專利名稱:無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)終端的預(yù)鑒別裝置的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及無線局域網(wǎng)(Wireless Local Area Networks,簡稱WLAN)��,尤其 涉及一種無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)終端的預(yù)鑒別裝置��。
背景技術(shù):
無線局域網(wǎng)作為寬帶無線IP (Internet Protocol,因特網(wǎng)協(xié)議)網(wǎng)絡(luò)的一種典型 的實現(xiàn)形式�,是指采用無線傳輸媒介的計算機局域網(wǎng)絡(luò),它能在難以布線的區(qū)域進行通信��, 是傳統(tǒng)有線局域網(wǎng)的重要補充�����。無線局域網(wǎng)技術(shù)是計算機網(wǎng)絡(luò)技術(shù)與無線通信技術(shù)相結(jié)合 的產(chǎn)物����,具有支持移動計算、架構(gòu)靈活快捷���、維護所需費用較低和可擴展性好等優(yōu)點�,為通 信的移動化和個人化提供了手段�����。 隨著全球信息化的逐步深入,網(wǎng)絡(luò)安全的重要性越來越明顯����,因為信息丟失、缺損 和泄漏所造成的損失額度之大遠遠超出了人們的預(yù)測����,因此各國均將網(wǎng)絡(luò)信息安全提升至 國家安全戰(zhàn)略的位置。 現(xiàn)有技術(shù)中的WAPI (WLAN Authentication and Privacy Infrastructure,無線局 域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu))是一種提高無線局域網(wǎng)的安全性的機制�。WAPI將基于三元對等 鑒別的訪問控制方法應(yīng)用于無線局域網(wǎng)技術(shù)領(lǐng)域,以保障合法客戶端通過合法接入點接入 網(wǎng)絡(luò)����,并實現(xiàn)客戶端和接入點間的保密通信。WAPI由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WLAN Authentication Infrastructure, WAI)
和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WLAN Privacy Infrastructure, WPI)兩部分組成����。 WAI是實現(xiàn)無線局域網(wǎng)中的身份鑒別和密鑰管理的安全方案,用于完成
STA(STAtion�,無線站點)和AP(Access Point,接入點)之間�、STA和STA之間的雙向身份
鑒別,并協(xié)商建立安全關(guān)聯(lián)�����。WPI是用于實現(xiàn)無線局域網(wǎng)中數(shù)據(jù)傳輸保護的安全方案�����,包括
使用WAI過程中協(xié)商出的各密鑰進行數(shù)據(jù)加密�、數(shù)據(jù)鑒別和重放保護等功能。 其中�����,WAPI中的安全關(guān)聯(lián)包含 >BKSA(Base Key Security Association,基密鑰安全關(guān)聯(lián))是證書鑒別過程協(xié) 商的結(jié)果��、或通過預(yù)共享密鑰(PSK)導(dǎo)出的結(jié)果�;其中包含BK(基密鑰)、BK/BKSA的生存期 等參數(shù)��; ^USKSA(單播密鑰安全關(guān)聯(lián))是單播密鑰協(xié)商(基于BK協(xié)商)的結(jié)果�;其中包 含USK(單播密鑰)、USK/USKSA的生存期等參數(shù)�����; >MSKSA(組播會話密鑰安全關(guān)聯(lián))是組播密鑰通告的結(jié)果���;其中包含MSK(組播 會話密鑰)���、MSK/MSKSA的生存期等參數(shù)��; > STAKeySA(站間密鑰安全關(guān)聯(lián))是站間密鑰通告的結(jié)果����,其中包含STAKey(站 間密鑰)等參數(shù)���。 其中���,若目的AP支持預(yù)鑒別,STA可以通過當前關(guān)聯(lián)的AP和目的AP進行預(yù)鑒別�, 但現(xiàn)有技術(shù)中缺少具體的預(yù)鑒別裝置。
實用新型內(nèi)容本實用新型要解決的技術(shù)問題是提供一種無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)終端 的預(yù)鑒別裝置�����。 為了解決上述問題�����,本實用新型提供了一種無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)終端 的預(yù)鑒別裝置��,包括請求單元和證書鑒別單元,其中 請求單元�,輸出一預(yù)鑒別開始分組給目的接入點; 證書鑒別單元����,接收目的接入點輸出的鑒別激活分組����,建立基密鑰安全關(guān)聯(lián)并輸 出到第一緩存單元。 進一步地��,上述裝置還可具有以下特點���,所述裝置還包括預(yù)鑒別能力獲取單元和 第二緩存單元����,所述預(yù)鑒別能力獲取單元將其產(chǎn)生的探詢請求分組輸出給目的接入點�,接 收目的接入點輸出的攜帶目的接入點的預(yù)鑒別能力信息的探詢響應(yīng)分組,輸出目的接入點 的預(yù)鑒別能力信息至第二緩存單元���。 進一步地����,上述裝置還可具有以下特點,所述裝置還包括預(yù)鑒別能力獲取單元和 第二緩存單元�����,其中 所述預(yù)鑒別能力獲取單元�,輸出是否支持預(yù)鑒別的廣播信息,接收各接入點返回 的預(yù)鑒別能力信息��,輸出所述預(yù)鑒別能力信息至第二緩存單元��。 進一步地��,上述裝置還可具有以下特點����,所述請求單元包括判斷模塊和發(fā)送模塊, 其中 所述判斷模塊�,從第二緩存單元提取目的接入點支持預(yù)鑒別的預(yù)鑒別能力信息, 輸出一啟動信號給發(fā)送模塊���; 所述發(fā)送模塊���,接收判斷模塊輸出的啟動信號,輸出一預(yù)鑒別開始分組給目的接 入點��。 本實用新型提供的預(yù)鑒別裝置,實現(xiàn)了 STA在關(guān)聯(lián)前和目的AP進行關(guān)聯(lián)���,減少了 STA的接入時間����。
圖1是本實用新型實施例一預(yù)鑒別方法流程圖�; 圖2是本實用新型實施例二預(yù)鑒別方法流程圖�; 圖3是本實用新型無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)終端的預(yù)鑒別裝置框圖。
具體實施方式
為了更好地理解本實用新型��,首先對本實用新型的工作原理和方法進行簡要描 述��。 如圖1所示��,為本實用新型實施例一預(yù)鑒別方法流程圖���,STA已和關(guān)聯(lián)AP完成了 BKSA和USKSA的建立�,STA需要和目的AP進行預(yù)鑒別�����,具體包括 步驟101����, STA開始預(yù)鑒別過程�����,發(fā)送預(yù)鑒別開始分組給關(guān)聯(lián)AP��,關(guān)聯(lián)AP將其轉(zhuǎn)發(fā) 給目的AP ; 預(yù)鑒別開始分組中包含標識FLAG字段���、USKID字段、ADDID字段�、重放計數(shù)器和消 息鑒別碼。其中標識FLAG字段的預(yù)鑒別標識比特值為1���, ADDID字段的值為發(fā)起方STA的MAC地址I I目的AP的MAC地址�;其中"I I "為鏈接操作��。 關(guān)聯(lián)AP收到預(yù)鑒別開始分組后��,還需要檢查重放計數(shù)器和消息鑒別碼是否有效�, 如果有效,才轉(zhuǎn)發(fā)預(yù)鑒別開始分組給目的AP�����。 步驟102,目的AP收到預(yù)鑒別開始分組后�����,發(fā)送鑒別激活分組給STA��,開始WAI的 證書鑒別過程���。 其中����,目的AP根據(jù)預(yù)鑒別開始分組中的ADDID字段向相應(yīng)的STA發(fā)出鑒別激活分 組�。 鑒別激活分組中包含標識字段��、鑒別標識字段����、本地ASU的身份字段、ECDH參數(shù)字 段�,其中,標識字段的預(yù)鑒別標識比特值為1�。 步驟103, STA發(fā)送接入鑒別請求分組給關(guān)聯(lián)AP����,關(guān)聯(lián)AP將其轉(zhuǎn)發(fā)給目的AP ; 步驟104�,目的AP發(fā)送證書鑒別請求分組給ASU ; 步驟105�����, ASU發(fā)送證書鑒別響應(yīng)分組給目的AP ; 步驟106��,目的AP發(fā)送接入鑒別響應(yīng)分組給關(guān)聯(lián)AP��,關(guān)聯(lián)AP將其轉(zhuǎn)發(fā)給STA��。 至此���,預(yù)鑒別過程完成�����,STA和目的AP之間建立BKSA并緩存該BKSA�。當STA與預(yù) 鑒別過的AP進行關(guān)聯(lián)后����,可以利用該已緩存的BKSA進行單播密鑰協(xié)商過程和組播密鑰通 告過程。 圖2是本實用新型實施例二 STA在目的AP信號范圍外時預(yù)鑒別流程圖��,目的AP 和STA之間的消息由關(guān)聯(lián)AP進行轉(zhuǎn)發(fā),具體包括 步驟201��, STA開始預(yù)鑒別過程�,發(fā)送預(yù)鑒別開始分組給關(guān)聯(lián)AP,關(guān)聯(lián)AP將其轉(zhuǎn)發(fā) 給目的AP ; 預(yù)鑒別開始分組中包含標識FLAG字段��、USKID字段��、ADDID字段��、重放計數(shù)器和消 息鑒別碼�����。其中標識FLAG字段的預(yù)鑒別標識比特值為1�����, ADDID字段的值為發(fā)起方STA的 MAC地址I I目的AP的MAC地址���;其中"I I "為鏈接操作。 關(guān)聯(lián)AP收到預(yù)鑒別開始分組后�,還需要檢查重放計數(shù)器和消息鑒別碼是否有效, 如果有效��,才轉(zhuǎn)發(fā)預(yù)鑒別開始分組給目的AP。 步驟202����,目的AP收到預(yù)鑒別開始分組后,發(fā)送鑒別激活分組給STA�,開始WAI的 證書鑒別過程。 其中����,目的AP根據(jù)預(yù)鑒別開始分組中的ADDID字段向相應(yīng)的STA發(fā)出鑒別激活分 組。 鑒別激活分組中包含標識字段�����、鑒別標識字段��、本地ASU的身份字段�����、ECDH參數(shù)字 段�,其中,標識字段的預(yù)鑒別標識比特值為1 ; 步驟203���, STA發(fā)送接入鑒別請求分組給關(guān)聯(lián)AP��,關(guān)聯(lián)AP將其轉(zhuǎn)發(fā)給目的AP ; 步驟204���,目的AP發(fā)送證書鑒別請求分組給ASU ; 步驟205�����, ASU發(fā)送證書鑒別響應(yīng)分組給目的AP ; 步驟206���,目的AP發(fā)送接入鑒別響應(yīng)分組給關(guān)聯(lián)AP,關(guān)聯(lián)AP將其轉(zhuǎn)發(fā)給STA�。 在本實用新型另一實施例中,步驟101或步驟201之前還包括如下步驟 a) STA發(fā)送探詢請求分組給關(guān)聯(lián)AP�����,探詢目的AP的預(yù)鑒別能力信息����,關(guān)聯(lián)AP將其 轉(zhuǎn)發(fā)給目的AP; b)目的AP發(fā)送探詢響應(yīng)分組給STA�����,或者���,通過關(guān)聯(lián)AP轉(zhuǎn)發(fā)該探詢響應(yīng)分組給STA ; c) STA根據(jù)該探詢響應(yīng)分組�,判斷目的AP是否支持預(yù)鑒別,如果支持���,則執(zhí)行步驟 101或步驟201�,否則��,結(jié)束��。 本實用新型又一實施例中�����,步驟101或者步驟201中�����,關(guān)聯(lián)AP收到預(yù)鑒別開始分 組后��,首先發(fā)送探詢請求分組給目的AP����,根據(jù)目的AP返回的探詢響應(yīng)分組判斷目的AP是否 支持預(yù)鑒別,如果支持,關(guān)聯(lián)AP才轉(zhuǎn)發(fā)該預(yù)鑒別開始分組給目的AP�����,否則���,發(fā)送一響應(yīng)分組 給STA��,告知STA目的AP不支持預(yù)鑒別��。 本實用新型再一實施例中���,步驟101和步驟201之前還包括,關(guān)聯(lián)AP進行是否支 持預(yù)鑒別的廣播��;關(guān)聯(lián)AP保存各AP返回的預(yù)鑒別能力信息�����,步驟101或201中�,關(guān)聯(lián)AP收 到STA的預(yù)鑒別開始分組后,首先根據(jù)保存的各AP的預(yù)鑒別能力信息判斷目的AP是否支 持預(yù)鑒別�,如果支持,才轉(zhuǎn)發(fā)預(yù)鑒別開始分組給目的AP���,否則���,發(fā)送一響應(yīng)分組給STA,告知 STA目的AP不支持預(yù)鑒別�����。當STA充當接入點時�,則由STA進行是否支持預(yù)鑒別的廣播。 本實用新型提供一種無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)終端的預(yù)鑒別裝置����,如圖3 所示,該裝置包括請求單元和證書鑒別單元�,其中 請求單元,輸出一預(yù)鑒別開始分組給目的接入點�����; 證書鑒別單元�����,接收目的接入點輸出的鑒別激活分組���,建立基密鑰安全關(guān)聯(lián)并輸 出到第一緩存單元�����。
所述預(yù)鑒別裝置還包括預(yù)鑒別能力獲取單元和第二緩存單元�,其中 所述預(yù)鑒別能力獲取單元將其產(chǎn)生的探詢請求分組輸出給目的接入點,接收目的
接入點輸出的攜帶目的接入點的預(yù)鑒別能力信息的探詢響應(yīng)分組�����,輸出目的接入點的預(yù)鑒
別能力信息至第二緩存單元���。 或者���, 所述預(yù)鑒別能力獲取單元,輸出是否支持預(yù)鑒別的廣播信息��,接收各接入點返回
的預(yù)鑒別能力信息����,輸出所述預(yù)鑒別能力信息至第二緩存單元。
進一步地�����,所述請求單元包括判斷模塊和請求模塊,其中 所述判斷模塊���,從第二緩存單元提取目的接入點支持預(yù)鑒別的預(yù)鑒別能力信息, 輸出一啟動信號給請求模塊���; 所述請求模塊�����,接收判斷模塊輸出的啟動信號�,輸出一預(yù)鑒別開始分組給目的接 入點��。
權(quán)利要求一種無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)終端的預(yù)鑒別裝置�����,包括請求單元和證書鑒別單元����,其中請求單元,輸出一預(yù)鑒別開始分組給目的接入點�����;證書鑒別單元,接收目的接入點輸出的鑒別激活分組��,建立基密鑰安全關(guān)聯(lián)并輸出到第一緩存單元�����。
2. 如權(quán)利要求1所述的裝置�����,其特征在于�����,所述裝置還包括預(yù)鑒別能力獲取單元和第 二緩存單元���,所述預(yù)鑒別能力獲取單元將其產(chǎn)生的探詢請求分組輸出給目的接入點��,接收 目的接入點輸出的攜帶目的接入點的預(yù)鑒別能力信息的探詢響應(yīng)分組�,輸出目的接入點的 預(yù)鑒別能力信息至第二緩存單元����。
3. 如權(quán)利要求1所述的裝置,其特征在于�,所述裝置還包括預(yù)鑒別能力獲取單元和第 二緩存單元�,其中所述預(yù)鑒別能力獲取單元�,輸出是否支持預(yù)鑒別的廣播信息,接收各接入點返回的預(yù) 鑒別能力信息��,輸出所述預(yù)鑒別能力信息至第二緩存單元�。
4. 如權(quán)利要求2或3所述的裝置,其特征在于����,所述請求單元包括判斷模塊和請求模 塊��,其中所述判斷模塊���,從第二緩存單元提取目的接入點支持預(yù)鑒別的預(yù)鑒別能力信息�,輸出 一啟動信號給請求模塊�;所述請求模塊,接收判斷模塊輸出的啟動信號�����,輸出一預(yù)鑒別開始分組給目的接入點�。
專利摘要本實用新型提供了一種無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)終端的預(yù)鑒別裝置,包括請求單元和證書鑒別單元�,請求單元輸出一預(yù)鑒別開始分組給目的接入點�;證書鑒別單元接收目的接入點輸出的鑒別激活分組�����,建立基密鑰安全關(guān)聯(lián)并輸出到第一緩存單元���。本實用新型提供的預(yù)鑒別裝置����,實現(xiàn)了STA在關(guān)聯(lián)前和目的AP進行關(guān)聯(lián)�,減少了STA的接入時間。
文檔編號H04W12/04GK201479375SQ20092015068
公開日2010年5月19日 申請日期2009年5月22日 優(yōu)先權(quán)日2009年5月22日
發(fā)明者劉建 申請人:中興通訊股份有限公司