專利名稱:一種預(yù)共享密鑰的更新方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無(wú)線局域網(wǎng)(Wireless Local Area Networks,簡(jiǎn)稱WLAN)����, 尤其涉及一種無(wú)線局域網(wǎng)中預(yù)共享密鑰的生成方法�。
背景技術(shù):
無(wú)線局域網(wǎng)作為寬帶無(wú)線IP (Internet Protocol,因特網(wǎng)協(xié)議)網(wǎng)絡(luò)的 一種典型的實(shí)現(xiàn)形式,是指采用無(wú)線傳輸媒介的計(jì)算機(jī)局域網(wǎng)絡(luò)����,它能在難 以布線的區(qū)域進(jìn)行通信,是傳統(tǒng)有線局域網(wǎng)的重要補(bǔ)充�。無(wú)線局域網(wǎng)技術(shù)是 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物,具有支持移動(dòng)計(jì)算�����、架構(gòu)靈 活快捷��、維護(hù)所需費(fèi)用較低和可擴(kuò)展性好等優(yōu)點(diǎn),為通信的移動(dòng)化和個(gè)人化 提供了手段�����。
隨著全球信息化的逐步深入���,網(wǎng)絡(luò)安全的重要性越來(lái)越明顯��,因?yàn)樾畔?br>
均將網(wǎng)絡(luò)信息安全提升至國(guó)家安全戰(zhàn)略的位置�����。
現(xiàn)有技術(shù)中的WAPI (無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu))是一種提高無(wú) 線局域網(wǎng)的安全性的機(jī)制����。WAPI將基于三元對(duì)等鑒別的訪問(wèn)控制方法應(yīng)用 于無(wú)線局域網(wǎng)技術(shù)領(lǐng)域�����,以保障合法客戶端通過(guò)合法接入點(diǎn)接入網(wǎng)絡(luò)�,并實(shí) 現(xiàn)客戶端和接入點(diǎn)間的保密通信。
WAPI由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WAI)和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu) (WPI)兩部分組成���。
WAI是實(shí)現(xiàn)無(wú)線局域網(wǎng)中的身份鑒別和密鑰管理的安全方案����,用于完 成STA (STAtion,無(wú)線站點(diǎn))和AP (Access Point,接入點(diǎn))之間、STA 和STA之間的雙向身份鑒別�����,并協(xié)商建立安全關(guān)聯(lián)����。
其中���,安全關(guān)聯(lián)包含>BKSA (基密鑰安全關(guān)聯(lián))是證書(shū)鑒別過(guò)程協(xié)商的結(jié)果��、或通過(guò)預(yù) 共享密鑰(PSK)導(dǎo)出的結(jié)果��;其中包含BK(基密鑰)�����、BK/BKSA的生存 期等參數(shù)�����;
5> USKSA (單播會(huì)話密鑰安全關(guān)聯(lián))是單播密鑰協(xié)商(基于BK協(xié)商) 的結(jié)果�;其中包含USK (單播會(huì)話密鑰)、USK/USKSA的生存期等參數(shù)�;
> MSKSA (組播會(huì)話密鑰安全關(guān)聯(lián))是組播密鑰通告的結(jié)杲;其中 包含MSK (組播會(huì)話密鑰)�����、MSK/MSKSA的生存期等參數(shù)��;
>STAKeySA (站間密鑰安全關(guān)聯(lián))是站間密鑰通告的結(jié)果��,其中包 含STAKey (站間密鑰)等參數(shù)��。
WPI是用于實(shí)現(xiàn)無(wú)線局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案���,包括使用WAI 過(guò)程中協(xié)商出的各密鑰進(jìn)行數(shù)據(jù)加密�、數(shù)據(jù)鑒別和重放保護(hù)等功能���。
在WAPI中�����,采用兩種方式導(dǎo)出BK,分別是在證書(shū)鑒別過(guò)程中導(dǎo)出����、 或由預(yù)共享密鑰直接導(dǎo)出。因此預(yù)共享密鑰的安全性直接影響WAPI的安全 性�����。
現(xiàn)有技術(shù)中���,預(yù)共享密鑰通常由用戶分別在終端和AP ( Access Point, 接入點(diǎn))上手工設(shè)置和更新����。手工更新預(yù)共享密鑰具有以下缺點(diǎn)
1���、 由于AP通常都沒(méi)有鍵盤�����、屏幕等輸入/輸出設(shè)備,因此通常需要在 與AP相連的PC (個(gè)人電腦)上更新AP中的預(yù)共享密鑰�����,安全性很難保證��, 并且操作復(fù)雜��;
2、 無(wú)法實(shí)現(xiàn)預(yù)共享密鑰的頻繁���、動(dòng)態(tài)更新�。
為了實(shí)現(xiàn)密鑰的自動(dòng)生成/更新��,并保證密鑰不在不安全的網(wǎng)絡(luò)中進(jìn)行 傳輸��,現(xiàn)有技術(shù)通常采用Di伍e-Hellman密鑰交換算法進(jìn)行密鑰的秘密協(xié)商�����。
下面將對(duì)Diffie-Hellman密鑰交換算法進(jìn)行簡(jiǎn)要的描述����。
圖1是現(xiàn)有技術(shù)中的Diffie-Hellman密鑰交換算法的流程圖,如圖1所 示�����,當(dāng)WLAN中的節(jié)點(diǎn)A和節(jié)點(diǎn)B (例如�����,AP和STA)要進(jìn)行保密通信 時(shí)���,可以按如下步驟進(jìn)行密鑰的秘密協(xié)商
5101:節(jié)點(diǎn)A和節(jié)點(diǎn)B預(yù)先設(shè)定DH算法參數(shù)P和g; P和g為整數(shù)����, 且P〉g;
為了提高安全性,P通常為大質(zhì)數(shù)����,g通常為P的原根(primitive root), 因此可以將P稱為Diffie-Hellman密鑰交換算法的質(zhì)數(shù)參數(shù),將g稱為 Diffie-Hellman密鑰交換算法的原根參數(shù)�;P和g都是公開(kāi)的Di伍e-Hellman
算法參數(shù)。
102:節(jié)點(diǎn)A選取隨機(jī)數(shù)sx,并計(jì)算PX-gSx(modP); 其中mod表示取模運(yùn)算�����。
103:節(jié)點(diǎn)B選取隨機(jī)數(shù)sy,并計(jì)算PY = gsy(mod P);
104:節(jié)點(diǎn)A和節(jié)點(diǎn)B進(jìn)行PX值和PY值的交換�����,即節(jié)點(diǎn)A將PX值 發(fā)送給節(jié)點(diǎn)B,節(jié)點(diǎn)B將PY值發(fā)送給節(jié)點(diǎn)A;
105:節(jié)點(diǎn)A計(jì)算基密鑰K= (PY)sx(mod P);節(jié)點(diǎn)B計(jì)算密鑰 K'=(PX)sy(mod P);
根據(jù)模運(yùn)算的規(guī)則可知
K=(PY)sx(mod P)
=(gsy(modP))sx(modP)
=(gsy x sx)(m0d P)
=(gsx)(modP)sy(modP) =(PX)sy(mod P)= K'����。
可見(jiàn)��,在步驟105中����,節(jié)點(diǎn)A和節(jié)點(diǎn)B協(xié)商出了共同的密鑰����。
Diffie-Hellman密鑰交換算法雖然在理論上尚無(wú)法證明其安全性�,但由 于該算法是基于離散對(duì)數(shù)難題,因此目前被認(rèn)為是一種安全的密鑰交換算 法�����。但是�,為了保證Diffie-Hellman密鑰交換算法的安全性,其中的質(zhì)數(shù)參 數(shù)P通常需要是512 Bit (比特)以上的大質(zhì)數(shù)�����,因此計(jì)算量非常大�,通常 需要專用的芯片實(shí)現(xiàn),增加了設(shè)備成本
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是��,克服現(xiàn)有技術(shù)的不足�,提供一種預(yù)共享 密鑰的更新方法及系統(tǒng),以便在不增加設(shè)備成本的前提下實(shí)現(xiàn)安全��、快捷地 更新預(yù)共享密鑰的目的。
為了解決上述問(wèn)題�����,本發(fā)明提供一種預(yù)共享密鑰的更新方法����,該方法包
括
通信雙方將待更新的預(yù)共享密鑰所對(duì)應(yīng)的素質(zhì)數(shù)作為Diffie-Hellman密 鑰交換算法的質(zhì)數(shù)參數(shù)P;
通信雙方使用所述質(zhì)數(shù)參數(shù)P、小于所述質(zhì)數(shù)參數(shù)P的正整數(shù)g��、以及 各自生成的隨機(jī)數(shù)sx和sy,分別計(jì)算PX二gSx(modP)和PY-gSy(modP);
通信雙方交換PX值和PY值���,并將(PY)sx(mod P)= (PX)sy(mod P)作為新 的預(yù)共享密鑰���。
此外,所述g為所述質(zhì)數(shù)參數(shù)P的原根��。
此外�����,所述待更新的預(yù)共享密鑰所對(duì)應(yīng)的素質(zhì)數(shù)是大于所述待更新的 預(yù)共享密鑰的最小素質(zhì)數(shù)�、或小于所述待更新的預(yù)共享密鑰的最大素質(zhì)數(shù)、 或與所述待更新的預(yù)共享密鑰差值最小的素質(zhì)數(shù)�。
此外,所述通信雙方分別在關(guān)聯(lián)請(qǐng)求和關(guān)聯(lián)響應(yīng)中交換所述PX值和PY 值����、或在重新關(guān)聯(lián)請(qǐng)求和重新關(guān)聯(lián)響應(yīng)中交換所述PX值和PY值、或在鏈 路驗(yàn)證請(qǐng)求和鏈路驗(yàn)證響應(yīng)中交換所述PX值和PY值���,并將(PY)sx(mod P)= (PX)sy(mod P)作為新的預(yù)共享密鑰����。
此外���,在所述待更新的預(yù)共享密鑰超過(guò)預(yù)先設(shè)定的生存期后���,所述通信 雙方中的一方向另一方發(fā)送攜帶預(yù)共享密鑰更新標(biāo)識(shí)以及所述PX值的消 息;
所述另 一方接收到所述攜帶預(yù)共享密鑰更新標(biāo)識(shí)的消息后��,發(fā)送所述 PY值���。
此外�,所述通信雙方為接入點(diǎn)和無(wú)線站點(diǎn)��、或接入點(diǎn)和接入點(diǎn)�、或無(wú) 線站點(diǎn)和無(wú)線站點(diǎn)。
本發(fā)明還提供一種預(yù)共享密鑰的更新系統(tǒng),該系統(tǒng)包含第 一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)�����,其特征在于���,第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)中包含存儲(chǔ)單 元����、密鑰更新單元和通信單元����;其中
第 一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)的存儲(chǔ)單元用于存儲(chǔ)預(yù)共享密鑰;
第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)的密鑰更新單元用于分別從第一通信節(jié) 點(diǎn)和第二通信節(jié)點(diǎn)的存儲(chǔ)單元中獲取待更新的預(yù)共享密鑰���,將該待更新的預(yù) 共享密鑰所對(duì)應(yīng)的素質(zhì)數(shù)作為Diffie-Hellman密鑰交換算法的質(zhì)數(shù)參數(shù)P, 并使用所述質(zhì)數(shù)參數(shù)P���、小于所述質(zhì)數(shù)參數(shù)P的正整數(shù)g、以及各自生成的 隨機(jī)數(shù)sx和sy,分別計(jì)算PX = gsx(mod P)和PY = gsy(mod P);并分別通 過(guò)第 一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)的通信單元交換PX值和PY值����;
第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)的密鑰更新單元分別從第一通信節(jié)點(diǎn)和 第二通信節(jié)點(diǎn)的通信單元獲得PY值和PX值后,將(PY廣(mod P)= (PX)sy(mod P)作為新的預(yù)共享密鑰����。
此外���,所述g為所述質(zhì)數(shù)參數(shù)P的原根�。
此外,所述待更新的預(yù)共享密鑰所對(duì)應(yīng)的素質(zhì)數(shù)是大于所述待更新的 預(yù)共享密鑰的最小素質(zhì)數(shù)�、或小于所述待更新的預(yù)共享密鑰的最大素質(zhì)數(shù)、 或與所述待更新的預(yù)共享密鑰差值最小的素質(zhì)數(shù)����。
此外,所述第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)分別為接入點(diǎn)和無(wú)線站點(diǎn)���、 或無(wú)線站點(diǎn)和接入點(diǎn)��、或接入點(diǎn)和接入點(diǎn)����、或無(wú)線站點(diǎn)和無(wú)線站點(diǎn)���。
綜上所述�,本發(fā)明通過(guò)對(duì)用于DH交換的質(zhì)數(shù)參數(shù)P的動(dòng)態(tài)調(diào)整��,使得 DH交換增加了 一個(gè)不公開(kāi)的參數(shù),并且新的質(zhì)數(shù)參數(shù)P是根據(jù)原共享密鑰 的值選擇得到的�����,因此增大了質(zhì)數(shù)參數(shù)P的隨機(jī)性和動(dòng)態(tài)范圍��;進(jìn)而在質(zhì)數(shù) 參數(shù)P較小(DH交換的計(jì)算量也會(huì)相應(yīng)地減小)的情況下也能保證一定的 安全性�。
圖1是現(xiàn)有技術(shù)中的Diffie-Hellman密鑰交換算法的流程圖; 圖2是本發(fā)明實(shí)施例預(yù)共享密鑰的更新方法流程圖�����;圖3是本發(fā)明實(shí)施例預(yù)共享密鑰的更新系統(tǒng)結(jié)構(gòu)示意圖��。
具體實(shí)施例方式
本發(fā)明的核心思想是�,利用Diffie-Hellman密鑰交換算法(以下簡(jiǎn)稱DH 交換)的基本原理進(jìn)行預(yù)共享密鑰的更新,并在每次使用DH交換時(shí)更新質(zhì) 數(shù)參數(shù)P���,以便在使用較小的P值的前提下����,即可實(shí)現(xiàn)較為安全的DH交換�����。
下面將結(jié)合附圖和實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述。
圖2是本發(fā)明實(shí)施例預(yù)共享密鑰的更新方法流程圖�;本實(shí)施例中,假定 待更新的預(yù)共享密鑰為PSK0�,該共享密鑰可以是用戶手工輸入的密鑰,也 可以是上一次更新的密鑰��;通信雙方節(jié)點(diǎn)分別為STA (例如��,移動(dòng)終端)和 AP�。如圖2所示���,該方法包括如下步驟
201: STA向AP發(fā)送4笨詢請(qǐng)求�;
202: AP向STA返回纟果詢響應(yīng)�;
探詢響應(yīng)幀中包含WAPI信息元素(具體格式詳見(jiàn)WAPI標(biāo)準(zhǔn)文檔)。 本實(shí)施例中�,WAPI信息元素中包含的鑒別和密鑰管理套件為WAI預(yù)共享 密鑰鑒別和密鑰管理,即AP指定采用預(yù)共享密鑰導(dǎo)出BK��。
203: STA向AP發(fā)送鏈路驗(yàn)證請(qǐng)求�;
204: AP向STA返回鏈路驗(yàn)證響應(yīng);
205: STA選擇PSKO所對(duì)應(yīng)的素質(zhì)數(shù)(即大于2的質(zhì)數(shù))作為新的���、 用于DH交換的質(zhì)數(shù)參數(shù)P,并選擇質(zhì)數(shù)參數(shù)P的原根參數(shù)g;
其中����,PSKO所對(duì)應(yīng)的質(zhì)數(shù)參數(shù)P可以是大于PSK0的最小素質(zhì)數(shù)、 或大于PSK0且大于某一預(yù)先設(shè)定的閾值的最小素質(zhì)數(shù)��、或小于PSK0的最 大素質(zhì)數(shù)��、或小于PSK0且小于某一預(yù)先設(shè)定的閾值的最大素質(zhì)數(shù)��、或與 PSKO差值最小的素質(zhì)數(shù)等�����。當(dāng)然���,如果PSKO本身就是素質(zhì)數(shù)�,也可以將 PSKO作為質(zhì)數(shù)參數(shù)P�。
STA也可以根據(jù)預(yù)先在STA和AP中存儲(chǔ)的映射表為PSKO選擇對(duì)應(yīng)的 質(zhì)數(shù)參數(shù)P,所述映射表中設(shè)置了不同的PSK0的取值區(qū)間所對(duì)應(yīng)的質(zhì)數(shù)參 數(shù)P��。此外��,由于質(zhì)數(shù)參數(shù)P可能有多個(gè)原根�����,因此原根參數(shù)g也可以是根據(jù)
STA和AP預(yù)先協(xié)商的規(guī)則(例如預(yù)先存儲(chǔ)的映射表)選擇。
206: STA生成隨機(jī)數(shù)sx�����,并計(jì)算PX = gsx(mod P);
207: STA向AP發(fā)送關(guān)聯(lián)請(qǐng)求��,該請(qǐng)求中包含WAPI信息元素�����,以及 上述PX值�;
208:接收到STA發(fā)送的關(guān)聯(lián)請(qǐng)求后�,AP按照與STA相同的規(guī)則選擇 質(zhì)數(shù)參數(shù)P、原根參數(shù)g;
209: AP生成隨機(jī)數(shù)sy,計(jì)算PY = gsy(mod P);并生成新的預(yù)共享密鑰..
PSKl=(PX)sy(mod P)����。
210: AP向STA發(fā)送關(guān)聯(lián)響應(yīng),其中包含PY值�。
211: STA接收到關(guān)聯(lián)響應(yīng)后,生成與AP相同的新的共享密鑰
PSKl=(PY)sx(mod P)���。
至此���,STA與AP完成了預(yù)共享密鑰的更新�。
雖然上述實(shí)施例中以AP和STA之間進(jìn)行預(yù)共享密鑰的更新為例對(duì)本發(fā) 明進(jìn)行了描述����,很顯然,本發(fā)明同樣適用于AP和AP之間��、STA和STA之 間的預(yù)共享密鑰的更新�。
此外,本發(fā)明的技術(shù)方案也可以應(yīng)用于采用預(yù)共享密鑰的有線網(wǎng)絡(luò)中���。
才艮據(jù)本發(fā)明的基本原理���,上述實(shí)施例還可以有多種變換方式,例如
(一 )STA和AP也可以在重新關(guān)聯(lián)請(qǐng)求/響應(yīng)�、鏈路驗(yàn)證請(qǐng)求/響應(yīng)、 信標(biāo)幀和鏈路驗(yàn)證請(qǐng)求�����、信標(biāo)幀和關(guān)聯(lián)請(qǐng)求/重新關(guān)聯(lián)請(qǐng)求�、或其它交互消 息中交換PY/PX值;
(二) 預(yù)共享密鑰的更新可以在每次進(jìn)行關(guān)聯(lián)��、重新關(guān)聯(lián)、或鏈路驗(yàn)證 時(shí)進(jìn)行�;
(三) 預(yù)共享密鑰也可以定時(shí)更新,例如�����,當(dāng)預(yù)共享密鑰的更新發(fā)起方(如AP)在預(yù)共享密鑰過(guò)期時(shí)���,向使用該預(yù)共享密鑰的另一方發(fā)送包含預(yù)
共享密鑰更新標(biāo)識(shí)�、以及PX值的消息(如探詢響應(yīng))�����,開(kāi)始預(yù)共享密鑰的
更新操作�����。
(四)DH交換的原4艮參數(shù)g也可以換為一個(gè)小于質(zhì)數(shù)參數(shù)P的正整數(shù) g�,����;當(dāng)然不是用原根會(huì)一定程度上降低DH交換算法的安全性。
圖3是本發(fā)明實(shí)施例預(yù)共享密鑰的更新系統(tǒng)結(jié)構(gòu)示意圖�����,如圖3所示, 該系統(tǒng)包含第一通信節(jié)點(diǎn)�����、第二通信節(jié)點(diǎn)���。
第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)可以是接入點(diǎn)和無(wú)線站點(diǎn)�、或接入點(diǎn)和 接入點(diǎn)�、或無(wú)線站點(diǎn)和無(wú)線站點(diǎn)。
第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)中包含存儲(chǔ)單元���、密鑰更新單元和通信 單元�����;其中
第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)的存儲(chǔ)單元用于存儲(chǔ)預(yù)共享密鑰�;
第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)的密鑰更新單元用于從存儲(chǔ)單元中獲取 待更新的預(yù)共享密鑰��,將該待更新的預(yù)共享密鑰所對(duì)應(yīng)的素質(zhì)數(shù)作為 Diffie-Hellman密鑰交換算法的質(zhì)數(shù)參數(shù)P���,并使用所述質(zhì)數(shù)參數(shù)P����、小于所 述質(zhì)數(shù)參數(shù)P的正整數(shù)g、以及各自生成的隨機(jī)數(shù)sx和sy��,分別計(jì)算PX = gSx(modP)和PY = gsy(mod P);并分別通過(guò)第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)的 通信單元交換PX值和PY值��;
第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)的密鑰更新單元分別從第一通信節(jié)點(diǎn)和 第二通信節(jié)點(diǎn)的通信單元獲得PY值和PX值后����,將(PY)sx(mod P)= (PX)sy(mod P)作為新的預(yù)共享密鑰,并將其分別存入第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)的存 儲(chǔ)單元����。
其中,所述g為所述質(zhì)數(shù)參數(shù)P的原根��。
所述待更新的預(yù)共享密鑰所對(duì)應(yīng)的素質(zhì)數(shù)是大于所述待更新的預(yù)共享 密鑰的最小素質(zhì)數(shù)�����、或小于所述待更新的預(yù)共享密鑰的最大素質(zhì)數(shù)����、或與所 述待更新的預(yù)共享密鑰差值最小的素質(zhì)數(shù)����。綜上所述���,本發(fā)明通過(guò)對(duì)用于DH交換的質(zhì)數(shù)參數(shù)P的動(dòng)態(tài)調(diào)整,使得 DH交換增加了 一個(gè)不公開(kāi)的參數(shù)�����,并且新的質(zhì)數(shù)參數(shù)P是根據(jù)原共享密鑰 的值選擇得到的��,因此增大了質(zhì)數(shù)參數(shù)P的隨機(jī)性和動(dòng)態(tài)范圍�;進(jìn)而在質(zhì)數(shù) 參數(shù)P較小(DH交換的計(jì)算量也會(huì)相應(yīng)地減小)的情況下也能保證一定的 安全性。
權(quán)利要求
1���、一種預(yù)共享密鑰的更新方法��,其特征在于����,該方法包括通信雙方將待更新的預(yù)共享密鑰所對(duì)應(yīng)的素質(zhì)數(shù)作為Diffie-Hellman密鑰交換算法的質(zhì)數(shù)參數(shù)P��;通信雙方使用所述質(zhì)數(shù)參數(shù)P�����、小于所述質(zhì)數(shù)參數(shù)P的正整數(shù)g、以及各自生成的隨機(jī)數(shù)sx和sy��,分別計(jì)算PX=gsx(mod P)和PY=gsy(mod P)����;通信雙方交換PX值和PY值,并將(PY)sx(mod P)=(PX)sy(mod P)作為新的預(yù)共享密鑰���。
2�、 如權(quán)利要求l所述的方法��,其特征在于�, 所述g為所述質(zhì)數(shù)參數(shù)P的原根。
3�、 如權(quán)利要求l所述的方法,其特征在于���,所述待更新的預(yù)共享密鑰所對(duì)應(yīng)的素質(zhì)數(shù)是大于所述待更新的預(yù)共享 密鑰的最小素質(zhì)數(shù)���、或小于所述待更新的預(yù)共享密鑰的最大素質(zhì)數(shù)、或與所 述待更新的預(yù)共享密鑰差值最小的素質(zhì)數(shù)�。
4、 如權(quán)利要求l所述的方法��,其特征在于�����,所述通信雙方分別在關(guān)聯(lián)請(qǐng)求和關(guān)聯(lián)響應(yīng)中交換所述PX值和PY值��、 或在重新關(guān)聯(lián)請(qǐng)求和重新關(guān)聯(lián)響應(yīng)中交換所述PX值和PY值����、或在鏈路驗(yàn) 證請(qǐng)求和鏈路^S正響應(yīng)中交換所述PX值和PY值,并將(PY)sx(mod P)= (PX)sy(mod P)作為新的預(yù)共享密鑰��。
5�����、 如權(quán)利要求l所述的方法��,其特征在于����,在所述待更新的預(yù)共享密鑰超過(guò)預(yù)先設(shè)定的生存期后,所述通信雙方中 的 一方向另 一方發(fā)送攜帶預(yù)共享密鑰更新標(biāo)識(shí)以及所述PX值的消息��;所述另 一方接收到所述攜帶預(yù)共享密鑰更新標(biāo)識(shí)的消息后���,發(fā)送所述 PY值���。
6����、 如權(quán)利要求l所述的方法�����,其特征在于����,所述通信雙方為4妄入點(diǎn)和無(wú)線站點(diǎn)、或4妄入點(diǎn)和"t妄入點(diǎn)����、或無(wú)線站點(diǎn) 和無(wú)線站點(diǎn)。
7�、 一種預(yù)共享密鑰的更新系統(tǒng),該系統(tǒng)包含第一通信節(jié)點(diǎn)和第二通信 節(jié)點(diǎn)�,其特征在于,第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)中包含存儲(chǔ)單元�����、密鑰 更新單元和通信單元;其中第 一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)的存儲(chǔ)單元用于存儲(chǔ)預(yù)共享密鑰����;第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)的密鑰更新單元用于分別從第一通信節(jié) 點(diǎn)和第二通信節(jié)點(diǎn)的存儲(chǔ)單元中獲取待更新的預(yù)共享密鑰��,將該待更新的預(yù) 共享密鑰所對(duì)應(yīng)的素質(zhì)數(shù)作為Diffie-Hellman密鑰交換算法的質(zhì)數(shù)參數(shù)P, 并使用所述質(zhì)數(shù)參數(shù)P���、小于所述質(zhì)數(shù)參數(shù)P的正整數(shù)g��、以及各自生成的 隨機(jī)數(shù)sx和sy,分別計(jì)算PX = gsx(mod P)和PY = gsy(mod P);并分別通 過(guò)第 一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)的通信單元交換PX值和PY值���;第 一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)的密鑰更新單元分別從第 一通信節(jié)點(diǎn)和 第二通信節(jié)點(diǎn)的通信單元獲得PY值和PX值后,將(PY)sx(mod P)= (PX)sy(mod P)作為新的預(yù)共享密鑰�。
8、 如權(quán)利要求7所述的系統(tǒng)����,其特征在于, 所述g為所述質(zhì)數(shù)參數(shù)P的原根�。
9、 如權(quán)利要求7所述的系統(tǒng)�����,其特征在于,所述待更新的預(yù)共享密鑰所對(duì)應(yīng)的素質(zhì)數(shù)是大于所述待更新的預(yù)共享 密鑰的最小素質(zhì)數(shù)���、或小于所述待更新的預(yù)共享密鑰的最大素質(zhì)數(shù)�����、或與所 述待更新的預(yù)共享密鑰差值最小的素質(zhì)數(shù)��。
10����、 如權(quán)利要求7所述的系統(tǒng)��,其特征在于��,所述第一通信節(jié)點(diǎn)和第二通信節(jié)點(diǎn)分別為接入點(diǎn)和無(wú)線站點(diǎn)�、或無(wú)線 站點(diǎn)和接入點(diǎn)、或接入點(diǎn)和接入點(diǎn)�、或無(wú)線站點(diǎn)和無(wú)線站點(diǎn)。
全文摘要
一種預(yù)共享密鑰的更新方法及系統(tǒng)���,該方法包括通信雙方將待更新的預(yù)共享密鑰所對(duì)應(yīng)的素質(zhì)數(shù)作為Diffie-Hellman密鑰交換算法的質(zhì)數(shù)參數(shù)P���;通信雙方使用所述質(zhì)數(shù)參數(shù)P��、小于所述質(zhì)數(shù)參數(shù)P的正整數(shù)g����、以及各自生成的隨機(jī)數(shù)sx和sy�,分別計(jì)算PX=g<sup>sx</sup>(mod P)和PY=g<sup>sy</sup>(mod P);通信雙方交換PX值和PY值���,并將(PY)<sup>sx</sup>(mod P)=(PX)<sup>sy</sup>(mod P)作為新的預(yù)共享密鑰。
文檔編號(hào)H04W12/00GK101521882SQ20091011974
公開(kāi)日2009年9月2日 申請(qǐng)日期2009年3月24日 優(yōu)先權(quán)日2009年3月24日
發(fā)明者建 劉 申請(qǐng)人:建 劉