專利名稱:一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng)內(nèi)接入站(AP)與移動終端之間的通信,特別涉及加密密鑰的分發(fā)方法��。
背景技術(shù):
無線局域網(wǎng)借助無線信道傳輸數(shù)據(jù)���、話音和視頻信號�。相對于傳統(tǒng)布線網(wǎng)絡(luò),無線局域網(wǎng)具有安裝便捷����、使用靈活、經(jīng)濟節(jié)約和易于擴展等優(yōu)點�,因而日益受到重視。
無線局域網(wǎng)的可覆蓋區(qū)域稱為服務(wù)集���,一般分為基本服務(wù)集(BSS)12和擴展服務(wù)集(ESS)11�����,其中基本服務(wù)集(BSS)12指由無線局域網(wǎng)中各單元的無線收發(fā)機以及地理環(huán)境所確定的通信覆蓋區(qū)域�,常稱為小區(qū)��,范圍一般較小�,為了擴大無線局域網(wǎng)覆蓋區(qū)域,通常采用如圖1所示的方法�,即通過接入站(AP)121經(jīng)無線網(wǎng)關(guān)13將基本服務(wù)集(BSS)12與骨干網(wǎng)相連接,使多個基本服務(wù)集(BSS)12中的移動終端(MT)122經(jīng)由接入站(AP)121和無線網(wǎng)關(guān)13與有線骨干網(wǎng)連接�����,從而構(gòu)成擴展服務(wù)集11��。其中骨干網(wǎng)通常是指有線局域網(wǎng)。
與有線傳輸相比���,無線傳輸?shù)谋C苄暂^差,因此需要一些額外的安全措施來保證接入站(AP)和各移動終端之間的通信安全�����,比如用戶認證�����、信息加密等�。無線局域網(wǎng)標準IEEE802.11采用有線對等加密(Wired Equivalent Privacy,WEP)技術(shù)對信息進行加密�����。WEP是一種對稱加密技術(shù)��,即加密通信雙方使用相同的密鑰進行加解密�����。在實際應(yīng)用中��,出于安全性的考慮,不同用戶應(yīng)該使用不同的密鑰�。通常密鑰由網(wǎng)絡(luò)管理者分配,并存儲在通信雙方即移動終端和接入站(AP)上����。這種密鑰管理方法存在很多弊端。比如�����,在這種密鑰管理方式下�,為了支持用戶的漫游,既允許用戶連接到不同的接入站(AP)上�,每個接入站(AP)都應(yīng)該存儲所有用戶的密鑰。每次增加或修改某用戶的密鑰��,網(wǎng)絡(luò)管理者就要在所有的接入站(AP)上增加或修改該用戶的密鑰���。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大���,密鑰管理任務(wù)將變得相當繁重,而且接入站(AP)的存儲能力也可能達不到要求����。因此���,這種預(yù)共享密鑰管理方式不適合于大型無線局域網(wǎng)絡(luò)。
發(fā)明內(nèi)容
本發(fā)明的目的在于提出一種無線局域網(wǎng)內(nèi)動態(tài)密鑰的分發(fā)方法�����,該方法將密鑰的分發(fā)和CHAP(Challenge Handshake Authentication Protocol)認證過程結(jié)合起來����,利用認證服務(wù)器的用戶名和密碼管理功能���,對密鑰分發(fā)進行管理�����。用戶可以在大范圍內(nèi)漫游而不影響動態(tài)密鑰的分發(fā)�����。接入站(AP)無需管理大量的用戶密鑰信息���,處理任務(wù)簡單,降低了成本。同時����,該方法為不同用戶和不同會話分發(fā)不同的密鑰,安全性更高����。
本發(fā)明需要認證服務(wù)器、無線網(wǎng)關(guān)和移動終端配合一起完成密鑰的動態(tài)分配�����。移動終端存儲用戶名和密鑰�����,或提供接口�����,可由用戶輸入用戶名和密碼�。認證服務(wù)器支持CHAP認證協(xié)議,同時存儲著用戶名和密碼���。移動終端和認證服務(wù)器預(yù)先商定用于身份認證和密鑰計算的算法S和F�。
本發(fā)明是通過下面的方法實現(xiàn)的。
一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法���,其過程如圖2所示����,包括以下步驟認證服務(wù)器����、無線網(wǎng)關(guān)和移動終端首先完成CHAP認證過程。
在通信雙方鏈路建立完成后��,無線網(wǎng)關(guān)隨機產(chǎn)生提問信息��,并傳遞給移動終端�����。
該移動終端根據(jù)CHAP協(xié)議�����,通過算法S計算出響應(yīng)�,并將該響應(yīng)發(fā)回給該無線網(wǎng)關(guān)����,同時該移動終端使用算法F計算出密鑰K���。其中算法S和算法F是一種單向散列算法,能保證僅由輸出無法或者很難反推導出輸入�,即很難由響應(yīng)推算出密碼,也很難由密鑰推算出密碼����。它們既可以用軟件實現(xiàn),也可以用硬件實現(xiàn)���。單向散列函數(shù)S的輸入?yún)?shù)由本次認證的標識符�����、密碼和提問信息構(gòu)成��;單向散列函數(shù)F的輸入?yún)?shù)包括用戶名��、密碼和提問信息���。
該無線網(wǎng)關(guān)收到該響應(yīng)后,將用戶名����、提問信息和響應(yīng)發(fā)送給認證服務(wù)器���。
該認證服務(wù)器根據(jù)收到的信息以及存儲的用戶名、密碼判斷用戶的合法性�����。首先認證服務(wù)器根據(jù)用戶名得到用戶密碼�����,然后用同一算法S計算出驗證值�,并將該驗證值和該響應(yīng)進行比較,若相符則認證通過�����,否則斷開連接���,完成CHAP認證。在CHAP認證過程中�,不需要通過通信鏈路傳遞密碼,因此相對與密碼認證協(xié)議(Password Authentication Protocol��,PAP)安全性更高。
若用戶認證成功����,移動終端和認證服務(wù)器都得到了提問信息,雙方可以根據(jù)提問信息以及用戶名和密碼用相同的算法計算出密鑰��。認證服務(wù)器使用該算法F計算出密鑰K���,并發(fā)送給加密終結(jié)點��,從而完成密鑰的分發(fā)����,其中加密終結(jié)點可以是接入站也可以是無線網(wǎng)關(guān)����。這樣移動終端和加密終結(jié)點就擁有相同的密鑰K。
為進一步提高安全性�����,認證服務(wù)器發(fā)送密鑰K給加密終結(jié)點時��,可以進行加密�。認證服務(wù)器和加密終結(jié)點之間的加密方法和密鑰分配方法可以有多種���。比如使用預(yù)共享的密鑰進行加密,或者使用上述移動終端和認證服務(wù)器之間分發(fā)密鑰的方法獲取密鑰后進行加密��。
加密雙發(fā)得到分發(fā)的密鑰后���,可以在該密鑰的保護下����,進一步協(xié)商真正用于加密的密鑰��。
本發(fā)明的顯著效果為本發(fā)明的密鑰為動態(tài)分發(fā)而非預(yù)共享��,簡化了密鑰的管理任務(wù)����,特別適合大型無線局域網(wǎng)絡(luò);正由于密鑰為動態(tài)派生而非靜態(tài)配置��,使同一用戶的不同會話也使用不同密鑰��,因此安全性得到了提高���;也因為密鑰由用戶名和密碼派生����,所以加密不影響用戶的漫游���,用戶可以在大范圍內(nèi)漫游而不影響動態(tài)密鑰的分發(fā)�����;而且AP無需管理大量的用戶密鑰��,簡化了處理任務(wù)��,降低了成本��;同時利用CHAP認證過程中的提問信息來派生密鑰���,簡化了密鑰協(xié)商過程,容易實現(xiàn)��。
圖1是無線局域網(wǎng)架構(gòu)的示意圖����;圖2是密鑰分發(fā)過程的示意圖;圖3是實施例密鑰分發(fā)過程的示意圖���。
具體實施例方式
下面結(jié)合附圖及實施例對本發(fā)明做進一步的詳細描述���。
本發(fā)明需要認證服務(wù)器�����、無線網(wǎng)關(guān)和移動終端配合一起完成密鑰的動態(tài)分配����。移動終端存儲用戶名和密鑰�����,或提供接口�,可由用戶輸入用戶名和密碼。認證服務(wù)器支持CHAP認證協(xié)議��,同時存儲著用戶名和密碼�。
在密鑰的分發(fā)過程中,移動終端和無線網(wǎng)關(guān)之間的通信協(xié)議可以有多種���,比如PPPoE���、PPP或802.1x。通信協(xié)議僅僅是信息承載的方式�����。同樣��,無線網(wǎng)關(guān)與認證服務(wù)器之間的通信協(xié)議也可以有多種����,一般常用的是Radius協(xié)議。
加密在移動終端和加密終結(jié)點之間進行���,加密終結(jié)點可以是接入站也可以是無線網(wǎng)關(guān)�。即如果加密終結(jié)點是接入站(AP)����,則加密在移動終端和接入站(AP)之間進行;如果加密終結(jié)點是無線網(wǎng)關(guān)��,則加密在移動終端和無線網(wǎng)關(guān)之間進行�����。
在本實施例中移動終端和無線網(wǎng)關(guān)之間通過802.1x協(xié)議通信,無線網(wǎng)關(guān)和認證服務(wù)器之間通過Radius協(xié)議通信����,加密終結(jié)點為接入站(AP)。實施例的信息交互過程如圖3所示���,密鑰分發(fā)的具體步驟如下
1)移動終端發(fā)送EAP_開始報文給無線網(wǎng)關(guān)���,請求接入。
2)無線網(wǎng)關(guān)發(fā)送EAP_請求/身份報文給接入站(AP)��,要求移動終端輸入用戶名��。
3)移動終端接收用戶輸入�����,得到用戶名和密碼�,并用EAP_響應(yīng)/身份將用戶名發(fā)送給無線網(wǎng)關(guān)。
4)無線網(wǎng)關(guān)隨機產(chǎn)生一個16字節(jié)的提問信息����,用EAP_請求/提問信息報文發(fā)送給移動終端。
5)移動終端利用MD5算法由本次認證的標識符�����、密碼和提問信息計算響應(yīng),并用EAP_響應(yīng)/提問信息報文發(fā)送給無線網(wǎng)關(guān)���。同時利用MD5算法根據(jù)用戶名、用戶密碼以及提問信息計算出用于加密的密鑰K�����。其中MD5算法是一種單向散列算法���,能保證僅由輸出無法或者很難反推導出輸入�,即很難由響應(yīng)推算出密碼�����,也很難由密鑰推算出密碼����。它可以用軟件實現(xiàn),也可以用硬件實現(xiàn)�。
6)無線網(wǎng)關(guān)將用戶名、提問信息以及響應(yīng)用Radius-進入報文上傳給Radius服務(wù)器����。
7)該認證服務(wù)器根據(jù)收到的信息以及存儲的用戶名��、密碼判斷用戶的合法性�����。首先認證服務(wù)器根據(jù)用戶名得到用戶密碼���,然后利用MD5算法根據(jù)用戶名、密碼���、提問信息計算得到響應(yīng)����,并和收到的響應(yīng)比較����。如果相同則認證成功,利用MD5算法���,根據(jù)用戶名�、密碼以及提問信息計算密鑰K��;如果不同則認證失敗。
8)認證服務(wù)器發(fā)送Radius-接受報文給無線網(wǎng)關(guān)��。報文中包含密鑰K���。
9)無線網(wǎng)關(guān)將密鑰K發(fā)送給接入站(AP)�。
這樣接入站(AP)和移動終端就都得到了密鑰K���。
為進一步提高安全性�,認證服務(wù)器發(fā)送密鑰K給加密終結(jié)點時����,可以進行加密��。認證服務(wù)器和加密終結(jié)點之間的加密方法和密鑰分配方法可以有多種����。比如使用預(yù)共享的密鑰進行加密,或者使用上述移動終端和認證服務(wù)器之間分發(fā)密鑰的方法獲取密鑰后進行加密���。
權(quán)利要求
1.一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法�,其特征在于�,所述方法包含以下步驟a通信雙方鏈路建立完成后�����,所述無線網(wǎng)關(guān)隨機產(chǎn)生提問信息����,并傳遞給移動終端����;b所述移動終端根據(jù)CHAP認證協(xié)議,通過算法S由本次認證的標識符�、密碼和提問信息計算出響應(yīng),并將所述響應(yīng)發(fā)回給所述無線網(wǎng)關(guān)����;c所述移動終端使用算法F計算出密鑰K;d所述無線網(wǎng)關(guān)收到所述響應(yīng)后����,將用戶名、提問和響應(yīng)發(fā)送給認證服務(wù)器���;e所述認證服務(wù)器首先根據(jù)用戶名得到用戶密碼��,然后用同一算法S計算出驗證值����;f所述認證服務(wù)器將所述驗證值和所述響應(yīng)進行比較,若相符則認證通過�����,否則斷開連接��;g用戶認證成功后����,認證服務(wù)器使用所述算法F計算出密鑰K,并發(fā)送給加密終結(jié)點����。
2.如權(quán)利要求1所述的一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法����,其進一步特征在于,用于身份認證的算法S和用于密鑰計算的算法F是移動終端和認證服務(wù)器預(yù)先商定好的�。
3.如權(quán)利要求1或2所述的一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法,其進一步特征在于����,所述算法S是一種單向散列算法��,既可以用軟件實現(xiàn)��,也可以用硬件實現(xiàn)�����,單向散列函數(shù)S的輸入?yún)?shù)由本次認證的標識符�����、密碼和提問構(gòu)成��。
4.如權(quán)利要求1或2所述的一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法�,其進一步特征在于��,所述算法F是一種單向散列算法���,既可以用軟件實現(xiàn)�����,也可以用硬件實現(xiàn)���,單向散列函數(shù)F的輸入?yún)?shù)包括用戶名����、密碼和提問�。
5.如權(quán)利要求1所述的一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法,其進一步特征在于�,所述加密終結(jié)點可以是接入站也可以是無線網(wǎng)關(guān)。
6.如權(quán)利要求1所述的一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法����,其進一步特征在于,所述認證服務(wù)器發(fā)送密鑰K給加密終結(jié)點時可以進行加密�。
7.如權(quán)利要求6所述的一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法,其進一步特征在于���,認證服務(wù)器和加密終結(jié)點之間的加密方法和密鑰分配方法可以有多種���,包括使用預(yù)共享的密鑰進行加密�,或者使用上述移動終端和認證服務(wù)器之間分發(fā)密鑰的方法獲取密鑰后進行加密。
全文摘要
本發(fā)明提出了一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法�,該方法將密鑰的分發(fā)和CHAP認證結(jié)合起來,利用認證服務(wù)器的用戶名和密碼管理功能��,對密鑰分發(fā)進行管理��。用戶可以在大范圍內(nèi)漫游而不影響動態(tài)密鑰的分發(fā),同時由于同一用戶的不同會話使用不同的密鑰��,提高了安全性�。采用該方法簡化了密鑰管理任務(wù),降低了成本�����,特別適合大型無線局域網(wǎng)絡(luò)����。
文檔編號H04B7/26GK1484409SQ02137020
公開日2004年3月24日 申請日期2002年9月17日 優(yōu)先權(quán)日2002年9月17日
發(fā)明者李永茂, 朱靜寧, 吳更石 申請人:華為技術(shù)有限公司