CN100544253C - 无线局域网移动终端的安全重认证方法 - Google Patents
无线局域网移动终端的安全重认证方法Download PDFInfo
- Publication number
- CN100544253C CN100544253CCNB2004100546021ACN200410054602ACN100544253CCN 100544253 CCN100544253 CCN 100544253CCN B2004100546021 ACNB2004100546021 ACN B2004100546021ACN 200410054602 ACN200410054602 ACN 200410054602ACN 100544253 CCN100544253 CCN 100544253C
- Authority
- CN
- China
- Prior art keywords
- sta
- new
- authentication
- message
- asu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
技术领域
本发明属于通信领域的信息安全技术,涉及无线局域网系统,具体的说涉及移动终端在进行切换时完成安全的重认证同时产生用于无线链路数据保密的加密密钥的方法。
背景技术
2003年5月无线局域网两项国家标准正式颁布,其中名为WAPIWLANAuthentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)的无线局域网国家标准是针对IEEE802.11中WEP协议安全问题,充分考虑了各种应用模式而制定的新的安全机制。标准中的安全机制由WAI(WLAN Authentication Infrastructure)和WPI(WLAN Privacy Infrastructure)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密。WAI主要完成基于端口控制,ECC证书及基于证书的鉴别访问控制和密钥协商,WPI完成基于国密办算法的MSDU对称加密。
WAI过程分为证书鉴别和密钥协商两个阶段,在第一个阶段完成STA和AP接入网络的证书认证,在第二个阶段完成STA和AP的加密算法和加密密钥协商。具体流程如附图1所示。在图1中各条消息分别称为鉴别激活、接入鉴别请求、证书鉴别请求、证书鉴别响应、接入鉴别响应、密钥协商请求、密钥协商响应,一共七条交互消息。交互过程为当STA关联或重新关联至AP时,首先由AP向STA发送鉴别激活以启动整个鉴别过程。然后由STA向AP发出接入鉴别请求,即将STA证书与STA的当前系统时间发往AP,其中系统时间称为接入鉴别请求时间。在AP收到STA接入鉴别请求后,首先记录鉴别请求时间,然后向ASU发出证书鉴别请求,即将STA证书、接入鉴别请求时间、AP证书及AP的私钥对它们的签名构成证书鉴别请求发送给ASU。ASU收到AP的证书鉴别请求后,验证AP的签名和AP证书的有效性,若不正确,则鉴别过程失败,否则进一步验证STA证书。验证完毕后,ASU将STA证书鉴别结果信息(包括STA证书和鉴别结果)、AP证书鉴别结果信息(包括AP证书、鉴别结果及接入鉴别请求时间)和ASU对它们的签名构成证书鉴别响应发回给AP。AP对ASU返回的证书鉴别响应进行签名验证,得到STA证书的鉴别结果,根据此结果对STA进行接入控制。AP将收到的证书鉴别响应回送至STA。STA验证ASU的签名后,得到AP证书的鉴别结果,根据该鉴别结果决定是否接入该AP。在密钥协商请求,由AP产生一串随机数据,利用STA的公钥加密后,向STA发出密钥协商请求。此请求包含请求方所有的备选会话算法信息。STA收到AP发来的密钥协商请求后,首先进行会话算法协商,若响应方不支持请求方的所有备选会话算法,则向请求方响应会话算法协商失败,否则在请求方提供的备选算法中选择一种自己支持的算法;再利用本地的私钥解密协商数据,得到AP产生的随机数据;然后产生一串随机数据,利用AP的公钥加密后,再发送给AP。STA和AP用密钥协商得到的随机数相异或从而得到保密密钥,然后采用保密算法保护正常通信过程。
在WAPI标准里规定,“当STA关联或重新关联至AP时,必须进行相互身份鉴别。若鉴别成功,则AP允许STA接入,否则解除其关联”。在WAPI《实施指南》附录G常见问题解答的第29个问题“STA在同一个ESS中如何漫游?STA在一个AP上鉴别通过并且生成了密钥。此时STA漫游到另外一个AP上,是否会重新进行鉴别过程?”《实施指南》的回答是“STA切换到另一个AP后需要重新进行鉴别过程。”对于切换,关键在于它的切换延迟,因此如何利用已经建立好的信任关系达到相对快速的重认证是人们一直考虑的问题。经过专利检索没有发现相关快速重认证的专利文献。
发明内容
本发明提出了一种无线局域网移动终端的安全重认证方法,可以减少现有国家标准中认证消息交互以及公钥签名计算。
本发明所述的移动终端在切换时进行的安全重认证方法,步骤如下:
一、在STA进行切换时触发重认证流程。
二、当STA决定要与选定新AP进行重认证的时候发送重认证数据分组类型帧给旧AP,其中应该包含相关的新AP的信息、一个经过加密的随机数(此随机数作为与新AP的数据加密的密钥)以及在实现的时候需要的会话标识。
三、旧AP在收到重认证数据分组类型帧后,将其转换成重认证报文类型发送给ASU。
四、ASU接收到重认证报文类型后,根据里面新AP的信息确定新AP是否合法。若新AP合法则ASU构造重认证成功报文类型发送给新AP,报文内容包括:STA的证书、新AP证书,以及随机数。执行步骤六。
五、若认证不通过则ASU通知STA将要连接的新AP是不合法的。执行步骤八。
六、新AP收到重认证成功报文类型后,将认证成功报文消息发送给STA。
七、STA收到此认证成功报文消息后发送断开关联消息给旧AP。执行步骤九。
八、若STA收到ASU发来的新AP不合法的信息,则返回第二步重新选择另外的AP进行重认证。
九、STA发送重认证成功响应分组,开始新AP和STA的保密通信。
十、断开连接后在旧AP上接收到发给该STA的信息将转发给新AP,保持STA的通信不中断。
对于第一个步骤,需要STA在切换初,探测新AP时获得包含如地址、ID等区别AP的相关信息。
对于第二个步骤,由于其中的随机数是用于后面STA与新AP的数据保密用的,因此随机数应该使用STA与旧AP之间的数据加密密钥进行加密,经AP转发后由有线段的安全保密措施保护。或者使用ASU公钥加密,由ASU解密后在所述重认证成功报文类型里发送给新AP,旧AP就不能得到此密钥,从而安全性更高。
对于第三个步骤,由于消息中包含有后面要使用的数据加密密钥,因此必须保证此消息的保密性。作为STA与新AP间的数据加密密钥的随机数经旧AP解密后使用新AP与ASU间的保护措施进行保密。
对于第四个步骤,这里应该存在一个针对与ASU所连接的所有AP的认证列表。在这步骤中所述重认证成功报文类型里的随机数的保护可以由ASU与新AP间的保护措施来保证其安全性。
在第六个步骤,当新AP收到重认证成功报文类型后,可以使用STA传来的随机数将认证成功报文消息加密后发送给STA(证明认证通过,并且保证数据安全,以及验证AP的合法性)。这样就要求在第二步STA发送随机数的同时对应AP安装数据加密密钥。
也可以在认证成功后发送确认消息安装数据加密密钥,开始保密通信。
在第八个步骤,若收到ASU发来的新AP不合法的信息,则STA释放对应已安装的数据加密密钥。
在第九个步骤,重认证成功响应分组已经是受数据加密密钥的保护,证明了STA的身份。
在第十个步骤,STA必须先确认解密成功此重认证成功响应分组后再断开与旧AP的关联。
采用本发明提出的移动终端在国家标准WAPI安全保护的无线局域网系统环境中进行切换时的安全重认证的方法,能够在不降低其安全性能的前提下,充分利用网络中已经建立起来的安全信任关系,从而减少了国标中认证消息交互以及公钥签名计算,从而达到提高系统性能的目的。
附图说明
图1是现有技术WAI认证和密钥协商过程流程图;
图2本发明的安全重认证信任模型图;
图3本发明提出的安全重认证流程图。
具体实施方式
本发明是基于国标WAPI所保护的无线局域网系统环境,在STA进行切换时利用已经建立起来的信任关系而简化重认证过程的方法,其中信任关系示意图见图2。其中AP1是与STA建立连接的旧AP,AP2是STA将要连接的新AP。在图中可信任的链路是ASU-AP1-STA,需要重认证的链路是ASU-AP2-STA。在该信任关系中,对STA来说ASU是可以信任的,同时与STA相连接的旧的AP1也是可以信任的。其他AP是不可信任的,需要通过一定的途径进行对它认证。具体实施的步骤如下:
第一阶段:探测阶段
1)STA选定与哪个AP进行通信后再向此新AP发送探测请求帧进行确认。
2)新的AP发送探测响应帧进行回应。
需要在新AP的探测响应帧里包含如地址、ID等区别AP的相关信息,此信息应该与第6步里ASU数据库里建立的对于AP的信息列表相对应。
第二阶段:重关联阶段
3)STA和AP之间完成重新关联。
第三阶段:重认证阶段
4)当STA决定要与新AP进行通信的时候发送重认证数据分组类型帧给旧的AP,其中应该包含相关的新的AP的信息、一个经过加密的随机数(此随机数作为与新AP的数据加密的密钥)以及在实现的时候需要的会话标识(ID、时间等等)。
由于其中的随机数是用于后面的数据保密用的,因此此消息应该进行加密。可以使用STA与旧AP之间的数据加密密钥进行加密,经AP转发后由有线段的安全保密措施保护。也可以根据安全等级要求,可以使用ASU的公钥对此随机数进行加密,使得旧AP不能够得到此密钥,使用ASU公钥加密的随机数我们可以使用预计算的方法,在STA系统启动后的空闲时间计算并储存,当进行切换重认证时直接调用,可以减少延迟。
5)旧的AP在收到重认证分组类型的帧后,将其转换成重认证报文类型发送给ASU。
由于经消息中包含有后面要使用的数据加密密钥,因此必须保证此消息的保密性,数据加密密钥经旧AP解密后使用AP与ASU间的保护措施进行保密。
6)ASU接收到重认证报文类型后,根据本地维护的AP信息列表判断AP是否合法。若新AP非法,则ASU通过旧AP通知STA将要联接的新AP是不合法的,直接执行步骤9。若新AP合法,则ASU构造重认证成功报文类型发送给新的AP,报文内容包括:STA的证书、AP证书,以及用有线链路保密的密钥随机数。
ASU里应该存在一个针对与ASU所连接的所有AP的认证列表,与步骤2对应。
如果是使用AC作为ASU的代理,这里直接由AC构造认证成功失败消息。
7)新AP收到认证成功消息后,将认证成功报文消息发送给STA。此消息在具体实施的时候可以使用STA发来的数据加密密钥进行加密,这样不仅减少了步骤还同时验证了AP的合法性。这样就要求在第四步STA发送此密钥的时候对应新AP安装此密钥。
也可以在认证成功后协商安装加密密钥,开始保密通信。
第三阶段:重/断开连接阶段
8)STA收到此消息并且验证成功后,发送断开关联消息给旧AP。执行步骤10。
9)若STA收到ASU发来的新AP不合法的信息或者验证失败,则先断开与新AP的连接,并且返回第1步重新选择新的AP进行重认证。
10)STA发送重认证成功响应分组,开始新AP和STA的保密通信。此响应已经受加密密钥保护。
11)断开连接后在旧AP上接收到发给该STA的信息将转发给新的AP,保持STA的通信不中断。
Claims (10)
1、无线局域网移动终端的安全重认证方法,其特征在于,所述方法包括以下处理步骤:
1)在STA进行切换时触发重认证流程;
2)当STA决定要与选定新AP进行重认证的时候发送重认证数据分组类型帧给旧AP,其中应该包含相关的新AP的信息、一个经过加密的随机数以及所需要的会话标识,所述随机数为与新AP的数据加密密钥;
3)旧AP在收到重认证数据分组类型帧后,将其转换成重认证报文类型发送给ASU;
4)ASU接收到重认证报文类型后,根据里面新AP的信息认证新AP是否合法;若新AP合法,则ASU构造重认证成功报文类型发送给新AP,报文内容包括:STA的证书、新AP证书,以及随机数;执行步骤6);
5)若认证不通过则ASU通知STA将要连接的新AP是不合法的,执行步骤8);
6)新AP收到重认证成功报文类型后,将认证成功报文消息发送给STA;
7)STA收到此认证成功报文消息后发送断开关联消息给旧AP,执行步骤9);
8)若STA收到ASU发来的新AP不合法的信息,则返回步骤2)重新选择另外的AP进行重认证;
9)STA发送重认证成功响应分组,开始新AP和STA的保密通信;
10)断开连接后在旧AP上接收到发给该STA的信息将转发给新AP,保持STA的通信不中断。
2、如权利要求1所述的方法,其特征在于,所述步骤1)中STA在切换初,探测新AP时先获得区别不同AP的信息。
3、如权利要求1所述的方法,其特征在于,对于步骤2)中所述的随机数使用STA与旧AP之间的数据加密密钥进行加密,经AP转发后由有线段的安全保密措施保护。
4、如权利要求1所述的方法,其特征在于,对于步骤2)中所述的随机数使用ASU公钥加密,由ASU解密后在所述重认证成功报文类型里发送给新AP。
5、如权利要求1所述的方法,其特征在于,所述步骤3)中作为STA与新AP间的数据加密密钥的随机数经旧AP解密转换后使用新AP与ASU间的保护措施进行保密。
6、如权利要求1所述的方法,其特征在于,所述步骤4)前还包括在ASU中存放一个与ASU所连接的所有AP的认证列表,所述重认证成功报文类型里的随机数的保护由ASU与新AP间的保护措施来保证其安全性。
7、如权利要求1所述的方法,其特征在于,在所述步骤2)中STA发送随机数的同时还包括对应AP安装数据加密密钥,步骤6)中当新AP收到重认证成功报文类型后使用STA传来的随机数将认证成功报文消息加密后发送给STA;或者在认证成功后AP发送确认消息安装数据加密密钥,开始保密通信。
8、如权利要求7所述的方法,其特征在于,所述步骤8)还包括收到ASU发来的新AP不合法的信息,则STA释放对应已安装的数据加密密钥的处理步骤。
9、如权利要求1所述的方法,其特征在于,所述步骤9)中的重认证成功响应分组受数据加密密钥的保护,以证明STA的身份。
10、如权利要求1所述的方法,其特征在于,步骤10)中STA先确认解密成功此重认证成功响应分组后再断开与旧AP的关联。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100546021ACN100544253C (zh) | 2004-07-22 | 2004-07-22 | 无线局域网移动终端的安全重认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100546021ACN100544253C (zh) | 2004-07-22 | 2004-07-22 | 无线局域网移动终端的安全重认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1725685A CN1725685A (zh) | 2006-01-25 |
| CN100544253Ctrue CN100544253C (zh) | 2009-09-23 |
Family
ID=35924939
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100546021AExpired - LifetimeCN100544253C (zh) | 2004-07-22 | 2004-07-22 | 无线局域网移动终端的安全重认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100544253C (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101155396B (zh)* | 2006-09-25 | 2012-03-28 | 联想(北京)有限公司 | 一种终端结点切换方法 |
| CN101183939B (zh)* | 2006-11-14 | 2010-06-09 | 中兴通讯股份有限公司 | 基于多重认证的重授权方法 |
| CN100456725C (zh)* | 2007-03-15 | 2009-01-28 | 北京安拓思科技有限责任公司 | 用于wapi的获取公钥证书的网络系统和方法 |
| CN101056177B (zh)* | 2007-06-01 | 2011-06-29 | 清华大学 | 基于无线局域网安全标准wapi的无线网状网重认证方法 |
| WO2008151569A1 (fr)* | 2007-06-11 | 2008-12-18 | Huawei Technologies Co., Ltd. | Procédé, dispositif et système d'acquisition de clé |
| CN101079891B (zh)* | 2007-06-15 | 2010-12-15 | 清华大学 | 基于无线局域网安全标准wapi的无线交换网络重认证方法 |
| CN101345995B (zh)* | 2007-07-12 | 2012-02-22 | 华为技术有限公司 | 终端跨网络切换方法、设备和系统 |
| JP5282448B2 (ja)* | 2008-05-30 | 2013-09-04 | 富士通株式会社 | 無線通信システム、無線通信装置及びその切断処理方法 |
| CN101478753B (zh)* | 2009-01-16 | 2010-12-08 | 中兴通讯股份有限公司 | Wapi终端接入ims网络的安全管理方法及系统 |
| CN101902722B (zh)* | 2009-05-25 | 2013-05-08 | 南京中兴软件有限责任公司 | 实现移动终端在无线局域网内漫游认证的方法和接入点 |
| US8949593B2 (en)* | 2010-02-12 | 2015-02-03 | Ricoh Company, Limited | Authentication system for terminal identification information |
| CN101820629A (zh)* | 2010-04-15 | 2010-09-01 | 华为终端有限公司 | 一种无线局域网中身份认证的方法、装置及系统 |
| CN102014380B (zh)* | 2010-12-20 | 2014-04-30 | 广州杰赛科技股份有限公司 | 基于wapi的鉴证加速装置及高速鉴别认证方法 |
| KR101844211B1 (ko) | 2011-12-28 | 2018-05-15 | 삼성전자주식회사 | 가전기기의 네트워크 시스템 및 그 네트워크 설정 방법 |
| CN102833746B (zh)* | 2012-09-14 | 2015-11-25 | 福建星网锐捷网络有限公司 | 用户重认证方法及接入控制器 |
| US20140331296A1 (en)* | 2013-05-01 | 2014-11-06 | Qualcomm Incorporated | Mechanism for gateway discovery layer-2 mobility |
- 2004
- 2004-07-22CNCNB2004100546021Apatent/CN100544253C/zhnot_activeExpired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| CN1725685A (zh) | 2006-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101527908B (zh) | 一种无线局域网终端的预鉴别方法及无线局域网系统 | |
| TWI249316B (en) | SIM-based authentication method for supporting inter-AP fast handover | |
| CN100359845C (zh) | 无线局域网自组网模式共享密钥认证和会话密钥协商方法 | |
| EP2063567B1 (en) | A network access authentication and authorization method and an authorization key updating method | |
| EP1589695B1 (en) | A method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely | |
| US7734280B2 (en) | Method and apparatus for authentication of mobile devices | |
| CN100544253C (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN100373843C (zh) | 一种无线局域网中密钥协商方法 | |
| CN101212296B (zh) | 基于证书及sim的wlan接入认证方法及系统 | |
| CN108270571A (zh) | 基于区块链的物联网身份认证系统及其方法 | |
| CN100586067C (zh) | 一种兼容802.11i及WAPI的身份认证方法 | |
| CN101926122B (zh) | 建立安全关联的方法和通信系统 | |
| WO2010012203A1 (zh) | 鉴权方法、重认证方法和通信装置 | |
| JP2005524262A5 (zh) | ||
| CN101521881A (zh) | 一种无线局域网接入方法及系统 | |
| CN105323754B (zh) | 一种基于预共享密钥的分布式鉴权方法 | |
| CN100370772C (zh) | 一种无线局域网移动终端接入的方法 | |
| CN108809645A (zh) | 密钥协商的方法、装置及配电自动化系统 | |
| CN101272301A (zh) | 一种无线城域网的安全接入方法 | |
| CN101969639B (zh) | 一种多级证书和多种认证模式混合共存接入认证方法和系统 | |
| CN102209319B (zh) | 提高mesh网络中的接入控制器控制效率的方法及接入控制器 | |
| CN101635922B (zh) | 无线网状网络安全通信方法 | |
| KR100892616B1 (ko) | 무선 센서 네트워크에서의 새로운 장치 참여 방법 | |
| CN101282215A (zh) | 证书鉴别方法和设备 | |
| CN119449304A (zh) | 一种基于量子鉴权的变电站wapi网络安全管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term | Granted publication date:20090923 |