一種針對wlan與5g融合組網(wǎng)應(yīng)用場景的高效初始接入認證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及無線通信技術(shù)領(lǐng)域，涉及無線局域網(wǎng)安全認證技術(shù)，具體是針對WLAN與5G融合組網(wǎng)應(yīng)用場景中原有認證方法時延過大及用戶體驗質(zhì)量差的問題，提出一種適用于WLAN與5G融合組網(wǎng)應(yīng)用場景的高效初始接入認證方法。
【背景技術(shù)】
[0002]移動通信的5G時代將會是一個泛技術(shù)的時代，5G與其它先進技術(shù)之間的融合將會成為一種必然趨勢。如何體現(xiàn)不同系統(tǒng)的優(yōu)勢將會是融合的核心所在，這需要它們能夠相互協(xié)作，使良好的工作效率和用戶體驗?zāi)軌虻玫綕M足。WLAN (Wireless Local AreaNetworks，無線局域網(wǎng)絡(luò))可以作為運營商優(yōu)先選擇的異構(gòu)網(wǎng)絡(luò)來進行部署。同時，WLAN還具有組網(wǎng)靈活、傳輸速率高、移動性強、成本低廉等優(yōu)點。對于運營商來說，在熱點區(qū)域?qū)崿F(xiàn)WLAN與未來第五代移動通信網(wǎng)絡(luò)(5G)融合組網(wǎng)將更有效地起到對現(xiàn)有蜂窩網(wǎng)分流的作用，同時可以大幅提尚用戶體驗。
[0003]IEEE 802.11系列標準發(fā)展至今一直以提升吞吐量為主要演進方向，目前802.llac/ad的單鏈路吞吐量的理論值已接近7Gbit/s。但是，隨著無線局域網(wǎng)功能的迅速增加，移動設(shè)備和無線網(wǎng)絡(luò)的使用越來越廣泛，建立更有效的初始鏈路機制越來越重要，更快的接入認證方法才能保障良好的服務(wù)質(zhì)量(QoS)，使得WLAN在實際組網(wǎng)環(huán)境中，特別是在大規(guī)模密集組網(wǎng)環(huán)境下發(fā)揮出最佳性能。
[0004]5G與WLAN融合組網(wǎng)的主要支撐類業(yè)務(wù)將日益增長，WLAN除了原有的校園、企業(yè)、車站等室內(nèi)環(huán)境應(yīng)用場景以外，還會增加密集街區(qū)、密集公寓樓、體育場、無線社區(qū)、公共交通工具等應(yīng)用場景，這些應(yīng)用場景特別是高移動性的應(yīng)用場景對接入認證的時延要求極高。而在某些情況下WLAN的認證時延是相當嚴重的，造成這種情況的主要原因是由于其接入?yún)f(xié)議流程過于繁瑣。為了適應(yīng)未來融合組網(wǎng)的應(yīng)用場景，需要提出更加高效的初始接入認證協(xié)議，以提升用戶的體驗，并使得運營商部署的WLAN網(wǎng)絡(luò)被充分利用。如何簡化協(xié)議流程來改善WLAN認證接入時延情況，以保證用戶QoS需求和認證接入效率，仍是一個待解決的問題。
[0005]在實現(xiàn)本發(fā)明的過程中，發(fā)明人發(fā)現(xiàn):
[0006]IEEE 802.1li作為WLAN中的安全協(xié)議標準，使用802.1x認證和密鑰管理方式，增強了 WLAN中的數(shù)據(jù)加密和認證性能，能充分滿足用戶的Qos需求并保證用戶認證的安全性，在WLAN與5G融合組網(wǎng)應(yīng)用場景中是不可或缺的一部分，但由于其繁瑣的協(xié)議流程，會造成較長的時延，無法滿足在高移動應(yīng)用場景下對接入認證的低時延要求。

【發(fā)明內(nèi)容】

[0007]有鑒于此，本發(fā)明的主要目的是提供一種適用于WLAN與5G融合組網(wǎng)應(yīng)用場景的高效初始接入認證方法，用于解決在高移動應(yīng)用場景下的種種弊端，以實現(xiàn)用戶與服務(wù)器間的高效協(xié)作認證，通過本發(fā)明的接入認證方法，既能滿足WLAN與5G融合場景下對接入認證低時延的要求，又能保證用戶獲得超高質(zhì)量的用戶體驗。
[0008]實現(xiàn)本發(fā)明目的的技術(shù)方案是這樣的:
[0009]一種WLAN與5G融合組網(wǎng)應(yīng)用場景的高效初始接入認證方法，應(yīng)用于新型無線異構(gòu)網(wǎng)絡(luò)系統(tǒng)中，所述異構(gòu)網(wǎng)絡(luò)包括5G移動通信網(wǎng)和WLAN無線通信網(wǎng)，本認證方法總的交互過程是:移動站STA獲取WLAN信息，STA向接入點AP發(fā)送第一認證信息，AP向認證服務(wù)器AS發(fā)送快速接入認證請求消息，AS根據(jù)用戶ID進行驗證，如果AS認證成功，AS將回復(fù)AP認證響應(yīng)信息，AP產(chǎn)生自身隨機值并計算PTK。AP向STA發(fā)送第二認證信息，STA計算其PMK和PTK，STA通過PTK對消息認證碼MIC1進行認證，認證成功后STA向AP發(fā)送第三認證信息，AP對MIC2進行認證，若認證成功AP向STA發(fā)送第四認證信息，STA對MIC 3進行認證，最后STA解密并得到GTK和其他相關(guān)信息。
[0010]本方法具體包括以下步驟:
[0011]步驟I)通過主動掃描，STA獲取WLAN信息包括身份基本服務(wù)設(shè)置，AS身份和網(wǎng)絡(luò)的安全性。
[0012]步驟2) STA 發(fā)送第一認證消息{SNonce，User-1D, AS-1D，F(xiàn)，t}到 AP，t 為一個計數(shù)器，其初始值被設(shè)為1，STA每發(fā)送一次消息給計數(shù)器加I。
[0013]步驟3)AP向AS發(fā)送快速接入認證請求消息{SNonce，User-1D, AS-1D, F，t}。
[0014]步驟4)接收到快速認證請求消息時，AS會根據(jù)User-1D得到此時的t值并與接收到的值相比較。如果正確，STA與AS之間認證成功，AS中的計數(shù)器t值增加I并把它設(shè)置為正確的t值。如果接收到的t值比AS中保存的t值小，STA認證失敗并且AS中保存的t值不變；若接收到得t值較大，AS會根據(jù)接收到的t值和密匙k進一步驗證F。AS將計算出成對主密匙 PMK = h (k，“ New-PMK，，| |t| User-1D AS-1D), h 為哈希函數(shù)而 “New-PMK”為一個常量字符串。
[0015]步驟5) AS 回復(fù) AP 認證響應(yīng)消息{SNonce，User-1D, AS-1D, E，t，PMK}，E = f{k，t SNonce AS-1D User-1D}o
[0016]步驟6)接收到消息5時，AP生成它的隨機值A(chǔ)Nonce并計算它的PTK。
[0017]步驟7)AP 發(fā)送第二認證消息{ANonce，User-1D, AS-1D, E，t，MICj。
[0018]步驟8)接收到第二認證消息時，STA將接收到的t值與正確的t值相比較，若正確，AS的驗證成功，然后STA會計算PMK和PTK。
[0019]步驟9) STA發(fā)送第三次認證消息{User-1D，SNonce, MIC2I。
[0020]步驟10)當接收到第三次認證消息時，AP將驗證MIC2，若正確表明STA生產(chǎn)相同的PTK，并且AP與STA認證成功。
[0021]步驟11) AP向STA發(fā)送第四次認證消息{GTK，MIC3}，GTK通過PTK進行加密，至此交互結(jié)束。
[0022]步驟10)中所說的網(wǎng)絡(luò)端完成STA的驗證，AP將設(shè)置派生PTK，AP在分布式系統(tǒng)中對STA進行登記并完成接入過程。若祖(:2驗證失敗或者是在規(guī)定時間內(nèi)第三次認證消息并沒有被接收到，AP會刪除STA的相關(guān)認證消息并解除驗證。同時身份驗證失敗的消息會被發(fā)送到AS，它同樣會刪除STA的相關(guān)認證消息并對t值進行重置。
[0023]步驟11)中所說的接收到這條消息時，STA會對MIC3進行驗證，若正確STA將解密并獲得GTK與其它相關(guān)信息，同時STA上將設(shè)置PTK與GTK。
[0024]本發(fā)明實施例的技術(shù)方案至少具有以下優(yōu)點:
[0025]首先，本發(fā)明所述高效接入認證方法能很好地適應(yīng)未來5G與WLAN融合網(wǎng)絡(luò)在高移動應(yīng)用場景下的需求，用更短的時間建立初始鏈路，用更少的消息交互實現(xiàn)STA和AP之間的認證，并且和四步握手消息相互協(xié)作來實現(xiàn)STA和AP之間的認證。
[0026]另外，本發(fā)明的中采用了一個不需要嚴格同步的離散計數(shù)值t，這種方法可以使STA與AS之間的接入認證與四步握手協(xié)議相集成，同時不會帶來冗余的消息，通過減少信息的交互，花費在選擇信道上的時間大大縮短，特別是當WLAN網(wǎng)絡(luò)擁擠時，可以有效節(jié)約時間，提高效率，增強用戶體驗質(zhì)量。
【附圖說明】
[0027]圖1為本發(fā)明的WLAN與5G融合組網(wǎng)認證系統(tǒng)示意圖；
[0028]圖2為本發(fā)明的IEEE802.lli/EAP認證流與業(yè)務(wù)流示意圖；
[0029]圖3為本發(fā)明的協(xié)議執(zhí)行流程示意圖；
[0030]圖4為本發(fā)明的協(xié)議交互過程示意圖。
【具體實施方式】
[0031]下面結(jié)合附圖和實施例，對本發(fā)明的【具體實施方式】作進一步詳細描述:
[0032]1.STA獲取WLAN身份基本服務(wù)設(shè)置信息，AS身份信息和網(wǎng)絡(luò)的安全信息。
[0033]發(fā)送消息前的準備工作，把原有的信標接入認證、探測幀檢測消息集成在一起，同時進行對基本服務(wù)設(shè)置信息、AS身份信息與網(wǎng)絡(luò)安全信息的獲取，完成AP安全性檢測工作。
[0034]2.STA 發(fā)送第一認證消息{SNonce，User-1D，AS-1D，F(xiàn)，t}到 AP。
[0035]其中t為一個不需要嚴格同步的離散計數(shù)器，其初始值被設(shè)為I。STA每發(fā)送一次消息給計數(shù)器加1，t作為一個參考值，便于AS確認認證消息已發(fā)送完成，可進行下一步認證響應(yīng)。SNonce是STA的隨機生成值，User-1D是用戶的身份信息，AS-1D是AS的身份，F(xiàn)=f (k, t I SNonce I User-1D AS-1D)，f O是一個哈希函數(shù)，I I表示兩者之間的連接。F包含多條消息的關(guān)聯(lián)過程，把原有的關(guān)聯(lián)過程相結(jié)合，減少消息交互。
[0036]3.AP向AS發(fā)送快速接入認證請求消息{SNonce，User-1D, AS-1D, F，t}。
[0037]直接向AS服務(wù)器發(fā)送快速接入認證請求消息，該認證消息中包含原有的802.11認證請求與EAP認證請求兩部分內(nèi)容，通過哈希函數(shù)F進行整合，增加認證消息發(fā)送的內(nèi)容，達到快速建立初始鏈路，快速接入認證的目的。其中802.11認證請求包含802.11認證請求、802.11認證響應(yīng)、SPA RSN IE,802.11連接響應(yīng)4條消息，EAP認證請求包含EAPoL連接開始、EAPoL請求、EAPoL響應(yīng)、交互認證、EAPoL連接成功5條消息。
[0038]4.AS會根據(jù)快速認證請求消息對接收到的t值進行驗證。
[0039]AS中同樣設(shè)置有計數(shù)器并且它的初始值也為1，接收到快速認證請求消息時，AS會根據(jù)User-1D得到此時的t值并與接收到的值相比較。如果接收到的t值比AS中保存的t值小，STA認證失敗并且AS中保存的t值不變；若接收到得t值較大，AS會根據(jù)接收到的t值和密匙k進一步驗證F。如果正確，STA與AS之間認證成功，AS中的計數(shù)器t值增加I并把它設(shè)置為正確的t值。然后AS將計算出成對主密匙PMK = h(k，“New-PMK” I |t| User-1D | AS-1D)，h 為哈希函數(shù)而 “New-PMK” 為一個常量字符串。
[0040]5.AS 回復(fù) AP 認證響應(yīng)消息{SNonce, User-1D, AS-1D，E，t，PMK}，E = f{k，t I SNonce I AS-1D User-1D}ο
[0041]同樣的，SNonce是STA的隨機生成值，User-1D是用戶的身份信息，AS-1D是AS的身份，f()是一個哈希函數(shù)，I I表示兩者之間的連接。通過AP認證響應(yīng)消息表明AS接受認證請求，便于AP接下來生成隨機值并計算PTK。整合了原有的認證響應(yīng)消息，通過哈希函數(shù)進行集成，減少消息交互次數(shù)。
[0042]6.接收到AS回復(fù)AP認證響應(yīng)消息時，AP生成它的隨機值A(chǔ)Nonce并計算它的PTK。
[0043]PTK = X(PMK，“pke，，I |Min (AA，SPA) I |M