本发明专利技术提供一种针对WLAN与5G融合组网应用场景的高效初始接入认证方法,以解决IEEE 802.11i在高移动场景下认证时延大,效率低下的问题。本发明专利技术的交互过程是:移动站STA获取WLAN信息,STA向接入点AP发送第一认证信息,AP向认证服务器AS发送快速接入认证请求消息,AS根据用户ID进行验证,如果AS认证成功,AS将回复AP认证响应信息,AP产生自身随机值并计算PTK。AP向STA发送第二认证信息,STA计算其PMK和PTK,STA通过PTK对消息认证码MIC1进行认证,认证成功后STA向AP发送第三认证信息,AP对MIC2进行认证,若认证成功AP向STA发送第四认证信息,STA对MIC3进行认证,最后STA解密并得到GTK和其他相关信息。本发明专利技术具有兼容802.11i的优点,不会影响802.11i后续程序更新,可用于无线局域网的快速认证。
【技术实现步骤摘要】
一种针对WLAN与5G融合组网应用场景的高效初始接入认证方法
本专利技术涉及无线通信
,涉及无线局域网安全认证技术,具体是针对WLAN与5G融合组网应用场景中原有认证方法时延过大及用户体验质量差的问题,提出一种适用于WLAN与5G融合组网应用场景的高效初始接入认证方法。
技术介绍
移动通信的5G时代将会是一个泛技术的时代,5G与其它先进技术之间的融合将会成为一种必然趋势。如何体现不同系统的优势将会是融合的核心所在,这需要它们能够相互协作,使良好的工作效率和用户体验能够得到满足。WLAN(WirelessLocalAreaNetworks,无线局域网络)可以作为运营商优先选择的异构网络来进行部署。同时,WLAN还具有组网灵活、传输速率高、移动性强、成本低廉等优点。对于运营商来说,在热点区域实现WLAN与未来第五代移动通信网络(5G)融合组网将更有效地起到对现有蜂窝网分流的作用,同时可以大幅提高用户体验。IEEE802.11系列标准发展至今一直以提升吞吐量为主要演进方向,目前802.11ac/ad的单链路吞吐量的理论值已接近7Gbit/s。但是,随着无线局域网功能的迅速增加,移动设备和无线网络的使用越来越广泛,建立更有效的初始链路机制越来越重要,更快的接入认证方法才能保障良好的服务质量(QoS),使得WLAN在实际组网环境中,特别是在大规模密集组网环境下发挥出最佳性能。5G与WLAN融合组网的主要支撑类业务将日益增长,WLAN除了原有的校园、企业、车站等室内环境应用场景以外,还会增加密集街区、密集公寓楼、体育场、无线社区、公共交通工具等应用场景,这些应用场景特别是高移动性的应用场景对接入认证的时延要求极高。而在某些情况下WLAN的认证时延是相当严重的,造成这种情况的主要原因是由于其接入协议流程过于繁琐。为了适应未来融合组网的应用场景,需要提出更加高效的初始接入认证协议,以提升用户的体验,并使得运营商部署的WLAN网络被充分利用。如何简化协议流程来改善WLAN认证接入时延情况,以保证用户QoS需求和认证接入效率,仍是一个待解决的问题。在实现本专利技术的过程中,专利技术人发现:IEEE802.11i作为WLAN中的安全协议标准,使用802.1x认证和密钥管理方式,增强了WLAN中的数据加密和认证性能,能充分满足用户的Qos需求并保证用户认证的安全性,在WLAN与5G融合组网应用场景中是不可或缺的一部分,但由于其繁琐的协议流程,会造成较长的时延,无法满足在高移动应用场景下对接入认证的低时延要求。
技术实现思路
有鉴于此,本专利技术的主要目的是提供一种适用于WLAN与5G融合组网应用场景的高效初始接入认证方法,用于解决在高移动应用场景下的种种弊端,以实现用户与服务器间的高效协作认证,通过本专利技术的接入认证方法,既能满足WLAN与5G融合场景下对接入认证低时延的要求,又能保证用户获得超高质量的用户体验。实现本专利技术目的的技术方案是这样的:一种WLAN与5G融合组网应用场景的高效初始接入认证方法,应用于新型无线异构网络系统中,所述异构网络包括5G移动通信网和WLAN无线通信网,本认证方法总的交互过程是:移动站STA获取WLAN信息,STA向接入点AP发送第一认证信息,AP向认证服务器AS发送快速接入认证请求消息,AS根据用户ID进行验证,如果AS认证成功,AS将回复AP认证响应信息,AP产生自身随机值并计算PTK。AP向STA发送第二认证信息,STA计算其PMK和PTK,STA通过PTK对消息认证码MIC1进行认证,认证成功后STA向AP发送第三认证信息,AP对MIC2进行认证,若认证成功AP向STA发送第四认证信息,STA对MIC3进行认证,最后STA解密并得到GTK和其他相关信息。本方法具体包括以下步骤:步骤1)通过主动扫描,STA获取WLAN信息包括身份基本服务设置,AS身份和网络的安全性。步骤2)STA发送第一认证消息{SNonce,User-ID,AS-ID,F,t}到AP,t为一个计数器,其初始值被设为1,STA每发送一次消息给计数器加1。步骤3)AP向AS发送快速接入认证请求消息{SNonce,User-ID,AS-ID,F,t}。步骤4)接收到快速认证请求消息时,AS会根据User-ID得到此时的t值并与接收到的值相比较。如果正确,STA与AS之间认证成功,AS中的计数器t值增加1并把它设置为正确的t值。如果接收到的t值比AS中保存的t值小,STA认证失败并且AS中保存的t值不变;若接收到得t值较大,AS会根据接收到的t值和密匙k进一步验证F。AS将计算出成对主密匙PMK=h(k,“New-PMK”||t||User-ID||AS-ID),h为哈希函数而“New-PMK”为一个常量字符串。步骤5)AS回复AP认证响应消息{SNonce,User-ID,AS-ID,E,t,PMK},E=f{k,t||SNonce||AS-ID||User-ID}。步骤6)接收到消息5时,AP生成它的随机值ANonce并计算它的PTK。步骤7)AP发送第二认证消息{ANonce,User-ID,AS-ID,E,t,MIC1}。步骤8)接收到第二认证消息时,STA将接收到的t值与正确的t值相比较,若正确,AS的验证成功,然后STA会计算PMK和PTK。步骤9)STA发送第三次认证消息{User-ID,SNonce,MIC2}。步骤10)当接收到第三次认证消息时,AP将验证MIC2,若正确表明STA生产相同的PTK,并且AP与STA认证成功。步骤11)AP向STA发送第四次认证消息{GTK,MIC3},GTK通过PTK进行加密,至此交互结束。步骤10)中所说的网络端完成STA的验证,AP将设置派生PTK,AP在分布式系统中对STA进行登记并完成接入过程。若MIC2验证失败或者是在规定时间内第三次认证消息并没有被接收到,AP会删除STA的相关认证消息并解除验证。同时身份验证失败的消息会被发送到AS,它同样会删除STA的相关认证消息并对t值进行重置。步骤11)中所说的接收到这条消息时,STA会对MIC3进行验证,若正确STA将解密并获得GTK与其它相关信息,同时STA上将设置PTK与GTK。本专利技术实施例的技术方案至少具有以下优点:首先,本专利技术所述高效接入认证方法能很好地适应未来5G与WLAN融合网络在高移动应用场景下的需求,用更短的时间建立初始链路,用更少的消息交互实现STA和AP之间的认证,并且和四步握手消息相互协作来实现STA和AP之间的认证。另外,本专利技术的中采用了一个不需要严格同步的离散计数值t,这种方法可以使STA与AS之间的接入认证与四步握手协议相集成,同时不会带来冗余的消息,通过减少信息的交互,花费在选择信道上的时间大大缩短,特别是当WLAN网络拥挤时,可以有效节约时间,提高效率,增强用户体验质量。附图说明图1为本专利技术的WLAN与5G融合组网认证系统示意图;图2为本专利技术的IEEE802.11i/EAP认证流与业务流示意图;图3为本专利技术的协议执行流程示意图;图4为本专利技术的协议交互过程示意图。具体实施方式下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述:1.STA获取WLAN身份基本服务设置信息,AS身份信息和网本文档来自技高网...
【技术保护点】
一种针对WLAN与5G融合组网应用场景的高效初始接入认证方法,应用于无线异构网络系统中,所述异构网络包括5G移动通信网和WLAN无线通信网,其特征在于,所述方法按如下过程进行:步骤1),通过主动扫描,STA获取WLAN信息包括身份基本服务设置,AS身份和网络的安全性;步骤2),STA发送第一认证消息{SNonce,User‑ID,AS‑ID,F,t}到AP,t为一个计数器,其初始值被设为1,STA每发送一次消息给计数器加1,SNonce是STA的随机生成值,User‑ID是用户的身份信息,AS‑ID是AS的身份,F=f(k,t||SNonce||User‑ID||AS‑ID),f()是一个哈希函数,||表示两者之间的连接;步骤3),AP向AS发送快速接入认证请求消息{SNonce,User‑ID,AS‑ID,F,t};步骤4),接收到快速认证请求消息时,AS会根据User‑ID得到此时的t值并与接收到的值相比较,如果接收到的t值比AS中保存的t值小,STA认证失败并且AS中保存的t值不变,认证结束;若接收到的t值比AS中保存的t值大,AS会根据接收到的t值和密匙k进一步验证F;如果正确,STA与AS之间认证成功,AS中的计数器t值增加1并把它设置为正确的t值,AS将计算出成对主密匙PMK=h(k,“New‑PMK”||t||User‑ID||AS‑ID),h为哈希函数,“New‑PMK”为一个常量字符串;步骤5),AS回复AP认证响应消息{SNonce,User‑ID,AS‑ID,E,t,PMK},E=f{k,t||SNonce||AS‑ID||User‑ID};步骤6),接收到AS回复AP认证响应消息时,AP生成它的随机值ANonce并计算它的PTK,PTK=X(PMK,“pke”||Min(AA,SPA)||Max(AA,SPA)||Min(ANonce,,SNonce)||Max(ANonce,,SNonce)),X为一个伪随机函数,SPA是STA的MAC地址,AA是AP的MAC地址,“pke”是个常量字符串;步骤7),AP发送第二认证消息{ANonce,User‑ID,AS‑ID,E,t,MIC1},MIC1是AP通过PTK计算出这条消息的身份验证消息代码;步骤8),接收到第二认证消息时,STA将接收到的t值与正确的t值相比较,若正确,AS的验证成功,然后STA会计算PMK和PTK;步骤9),STA发送第三次认证消息{User‑ID,SNonce,MIC2},MIC2是STA通过PTK计算出这条消息的身份验证消息代码;步骤10),当接收到第三次认证消息时,AP将验证MIC2,若正确表明STA生产相同的PTK,并且AP与STA认证成功;步骤11),AP向STA发送第四次认证消息{GTK,MIC3},GTK通过PTK进行加密,至此交互结束。...
【技术特征摘要】
1.一种针对WLAN与5G融合组网应用场景的高效初始接入认证方法,应用于无线异构网络系统中,所述异构网络包括5G移动通信网和WLAN无线通信网,其特征在于,所述方法按如下过程进行:步骤1),通过主动扫描,STA获取WLAN信息包括身份基本服务设置,AS身份和网络的安全性;步骤2),STA发送第一认证消息{SNonce,User-ID,AS-ID,F,t}到AP,t为一个计数器,其初始值被设为1,STA每发送一次消息给计数器加1,SNonce是STA的随机生成值,User-ID是用户的身份信息,AS-ID是AS的身份,F=f(k,t||SNonce||User-ID||AS-ID),f()是一个哈希函数,||表示两者之间的连接;步骤3),AP向AS发送快速接入认证请求消息{SNonce,User-ID,AS-ID,F,t};步骤4),接收到快速认证请求消息时,AS会根据User-ID得到此时的t值并与接收到的值相比较,如果接收到的t值比AS中保存的t值小,STA认证失败并且AS中保存的t值不变,认证结束;若接收到的t值比AS中保存的t值大,AS会根据接收到的t值和密匙k进一步验证F;如果正确,STA与AS之间认证成功,AS中的计数器t值增加1并把它设置为正确的t值,AS将计算出成对主密匙PMK=h(k“New-PMK”||t||User-ID||AS-ID),h为哈希函数,“New-PMK”为一个常量字符串;步骤5),AS回复AP认证响应消息{SNonce,User-ID,AS-ID,E,t,PMK},E=f{k,t||SNonce||AS-ID||User-ID};步骤6),接收到AS回复AP认证响应消息时,AP生成它的随机值ANonce并计算它的PTK,PTK=X(PMK,“pke”||Min(AA,SPA)||Max(AA,SPA)||Min(ANonce,SNonce)||Max(ANonce,SNonce)),X为一个伪随机函数,SPA是STA的MAC地址,AA是AP的MAC地址,“pke”是个常量字符串;步骤7),AP发送第二认证消息{ANonce,User-ID,AS-ID,E,t,MIC1},MIC1是AP通过PTK计算出这条消息的身份验证消息代码;步骤8),接收到第二认证消息时,STA将接收到的t值与正确的t值相比较,若正确,AS的验证成功,然后STA会计算PMK和PTK;步骤9),STA发送第三次认证消息{User-ID,SNonce,MIC2},MIC2是STA通过PTK计算出这条消息的身份验证消息代码;步骤10),当接收到第三次认证消息时,AP将验证MIC2,若正确表明STA生产相同的PTK,并且AP与STA认证成功;步骤11),AP向STA发送第四次...
【专利技术属性】
技术研发人员:张治中,刘明,程方,
申请(专利权)人:重庆邮电大学,
类型:发明
国别省市:重庆;85
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。