專利名稱:實現移動終端在無線局域網內漫游認證的方法和接入點的制作方法
技術領域:
本發(fā)明涉及無線局域網(Wireless Local Area Network���,WLAN)系統(tǒng)���,尤其涉及一 種實現移動終端在無線局域網內漫游認證的方法和系統(tǒng)。
背景技術:
隨著無線傳輸技術的發(fā)展�����,以及無線設備的日益增多�����,無線局域網已經成為新一 代的高速接入網絡�,但是由于無線局域網傳輸媒介的開放性和共享性,使得所有未授權的 用戶可以輕松的接入無線局域網�,從而對無線局域網內的用戶的信息進行偵聽、篡改和假 冒�����;同時無線局域網原有的基于開放系統(tǒng)認證和共享密鑰認證已經被證明為不安全的�����,因 此基于IEEE802. Ili (無線局域網中的認證和加密協議)認證加密協議的無線局域網在未 來的幾年中將會被大量的部署和應用。IEEE802. Ili協議包括用戶接入的認證方式(IEEE802. Ix)�����、密鑰的產生方式��、 密鑰的管理�、密鑰的更新幾個主要的部分�����。IEEE802. Ili協議涉及的實體有移動終端 (Station, STA)�、無線接入點(Access Point, AP)、認證服務器(RADIUS)三部分���,詳見圖 1���。其中,無線接入點為移動終端提供無線網絡的接入服務�����;RADIUS用于驗證移動終端的 身份�;移動終端為無線局域網中的終端用戶,通過無線接入點接入到認證服務器之后才能 使用無線局域網,其中移動終端可以為筆記本電腦����、手機、個人數碼助理(PersonalDigital Assistant, PDA)以及其他手持設備等�。圖2所示為移動終端接入到采用IEEE802. Ili協議的無線局域網時的認證和密鑰 協商過程。當移動終端接入基于IEEE802. Ili協議的無線局域網時����,需要經過無線接入點 向遠端的認證服務器進行IEEE802. Ix身份認證,當通過身份認證之后移動終端和認證服 務器各自生成了會話主密鑰�����,然后認證服務器將會話主密鑰分發(fā)給移動終端關聯的無線接 入點��,從而使得移動終端和無線接入點之間可以進行4次握手(即圖中的信息1���、信息2���、信 息3和信息4所指示的信令)生成臨時的會話密鑰用于通信。IEEE802. Ili協議的認證加密協議雖然提高了無線局域網的安全性�����,但是由于認 證服務器一般位于廣域網中,且認證協議交互比基于開放系統(tǒng)和共享密鑰的方式更加復 雜��,因此移動終端通過無線接入點和認證服務器之間的認證交互的延遲會比基于開放系統(tǒng) 和共享密鑰這兩種認證方式要大的多���。而且,當移動終端的移動超出了它所關聯的無線接 入點的覆蓋范圍而需要切換到另外一個無線接入點進行通信時�����,移動終端就需要重新向認 證服務器進行身份認證�����,生成新的會話主密鑰和會話臨時密鑰��。因此����,采用IEEE802. Ili協 議認證加密協議的無線局域網存在著以下的問題1.當移動終端正在進行實時通信的會話時,移動終端在AP之間的切換就會由于 重新的身份認證而產生更大的時延�,從而影響實時通信質量;2.當移動終端頻繁的移動時���,每次切換時移動終端都會向遠端的認證服務器請求 重新的身份認證�����,當移動終端的數量較多時則會導致認證服務器的負擔過重��;3.單一的認證服務器故障會導致整個無線局域網的癱瘓����。
4
這些問題的存在導致現有的基于IEEE802. Ili協議的無線局域網對實時應用的 支持不夠好,同時也限制了無線局域網自身的發(fā)展?,F在對IEEE802. Ili協議認證加密協 議的改進要么重新設計新的認證加密協議,但是新的認證加密協議就無法和已經大量部署 的無線局域網兼容���,從而不具有現實的可行性�����;要么以犧牲現有認證加密協議的安全性或 者增加網絡的負擔為代價��,從而也很難應用到現有的無線局域網中去�。
發(fā)明內容
本發(fā)明要解決的技術問題是提供一種實現移動終端在無線局域網內漫游認證的 方法及相應的無線接入點��,降低移動終端切換時延以保證實時通信的服務質量����,同時可以 減輕認證服務器的負擔以解決單一故障點的問題�����。P2P技術作為一種較為成熟的互聯網技術廣泛應用于文件共享���、即時通訊、流媒 體���、共享存儲以及對等計算等網絡應用系統(tǒng)中,并以其卓越的搜索性能和可擴展性得到越 來越多開發(fā)者的青睞�����。用戶可以通過P2P技術共享所有文件和目錄���,且無需通過Web服務 器進行搜索�。而在無線局域網中����,隨著網絡規(guī)模的不斷擴大,信息的管理效率成為影響網絡 性能的重要因素����,認證信息即為上述信息中的一種��。因此P2P技術的可擴展性和高效的分 布式搜索�����,與WLAN中的信息管理需求不謀而合��。Chord(無標準的中譯文)算法作為一種重要的結構化P2P搜索技術��,其目標是提 供一個適合于Chord環(huán)境的分布式資源發(fā)現服務���,它有以下的一些優(yōu)點l.Chord算法中采用一致性散列算法,所有節(jié)點以同等概率分擔系統(tǒng)負荷��,保證了 算法的平衡性����;2.采用Chord算法的P2P是純粹的分布式系統(tǒng),節(jié)點之間完全平等并完成同樣的 工作����,這使得Chord算法具有很強的健壯性;3. Chord算法的開銷隨著系統(tǒng)規(guī)模增加以0(log η)的比例增力卩���,因此可用于大規(guī) 模系統(tǒng)����;4. Chord算法要求節(jié)點根據網絡的變化動態(tài)地更新路由表,因此能夠即時恢復路
由����,使查找可靠?�;贑hord算法的上述優(yōu)勢����,提出了基于P2P的Chord算法的認證信息管理方案。為了解決上述問題���,本發(fā)明提供了一種實現移動終端在無線局域網內漫游認證的 方法,包括無線局域網中的無線接入點(AP)利用點對點的Chord算法構成Chord環(huán)�����;移動終端通過該Chord環(huán)中的AP首次接入無線局域網�����,完成身份認證后���,該AP根 據認證服務器分發(fā)的該移動終端的會話主密鑰信息����,與該移動終端多次握手生成臨時會話 密鑰,完成認證����,該AP還將該會話主密鑰信息分發(fā)到該Chord環(huán)中物理地址散列值與該移 動終端的物理地址散列值最接近的AP中;該移動終端漫游并向該Chord環(huán)中另一 AP請求接入�,該另一 AP根據該移動終端 的物理地址散列值,從該Chord環(huán)中保存有該移動終端會話主密鑰信息的AP獲取該會話主 密鑰信息����,利用該會話主密鑰信息與該移動終端多次握手,生成臨時會話密鑰����,完成漫游認 證。進一步地���,上述方法還可具有以下特點
5
該Chord環(huán)中的AP收到移動終端的接入請求后����,向該Chord環(huán)中物理地址散列 值與該移動終端的物理地址散列值最接近的AP查詢是否有該移動終端的有效的會話主密 鑰;如查詢結果是有�,該收到接入請求的AP從所查詢的AP取得該移動終端的會話主 密鑰信息,生成會話主密鑰的上下文環(huán)境�,再和該移動終端進行多次握手生成臨時會話密 鑰,完成漫游認證�����;如查詢結果是沒有���,該收到接入請求的AP指示該移動終端與認證服務器進行身 份認證�����,得到該認證服務器分發(fā)的該移動終端的會話主密鑰信息后��,和該移動終端進行多 次握手生成臨時會話密鑰��,完成認證�����,并將該會話主密鑰信息分發(fā)到所查詢的AP。進一步地����,上述方法還可具有以下特點該收到接入請求的AP分發(fā)該移動終端的會話主密鑰信息時���,執(zhí)行以下步驟該收到接入請求的AP在該Chord環(huán)中定位到一物理地址散列值與該移動終端的 物理地址散列值最接近的AP并向該定位到的AP發(fā)送保存會話主密鑰信息的請求;該定位到的AP收到該請求后���,通知該收到接入請求的AP發(fā)送該會話主密鑰信息����; 該收到接入請求的AP將該移動終端的會話主密鑰信息發(fā)送到該定位到的AP ��;該定位到的AP收到該移動終端的會話主密鑰信息后�����,查找本地是否已有該移動 終端的會話主密鑰信息��,如是��,先刪除原有的會話主密鑰信息�����,再將收到的會話主密鑰信息 添加到本地緩存��,否則直接將收到的會話主密鑰信息添加到本地緩存并以移動終端的物理 地址為索引。進一步地���,上述方法還可具有以下特點無線接入點啟動時�����,根據其邏輯標識找到Chord環(huán)中相應的前驅節(jié)點和后繼節(jié) 點�,加入Chord環(huán)中���;該新加入的無線接入點從該后續(xù)節(jié)點中獲取物理地址散列值更接近于自己的物 理地址散列值的移動終端的會話主密鑰信息��,并以該移動終端的物理地址為索引將獲取的 會話主密鑰信息添加到本地緩存����;該后續(xù)節(jié)點刪除已發(fā)送到該新加入無線接入點的會話主密鑰信息����。進一步地,上述方法還可具有以下特點無線接入點退出Chord環(huán)時�����,通知該Chord環(huán)中的前驅節(jié)點和后繼節(jié)點重新組織 Chord環(huán)���,并將所有緩存在本地的移動終端的會話主密鑰信息發(fā)送到該后繼節(jié)點��;該后繼節(jié)點以移動終端的物理地址為索引將收到的所有主會話密鑰信息添加到 本地緩存中��;收到接入請求的AP向該Chord環(huán)中的另一 AP查詢是否有該移動終端的有效的會 話主密鑰時�����,在消息中攜帶該移動終端的物理地址����。進一步地��,上述方法還可具有以下特點移動終端接入無線局域網時采用IEEE802. Ili協議規(guī)定的認證加密機制���。相應地��,本發(fā)明提供的無線接入點采用IEEE802. Ili協議規(guī)定的認證加密機制�����, 包括第一認證模塊�、定位模塊��、第二認證模塊和分發(fā)模塊,其中所述定位模塊���,用于在收到移動終端的接入請求后���,向該Chord環(huán)中的相應節(jié)點 即物理地址散列值與該移動終端的物理地址散列值最接近的節(jié)點查詢是否有該移動終端的有效的會話主密鑰,如沒有���,通知所述第一認證模塊進行認證��,如有����,通知所述第二認證 模塊進行認證����;所述第一認證模塊,用于在收到通知后����,指示該移動終端與認證服務器進行身份 認證,得到認證服務器分發(fā)的該移動終端的會話主密鑰信息后���,和該移動終端進行多次握 手生成臨時會話密鑰�����,完成認證�����,并通知所述信息存儲模塊�����;所述第二認證模塊�����,用于收到通知后��,從該相應節(jié)點取得該移動終端的會話主密 鑰信息�����,生成相應的會話主密鑰的上下文環(huán)境��,再和該移動終端進行多次握手生成臨時會 話密鑰�����,完成漫游認證�;所述分發(fā)模塊,用于在收到通知后���,根據該移動終端的物理地址散列值將該會話 主密鑰信息分發(fā)到Chord環(huán)的該相應節(jié)點中���。進一步地,上述無線接入點還可具有以下特點還包括一信息保存模塊��,用于在收到另一 AP發(fā)來的移動終端的會話主密鑰信息 后�����,查找本地是否已有該移動終端的會話主密鑰信息�����,如是�����,先刪除原有的會話主密鑰信 息�����,再將收到的會話主密鑰信息添加到本地緩存,否則直接將收到的會話主密鑰信息添加 到本地緩存��,并以該移動終端的物理地址為索引���。進一步地��,上述無線接入點還可具有以下特點還包括一啟動模塊,用于在啟動后����,根據其邏輯標識找到Chord環(huán)中相應的前驅 節(jié)點和后繼節(jié)點,加入Chord環(huán)中�;以及從該后續(xù)節(jié)點中獲取物理地址散列值更接近于自 己的物理地址散列值的移動終端的會話主密鑰信息,以該移動終端的物理地址為索引將獲 取的會話主密鑰信息添加到本地緩存�。進一步地,上述無線接入點還可具有以下特點還包括一退出模塊���,用于在退出Chord環(huán)時����,通知該Chord環(huán)中的前驅節(jié)點和后繼 節(jié)點重新組織Chord環(huán)��,并將所有緩存在本地的移動終端的會話主密鑰信息發(fā)送到該后繼 節(jié)占.
I— /��、、�、 所述定位模塊在發(fā)送的查詢消息中攜帶移動終端的物理地址。上述方案利用點對點(peer-to-peer�����,P2P)的Chord算法來實現無線局域網內的 漫游認證�����,移動終端只需要在第一次接入該無線局域網的時候向遠程的認證服務器進行一 次認證����,此后如果在無線接入點之間進行切換則不需要再次向認證服務器進行認證,從而 降低了移動終端切換時延以保證實時通信的服務質量����,同時可以減輕認證服務器的負擔以 解決單一故障點的問題。
圖1是現有技術基于IEEE802. Ili協議的無線局域網的基本框架結構圖����;圖2是現有技術移動終端接入采用802. Ili協議的無線局域網的認證和密鑰協商 過程;圖3是本發(fā)明實施例中無線接入點采用P2P的Chord算法在邏輯上組成的Chord 環(huán)���;圖4是本發(fā)明實施例中添加了 P2P Chord功能模塊之后無線接入點的狀態(tài)轉移 圖5是本發(fā)明實施例中無線接入點啟動后加入Chord環(huán)的工作過程����;圖6是本發(fā)明實施例中Chord環(huán)中存在移動終端的會話主密鑰時,移動終端和無 線接入點進行認證的工作過程�����;圖7是本發(fā)明實施例中Chord環(huán)中不存在移動終端的會話主密鑰時���,移動終端接 入到無線接入點的詳細處理過程�;圖8是本發(fā)明實施例中生成新的會話主密鑰之后將其添加到相應的P2P節(jié)點中的 工作過程���;圖9是本發(fā)明實施例中某一無線接入點退出Chord環(huán)時的工作過程。
具體實施例方式利用P2P的Chord算法組織無線局域網中的所有無線接入點�����,將移動終端經過認 證服務器身份認證生成的會話主密鑰信息散列到相應的Chord環(huán)中保存下來�。當移動終端 切換到局域網中另外一個無線接入點的時候,只需要在Chord環(huán)中查找到它相應的會話主 密鑰信息����,然后直接進行4次握手即可生成臨時會話密鑰信息,從而可以實現不需要再次 經過認證服務器的身份認證即可完成移動終端在無線局域網內的漫游認證。下面結合附圖詳細說明本發(fā)明的實施例�����。首先介紹無線接入點如何構造Chord環(huán)��。在采用了 P2P的Chord算法之后����,無線 局域網中所有的無線接入點在邏輯上組成了 Chord環(huán),每個物理節(jié)點通過其物理地址(MAC 地址)散列之后映射到相應的Chord環(huán)中的邏輯節(jié)點上����,如圖3所示。當WLAN中的第一 個無線接入點啟動的時候�,其自身組成一個Chord環(huán),之后的無線接入點啟動時需要找到 自己的前驅節(jié)點和后繼節(jié)點��,然后加入該Chord環(huán)中����。圖5給出了無線接入點啟動后加入 Chord環(huán)的工作流程步驟501 新啟動的無線接入點根據自己的邏輯標識找到相應的前驅節(jié)點和后繼 節(jié)點之后加入到該Chord環(huán)中;步驟502 無線接入點向Chord環(huán)中的后繼節(jié)點查詢是否有屬于它的會話主密鑰�, Chord環(huán)中的后續(xù)節(jié)點查看是否有移動終端的物理地址散列值更接近于新加入的無線接入 點的物理地址散列值;步驟503 如有���,后繼節(jié)點將物理地址散列值更接近于新加入無線接入點物理地 址散列值的移動終端的會話主密鑰信息發(fā)送給該無線接入點���;該步中�����,如沒有移動終端的物理地址散列值更接近于新加入的無線接入點的物理 地址散列值����,后續(xù)節(jié)點直接通知無線接入點即可��,無須執(zhí)行后續(xù)的步驟504 506�。步驟504:無線接入點以移動終端的物理地址作為索引,將收到的所有會話主密 鑰信息添加到本地緩存中�;對于無線接入點的緩存中已經存在移動終端的主密鑰信息����,則更新原來會話主密 鑰信息;對于不存在的移動終端的會話主密鑰信息��,則直接將該會話主密鑰信息添加到本 地緩存并建立索引��。步驟505 無線接入點向后繼節(jié)點發(fā)送刪除會話主密鑰的信息���;步驟506 后繼節(jié)點收到刪除會話主密鑰的信息后�,刪除本地緩存中相應的會話 主密鑰信息,同時返回確認信息��。
8
當有移動終端需要使用無線局域網�,其選擇合適的無線接入點進行關聯,如圖1 所示�����。若移動終端首次接入該無線局域網���,則需要進行一次完整的IEEE802. Ili的認證過 程���,如圖2所示,包括移動終端在選擇合適的無線接入點之后就需要和其交互一些安全 的參數��,用于決定使用何種認證方式接入無線局域網��,當使用IEEE802. Ili協議來接入無 線局域網時�,首先移動終端通過無線接入點和認證服務器進行身份認證,通過身份認證之 后產生會話主密鑰����,之后和無線接入點之間使用會話主密鑰進行4次握手生成臨時會話密 鑰�����。在生成會話主密鑰之后�����,該無線接入點要根據移動終端的物理地址散列值將會話主密 鑰信息保存到Chord環(huán)的相應無線接入點���,即物理地址散列值與該移動終端的物理地址散 列值最接近的無線接入點。下面通過圖6至圖8分別闡述在本發(fā)明實施例中移動終端使用 無線局域網的工作流程���。當Chord環(huán)中存在某一移動終端的會話主密鑰時�����,該移動終端接入到無線接入點 的詳細處理過程如圖6所示步驟601 移動終端向欲關聯的無線接入點發(fā)送接入請求(即關聯請求)�����,請求使 用該無線局域網;步驟602 接收到接入請求的無線接入點(以下也稱為欲關聯的無線接入點)計 算該移動終端的物理地址散列值����,定位該移動終端的會話主密鑰在Chord環(huán)中所在的節(jié)占.步驟603 欲關聯的無線接入點向會話主密鑰所在的無線接入點發(fā)送查詢該移動 終端會話主密鑰信息的消息��,消息中包括該移動終端物理地址�;步驟604 會話主密鑰所在的無線接入點根據收到的移動終端物理地址在本地緩 存中查詢是否存在相應的會話主密鑰信息并判斷到該會話主密鑰有效�����;如果在設定的一段時間內�����,移動終端在WLAN內沒有進行數據收發(fā)���,則AP可以將該 移動終端的會話主密鑰信息置為無效�����。步驟605 會話主密鑰所在的無線接入點將該會話主密鑰信息發(fā)送到欲關聯的無 線接入點���;步驟606 欲關聯的無線接入點提取該會話主密鑰信息并生成該移動終端會話主 密鑰的上下文環(huán)境;步驟607 移動終端和無線接入點之后利用此會話主密鑰信息的上下文環(huán)境進行 4次握手��,從而生成用于通信的臨時會話密鑰����;具體的執(zhí)行過程如圖2所示��;步驟608 移動終端和無線接入點完成認證并打開認證端口���。圖4是本發(fā)明實施例中添加了 P2P Chord功能模塊之后無線接入點的狀態(tài)轉移 圖,由此可以清晰的看出在存在會話主密鑰的條件下����,移動終端和無線接入點之間可以直 接利用會話主密鑰進行4次握手完成認證。當Chord環(huán)中不存在會話主密鑰信息或會話主密鑰信息已經過期時移動終端接 入到無線接入點的詳細處理過程如圖7所示步驟701 移動終端向欲關聯的無線接入點發(fā)送接入請求����,請求使用該無線局域 網;步驟702 欲關聯的無線接入點計算該移動終端的物理地址散列值���,定位該移動 終端的會話主密鑰在Chord環(huán)中所在的節(jié)點�;
9
步驟703 欲關聯的無線接入點向該移動終端的會話主密鑰所在的無線接入點發(fā) 送查詢該移動終端會話主密鑰信息的消息�����,消息中包括移動終端的物理地址��;步驟704 接收到查詢信息的無線接入點根據收到的移動終端的物理地址在本地 緩存中查詢����;步驟705 如果接收到查詢信息的無線接入點在本地緩存中沒有找到該移動終端 的會話主密鑰信息或者判斷為該會話主密鑰信息已經過期,該無線接入點發(fā)送不存在該移 動終端的會話主密鑰的信息給欲關聯的無線接入點�����;步驟706 欲關聯無線接入點向移動終端發(fā)送消息��,要求其進行IEEE802. Ix認 證�;步驟707 移動終端和認證服務器之間通過欲關聯的無線接入點進行IEEE802. Ix 認證,具體的執(zhí)行過程如圖2所示����;步驟708 欲關聯的無線接入點將新生成的該移動終端的會話密鑰添加到相應的 Chord環(huán)中,執(zhí)行過程如圖8所示��;步驟709 移動終端和欲關聯的無線接入點之后利用此會話主密鑰的上下文環(huán)境 進行4次握手�,從而生成用于通信的臨時會話密鑰,如圖2所示�。其中,欲關聯的無線接入點將新生成的移動終端的會話主密鑰信息添加到Chord 環(huán)中的詳細處理過程如下步驟801 移動終端和認證服務器之間通過欲關聯的無線接入點生成會話主密鑰 fn息����;步驟802 欲關聯的無線接入點計算該移動終端的物理地址散列值,從而在Chord 環(huán)中定位該會話主密鑰應該保存到環(huán)中的哪個節(jié)點并向該節(jié)點發(fā)送保存會話主密鑰信息 的請求����;步驟803 定位到的節(jié)點發(fā)送消息通知欲關聯的無線接入點發(fā)送該會話主密鑰信 息����;步驟804 欲關聯的無線接入點向定位到的節(jié)點發(fā)送該會話主密鑰信息�����;步驟805 收到會話主密鑰信息的無線接入點即定位到的節(jié)點查找是否已經有該 會話主密鑰信息��;步驟806 定位到的節(jié)點中如果已經存在該會話主密鑰信息�,則需要先將之前保 存的會話主密鑰信息刪除,然后再添加相應的會話主密鑰信息到該節(jié)點的緩存中����;如果不 存在則直接添加會話主密鑰信息到該節(jié)點的緩存中。當有無線接入點退出Chord環(huán)時�����,則需要將存放在它上面的所有的會話主密鑰信 息轉移到它的后繼節(jié)點存放����;否則會導致信息的丟失而引起移動終端的重復認證。圖9是 本發(fā)明實施例中某一無線接入點退出Chord環(huán)時執(zhí)行的詳細過程步驟901 無線接入點退出Chord環(huán)�,通知該Chord環(huán)中的前驅和后繼節(jié)點重新組 織Chord環(huán);步驟902 該無線接入點將所有存放在本地的會話主密鑰信息發(fā)送到它在Chord 環(huán)中的后繼節(jié)點;步驟903 后繼節(jié)點收到會話主密鑰信息之后將所有收到的主會話密鑰信息添加 到本地緩存中��。
10
相應地���,本實施例無線接入點采用IEEE802. Ili協議規(guī)定的認證加密機制,包括 第一認證模塊�����、定位模塊�、第二認證模塊、分發(fā)模塊�、信息保存模塊、啟動模塊和退出模塊����, 其中定位模塊,用于在收到移動終端的接入請求后��,向該Chord環(huán)中的相應節(jié)點即物 理地址散列值與該移動終端的物理地址散列值最接近的節(jié)點查詢是否有該移動終端的有 效的會話主密鑰�,攜帶移動終端的物理地址,如沒有��,通知所述第一認證模塊進行認證���,如 有�����,通知所述第二認證模塊進行認證�;第一認證模塊,用于在收到通知后�,指示該移動終端與認證服務器進行身份認證, 得到認證服務器分發(fā)的該移動終端的會話主密鑰信息后�,和該移動終端進行多次握手生成 臨時會話密鑰,完成認證��,并通知所述分發(fā)模塊�;第二認證模塊,用于收到通知后����,從該相應節(jié)點取得該移動終端的會話主密鑰信 息,生成相應的會話主密鑰的上下文環(huán)境���,再和該移動終端進行多次握手生成臨時會話密 鑰����,完成漫游認證�;分發(fā)模塊�����,用于在收到通知后�,根據該移動終端的物理地址散列值將該會話主密 鑰信息分發(fā)到Chord環(huán)的該相應節(jié)點中���。信息保存模塊����,用于在收到另一 AP發(fā)來的移動終端的會話主密鑰信息后�,查找本 地是否已有該移動終端的會話主密鑰信息��,如是����,先刪除原有的會話主密鑰信息,再將收到 的會話主密鑰信息添加到本地緩存�����,否則直接將收到的會話主密鑰信息添加到本地緩存��, 并以該移動終端的物理地址為索引���。啟動模塊���,用于在啟動后��,根據其邏輯標識找到Chord環(huán)中相應的前驅節(jié)點和后 繼節(jié)點�����,加入Chord環(huán)中�����;以及從該后續(xù)節(jié)點中獲取物理地址散列值更接近于自己的物理 地址散列值的移動終端的會話主密鑰信息����,以該移動終端的物理地址為索引將獲取的會話 主密鑰信息添加到本地緩存�����。退出模塊�����,用于在退出Chord環(huán)時�����,通知該Chord環(huán)中的前驅節(jié)點和后繼節(jié)點重新 組織Chord環(huán),并將所有緩存在本地的移動終端的會話主密鑰信息發(fā)送到該后繼節(jié)點��。本發(fā)明還可有其他多種實施方式��,在不背離本發(fā)明精神及其實質的情況下�,熟悉 本領域的技術人員可根據本發(fā)明做出各種相應的改變和變形,這些相應的改變和變形都應 屬于本發(fā)明所附的權利要求的保護范圍����。
權利要求
一種實現移動終端在無線局域網內漫游認證的方法,包括無線局域網中的無線接入點(AP)利用點對點的Chord算法構成Chord環(huán)�;移動終端通過該Chord環(huán)中的AP首次接入無線局域網�,完成身份認證后,該AP根據認證服務器分發(fā)的該移動終端的會話主密鑰信息�,與該移動終端多次握手生成臨時會話密鑰,完成認證����,該AP還將該會話主密鑰信息分發(fā)到該Chord環(huán)中物理地址散列值與該移動終端的物理地址散列值最接近的AP中;該移動終端漫游并向該Chord環(huán)中另一AP請求接入��,該另一AP根據該移動終端的物理地址散列值�����,從該Chord環(huán)中保存有該移動終端會話主密鑰信息的AP獲取該會話主密鑰信息,利用該會話主密鑰信息與該移動終端多次握手�����,生成臨時會話密鑰�,完成漫游認證。
2.如權利要求1所述的方法�����,其特征在于該Chord環(huán)中的AP收到移動終端的接入請求后����,向該Chord環(huán)中物理地址散列值與該 移動終端的物理地址散列值最接近的AP查詢是否有該移動終端的有效的會話主密鑰;如查詢結果是有����,該收到接入請求的AP從所查詢的AP取得該移動終端的會話主密鑰 信息,生成會話主密鑰的上下文環(huán)境�����,再和該移動終端進行多次握手生成臨時會話密鑰��,完 成漫游認證;如查詢結果是沒有����,該收到接入請求的AP指示該移動終端與認證服務器進行身份認 證,得到該認證服務器分發(fā)的該移動終端的會話主密鑰信息后����,和該移動終端進行多次握 手生成臨時會話密鑰,完成認證���,并將該會話主密鑰信息分發(fā)到所查詢的AP�����。
3.如權利要求2所述的方法�,其特征在于�����,該收到接入請求的AP分發(fā)該移動終端的會 話主密鑰信息時�����,執(zhí)行以下步驟該收到接入請求的AP在該Chord環(huán)中定位到一物理地址散列值與該移動終端的物理 地址散列值最接近的AP并向該定位到的AP發(fā)送保存會話主密鑰信息的請求�;該定位到的AP收到該請求后,通知該收到接入請求的AP發(fā)送該會話主密鑰信息�����;該收 到接入請求的AP將該移動終端的會話主密鑰信息發(fā)送到該定位到的AP �����;該定位到的AP收到該移動終端的會話主密鑰信息后���,查找本地是否已有該移動終端 的會話主密鑰信息�,如是����,先刪除原有的會話主密鑰信息,再將收到的會話主密鑰信息添加 到本地緩存�,否則直接將收到的會話主密鑰信息添加到本地緩存并以移動終端的物理地址 為索引。
4.如權利要求1或2或3所述的方法�����,其特征在于無線接入點啟動時���,根據其邏輯標識找到Chord環(huán)中相應的前驅節(jié)點和后繼節(jié)點��,加 入Chord環(huán)中����;該新加入的無線接入點從該后續(xù)節(jié)點中獲取物理地址散列值更接近于自己的物理地 址散列值的移動終端的會話主密鑰信息,并以該移動終端的物理地址為索引將獲取的會話 主密鑰信息添加到本地緩存��;該后續(xù)節(jié)點刪除已發(fā)送到該新加入無線接入點的會話主密鑰信息���。
5.如權利要求4所述的方法�,其特征在于無線接入點退出Chord環(huán)時���,通知該Chord環(huán)中的前驅節(jié)點和后繼節(jié)點重新組織Chord 環(huán)���,并將所有緩存在本地的移動終端的會話主密鑰信息發(fā)送到該后繼節(jié)點;該后繼節(jié)點以移動終端的物理地址為索引將收到的所有主會話密鑰信息添加到本地緩存中�;收到接入請求的AP向該Chord環(huán)中的另一 AP查詢是否有該移動終端的有效的會話主 密鑰時,在消息中攜帶該移動終端的物理地址��。
6.如權利要求1或2或3所述的方法�����,其特征在于�,移動終端接入無線局域網時采用 IEEE802. Ili協議規(guī)定的認證加密機制。
7.一種無線接入點��,采用IEEE802. Ili協議規(guī)定的認證加密機制�����,包括第一認證模塊��, 其特征在于�����,還包括定位模塊����、第二認證模塊和分發(fā)模塊,其中所述定位模塊�,用于在收到移動終端的接入請求后,向該Chord環(huán)中的相應節(jié)點即物 理地址散列值與該移動終端的物理地址散列值最接近的節(jié)點查詢是否有該移動終端的有 效的會話主密鑰����,如沒有,通知所述第一認證模塊進行認證���,如有�,通知所述第二認證模塊 進行認證;所述第一認證模塊��,用于在收到通知后�����,指示該移動終端與認證服務器進行身份認證����, 得到認證服務器分發(fā)的該移動終端的會話主密鑰信息后,和該移動終端進行多次握手生成 臨時會話密鑰���,完成認證����,并通知所述分發(fā)模塊�;所述第二認證模塊,用于收到通知后�,從該相應節(jié)點取得該移動終端的會話主密鑰信 息,生成相應的會話主密鑰的上下文環(huán)境�����,再和該移動終端進行多次握手生成臨時會話密 鑰,完成漫游認證���;所述分發(fā)模塊,用于在收到通知后����,根據該移動終端的物理地址散列值將該會話主密 鑰信息分發(fā)到Chord環(huán)的該相應節(jié)點中。
8.如權利要求7所述的無線接入點��,其特征在于還包括一信息保存模塊���,用于在收到另一 AP發(fā)來的移動終端的會話主密鑰信息后�,查 找本地是否已有該移動終端的會話主密鑰信息����,如是,先刪除原有的會話主密鑰信息��,再將 收到的會話主密鑰信息添加到本地緩存�����,否則直接將收到的會話主密鑰信息添加到本地緩 存�,并以該移動終端的物理地址為索引�。
9.如權利要求7或8所述的無線接入點����,其特征在于還包括一啟動模塊,用于在啟動后����,根據其邏輯標識找到Chord環(huán)中相應的前驅節(jié)點 和后繼節(jié)點,加入Chord環(huán)中�����;以及從該后續(xù)節(jié)點中獲取物理地址散列值更接近于自己的 物理地址散列值的移動終端的會話主密鑰信息����,以該移動終端的物理地址為索引將獲取的 會話主密鑰信息添加到本地緩存。
10.如權利要求9所述的無線接入點�����,其特征在于還包括一退出模塊���,用于在退出Chord環(huán)時�,通知該Chord環(huán)中的前驅節(jié)點和后繼節(jié) 點重新組織Chord環(huán)���,并將所有緩存在本地的移動終端的會話主密鑰信息發(fā)送到該后繼節(jié)點�����。所述定位模塊在發(fā)送的查詢消息中攜帶移動終端的物理地址�����。
全文摘要
一種實現移動終端在無線局域網內漫游認證的方法和無線接入點�,無線局域網中的AP利用點對點的Chord算法構成Chord環(huán)����;移動終端通過AP首次接入無線局域網完成身份認證后,該AP根據認證服務器分發(fā)的該移動終端的會話主密鑰信息與該移動終端多次握手生成臨時會話密鑰��,完成認證��,且將該會話主密鑰信息分發(fā)到該Chord環(huán)中的相應AP中�����;該移動終端漫游并向另一AP請求接入�����,該另一AP從保存有該主密鑰信息的AP獲取該會話主密鑰信息,利用該會話主密鑰信息與該移動終端多次握手���,生成臨時會話密鑰���,完成漫游認證。本發(fā)明可以降低移動終端切換時延��,保證實時通信的服務質量��,同時可以減輕認證服務器的負擔以解決單一故障點的問題�。
文檔編號H04W8/02GK101902722SQ200910141358
公開日2010年12月1日 申請日期2009年5月25日 優(yōu)先權日2009年5月25日
發(fā)明者魏元 申請人:南京中興軟件有限責任公司;中興通訊股份有限公司