專利名稱:無線局域網(wǎng)加密密鑰的分發(fā)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng)內(nèi)接入站(AP)與移動終端之間的通信�,特別涉及加密密鑰的分發(fā)方法���。
背景技術(shù):
無線局域網(wǎng)借助無線信道傳輸數(shù)據(jù)�、話音和視頻信號����。相對于傳統(tǒng)布線網(wǎng)絡(luò)�����,無線局域網(wǎng)具有安裝便捷�、使用靈活、經(jīng)濟節(jié)約和易于擴展等優(yōu)點�����,因而日益受到重視。
無線局域網(wǎng)的可覆蓋區(qū)域稱為服務(wù)區(qū)域�����,一般分為基本服務(wù)區(qū)域(BasicService Area���,以下簡稱為BSA)和擴展服務(wù)區(qū)域(Extended Service Area���,以下簡稱為ESA),其中BSA指由無線局域網(wǎng)中各單元的無線收發(fā)機以及地理環(huán)境所確定的通信覆蓋區(qū)域���,常稱為小區(qū)(cell)���,范圍一般較小��;為了擴大無線局域網(wǎng)覆蓋區(qū)域��,通常采用如圖1所示的方法��,即通過接入站(Access Point�,以下簡稱為AP)經(jīng)無線網(wǎng)關(guān)將BSA與骨干網(wǎng)(通常是有線局域網(wǎng))相連接��,使多個BSA中的移動終端MH經(jīng)由AP和無線網(wǎng)關(guān)與有線骨干網(wǎng)連接���,從而構(gòu)成擴展服務(wù)區(qū)域。
與有線傳輸相比�,無線傳輸?shù)谋C苄暂^差,因此為了保證小區(qū)內(nèi)AP與移動終端之間的通信安全��,信息必須用密鑰加密以后才能發(fā)送�。當(dāng)移動終端跨區(qū)移動或加電啟動時,首先應(yīng)尋找自己所在的小區(qū)���,向該小區(qū)的AP登錄�����,并獲得該小區(qū)的相關(guān)信息���,因此其與AP的加密通信將受到一定的限制。具體而言�,例如當(dāng)移動終端MH12從小區(qū)1進入小區(qū)2時�,如果AP11與AP21屬于同一密鑰管理服務(wù)器的覆蓋范圍,則移動終端MH12與AP11的加密通信可以順利過渡至其與AP21的加密通信而不受影響���,但是如果AP11與AP21分屬不同的密鑰管理服務(wù)器���,則由于AP21無法獲知移動終端MH12的通信密鑰�,所以無法在小區(qū)2內(nèi)直接實現(xiàn)移動終端MH12與AP21的加密通信����。而如果由移動終端MH12將密鑰以非加密方式通過無線信道發(fā)送給AP21來實現(xiàn)加密通信,則由于密鑰容易被截獲和破譯����,所以系統(tǒng)存在很大的安全隱患。
由上可見��,現(xiàn)有技術(shù)下加密密鑰的分發(fā)方法存在移動終端跨區(qū)漫游時加密通信受到限制的缺點�。
發(fā)明內(nèi)容
針對上述情況,本發(fā)明提出一種新的無線局域網(wǎng)加密密鑰的分發(fā)方法���。
按照本發(fā)明的無線局域網(wǎng)加密密鑰的分發(fā)方法��,所述無線局域網(wǎng)包含一接入站(AP)和若干存儲自身標(biāo)識信息的移動終端���,移動終端通過無線信道與AP通信,AP與外部網(wǎng)絡(luò)和對移動終端身份進行認(rèn)證的認(rèn)證裝置連接�,所述認(rèn)證裝置存儲有各移動終端的標(biāo)識信息���,所述方法包含如下步驟(1)移動終端向認(rèn)證裝置發(fā)送包含標(biāo)識信息的認(rèn)證請求以請求對其進行身份認(rèn)證;(2)認(rèn)證裝置根據(jù)認(rèn)證請求中包含的標(biāo)識信息對移動終端進行認(rèn)證�����,如果認(rèn)證失敗��,則經(jīng)AP向移動終端發(fā)送拒絕接入消息���;如果認(rèn)證成功�����,則認(rèn)證裝置向AP發(fā)送與密鑰有關(guān)的信息M1����,并且經(jīng)AP向該移動終端發(fā)送包含允許接入通知信息的消息���,如果該消息包含與密鑰有關(guān)的信息M2���,則必須經(jīng)過加密處理;(3)AP根據(jù)認(rèn)證裝置向其發(fā)送的與密鑰有關(guān)的信息M1獲得密鑰,移動終端根據(jù)認(rèn)證裝置經(jīng)AP向其發(fā)送的消息獲得密鑰�����。
由上可見�����,本發(fā)明的利用密鑰的通信方法將密鑰的分發(fā)過程與移動終端的認(rèn)證過程結(jié)合在一起�����,利用認(rèn)證裝置對密鑰分發(fā)進行管理�����,因此���,移動終端用戶可以在大于密鑰管理服務(wù)器覆蓋范圍內(nèi)跨區(qū)漫游。由于密鑰的分發(fā)不涉及通過空中接口中傳遞未加密的密鑰�,所以保證了密鑰安全。此外��,上述密鑰分配方法不依賴于特定的認(rèn)證方式�����,因而可以在各種無線局域網(wǎng)協(xié)議下實現(xiàn)。最后�,由于AP無需管理用戶信息,簡化了AP的結(jié)構(gòu)從而降低了成本����。
通過以下結(jié)合附圖對本發(fā)明實施例的描述,可以進一步理解本發(fā)明的各種優(yōu)點�、特點和特征,其中圖1為無線局域網(wǎng)經(jīng)AP和無線網(wǎng)關(guān)與有線骨干網(wǎng)連接的示意圖����;圖2a為按照本發(fā)明一個實施例的無線局域網(wǎng)內(nèi)加密通信方法的示意圖;圖2b為按照本發(fā)明另一實施例的無線局域網(wǎng)內(nèi)加密通信方法的示意圖�����;圖2c為按照本發(fā)明另一實施例的無線局域網(wǎng)內(nèi)加密通信方法的示意圖�;圖2d為按照本發(fā)明另一實施例的無線局域網(wǎng)內(nèi)加密通信方法的示意圖;圖3a示出了無線局域網(wǎng)內(nèi)動態(tài)協(xié)商密鑰的一個實例過程����;圖3b示出了無線局域網(wǎng)內(nèi)動態(tài)協(xié)商密鑰的另一個實例過程;圖3c示出了無線局域網(wǎng)內(nèi)動態(tài)協(xié)商密鑰的另一個實例過程�;圖3d示出了無線局域網(wǎng)內(nèi)動態(tài)協(xié)商密鑰的另一個實例過程��;以及
具體實施例方式
以下首先借助圖1���、圖2a-2d描述按照本發(fā)明實施例的無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法。
如圖1所示�,小區(qū)1~3包含一接入站AP11���、AP21和AP31以及若干移動終端MH12~MH33�,每個移動終端都存儲有標(biāo)識其身份的身份信息I和特征信息P��,每個移動終端通過無線信道與同屬一個小區(qū)內(nèi)的AP通信�,AP經(jīng)無線網(wǎng)關(guān)51-53與有線骨干網(wǎng)4連接,骨干網(wǎng)內(nèi)的認(rèn)證服務(wù)器(未畫出)包含了所有小區(qū)內(nèi)的所有移動終端的身份信息I和特征信息P���,認(rèn)證服務(wù)器也可以從外部設(shè)備獲得存儲每個移動終端身份信息I和特征信息P的用戶列表�,因此可以利用其存儲的或用戶列表提供的身份信息I對任一移動終端用戶的身份進行確認(rèn)���。值得指出的是�����,移動終端的身份信息I和特征信息P也可以由無線網(wǎng)關(guān)51-53存儲或管理���,由此可由無線網(wǎng)關(guān)實現(xiàn)對移動終端用戶身份的認(rèn)證功能�。另外�����,還可以由認(rèn)證服務(wù)器與無線網(wǎng)關(guān)協(xié)同實現(xiàn)對移動終端用戶身份的確認(rèn)功能�。對于本領(lǐng)域內(nèi)的技術(shù)人員來說,實現(xiàn)移動終端用戶的身份確認(rèn)功能的方式是公知的并且可以有多種���,利用認(rèn)證服務(wù)器和/或無線網(wǎng)只是其中的幾種方式���,為方便表述起見,以下將具有移動終端用戶身份確認(rèn)功能的裝置統(tǒng)稱為認(rèn)證裝置�����。
圖2a示出了移動終端MH12從小區(qū)1進入小區(qū)2時其與AP21之間通信用密鑰的首次分發(fā)過程和加密通信過程�����。
移動終端MH12首先與AP21建立初始連接�����,經(jīng)AP21和無線網(wǎng)關(guān)51向骨干網(wǎng)4內(nèi)的認(rèn)證服務(wù)器發(fā)送包含身份信息的認(rèn)證請求以請求對其進行認(rèn)證。認(rèn)證服務(wù)器在接收到認(rèn)證請求后�,首先根據(jù)認(rèn)證請求中包含的身份信息I對移動終端的身份進行認(rèn)證,如果發(fā)現(xiàn)所包含的身份信息I與其存儲的不相符��,則判斷移動終端用戶為非法用戶�,認(rèn)證請求無效,因此經(jīng)無線網(wǎng)關(guān)51和AP21向移動終端MH11發(fā)送拒絕接入消息���。如果發(fā)現(xiàn)認(rèn)證請求所包含的身份信息I與其存儲的相符,則判斷移動終端用戶為合法用戶��,認(rèn)證請求有效�����,因此如圖2a所示�����,認(rèn)證服務(wù)器根據(jù)包含的身份信息I查找對應(yīng)移動終端MH12的特征信息P并將查找到的特征信息P經(jīng)無線網(wǎng)關(guān)51發(fā)送給AP21���。AP21在接收到認(rèn)證服務(wù)器發(fā)送的特征信息P之后經(jīng)無線網(wǎng)關(guān)向認(rèn)證服務(wù)器返回確認(rèn)收到特征信息P的確認(rèn)消息并根據(jù)密鑰生成算法從特征信息P生成密鑰����。密鑰生成算法可以是任意一種算法,并且密鑰的長度是任意的�����。認(rèn)證服務(wù)器在接收到AP21發(fā)送的確認(rèn)消息之后即經(jīng)無線網(wǎng)關(guān)51和AP21向移動終端MH21發(fā)送允許接入通知消息�。移動終端MH21收到允許接入通知消息之后,根據(jù)與AP21生成密鑰時所用的相同算法����,從其自身存儲的特征信息P生成密鑰以用該密鑰對發(fā)送至AP21的數(shù)據(jù)分組進行加密并向AP21發(fā)送,移動終端MH21在對數(shù)據(jù)分組進行加密時在數(shù)據(jù)分組內(nèi)加入加密標(biāo)識�����。AP21在收到移動終端MH21發(fā)送的數(shù)據(jù)分組后���,首先檢測數(shù)據(jù)分組中的加密標(biāo)識�,如果檢測到加密標(biāo)識�,則使用根據(jù)密鑰生成算法從特征信息P得到的密鑰對數(shù)據(jù)分組解密并經(jīng)無線網(wǎng)關(guān)51轉(zhuǎn)發(fā)至外部網(wǎng)絡(luò)4,否則將數(shù)據(jù)分組經(jīng)無線網(wǎng)關(guān)51直接轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)4����。
圖2b為按照本發(fā)明另一實施例的無線局域網(wǎng)內(nèi)加密通信方法的示意圖。該實施例與圖2a所示實施例的區(qū)別在于����,在上述通信過程中��,密鑰由AP21利用任一密鑰生成算法生成并用特征信息P對密鑰加密后發(fā)送給移動終端MH21���。移動終端MH21在接收到AP21發(fā)送的密鑰之后,用其自身存儲的特征信息P對密鑰進行解密����,然后用解密后的密鑰對發(fā)送至AP的數(shù)據(jù)分組進行加密并向AP發(fā)送,移動終端在對數(shù)據(jù)分組進行加密時在數(shù)據(jù)分組內(nèi)也加入加密標(biāo)識��。在這種情況下��,各移動終端無需知曉AP21所采用的密鑰生成算法���。
圖2c為按照本發(fā)明另一實施例的無線局域網(wǎng)內(nèi)加密通信方法的示意圖。該實施例與圖2a所示實施例的區(qū)別在于�,當(dāng)認(rèn)證成功時,認(rèn)證服務(wù)器可以根據(jù)密鑰生成算法從查找到的特征信息P生成密鑰并發(fā)送給AP21而不是將特征信息P發(fā)送給AP21供其生成密鑰�����。
圖2d為按照本發(fā)明另一實施例的無線局域網(wǎng)內(nèi)加密通信方法的示意圖�。該實施例與圖2c所示實施例的區(qū)別在于�����,當(dāng)認(rèn)證成功時���,認(rèn)證服務(wù)器可以根據(jù)密鑰生成算法生成密鑰并發(fā)送給AP21,與此同時認(rèn)證服務(wù)器還向移動終端MH21發(fā)送以特征信息P加密的密鑰���。
值得指出的是�����,骨干網(wǎng)4內(nèi)可以包含若干臺認(rèn)證服務(wù)器���,它們之間通過一定的通信協(xié)議連接以交換所存儲的移動終端的標(biāo)識信息,因此可以進一步擴大擴展服務(wù)區(qū)域�。
在上述實施例中,如果移動終端用戶身份的確認(rèn)功能由無線網(wǎng)關(guān)51-53單獨實現(xiàn)���,則原先認(rèn)證服務(wù)器所實現(xiàn)的其它功能也可以由無線網(wǎng)關(guān)實現(xiàn)��,例如可以由無線網(wǎng)關(guān)51-53向移動終端MH21發(fā)送允許接入通知��,生成密鑰以及向AP21發(fā)送特征信息P等��。同樣����,如果確認(rèn)功能由認(rèn)證服務(wù)器與無線網(wǎng)關(guān)協(xié)同實現(xiàn),則原先認(rèn)證服務(wù)器所實現(xiàn)的其它功能可以由認(rèn)證服務(wù)器與無線網(wǎng)關(guān)協(xié)同實現(xiàn)��?�?傊?�,原先認(rèn)證服務(wù)器所實現(xiàn)的全部功能都可以由認(rèn)證裝置實現(xiàn)���。
在上述無線局域網(wǎng)內(nèi)加密通信過程中��,為了進一步提高系統(tǒng)的安全性�,AP與移動終端之間的通信密鑰還可定期或不定期動態(tài)更新���。以下借助圖3a-3d描述這種動態(tài)協(xié)商密鑰的幾個實例過程。
如圖3a所示����,為了更換密鑰,首先由AP產(chǎn)生一個隨機數(shù)�,并利用任一密鑰生成算法從該隨機數(shù)生成密鑰���,隨后AP將該隨機數(shù)放入改變密鑰通知一起發(fā)送給移動終端。當(dāng)移動終端收到改變密鑰通知后����,就根據(jù)改變密鑰通知中包含的隨機數(shù),利用相同的密鑰生成算法產(chǎn)生密鑰�,隨后用該密鑰對發(fā)送至AP的數(shù)據(jù)分組進行加密并向AP發(fā)送,移動終端在對數(shù)據(jù)分組進行加密時仍在數(shù)據(jù)分組內(nèi)加入加密標(biāo)識并改變加密標(biāo)識的數(shù)值以表示已經(jīng)更換通信密鑰����。
圖3b示出了另一動態(tài)協(xié)商密鑰的實例過程,在圖3b中��,為了更換密鑰��,首先由AP以任意方式生成新的密鑰���,隨后AP用當(dāng)前密鑰對新生成的密鑰進行加密并將加密后的密鑰放入改變密鑰通知一起發(fā)送給移動終端��。當(dāng)移動終端收到改變密鑰通知后��,用當(dāng)前密鑰解密包含在改變密鑰通知中的新密鑰����,隨后用該新密鑰對發(fā)送至AP的數(shù)據(jù)分組進行加密并向AP發(fā)送,移動終端在對數(shù)據(jù)分組進行加密時仍在數(shù)據(jù)分組內(nèi)加入加密標(biāo)識并改變加密標(biāo)識的數(shù)值以表示已經(jīng)更換通信密鑰���。
圖3c示出了另一動態(tài)協(xié)商密鑰的實例過程��,在圖3c中���,為了更換密鑰,首先由認(rèn)證裝置產(chǎn)生一個隨機數(shù)�,并利用任一密鑰生成算法從該隨機數(shù)生成密鑰,隨后認(rèn)證裝置將該隨機數(shù)發(fā)送給移動終端并將生成的密鑰發(fā)送給AP�。當(dāng)AP收到認(rèn)證裝置發(fā)送的密鑰之后,向移動終端發(fā)送改變密鑰通知��。當(dāng)移動終端收到改變密鑰通知和隨機數(shù)后���,利用相同的密鑰生成算法產(chǎn)生密鑰����,隨后用該密鑰對發(fā)送至AP的數(shù)據(jù)分組進行加密并向AP發(fā)送����,移動終端在對數(shù)據(jù)分組進行加密時仍在數(shù)據(jù)分組內(nèi)加入加密標(biāo)識并改變加密標(biāo)識的數(shù)值以表示已經(jīng)更換通信密鑰。
圖3d示出了另一動態(tài)協(xié)商密鑰的實例過程�����,在圖3d中�����,為了更換密鑰�����,首先由認(rèn)證裝置以任意方式生成新的密鑰�,隨后認(rèn)證裝置將密鑰發(fā)送給AP并用當(dāng)前密鑰對新生成的密鑰進行加密后發(fā)送給移動終端。AP在接收到認(rèn)證裝置發(fā)送的未加密密鑰后向移動終端發(fā)送改變密鑰通知����。當(dāng)移動終端收到改變密鑰通知和加密的密鑰后,用當(dāng)前密鑰解密加密密鑰以得到新密鑰�����,隨后用該新密鑰對發(fā)送至AP的數(shù)據(jù)分組進行加密并向AP發(fā)送���,移動終端在對數(shù)據(jù)分組進行加密時仍在數(shù)據(jù)分組內(nèi)加入加密標(biāo)識并改變加密標(biāo)識的數(shù)值以表示已經(jīng)更換通信密鑰��。
在上述動態(tài)協(xié)商密鑰過程中���,如果AP在發(fā)出改變密鑰通知以后�,發(fā)現(xiàn)移動終端發(fā)送的數(shù)據(jù)分組內(nèi)加密標(biāo)識的數(shù)值未作改變�,則再次發(fā)送改變密鑰通知和隨機數(shù)或加密的新密鑰,直到移動終端啟用新的密鑰進行通信��。
由上可見����,上述密鑰分配方法并不涉及無線局域網(wǎng)內(nèi)登錄管理、認(rèn)證管理和移動管理的特定方式��,因此可以在各種無線局域網(wǎng)協(xié)議體系下實現(xiàn)��,包括PPPoE����、IEEE 802.1x協(xié)議等。但是為了進一步理解本發(fā)明的特點����、優(yōu)點和目標(biāo),以下以IEEE 802.1x協(xié)議為例描述本發(fā)明密鑰分配方法的具體實現(xiàn)方式��。
IEEE 802.1x是一種常用的無線局域網(wǎng)的協(xié)議體系,涉及MAC層和物理層標(biāo)準(zhǔn)�,AP與移動終端之間的數(shù)據(jù)分組以MAC幀為單位�����,圖4示出了典型的MAC幀結(jié)構(gòu)��。IEEE 802.1x協(xié)議報文主要包括EAP_START���、EAP_LOGOOF�����、EAP_REQUEST�����、EAP_RESPONSE����、EAP_SUCCESS��、EAP_FAIL和EAP_KEY�����,這些報文為特殊的MAC幀,都通過MAC幀中的類型域來標(biāo)識��。
當(dāng)移動終端與AP之間初始連接時����,首先移動終端向AP發(fā)送EAP_START報文,AP在收到后向移動終端發(fā)送EAP_REQUEST/IDENTITY報文���,要求用戶輸入用戶名和密碼��。用戶輸入用戶名和密碼���,移動終端將它們封裝在EAP_RESPONSE/IDENTITY報文中并回送給AP。AP將用戶提供的用戶名和密碼信息封裝在Access_Request報文中發(fā)送給認(rèn)證服務(wù)器�,AP與認(rèn)證服務(wù)器之間的通信遵循Radius協(xié)議。認(rèn)證服務(wù)器首先驗證用戶名和密碼是否匹配����,如果不匹配,則確定認(rèn)證失敗并將Accept-Reject報文回送給AP��。AP收到后發(fā)送EAP_FAIL報文給移動終端����,拒絕移動終端接入�����。如果認(rèn)證成功��,則認(rèn)證服務(wù)器發(fā)送Access_Accept報文,同時在該報文的數(shù)據(jù)域中包含該用戶的對應(yīng)信息P�。AP收到該消息后,如上述密鑰分配方法所述�,既可以根據(jù)某一密鑰生成算法從對應(yīng)信息P生成密鑰并發(fā)送EAP_SUCCESS報文給移動終端,也可以用對應(yīng)信息P加密生成的密鑰然后借助EAP_KEY報文傳送給移動終端����。相應(yīng)地,移動終端可根據(jù)同樣的密鑰生成算法從自己存儲的對應(yīng)信息P生成密鑰或者用對應(yīng)信息P解密接收到的密鑰�。接著,移動終端使用密鑰對MAC幀數(shù)據(jù)進行加密并傳送給AP��,同時在MAC幀中加入加密標(biāo)識����。如圖4所示,幀體域由IV域�����、數(shù)據(jù)域和ICV域組成,特別是在IV域中包含了2個比特的KeyID域作為同步標(biāo)志����。比較好的是,當(dāng)MAC幀未加密時�����,KeyID=0�����,當(dāng)開始加密通信時�����,每次改變密鑰�,KeyID都遞增1,即KeyID=KeyID+1����。如果KeyID=3,則再次更新密鑰時將KeyID重置為1而不是0。因此首次加密MAC數(shù)據(jù)時����,移動終端發(fā)出的MAC幀中的域KeyID=1。AP在收到KeyID=1的MAC幀后�,確定移動終端已啟用新分配的密鑰,于是就用前述生成的密鑰解密MAC數(shù)據(jù)��,并且轉(zhuǎn)換為以太網(wǎng)格式向有線網(wǎng)絡(luò)轉(zhuǎn)發(fā)�。如果AP在發(fā)送EAP_KEY報文后,發(fā)現(xiàn)移動終端上傳的MAC幀中的KeyID域仍然為0���,則重發(fā)EAP_SUCCESS報文或者EAP_KEY。
為了動態(tài)地更新通信密鑰�,AP可以自移動終端登錄起,定期(例如每隔10分鐘)或不定期地發(fā)送EAP_KEY報文��,通知移動終端修改密鑰���。在發(fā)送的EAP_KEY中����,可選擇包含生成密鑰所用的隨機數(shù)或者用當(dāng)前密鑰加密的新密鑰���。移動終端在收到該報文后�����,可以用相同的密鑰生成方法從該隨機數(shù)生成新密鑰或者用當(dāng)前密鑰解密新的密鑰�。接著,移動終端用新密鑰加密MAC數(shù)據(jù)�����,同時使KeyID取值為KeyID=2����。AP檢測上傳的MAC幀的KeyID域,如果KeyID保持不變��,則繼續(xù)使用當(dāng)前密鑰解密MAC數(shù)據(jù)����,同時重發(fā)EAP_KEY報文。如果KeyID改變���,則使用新密鑰解密MAC數(shù)據(jù)���。
權(quán)利要求
1.一種無線局域網(wǎng)加密密鑰的分發(fā)方法,所述無線局域網(wǎng)包含一接入站(AP)和若干存儲自身標(biāo)識信息的移動終端,移動終端通過無線信道與AP通信�����,AP與外部網(wǎng)絡(luò)和對移動終端身份進行認(rèn)證的認(rèn)證裝置連接�����,所述認(rèn)證裝置存儲有各移動終端的標(biāo)識信息�,其特征在于所述方法包含如下步驟(1)移動終端向認(rèn)證裝置發(fā)送包含標(biāo)識信息的認(rèn)證請求以請求對其進行身份認(rèn)證;(2)認(rèn)證裝置根據(jù)認(rèn)證請求中包含的標(biāo)識信息對移動終端進行認(rèn)證�,如果認(rèn)證失敗,則經(jīng)AP向移動終端發(fā)送拒絕接入消息�����;如果認(rèn)證成功����,則認(rèn)證裝置向AP發(fā)送與密鑰有關(guān)的信息M1��,并且經(jīng)AP向該移動終端發(fā)送包含允許接入通知信息的消息�����,如果該消息包含與密鑰有關(guān)的信息M2,則必須經(jīng)過加密處理��;(3)AP根據(jù)認(rèn)證裝置向其發(fā)送的與密鑰有關(guān)的信息M1獲得密鑰����,移動終端根據(jù)認(rèn)證裝置經(jīng)AP向其發(fā)送的消息獲得密鑰。
2.如權(quán)利要求1所述的無線局域網(wǎng)加密密鑰的分發(fā)方法���,其特征在于所述信息M1為認(rèn)證裝置根據(jù)認(rèn)證請求中包含的標(biāo)識信息查找到的相應(yīng)特征信息�,AP獲得密鑰的方式為根據(jù)密鑰生成算法從所述特征信息生成密鑰�,而移動終端獲得密鑰的方式為在接收到AP轉(zhuǎn)發(fā)的包含允許接入通知信息的消息后根據(jù)同一密鑰生成算法從自身存儲的所述特征信息生成密鑰。
3.如權(quán)利要求1所述的無線局域網(wǎng)加密密鑰的分發(fā)方法���,其特征在于所述信息M1為認(rèn)證裝置根據(jù)認(rèn)證請求中包含的標(biāo)識信息查找到的相應(yīng)特征信息�,AP獲得密鑰的方式為根據(jù)密鑰生成算法生成密鑰�,所述信息M2為AP獲得的密鑰并以所述特征信息加密后連同允許接入通知信息一起發(fā)送給移動終端,移動終端獲得密鑰的方式為用所述特征信息對信息M2進行解密以獲得密鑰�����。
4.如權(quán)利要求1所述的無線局域網(wǎng)加密密鑰的分發(fā)方法�,其特征在于所述信息M1為認(rèn)證裝置根據(jù)密鑰生成算法從與認(rèn)證請求中包含的標(biāo)識信息對應(yīng)的特征信息生成的密鑰,移動終端獲得密鑰的方式為在接收到允許接入通知信息后根據(jù)同一密鑰生成算法從自身存儲的所述特征信息生成密鑰��。
5.如權(quán)利要求1所述的無線局域網(wǎng)加密密鑰的分發(fā)方法,其特征在于所述信息M1和M2為認(rèn)證裝置根據(jù)密鑰生成算法從與認(rèn)證請求中包含的標(biāo)識信息對應(yīng)的特征信息生成的密鑰���,所述信息M2以所述特征信息加密后連同允許接入通知信息發(fā)送給移動終端�����,移動終端獲得密鑰的方式為在接收到允許接入通知信息后以自身存儲的所述特征信息對信息M2解密獲得密鑰����。
6.如權(quán)利要求1-5中任意一項所述的無線局域網(wǎng)加密密鑰的分發(fā)方法�����,其特征在于自AP接收到移動終端發(fā)送的用密鑰加密的數(shù)據(jù)分組起定期或不定期地以包含如下步驟的方式更新密鑰(a1)AP產(chǎn)生一個隨機數(shù)并利用任一密鑰生成算法從該隨機數(shù)生成新密鑰�;(b1)AP將該隨機數(shù)放入改變密鑰通知一起發(fā)送給移動終端;(c1)當(dāng)移動終端收到改變密鑰通知后�,根據(jù)改變密鑰通知中包含的隨機數(shù),利用與步驟(a)中所述相同的密鑰生成算法產(chǎn)生新密鑰����;(d1)移動終端用新密鑰對發(fā)送至AP的數(shù)據(jù)分組進行加密并向AP發(fā)送����,在加密時移動終端在數(shù)據(jù)分組內(nèi)加入加密標(biāo)識并改變加密標(biāo)識的數(shù)值以表示已經(jīng)更換通信密鑰�����;以及(e1)AP接收到移動終端發(fā)送的數(shù)據(jù)分組后����,根據(jù)其中的加密標(biāo)識的數(shù)值決定是否更換密鑰�����。
7.如權(quán)利要求1-5中任意一項所述的無線局域網(wǎng)加密密鑰的分發(fā)方法�,其特征在于自AP接收到移動終端發(fā)送的用密鑰加密的數(shù)據(jù)分組起定期或不定期地以包含如下步驟的方式更新通信密鑰以完成新密鑰下的加密通信(a2)AP以任意方式生成新的密鑰并用當(dāng)前使用的密鑰對新生成的密鑰進行加密;(b2)AP將加密后的密鑰放入改變密鑰通知一起發(fā)送給移動終端�����;(c2)當(dāng)移動終端收到改變密鑰通知后�,用當(dāng)前使用的密鑰解密包含在改變密鑰通知中的新密鑰從而獲得新密鑰;(d2)移動終端用新密鑰對發(fā)送至AP的數(shù)據(jù)分組進行加密并向AP發(fā)送����,在加密時移動終端在數(shù)據(jù)分組內(nèi)加入加密標(biāo)識并改變加密標(biāo)識的數(shù)值以表示已經(jīng)更換通信密鑰;以及(e2)AP接收到移動終端發(fā)送的數(shù)據(jù)分組后�,根據(jù)其中的加密標(biāo)識的數(shù)值決定是否更換密鑰。
8.如權(quán)利要求1-5中任意一項所述的無線局域網(wǎng)加密密鑰的分發(fā)方法����,其特征在于自AP接收到移動終端發(fā)送的用密鑰加密的數(shù)據(jù)分組起定期或不定期地以包含如下步驟的方式更新密鑰(a3)認(rèn)證裝置首先產(chǎn)生一個隨機數(shù)以利用密鑰生成算法從該隨機數(shù)生成新密鑰����,然后將新密鑰發(fā)送給AP而將隨機數(shù)經(jīng)AP發(fā)送給移動終端����;(b3)AP在接收到新密鑰之后將改變密鑰通知發(fā)送給移動終端;(c3)當(dāng)移動終端收到認(rèn)證裝置發(fā)送的隨機數(shù)和AP發(fā)送的改變密鑰通知后��,根據(jù)隨機數(shù)���,利用與步驟(a)中所述相同的密鑰生成算法產(chǎn)生新密鑰�;(d3)移動終端用新密鑰對發(fā)送至AP的數(shù)據(jù)分組進行加密并向AP發(fā)送���,在加密時移動終端在數(shù)據(jù)分組內(nèi)加入加密標(biāo)識并改變加密標(biāo)識的數(shù)值以表示已經(jīng)更換通信密鑰��;以及(e3)AP接收到移動終端發(fā)送的數(shù)據(jù)分組后����,根據(jù)其中的加密標(biāo)識的數(shù)值決定是否更換密鑰�����。
9.如權(quán)利要求1-5任意一項所述的無線局域網(wǎng)加密密鑰的分發(fā)方法���,其特征在于自AP接收到移動終端發(fā)送的用密鑰加密的數(shù)據(jù)分組起定期或不定期地以包含如下步驟的方式更新通信密鑰以完成新密鑰下的加密通信(a4)認(rèn)證裝置以任意方式生成新的密鑰并用當(dāng)前使用的密鑰對新生成的密鑰進行加密�����,新密鑰被發(fā)送給AP而加密后的新密鑰經(jīng)AP被發(fā)送給移動終端�;(b4)AP接收到新密鑰后向移動終端發(fā)送改變密鑰通知��;(c4)當(dāng)移動終端收到認(rèn)證裝置發(fā)送的加密密鑰和AP發(fā)送的改變密鑰通知后���,用當(dāng)前使用的密鑰解密加密密鑰從而獲得新密鑰��;(d4)移動終端用新密鑰對發(fā)送至AP的數(shù)據(jù)分組進行加密并向AP發(fā)送����,在加密時移動終端在數(shù)據(jù)分組內(nèi)加入加密標(biāo)識并改變加密標(biāo)識的數(shù)值以表示已經(jīng)更換通信密鑰����;以及(e4)AP接收到移動終端發(fā)送的數(shù)據(jù)分組后,根據(jù)其中的加密標(biāo)識的數(shù)值決定是否更換密鑰���。
10.如權(quán)利要求1-5中任意一項所述的無線局域網(wǎng)加密密鑰的分發(fā)方法�����,其特征在于所述認(rèn)證裝置為外部網(wǎng)絡(luò)內(nèi)部設(shè)置的認(rèn)證服務(wù)器����。
11.如權(quán)利要求6所述的無線局域網(wǎng)加密密鑰的分發(fā)方法,其特征在于所述認(rèn)證裝置為外部網(wǎng)絡(luò)內(nèi)部設(shè)置的認(rèn)證服務(wù)器�。
12.如權(quán)利要求7所述的無線局域網(wǎng)加密密鑰的分發(fā)方法,其特征在于所述認(rèn)證裝置為外部網(wǎng)絡(luò)內(nèi)部設(shè)置的認(rèn)證服務(wù)器����。
13.如權(quán)利要求8所述的無線局域網(wǎng)加密密鑰的分發(fā)方法,其特征在于所述認(rèn)證裝置為外部網(wǎng)絡(luò)內(nèi)部設(shè)置的認(rèn)證服務(wù)器���。
14.如權(quán)利要求9所述的無線局域網(wǎng)加密密鑰的分發(fā)方法��,其特征在于所述認(rèn)證裝置為外部網(wǎng)絡(luò)內(nèi)部設(shè)置的認(rèn)證服務(wù)器�。
15.如權(quán)利要求1-5中任意一項所述的無線局域網(wǎng)加密密鑰的分發(fā)方法�,其特征在于所述認(rèn)證裝置為將外部網(wǎng)絡(luò)與AP連接起來的無線網(wǎng)關(guān)。
16.如權(quán)利要求6所述的無線局域網(wǎng)加密密鑰的分發(fā)方法���,其特征在于所述認(rèn)證裝置為將外部網(wǎng)絡(luò)與AP連接起來的無線網(wǎng)關(guān)��。
17.如權(quán)利要求7所述的無線局域網(wǎng)加密密鑰的分發(fā)方法���,其特征在于所述認(rèn)證裝置為將外部網(wǎng)絡(luò)與AP連接起來的無線網(wǎng)關(guān)�。
18.如權(quán)利要求8所述的無線局域網(wǎng)加密密鑰的分發(fā)方法��,其特征在于所述認(rèn)證裝置為將外部網(wǎng)絡(luò)與AP連接起來的無線網(wǎng)關(guān)���。
19.如權(quán)利要求9所述的無線局域網(wǎng)加密密鑰的分發(fā)方法,其特征在于所述認(rèn)證裝置為將外部網(wǎng)絡(luò)與AP連接起來的無線網(wǎng)關(guān)����。
20.如權(quán)利要求1-5中任意一項所述的無線局域網(wǎng)加密密鑰的分發(fā)方法,其特征在于所述認(rèn)證裝置包括無線網(wǎng)關(guān)和外部網(wǎng)絡(luò)內(nèi)部設(shè)置的認(rèn)證服務(wù)器���。
21.如權(quán)利要求6所述的無線局域網(wǎng)加密密鑰的分發(fā)方法�,其特征在于所述認(rèn)證裝置包括無線網(wǎng)關(guān)和外部網(wǎng)絡(luò)內(nèi)部設(shè)置的認(rèn)證服務(wù)器��。
22.如權(quán)利要求7所述的無線局域網(wǎng)加密密鑰的分發(fā)方法�,其特征在于所述認(rèn)證裝置包括無線網(wǎng)關(guān)和外部網(wǎng)絡(luò)內(nèi)部設(shè)置的認(rèn)證服務(wù)器。
23.如權(quán)利要求8所述的無線局域網(wǎng)加密密鑰的分發(fā)方法����,其特征在于所述認(rèn)證裝置包括無線網(wǎng)關(guān)和外部網(wǎng)絡(luò)內(nèi)部設(shè)置的認(rèn)證服務(wù)器。
24.如權(quán)利要求9所述的無線局域網(wǎng)加密密鑰的分發(fā)方法,其特征在于所述認(rèn)證裝置包括無線網(wǎng)關(guān)和外部網(wǎng)絡(luò)內(nèi)部設(shè)置的認(rèn)證服務(wù)器����。
全文摘要
一種無線局域網(wǎng)加密密鑰分發(fā)方法,該方法將密鑰的分發(fā)過程與移動終端的認(rèn)證過程結(jié)合在一起�,利用認(rèn)證服務(wù)器或無線網(wǎng)關(guān)對密鑰分發(fā)進行管理,因此�����,移動終端用戶可以在大于密鑰管理服務(wù)器覆蓋范圍內(nèi)跨區(qū)漫游�����。由于密鑰的分發(fā)不涉及通過空中接口中傳遞未加密的密鑰���,所以保證了密鑰安全���。此外,上述密鑰分配方法不依賴于特定的認(rèn)證方式����,因而可以在各種認(rèn)證協(xié)議下實現(xiàn)。最后��,由于AP無需管理用戶信息,簡化了AP的結(jié)構(gòu)從而降低了成本����。
文檔編號H04L12/28GK1444362SQ0211097
公開日2003年9月24日 申請日期2002年3月8日 優(yōu)先權(quán)日2002年3月8日
發(fā)明者李永茂, 吳更石 申請人:華為技術(shù)有限公司