特征在于: 所述关联答复消息包含以下参数之一或其任意组合:所述AP为所述STA分配的关联标识(AID)、EAP认证成功消息、基于局域网的扩展认证协议密钥(EAPoL-Key)消息和MIC;其中,EAPoL-Key消息包含组临时密钥(GTK)和/或完整性组临时密钥(IGTK)。
12.根据权利要求11所述的方法,其特征在于: 当所述关联答复消息为包含IP地址的关联答复消息时,所述方法还包括: 所述STA校验MIC,并在校验成功后安装成对临时密钥(PTK)、组临时密钥(GTK)和完整性组临时密钥(IGTK)。
13.根据权利要求10所述的方法,其特征在于: 所述STA根据校 验结果选择重新进行EAP认证,或选择等待动态主机配置协议(DHCP)过程答复消息,包括: 所述STA校验所述MIC失败后,重新进行EAP认证或重新建立安全连接;或者 所述STA校验所述MIC成功后,选择等待所述AP返回的DHCP过程答复消息。
14.根据权利要求13所述的方法,其特征在于: 所述选择等待所述AP返回的DHCP过程答复消息之后,所述方法还包括: 所述STA接收所述AP返回的包含为STA分配的IP地址的DHCP过程答复消息;或者所述STA接收所述AP返回的未包含为STA分配的IP地址的DHCP过程答复消息,所述STA再次发起DHCP过程;或者 所述STA中设置定时器,该定时器在所述STA收到所述关联答复消息后或者所述STA校验所述MIC成功后开始计时,如果所述定时器到期,所述STA还未收到所述AP返回的DHCP过程答复消息,则所述STA再次发起DHCP过程。
15.根据权利要求10所述的方法,其特征在于: 所述STA校验MIC之后,所述方法还包括: 所述STA进入已认证已关联状态,所述STA对应的状态机进入全EAP上下文状态。
16.—种发送消息的方法,其特征在于,该方法包括: 接入点(AP)接收认证服务器(AS)进行扩展认证协议(EAP)认证失败后发送的EAP认证失败消息; 所述AP向工作站(STA)发送关联答复消息,所述关联答复消息包含EAP认证失败消肩、O
17.一种建立安全连接的方法,其特征在于,所述方法包括: 工作站(STA)接收接入点(AP)发送的包含扩展认证协议(EAP)认证失败消息的关联答复消息; 所述STA重新进行EAP认证或重新建立安全连接。
18.一种接入点(AP),其特征在于,该AP包括: 生成校验模块,用于生成成对临时密钥(PTK)和/或校验消息完整性编码(MIC); 处理模块,用于向工作站(STA)发送关联答复消息并和动态主机配置协议(DHCP)服务器进行DHCP过程;或者,仅向所述STA发送包含IP地址的关联答复消息。
19.根据权利要求18所述的AP,其特征在于: 所述关联答复消息包含以下参数之一或其任意组合:所述AP为所述STA分配的关联标识(AID)、扩展认证协议(EAP)认证成功消息、基于局域网的扩展认证协议密钥(EAPoL-Key)消息和 MIC ; 所述包含IP地址的关联答复消息还包含所述AID、EAP认证成功消息、EAPoL-Key消息和 MIC ; 其中,EAPoL-Key消息包含组临时密钥(GTK)和/或完整性组临时密钥(IGTK)。
20.根据权利要求18所述的AP,其特征在于: 所述处理模块和DHCP服务器进行DHCP过程,具体用于: 向所述DHCP服务器发送DHCP过程请求消息。
21.根据权利要求18所述的AP,其特征在于: 所述处理模块,还用于接收所述DHCP服务器为所述STA分配的IP地址。
22.根据权利要求18所述的AP,其特征在于: 所述处理模块向STA发送关 联答复消息,具体用于: 直接向所述STA发送所述关联答复消息;或者 在所述AP中设置一定时器,该定时器在所述处理模块向所述DHCP服务器发送所述DHCP过程请求消息后开始计时,如果该定时器到期,还未收到所述DHCP服务器返回的DHCP过程答复消息,则向所述STA发送所述关联答复消息;或者 所述AP中设置一定时器,该定时器在所述AP向所述DHCP服务器发送所述DHCP过程请求消息后开始计时,如果该定时器未到期,所述AP收到所述DHCP服务器返回的DHCP过程答复消息,则所述AP向所述STA发送所述包含IP地址的关联答复消息。
23.根据权利要求22所述的AP,其特征在于: 所述处理模块,还用于如果该定时器到期,还未收到所述DHCP服务器返回的DHCP过程应答消息或DHCP过程否定应答消息,则向所述STA发送消息,以便所述STA重新进行DHCP过程。
24.根据权利要求18-23任一权利要求所述的AP,其特征在于: 所述处理模块,还用于和DHCP服务器进行DHCP过程之后,若收到所述DHCP服务器发送的DHCP过程应答消息,则将所述DHCP过程应答消息直接发送或携带在关联响应消息中发送给所述STA。
25.根据权利要求18所述的AP,其特征在于,所述AP还包括: 接收模块,用于接收认证服务器(AS)进行EAP认证失败后发送的扩展认证协议(EAP)认证失败消息; 所述处理模块,具体用于向所述STA发送包含EAP认证失败消息的关联答复消息。
26.—种工作站(STA),其特征在于,该STA包括: 接收模块,用于接收接入点(AP)发送的关联答复消息; 处理模块,用于校验所述关联答复消息中的消息完整性编码(MIC),并根据校验结果选择重新进行扩展认证协议(EAP)认证,或选择等待动态主机配置协议(DHCP)过程答复消肩、O
27.根据权利要求26所述的STA,其特征在于:所述关联答复消息包含所述AP为所述STA分配的关联标识(AID)、EAP认证成功消息、基于局域网的扩展认证协议密钥(EAPoL-Key)消息和MIC ;其中,EAPoL-Key消息包含组临时密钥(GTK)和/或完整性组临时密钥(IGTK)。
28.根据权利要求27所述的STA,其特征在于: 当所述关联答复消息为包含IP地址的关联答复消息时, 所述处理模块,还用于校验所述MIC,并在校验成功后安装成对临时密钥(PTK)、组临时密钥(GTK)和完整性组临时密钥(IGTK)。
29.根据权利要求26所述的STA,其特征在于: 所述处理模块,具体用于: 校验所述MIC失败后,重新进行EAP认证或重新建立安全连接;或者 校验所述MI C成功后,选择等待所述AP返回的DHCP过程答复消息。
30.根据权利要求29所述的STA,其特征在于: 所述处理模块,还用于: 选择等待所述AP返回的DHCP过程答复消息之后,接收所述AP返回的包含为STA分配的IP地址的DHCP过程答复消息;或者 选择等待所述AP返回的DHCP过程答复消息之后,接收所述AP返回的未包含为STA分配的IP地址的DHCP过程答复消息,再次发起DHCP过程;或者 选择等待所述AP返回的DHCP过程答复消息之后,在所述STA中设置定时器,该定时器在所述STA收到所述关联答复消息后或者所述STA校验所述MIC成功后开始计时,如果所述定时器到期,还未收到所述AP返回的DHCP过程答复消息,则再次发起DHCP过程。
31.根据权利要求26所述的STA,其特征在于: 当所述关联答复消息包含EAP认证失败消息时,所述处理模块,还用于重新进行EAP认证或重新建立安全连接。
全文摘要
本发明提供了一种发送消息的方法、建立安全连接的方法、接入点和工作站,其中,发送消息的方法包括接入点(AP)生成成对临时密钥(PTK)和/或校验消息完整性编码(MIC);所述AP向工作站(STA)发送关联答复消息并和动态主机配置协议(DHCP)服务器进行DHCP过程;或者,仅向所述STA发送包含IP地址的关联答复消息。上述发送消息的方法、建立安全连接的方法、接入点和工作站,可以加快STA建立安全链路的速度,减少终端初始接入WLAN网络的时延;特别是对于大量用户需要在极短时间内接入WLAN网络的场景,性能有极大的提升,很好地改善了用户体验。
文档编号H04L9/32GK103200004SQ20121000461
公开日2013年7月10日 申请日期2012年1月9日 优先权日2012年1月9日
发明者朱李 申请人:中兴通讯股份有限公司