用于客户端设备认证的设备和方法技术
Equipment and methods for client device authentication
The access point receives the first one-time random number (SNonce) from the client and the first cipher hash (MIC1) for the first disposable random number, and calculates the first cipher hash using the first key (PTK) derived from the second key (PMK), and the second key (PMK) is inputted on the guest end or from the password input on the client side; Each derived first key (PTK) from the main input of the storage and at least one secondary input of the storage at least when the export is exported, and each of the main input and the secondary input of at least one storage is one of the secret and second keys (PMK); the password hash (MIC1) is verified with each derived first key (PTK). To find the first key to verify the export of the first cipher hash (MIC1); use the first key to generate the third key (GTK) and the second password hash (MIC2) using the first key of the check first cipher hash (MIC1); and the transmission third key (GTK) and the second password hash (MIC2) to the client.
【技术实现步骤摘要】
用于客户端设备认证的设备和方法
本公开一般地涉及网络安全,并且具体地涉及网络中的客户端设备认证。
技术介绍
本部分想要向读者介绍领域的各个方面,其可能涉及下面描述和/或要求保护的本公开的各个方面。相信该讨论有助于向读者提供背景信息以帮助更好的理解本公开的各个方面。相应地,应当了解从这个角度理解这些陈述,而不是作为现有技术的承认。在无线通信中,经常希望的是将对所谓的接入点的接入限制为仅用于认证的客户端设备,在这里将使用最普遍的无线网络技术Wi-Fi作为非限制性的说明性示例。用于认证客户端设备的第一种方案是通过证书的使用,然而由于这样需要复杂的安装和管理,该方案在很多情况下是不合适的。第二种方案使用用户在客户端设备上输入的共享的秘密(secret),该客户端设备然后向接入点证明了解该共享秘密。例如,第二方案广泛的在Wi-Fi受保护访问(Wi-FiProtectedAccess,WPA)个人(也称作WPA-PSK(预共享密钥))中使用,其具有在IEEE802.11i中描述并在图1中图示的称为WPA2个人的第二版本。在步骤S102和S104中,客户端设备STA和接入点AP...
【技术保护点】
一种用于在接入点(220)进行客户端认证的方法,所述方法包括在接入点(220)的至少一个硬件处理器(221)中:接收来自客户端(210)的第一一次性随机数(SNonce)和用于第一一次性随机数的第一密码散列(MIC1),使用从第二密钥(PMK)导出的第一密钥(PTK)计算所述第一密码散列,所述第二密钥(PMK)是在客户端(210)上输入的或从在客户端(210)上输入的密令导出的;从在导出时有效的存储的主要输入和至少一个存储的次要输入的每一个导出(S318、S320)第一密钥(PTK),所述存储的主要输入和所述至少一个存储的次要输入的每一个是密令和第二密钥(PMK)中的一个;...
【技术特征摘要】
2016.11.04 EP 16306445.4;2017.06.06 EP 17305661.51.一种用于在接入点(220)进行客户端认证的方法,所述方法包括在接入点(220)的至少一个硬件处理器(221)中:接收来自客户端(210)的第一一次性随机数(SNonce)和用于第一一次性随机数的第一密码散列(MIC1),使用从第二密钥(PMK)导出的第一密钥(PTK)计算所述第一密码散列,所述第二密钥(PMK)是在客户端(210)上输入的或从在客户端(210)上输入的密令导出的;从在导出时有效的存储的主要输入和至少一个存储的次要输入的每一个导出(S318、S320)第一密钥(PTK),所述存储的主要输入和所述至少一个存储的次要输入的每一个是密令和第二密钥(PMK)中的一个;使用每一个导出的第一密钥(PTK)验证(S322)所述密码散列(MIC1)以找到校验所述第一密码散列(MIC1)的导出的第一密钥;使用所述校验所述第一密码散列(MIC1)的导出的第一密钥生成(S324)第三密钥(GTK)和第二密码散列(MIC2);以及发送所述第三密钥(GTK)和所述第二密码散列(MIC2)到客户端(210)。2.如权利要求1所述的方法,其中每个存储的次要输入具有定义的、有限的有效性时段或每个存储的次要输入对应于具有至少一个打字错误的主要输入。3.如权利要求1所述的方法,其中所述接入点(210)是Wi-Fi接入点,以及所述方法进一步包括发送(S308)第二一次性随机数(ANonce)到客户端(210),以及其中进一步从所述第一一次性随机数(SNonce)和所述第二一次性随机数(ANonce)导出所述第一密钥(PTK)。4.如权利要求1所述的方法,其中使用从所述校验所述第一密码散列(MIC1)的导出的第一密钥生成的加密密钥将所述第三密钥(GTL)加密并发送。5.如权利要求2所述的方法,进一步包括当存储的次要输入变得无效时,更新所述第三密钥。6.一种接入点(220),包括:通信接口(223),配置成:接收来自客户端(210)的第一一次性随机数(SNonce)和用于第一一次性随机数的第一密码散列(MIC1),使用从第二密钥(PMK)导出的第一密钥(PTK)计算所述第一密码散列,所述第二密钥(PMK)是在客户端(210)上输入的或从在客户端(210)上输入的密令导出的;以及发送第三密钥(GTK)和第二密码散列(MIC2)到客户端(210);存储器,配置成存储主要输入和至少一个次要输入,所述主要输入和所述至少一个次要输入的每一个是密令和第二密钥(PMK)中的一个;以及至少一个硬件处理器(221),配置成:从在导出时有效的所述存储的主要输入和至少一个次要输入的每一个导出第一密钥(PTK);使用每一个导出的第一密钥(PTK)验证所述密码散列(MIC1)以找到校验所述第一密码散列(MIC1)的导出的第...
【专利技术属性】
技术研发人员:N勒斯夸尔内克,C诺伊曼,O赫恩,
申请(专利权)人:汤姆逊许可公司,
类型:发明
国别省市:法国,FR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。