【技术实现步骤摘要】
一种无线网络密钥协商的方法及装置
本专利技术涉及数据通信领域,尤其涉及一种无线网络密钥协商的方法及装置。
技术介绍
WLAN(WirelessLocalAreaNetwork,无线局域网)是以无线信道作为传输媒介的计算机局域网,是有线联网方式的重要补充和延伸。WLAN网络是基于空口媒介传输的,为了保证网络的安全性,使用者一般都需要对报文传输过程进行验证和加密。在802.11标准中,IEEE提供了RSNA(RobustSecurityNetworkAssociation,健壮安全网络联盟)安全架构。在RSNA安全架构下,无线终端和AP(AcessPoint,无线接入点)之间在通过802.1X之类的认证或PSK(PairwiseSecurityKey,对称安全密钥)方式下,建立PMKSA安全联盟(PairwiseMasterKeySecurityAssociation,对称主密钥安全联盟)。在此基础上,无线终端和AP之间需要进一步进行四次密钥握手过程,才能完成PTK密钥(PairwiseTransientKey,对称临时密钥)的协商,以及AP到无线终端的GTK(GroupTemporalKey,组播临时密钥)颁发。当无线终端在ESS(ExtendedServiceSet,扩展服务集合)中漫游时,无线终端和新AP(无线终端将要关联的AP)之间可以利用预认证或缓存等方式预先建立了PMKSA,但仍需要通过四次密钥握手交互才能协商出PTK以及GTK的颁发,然后和新AP进行数据报文的传输。在实际运用中,这个过程中的四次密钥握手交互,同时也会给无线运用带来困扰,表现在:四 ...
【技术保护点】
一种无线网络密钥协商的方法,应用于AP,其特征在于,所述方法包括:接收到无线终端发送的第一个认证报文后,检查AP本地是否保存有所述无线终端的PMKSA;向所述无线终端回应第二个认证报文,若所述AP本地保存有所述PMKSA,则在所述第二个认证报文中携带第一EAPOL‑KEY帧,以便所述无线终端根据所述第一EAPOL‑KEY帧向AP发送关联请求报文,其中所述第一EAPOL‑KEY帧中携带AP随机数ANonce以及PMKID;接收到所述无线终端发送的关联请求报文后,检查所述关联请求报文中是否携带PMKID和第二EAPOL‑KEY帧,如果有则将所述PMKID和所述第二EAPOL‑KEY帧保存在本地,其中所述第二EAPOL‑KEY帧中携带无线终端随机数SNonce以及MIC;利用本地保存的密钥PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算临时密钥PTK,并检查所述第二EAPOL‑KEY帧的MIC是否正确,若检查成功,则表示建立PTKSA成功;返回关联响应报文,若与无线终端建立了所述PTKSA,则在所述关联响应报文中携带第三EAPOL‑KE ...
【技术特征摘要】
1.一种无线网络密钥协商的方法,应用于AP,其特征在于,所述方法包括:接收到无线终端发送的第一个认证报文后,检查AP本地是否保存有所述无线终端的PMKSA;向所述无线终端回应第二个认证报文,若所述AP本地保存有所述PMKSA,则在所述第二个认证报文中携带第一局域网上的可扩展认证协议EAPOL-密钥KEY帧,以便所述无线终端根据所述第一EAPOL-KEY帧向AP发送关联请求报文,其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID;接收到所述无线终端发送的关联请求报文后,检查所述关联请求报文中是否携带PMKID和第二EAPOL-KEY帧,如果有则将所述PMKID和所述第二EAPOL-KEY帧保存在本地,其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及消息完整性校验码MIC;利用本地保存的密钥PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算临时密钥PTK,并检查所述第二EAPOL-KEY帧的MIC是否正确,若检查成功,则表示建立PTKSA成功;返回关联响应报文,若与无线终端建立了所述PTKSA,则在所述关联响应报文中携带第三EAPOL-KEY帧,以便所述无线终端向AP传输数据报文,其中所述第三EAPOL-KEY帧携带MIC以及GTK。2.如权利要求1所述的方法,其特征在于,当所述AP或无线终端不支持跳过四次密钥握手的过程时,则所述AP启动正常的四次密钥握手过程。3.如权利要求1所述的方法,其特征在于,AP和无线终端双方都支持跳过四次密钥握手,当所述AP跳过四次密钥握手失败时,在所述无线终端完成AP的关联请求之后,重新建立PMKSA,并PMKSA建立完成之后由所述AP发起正常的四次密钥握手。4.一种无线网络密钥协商的方法,应用于无线终端,其特征在于,所述方法包括:向AP发送第一个认证报文,以便所述AP根据所述第一个认证报文回应第二个认证报文;接收所述AP回应的所述第二个认证报文,若认证成功则判断所述第二个认证报文中是否携带第一局域网上的可扩展认证协议EAPOL-密钥KEY帧,其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID;若所述第二个认证报文中携带了所述第一EAPOL-KEY帧,将所述第一EAPOL-KEY帧保存在本地,并将所述第一EAPOL-KEY帧中的PMKID和保存在本地的所述AP的各个PMKID比较;若发现有与所述第一EAPOL-KEY帧中的PMKID相等的PMKID,则生成所述无线终端的随机数SNonce,并利用本地存储的PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算出临时密钥PTK,并进行消息完整性校验码MIC校验;向AP发送关联请求报文,并在所述关联请求报文中携带所述相等的PMKID和第二EAPOL-KEY帧,以便AP根据所述关联请求报文返回相应的关联响应报文,其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及MIC;接收AP端返回的关联响应报文,若在所述关联响应报文中携带第三EAPOL-KEY帧,则向AP传输数据报文,其中所述第三EAPOL-KEY帧携带MIC以及GTK。5.如权利要求4所述的方法,其特征在于,所述方法还包括:当所述AP或无线终端不支持跳过四次密钥握手的过程时,则所述无线终端和AP间启动正常的四次密钥握手过程。6.如权利要求4所述的方法,其特征在于,AP和无线终端双方都支持的跳过四次密钥握手,当所述无线终端与AP跳过四次密钥握手失败时,所述无线终端完成AP的关联请求之后,重新建立PMKSA,并PMKSA建立完成之后由所述AP发起正常的四次密钥握手。7.一种无线网络密钥协商的装置,应用于AP,其特征在于,所述装置包括:第一接收单元,用于接收到...
【专利技术属性】
技术研发人员:徐国祥,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。