CN101695165A - 切换方法、装置和*** - Google Patents
切换方法、装置和*** Download PDFInfo
- Publication number
- CN101695165A CN101695165A CN200910091942A CN200910091942A CN101695165A CN 101695165 A CN101695165 A CN 101695165A CN 200910091942 A CN200910091942 A CN 200910091942A CN 200910091942 A CN200910091942 A CN 200910091942A CN 101695165 A CN101695165 A CN 101695165A
- Authority
- CN
- China
- Prior art keywords
- authentication
- eap
- user terminal
- bag
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种切换方法、装置和***。其中的切换方法包括:在切换过程中,目标AP接收用户终端发送来的携带有EAP开始重认证包的认证请求帧,目标AP向ERP服务器发送认证请求帧中携带的EAP开始重认证包;目标AP从ERP服务器发送来的数据包中获取重认证主会话密钥和EAP结束重认证包,并向用户终端发送携带有EAP结束重认证包的认证响应帧;目标AP接收用户终端发送来的重关联请求帧,并向用户终端发送重关联响应帧;目标AP利用重认证主会话密钥派生出用于在切换成功后与用户终端进行数据通信的密钥。上述技术方案在保证了密钥安全性和认证时延小的同时,降低了密钥管理开销,避免了网络规模受限等问题,实现了快速安全的切换。
Description
技术领域
本发明涉及通讯技术领域,具体涉及切换技术。
背景技术
Wireless Local Area Network(无线局域网,WLAN)技术由于具有高数据传输率以及易于部署等优点而逐渐被广泛应用。在WLAN技术大规模普及过程中,用户终端即WLAN UE(WLAN用户设备,下述简称为UE)切换过程中的安全性和认证时延倍受关注。
目前的切换方法为:UE在移动域内完成第一次Extensible AuthenticationFramework(可扩展认证框架,EAP)认证之后,UE和Home AAA Server(归属域AAA服务器,HAAA)各自生成了Master Session Key(主会话密钥,MSK),初始接入Access Point(接入点,AP)接收HAAA发送的MSK。初始接入AP和UE分别利用MSK派生出Pairwise Master Key-R0(对主密钥-R0,PMK-R0),初始接入AP可以称为PMK-R0Key Holder(PMK-R0密钥持有者,R0KH)。之后,初始接入AP根据PMK-R0派生PMK-R1,并向其他AP分发PMK-R1,其他AP可以称为PMK-R1 Key Holder(PMK-R1密钥持有者)。当发生切换时,UE和新AP(即目标AP)分别根据PMK-R1派生出Pairwise Transient Key(对临时密钥PTK),并通过PTK保护UE和新AP之间的数据通信。
发明人发现:由于每个AP都可能参与主会话密钥管理,因此,该方法的密钥管理非常复杂,密钥管理开销大;由于PMK-R1由初始接入AP分发,而不是由AAA服务器分发,因此,为保证PMK-R1安全分发,需要在两个AP之间建立安全关联,由此可能存在任意两个AP之间均需要建立安全关联的情况,使网络规模受限。另外,由于AP的物理安全通常难以保障,因此,将根密钥即MSK下推给AP会存在风险,如果根密钥因AP被攻陷而泄露,则所有派生密钥均会泄露。
发明内容
本发明实施方式提供的切换方法、装置和***,在保证了密钥安全性和认证时延小的同时,降低了密钥管理开销,避免了网络规模受限问题,实现了快速安全的切换。
本发明实施方式提供的一种切换方法,包括:
在切换过程中,目标接入点AP接收用户终端发送来的认证请求帧,所述认证请求帧中携带有可扩展认证框架EAP开始重认证包;
所述目标AP向可扩展认证框架重认证协议ERP服务器发送所述认证请求帧中携带的EAP开始重认证包;
所述目标AP从所述ERP服务器发送来的数据包中获取重认证主会话密钥和EAP结束重认证包,并向所述用户终端发送携带有所述EAP结束重认证包的认证响应帧;
所述目标AP接收所述用户终端发送来的重关联请求帧,并向所述用户终端发送重关联响应帧;
所述目标AP利用所述重认证主会话密钥派生出用于切换成功后与所述用户终端进行数据通信的密钥。
本发明实施方式提供的一种切换装置,包括:
接收模块,用于接收在切换过程中用户终端发送来的认证请求帧和重关联请求帧,并接收可扩展认证框架重认证协议ERP服务器发送来的数据包,所述认证请求帧中携带有可扩展认证框架EAP开始重认证包;
发送模块,用于向所述ERP服务器发送所述认证请求帧中携带的EAP开始重认证包,从所述ERP服务器发送来的数据包中获取重认证主会话密钥和EAP结束重认证包,并向所述用户终端发送封装有所述EAP结束重认证包的认证响应帧,以及向所述用户终端发送重关联响应帧;
密钥模块,用于利用所述重认证主会话密钥派生出用于切换成功后与所述用户终端进行数据通信的密钥。
本发明实施方式提供的一种切换***,包括:
目标接入点AP,用于接收用户终端发送来的携带有可扩展认证框架EAP开始重认证包的认证请求帧,并向可扩展认证框架重认证协议ERP服务器发送所述认证请求帧中携带的EAP开始重认证包,从所述ERP服务器发送来的数据包中获取重认证主会话密钥和EAP结束重认证包,并向所述用户终端发送封装有所述EAP结束重认证包的认证响应帧,接收所述用户终端发送来的重关联请求帧,并向所述用户终端发送重关联响应帧,以及利用所述重认证主会话密钥获得用于切换成功后与用户终端进行数据通信的密钥;
ERP服务器,用于接收所述目标AP发送来的EAP开始重认证包,根据所述EAP开始重认证包中携带的信息对所述EAP开始重认证包进行消息完整性验证,在验证通过后向所述目标AP发送携带有重认证主会话密钥和EAP结束重认证包的数据包。
本发明实施方式提供的另一种切换方法,包括:
在切换过程中,用户终端向目标接入点AP发送携带有可扩展认证框架EAP开始重认证包的认证请求帧;
所述用户终端在接收到所述目标AP发送来的封装有EAP结束重认证包的认证响应帧后,向所述目标AP发送重关联请求帧;
所述用户终端在接收到所述目标AP发送的重关联响应帧后,根据利用重认证主会话密钥派生出的密钥与所述目标AP进行数据通信。
本发明实施方式提供的一种用户终端,包括:
终端发送模块,用于在切换过程中,向目标接入点AP发送携带有可扩展认证框架EAP开始重认证包的认证请求帧,并在终端接收模块接收到所述目标AP发送来的携带有EAP结束重认证包的认证响应帧后,向所述目标AP发送重关联请求帧;
终端接收模块,用于接收所述目标AP发送来的重关联响应帧和携带有EAP结束重认证包的认证响应帧;
通信处理模块,用于计算重认证主会话密钥,根据所述重认证主会话密钥派生出用于与所述目标AP进行数据通信的密钥,并在所述终端接收模块接收到所述重关联响应帧后,根据所述派生出的密钥与所述目标AP进行数据通信。
通过上述技术方案的描述可知,本发明实施例中的目标AP可以在接收到认证请求帧至发送认证响应帧过程中从ERP服务器处获取到重认证主会话密钥,而且,目标AP可以在与用户终端进行尽可能少的交互过程中利用重认证主会话密钥派生出用于切换后与用户终端进行数据通信的密钥,不但使用于与用户终端进行数据通信的密钥的获取过程尽可能的简洁,保证了认证时延小,而且,还避免了根密钥下发给AP而引起的密钥泄漏问题、每个AP都可能参与密钥管理而引起的密钥管理开销大的问题、以及两个AP之间建立安全关联而引起的网络规模受限等问题;从而实现了快速安全的切换。
附图说明
图1A是本发明实施例一的切换方法流程图;
图1B是本发明实施例一的ERP信元结构示意图;
图2是本发明实施例二的切换方法流程图;
图3是本发明实施例三的切换方法流程图;
图4是本发明实施例四的切换方法流程图;
图5是本发明实施例五的切换方法流程图;
图6是本发明实施例六的切换装置示意图;
图7是本发明实施例七的切换***示意图;
图8是本发明实施例八的用户终端示意图。
具体实施方式
实施例一、切换方法。该切换方法的流程如附图1A所示。
在图1A中,S100、在切换过程中,目标AP接收用户终端发送来的认证请求帧。这里的认证请求帧中携带有EAP开始重认证包,且该EAP开始重认证包可以以Extensible Authentication Framework Re-authentication ProtocolInformation Element(ERPIE,可扩展认证框架重认证协议信息元素或ERP信元或ERP信息元素)的形式携带在认证请求帧中,即认证请求帧中携带有ERP信元,该ERP信元中封装有EAP开始重认证包。ERP信元的一个具体的例子如附图1B所示。
图1B中的ERP信元包括的域为:元素标识域、长度域和ERP域。其中的元素标识域可以是一个八位位组,表示信息元素的类型,即表示ERP类型的信元;长度域也可以是一个八位位组,表示信息元素的长度,ERP域中封装的是ERP数据包。
S110、目标AP向ERP服务器发送认证请求帧中携带的EAP开始重认证包。
具体的说,目标AP从接收到的认证请求帧中获取EAP开始重认证包,并基于ERP服务器支持的协议将所述EAP开始重认证包重新进行封装,然后,目标AP向ERP服务器发送封装后的数据包。当ERP服务器与网络中的AAA服务器位于同一物理实体时,目标AP可以将EAP开始重认证包封装为AAA数据包,然后,目标AP向ERP服务器发送AAA数据包。
S120、目标AP接收ERP服务器发送来的携带有重认证主会话密钥和EAP结束重认证包的数据包,从该数据包中获取重认证主会话密钥和EAP结束重认证包,并向用户终端发送携带有EAP结束重认证包的认证响应帧。
S120中的数据包是ERP服务器获取所述EAP开始重认证包后,基于该EAP开始重认证包向目标AP返回的携带有重认证主会话密钥和EAP结束重认证包的数据包。具体的,ERP服务器可以在接收到EAP开始重认证包后,对EAP开始重认证包进行消息完整性验证,例如,ERP服务器根据EAP开始重认证包中携带的认证标签对EAP开始重认证包进行消息完整性验证,在验证通过后,ERP服务器为目标AP生成重认证主会话密钥,并为目标AP构造EAP结束重认证包,之后将重认证主会话密钥和EAP结束重认证包封装到数据包(如AAA数据包)中,并向目标AP发送该数据包。
ERP服务器为目标AP生成重认证主会话密钥的过程可以为:ERP服务器根据其存储的重认证根密钥为目标AP生成重认证主会话密钥。这里的重认证根密钥可以是ERP服务器在用户终端初次接入认证过程中获得并存储的。本实施例不限制ERP服务器获得重认证根密钥和利用重认证根密钥派生出重认证主会话密钥的具体实现过程。
目标AP在从ERP服务器发送来的数据包携带的信息中获取了重认证主会话密钥和EAP结束重认证包后,针对该用户终端存储重认证主会话密钥,目标AP将EAP结束重认证包携带在认证响应帧中,并向用户终端发送认证响应帧。
S130、目标AP接收用户终端发送来的重关联请求帧,并向用户终端发送重关联响应帧。
本步骤中的重关联请求帧是用户终端接收到认证响应帧后,针对该认证响应帧向目标AP返回的数据帧。具体的,用户终端可以在接收到目标AP发送来的认证响应帧后,从认证响应帧中获取EAP结束重认证包,对该EAP结束重认证包进行消息完整性验证,例如,用户终端根据EAP结束重认证包中携带的认证标签对EAP结束重认证包进行消息完整性验证。在验证通过后,用户终端计算获得重认证主会话密钥,并根据重认证主会话密钥派生出用于在切换成功完成后与目标AP进行数据通信的密钥,该密钥可以称为对临时密钥;用户终端计算重关联请求帧的MIC(message integrity code,消息完整性码),并将该消息完整性码携带在重关联请求帧中发送给目标AP。
目标AP可以在接收到重关联请求帧后,对该重关联请求帧进行消息完整性验证,例如,根据重关联请求帧中携带的信息(如快速切换信息元素FTIE中的MIC)对重关联请求帧进行消息完整性验证,在验证通过后,目标AP向用户终端发送重关联响应帧。
S140、目标AP利用重认证主会话密钥派生出用于在切换成功完成后与用户终端进行数据通信的密钥,该密钥可以称为对临时密钥。即在切换完成后,用户终端和目标AP之间的数据通信安全由对临时密钥保证。
在派生出对临时密钥后,目标AP可以利用对临时密钥与用户终端进行安全的数据通信,切换成功完成。
目标AP利用重认证主会话密钥派生出对临时密钥的一个具体的例子为:PTK=KDF-PTKLen(rMSK,“FT-PTK”,SNonce‖ANonce‖BSSID‖STA-ADDR);
其中,PTK为对临时密钥,KDF-PTKLen为密钥导出函数,rMSK为重认证主会话密钥,即在ERP过程中ERP服务器为目标AP生成的密钥,SNonce为用户终端提供的256比特随机位串,ANonce为目标AP提供的256比特随机位串,BasicService Set Identifier(基本服务集标识,BSSID)为目标AP的BSSID,STA-ADDR为用户终端的Medium Access Control(媒体访问控制,MAC)地址,‖表示字符串连接。这里的SNonce和STA-ADDR可以是目标AP从用户终端发送来的认证请求帧携带的信息中获取到的。
需要说明的是,本发明实施例不限制目标AP利用重认证主会话密钥派生出对临时密钥的具体实现过程。另外,S140与S130之间可以没有执行顺序的限制,例如,目标AP在接收到重关联请求帧后,就利用重认证主会话密钥派生出对临时密钥;再例如,目标AP在接收到重关联请求帧、且对重关联请求帧中的消息完整性码验证通过后,再利用重认证主会话密钥派生出对临时密钥;再例如,目标AP也可以在需要与用户终端进行数据通信时再派生出重认证主会话密钥。还有,在本实施例的描述中,省略了消息中携带的一些信息、以及切换过程中的一些相关操作等,例如,认证信息、以及具体的认证操作等,可将实际网络中包含的相关信息和相关操作添加在上述实施例描述的流程中。
从上述实施例一的描述可以看出,实施例一中的目标AP可以在接收到认证请求帧至发送认证响应帧过程中从ERP服务器处获取到重认证主会话密钥,而且,目标AP可以在与用户终端进行尽可能少的交互过程中利用重认证主会话密钥派生出用于切换后与用户终端进行数据通信的密钥,不但使用于与用户终端进行数据通信的密钥的获取过程尽可能的简洁,保证了认证时延小,而且,还避免了根密钥下发给AP而引起的密钥泄漏问题、每个AP都可能参与密钥管理而引起的密钥管理开销大的问题、以及两个AP之间建立安全关联而引起的网络规模受限等问题;从而实现了快速安全的切换。
实施例二、切换方法。该切换方法的流程如附图2所示。
在图2中,S200、在切换过程中,用户终端向目标AP发送携带有EAP开始重认证包的认证请求帧。
具体的说,用户终端将EAP开始重认证包以ERP信元的形式携带在认证请求帧中,即认证请求帧中携带有包含EAP开始重认证包的ERP信元。认证请求帧中携带的ERP信元的一个具体的例子如上述实施例中针对图1B的描述,在此不再重复说明。
S210、用户终端在接收到目标AP发送来的携带有EAP结束重认证包的认证响应帧后,向目标AP发送重关联请求帧。
具体的,用户终端在接收到目标AP发送来的认证响应帧后,可以根据认证响应帧中的EAP结束重认证包携带的信息对EAP结束重认证包进行消息完整性验证,例如,用户终端根据EAP结束重认证包中携带的认证标签对EAP结束重认证包进行消息完整性验证;在验证通过后,用户终端向目标AP发送重关联请求帧。
本步骤中的认证响应帧是目标AP在接收到认证请求帧、并向ERP服务器发送认证请求帧中的EAP开始重认证包、且接收到ERP服务器发送来的携带有重认证主会话密钥和EAP结束重认证包的数据包的情况下,向用户终端返回的携带有EAP结束重认证包的认证响应帧。
S220、用户终端在接收到目标AP发送来的重关联响应帧后,根据对临时密钥与目标AP进行数据通信。这里的对临时密钥为用户终端根据重认证主会话密钥派生出的与目标AP进行数据通信的密钥,而这里的重认证主会话密钥可以是用户终端根据其存储的重认证根密钥派生出来的。重认证根密钥可以是用户终端在初次接入认证过程中获得并存储的。本实施例不限制用户终端获得重认证根密钥和利用重认证根密钥派生出重认证主会话密钥的具体实现过程。
具体的,用户终端在接收到目标AP发送来的重关联响应帧后,可以根据重关联响应帧中携带的信息对重关联响应帧进行消息完整性验证,例如,用户终端根据重关联响应帧的FTIE中的MIC对重关联响应帧进行消息完整性验证;在对重关联响应帧验证通过后,用户终端可以根据对临时密钥与目标AP进行安全的数据通信。
S220中的重关联响应帧是目标AP针对接收到的重关联请求帧向用户终端返回的数据帧。在用户终端对重关联响应帧验证通过时,可以表示切换成功,切换过程完成。需要说明的是,用户终端派生对临时密钥的过程可以在用户终端对EAP结束重认证包进行验证之后的诸多时刻实现,例如,在用户终端对EAP结束重认证包验证通过后,用户终端就根据重认证根密钥派生出重认证主会话密钥rMSK,并利用重认证主会话密钥rMSK派生出对临时密钥;再例如,在用户终端对重关联响应帧验证通过后,用户终端再根据重认证根密钥派生出重认证主会话密钥,并利用重认证主会话密钥派生出对临时密钥;还有,用户终端派生出重认证主会话密钥和对临时密钥的过程也可以分开不连续的执行,再有用户终端可以在需要与目标AP进行数据通信时,再派生出重认证主会话密钥和对临时密钥等等。
用户终端利用重认证主会话密钥派生出对临时密钥的一个具体的例子为:PTK=KDF-PTKLen(rMSK,“FT-PTK”,SNonce‖ANonce‖BSSID‖STA-ADDR);
其中,PTK为对临时密钥,KDF-PTKLen为密钥导出函数,rMSK为重认证主会话密钥,即在ERP过程中ERP服务器为目标AP生成的密钥,用户终端可以根据其存储的重认证根密钥计算出rMSK,SNonce为用户终端提供的256比特随机位串,ANonce为目标AP提供的256比特随机位串,Basic Service Set Identifier(基本服务集标识,BSSID)为目标AP的BSSID,STA-ADDR为用户终端的Medium Access Control(媒体访问控制,MAC)地址,‖表示字符串连接。这里的ANonce和BSSID可以是用户终端从目标AP发送来的认证响应帧携带的信息中获取到的。
本发明实施例不限制用户终端根据重认证根密钥派生出重认证主会话密钥、以及用户终端根据重认证主会话密钥派生出对临时密钥的具体实现过程。另外,在本实施例的描述中,省略了消息中携带的一些信息、以及切换过程中的一些相关操作等,例如,认证信息、以及认证操作等,可将实际网络中包含的相关信息和相关操作添加在上述实施例描述的流程中。
从上述实施例二的描述可以看出,实施例二中的用户终端通过向目标AP发送携带有EAP开始重认证包的认证请求帧,并从接收到的认证响应帧中获取ERP结束重认证包,使用户终端可以在与目标AP进行尽可能少的交互过程中,利用重认证主会话密钥派生出用于切换后与用户终端进行数据通信的密钥,使用于与目标AP进行数据通信的密钥的获取过程尽可能的简洁;从而实现了快速安全的切换。
实施例三、切换方法。用户终端UE从AP1切换到AP2的过程如附图3所示。
在图3中,S300、UE与AP1进行安全数据传输。
S310、UE在决定从AP1切换到AP2后,UE向AP2发送Authentication Request(认证请求)帧。该Authentication Request帧中携带有FT AuthenticationAlgorithm(FT认证算法,FTAA)、Mobility Domain Information Element(移动域信息元素,MDIE)、Fast Transition Information Element(快速切换信息元素,FTIE)和ERPIE。FTIE中包含有SNonce(如用户终端提供的256比特随机位串),ERPIE中包含有EAP Initiate Re-auth(EAP开始重认证)包。
S320、AP2接收到UE发送来的Authentication Request帧,并从该帧中解析获得EAP Initiate Re-auth包,AP2将EAP Initiate Re-auth包重新封装为AAA数据包后,向ERP Server发送AAA数据包。
S330、ERP Server接收到AAA数据包后,从该数据包中解析获得EAP InitiateRe-auth包,ERP Server进行消息完整性验证。在验证通过后,ERP Server向AP2发送携带有rMSK和EAP Finish Re-auth(EAP结束重认证)包的响应数据包。rMSK为ERP Server根据其与UE之间的MSK为AP2生成的密钥。
S340、AP2接收到ERP Server发送的响应数据包后,从该响应数据包中解析获得rMSK和EAP Finish Re-auth包。之后,AP2将EAP Finish Re-auth包封装到Authentication Response(认证响应)帧中,并向UE发送Authentication Response帧。该Authentication Response帧中携带有FTAA、MDIE、FTIE和ERPIE。其中,FTIE中包含有ANonce(如目标AP提供的256比特随机位串)和SNonce(如用户终端提供的256比特随机位串),ERPIE中包含有EAP Finish Re-auth包。
S350、UE接收到AP2发送来的Authentication Response帧后,UE从该Authentication Response帧中解析获得EAP Finish Re-auth。UE在对EAP FinishRe-auth进行消息完整性验证通过后,根据其与ERP Server之间的重认证根密钥计算出rMSK(重认证主会话密钥),UE从rMSK推导出PTK(对临时密钥),并计算出FTIE中的MIC。之后,UE构造Reassociation Request(重关联请求)帧,并向AP2发送Reassociation Request帧。该Reassociation Request帧中携带的信息包括MDIE、RIC-Request(资源信息容器请求)和FTIE。FTIE中包含有UE计算出的MIC、ANonce(如目标AP提供的256比特随机位串)和SNonce(如用户终端提供的256比特随机位串)等。
S360、AP2接收到Reassociation Request帧后,从rMSK推导出PTK,并对FTIE中的MIC进行验证。AP2在确定MIC验证通过后,构造Reassociation Response(重关联响应)帧,并向UE发送Reassociation Response帧。ReassociationResponse帧中携带的信息包括MDIE、FTIE和RIC-Response,其中,FTIE中包含有AP2计算出的MIC、ANonce(如AP2提供的256比特随机位串)、SNonce(如用户终端提供的256比特随机位串)和GTK[N](组临时密钥)。
S370、UE接收到Reassociation Response帧后,从Reassociation Response帧携带的信息中解析获得MIC,并对MIC进行验证,在验证通过的情况下,则切换过程完成,UE与AP2之间可以基于PTK进行安全的数据通信。
在上述描述的包含有验证的各步骤中,如果验证不通过,则可以不再继续后续步骤的操作。
从上述实施例三的描述可以看出,由于AP2可以在接收到认证请求帧至发送认证响应帧过程中从ERP服务器处获取到重认证主会话密钥,而且,AP2可以在与用户终端进行尽可能少的交互过程中利用rMSK获得用于切换后的数据通信的PTK,不但使PTK的获取过程尽可能的简洁,保证了认证时延小,而且,还避免了根密钥MSK下发给AP而引起的密钥泄漏问题、每个AP都可能参与密钥管理而引起的密钥管理开销大的问题、以及两个AP之间建立安全关联而引起的网络规模受限等问题;从而实现了快速安全的切换。另外,实施例三记载的技术方案既可以适用于独立部署WLAN的应用环境下,也可以适用于WLAN与其他网络互联的应用环境下。还有,本实施例中的ERP Server的部署方式很灵活,ERP Server可以是一个单独的物理实体,也可以设置于其他网络设备中,即ERP Server与其他逻辑实体共用同一个物理实体,例如,ERP Server与3GPPProxy(代理)实体共用同一个物理实体等。
实施例四、切换方法。在WLAN与3G互联情况下,UE在初始接入时,通过AP1 EAP-AKA认证过程接入AP1,之后UE需要切换到AP2,其主要流程如附图4所示。上述WLAN与3G互联如3GPP WLAN Interworking(3GPP WLAN互联,3GPP I-WLAN)、或者System Architecture Evolution(***架构演进,SAE)等。本实施例中的ERP服务器与Visited AAA Server(受访域AAA服务器,VAAA)共用一个物理实体。图4中的UE包含有Universal Subscriber IdentityModule(USIM,用户身份模块),用于实现UE身份认证等功能。
在图4中,S401、UE向初始接入AP即AP1发送Authentication Request帧,该Authentication Request帧中并没有携带EAP Initiate Re-auth包。此时,AP1充当认证者的角色。
S402、AP1在接收到Authentication Request帧后,向UE返回AuthenticationResponse帧。
S403、UE接收到AP1返回的Authentication Response帧后,向AP1发送Reassociation Request帧。
S404、AP1在接收到Reassociation Request帧后,向UE返回ReassociationResponse帧。
可选的,S405、UE向AP1发送EAP over LAN-Start(EAPOL-Start,局域网上的可扩展认证协议开始)。
S406、AP1向UE发送EAPOL:EAP Request Identity(EAP身份请求)。
S407、UE在接收到EAPOL:EAP Request Identity后,向AP1返回EAPOL:EAPReponse Identity(EAP身份响应),而且,该EAPOL:EAP Reponse Identity经访问域网络中的ERP服务器传输至UE归属域网络的EAP服务器。
S408、归属域网络的EAP服务器接收到EAPOL:EAP Reponse Identity后,向HSS(归属用户服务器)发送Authentication Data Request(认证数据请求)。
S409、HSS接收到Authentication Data Request后,向归属域网络的EAP服务器返回Authentication Data Response(认证数据响应)。
S410、该Authentication Data Response经归属域网络的EAP服务器和访问网络中的ERP服务器后传输到AP1。
S411、AP1接收到Authentication Data Response后,向UE发送EAPOL:EAPRequest/AKA Challenge(EAP请求/AKA挑战,AKA即Authentication and KeyAgreement,认证和密钥协商)。
S412、UE接收到EAPOL:EAP Request/AKA Challenge后,向AP1返回EAPOL:EAP Response/AKA Challenge(EAP响应/AKA挑战),该EAPOL:EAPResponse AKA Challenge经过访问网络中的ERP服务器传输至归属网络的EAP服务器。
S413、归属域网络的EAP服务器接收到EAPOL:EAP Response AKAChallenge后,向ERP服务器发送AAA数据包,该AAA数据包中携带有MSK、Domain Specific Root Key(域根密钥,DSRK)和EAP成功信息等。
S414、ERP服务器接收到AAA数据包后,解析获得并存储DSRK,且向AP1发送携带有MSK和EAP成功信息的AAA数据包。AP1接收到AAA数据包后,解析获得并存储MSK,且向UE发送EAPOL:EAP Success。
S415、UE和AP1经过四步握手流程之后,均获得用于UE与AP1之间进行数据通信的PTK。之后,UE和AP1可以使用PTK进行安全的数据通信。当UE需要从AP1切换到AP2时,到S416。
S416、UE向AP2发送Authentication Request帧,该Authentication Request帧中携带有EAP Initiate Re-auth包。此时,AP2充当新的认证者的角色。
S417、AP2接收到Authentication Request帧后,向访问网络中的ERP服务器发送携带有EAP开始重认证包的AAA数据包。
S418、访问网络中的ERP服务器在接收到AAA数据包后,向AP2返回携带有rMSK和EAP结束重认证的AAA数据包。
S419、AP2接收到AAA数据包后,解析获得并存储rMSK,并向UE返回Authentication Response帧。
S420、UE接收到Authentication Response帧后,计算rMSK,并根据rMSK推导出其与AP2之间的PTK,UE向AP2发送Reassociation Request帧。
S421、AP2接收到Reassociation Request帧后,根据rMSK推导出其与UE之间的PTK,并向UE返回Reassociation Response帧。UE接收到ReassociationResponse帧后,切换成功完成,UE和AP2之间根据PTK进行安全的数据通信。
实施例五、切换方法。在WLAN独立部署的情况下,UE在初始接入时,可以不局限于通过AP1 EAP-AKA认证过程接入AP1,之后UE需要切换到AP2,其主要流程如附图5所示。在本实施例中,ERP服务器与Visited AAA Server(受访域AAA服务器,VAAA)共用一个物理实体。图5中的UE在认证过程充当supplicant(申请者)的角色。
在图5中,S501、UE向初始接入AP即AP1发送Authentication Request帧,该Authentication Request帧中并没有携带EAP Initiate Re-auth包。此时,AP1充当认证者的角色。
S502、AP1在接收到Authentication Request帧后,向UE返回AuthenticationResponse帧。
S503、UE接收到AP1返回的Authentication Response帧后,向AP1发送Reassociation Request帧。
S504、AP1在接收到Reassociation Request帧后,向UE返回ReassociationResponse帧。
可选的,S505、UE向AP1发送EAPOL-Start。
S506、AP1向UE发送EAPOL:EAP Request Identity。
S507、UE在接收到EAPOL:EAP Request Identity后,向AP1返回EAPOL:EAPReponse Identity,而且,该EAPOL:EAP Reponse Identity经访问域网络中的ERP服务器传输至UE归属域网络的EAP服务器。
S508、归属域网络的EAP服务器接收到EAPOL:EAP Reponse Identity后,与UE进行EAP认证过程。
S509、在EAP认证过程结束后,归属域网络的EAP服务器向ERP服务器发送AAA数据包,该AAA数据包中携带有MSK、Domain Specific Root Key(域根密钥,DSRK)和EAP成功信息等。
S510、ERP服务器接收到AAA数据包后,解析获得并存储DSRK,且向AP1发送携带有MSK和EAP成功信息的AAA数据包。
S511、AP1接收到AAA数据包后,解析获得并存储MSK,且向UE发送EAPOL:EAP Success。
S512、UE和AP1经过四步握手流程之后,均获得用于UE与AP1之间进行数据通信的PTK。之后,UE和AP1可以使用PTK进行安全的数据通信。当UE需要从AP1切换到AP2时,到S513。
S513、UE向AP2发送Authentication Request帧,该Authentication Request帧中携带有EAP Initiate Re-auth包。此时,AP2充当新的认证者的角色。
S514、AP2接收到Authentication Request帧后,向访问网络中的ERP服务器发送携带有EAP开始重认证包的AAA数据包。
S515、访问网络中的ERP服务器在接收到AAA数据包后,向AP2返回携带有rMSK和EAP结束重认证的AAA数据包。
S516、AP2接收到AAA数据包后,解析获得并存储rMSK,并向UE返回Authentication Response帧。
S517、UE接收到Authentication Response帧后,计算rMSK,并根据rMSK推导出其与AP2之间的PTK,UE向AP2发送Reassociation Request帧。
S518、AP2接收到Reassociation Request帧后,根据rMSK推导出其与UE之间的PTK,并向UE返回Reassociation Response帧。UE接收到ReassociationResponse帧后,切换成功完成,UE和AP2之间根据PTK进行安全的数据通信。
实施例六、切换装置。该装置可以为充当AP角色的网络设备,也可以设置于充当AP角色的网络设备中。在切换过程中,该网络设备为目标AP。该装置的结构如附图6所示。图6中的装置包括:接收模块600、发送模块610和密钥模块620。可选的,该装置还可以包括验证模块630。
接收模块600,用于接收在切换过程中用户终端发送来的认证请求帧和重关联请求帧,并接收ERP服务器发送来的数据包,这里的认证请求帧中携带有EAP开始重认证包。
发送模块610,用于向ERP服务器发送认证请求帧中携带的EAP开始重认证包,从ERP服务器发送来的数据包中获取重认证主会话密钥和EAP结束重认证包,并向用户终端发送封装有EAP结束重认证包的认证响应帧,以及向用户终端发送重关联响应帧。
密钥模块620,用于利用发送模块610获取的重认证主会话密钥派生出用于切换成功后与用户终端进行数据通信的密钥,即对临时密钥。
验证模块630,用于根据接收模块600接收到的重关联请求帧中携带的信息对重关联请求帧进行消息完整性验证。
在装置包括验证模块630的情况下,发送模块610在验证模块630验证通过后向用户终端发送重关联响应帧。
上述四个模块配合实现切换的具体过程可以为:在切换过程中,接收模块600接收用户终端发送来的携带有EAP开始重认证包的认证请求帧。发送模块610从认证请求帧中获取EAP开始重认证包,并基于ERP服务器支持的协议将EAP开始重认证包重新进行封装,然后,发送模块610向ERP服务器发送封装后的数据包。当ERP服务器与网络中的AAA服务器位于同一物理实体时,发送模块610可以将EAP开始重认证包封装为AAA数据包,然后,向ERP服务器发送AAA数据包。接收模块600接收ERP服务器发送来的携带有重认证主会话密钥和EAP结束重认证包的数据包,发送模块610从该数据包中获取重认证主会话密钥和EAP结束重认证包,针对该用户终端存储重认证主会话密钥,并向用户终端发送携带有EAP结束重认证包的认证响应帧。接收模块600接收到的该数据包是ERP服务器接获取EAP开始重认证包后,基于该EAP开始重认证包向目标AP返回的携带有重认证主会话密钥和EAP结束重认证包的数据包。ERP服务器可以在接收到EAP开始重认证包后,对EAP开始重认证包进行消息完整性验证,例如,ERP服务器根据EAP开始重认证包中携带的认证标签对EAP开始重认证包进行消息完整性验证,在验证通过后,ERP服务器为目标AP生成重认证主会话密钥,并为目标AP构造EAP结束重认证包,之后将重认证主会话密钥和EAP结束重认证包封装到数据包(如AAA数据包)中,并向目标AP发送该数据包。接收模块600接收用户终端发送来的重关联请求帧,发送模块610向用户终端发送重关联响应帧。该重关联请求帧是用户终端接收到认证响应帧后,针对该认证响应帧向目标AP返回的数据帧。在接收模块600接收到重关联请求帧后,验证模块630对该重关联请求帧进行消息完整性验证,例如,验证模块630根据重关联请求帧中携带的信息(如快速切换信息元素FTIE中的MIC)对重关联请求帧进行消息完整性验证,在验证通过后,发送模块610向用户终端发送重关联响应帧。密钥模块620利用重认证主会话密钥派生出用于在切换成功完成后与用户终端进行数据通信的密钥,该密钥可以称为对临时密钥,对临时密钥保证用户终端和目标AP之间的数据通信安全。
需要说明的是,本发明实施例不限制密钥模块620利用重认证主会话密钥派生出对临时密钥的具体实现过程。另外,密钥模块620派生出对临时密钥的时机有多种,具体如上述方法实施例中的描述。
上述发送模块610可以包括:获取子模块611和发送子模块612。
获取子模块611,用于从接收模块600接收到的认证请求帧中获取EAP开始重认证包,从接收模块600接收到的ERP服务器发送来的数据包中获取重认证主会话密钥和EAP结束重认证包。
发送子模块612,用于将获取子模块611获取的EAP开始重认证包封装为AAA数据包,并向ERP服务器发送所述AAA数据包;将获取子模块611获取的EAP结束重认证包携带在认证响应帧中,并向用户终端发送所述认证响应帧;在接收模块600接收到重关联请求帧后,向用户终端发送重关联响应帧。
在装置包括验证模块630的情况下,发送子模块612在验证模块630对重关联请求帧验证通过后,向用户终端发送重关联响应帧。
实施例七、切换***。该***的结构如附图7所示。图7中的***包括:目标AP700和ERP服务器710。图7中虽然只示出了一个目标AP700,可以理解的是,该***可以包括多个目标AP700,从而为众多的用户终端提供切换处理。
目标AP700,用于接收用户终端发送来的携带有EAP开始重认证包的认证请求帧,并向ERP服务器710发送认证请求帧中携带的EAP开始重认证包,从ERP服务器710发送来的数据包中获取重认证主会话密钥和EAP结束重认证包,并向用户终端发送封装有EAP结束重认证包的认证响应帧,接收用户终端发送来的重关联请求帧,并向用户终端发送重关联响应帧,以及利用重认证主会话密钥获得用于切换成功后与用户终端进行数据通信的密钥。
ERP服务器710,用于接收目标AP700发送来的EAP开始重认证包,根据EAP开始重认证包中携带的信息对EAP开始重认证包进行消息完整性验证,在验证通过后,向目标AP700发送携带有重认证主会话密钥和EAP结束重认证包的数据包。
上述目标AP700和ERP服务器710配合实现切换的具体过程可以为:在切换过程中,目标AP700接收用户终端发送来的携带有EAP开始重认证包的认证请求帧。目标AP700从认证请求帧中获取EAP开始重认证包,并基于ERP服务器710支持的协议将EAP开始重认证包重新进行封装,然后,目标AP700向ERP服务器710发送封装后的数据包。当ERP服务器710与网络中的AAA服务器位于同一物理实体时,目标AP700可以将EAP开始重认证包封装为AAA数据包,然后,向ERP服务器710发送AAA数据包。ERP服务器710从接收到的数据包中获取EAP开始重认证包,ERP服务器710对EAP开始重认证包进行消息完整性验证,例如,ERP服务器710根据EAP开始重认证包中携带的认证标签对EAP开始重认证包进行消息完整性验证,在验证通过后,ERP服务器710为目标AP700生成重认证主会话密钥,并为目标AP构造EAP结束重认证包,之后将重认证主会话密钥和EAP结束重认证包封装到数据包(如AAA数据包)中,向目标AP700发送该数据包。目标AP700接收ERP服务器700发送来的携带有重认证主会话密钥和EAP结束重认证包的数据包,目标AP700从该数据包中获取重认证主会话密钥和EAP结束重认证包,针对该用户终端存储重认证主会话密钥,并向用户终端发送携带有EAP结束重认证包的认证响应帧。目标AP700在接收用户终端发送来的重关联请求帧后,向用户终端发送重关联响应帧。该重关联请求帧是用户终端接收到认证响应帧后,针对该认证响应帧向目标AP700返回的数据帧。在目标AP700接收到重关联请求帧后,目标AP700对该重关联请求帧进行消息完整性验证,例如,目标AP700根据重关联请求帧中携带的信息(如快速切换信息元素FTIE中的MIC)对重关联请求帧进行消息完整性验证,在验证通过后,目标AP700向用户终端发送重关联响应帧。目标AP700利用重认证主会话密钥派生出用于在切换成功完成后与用户终端进行数据通信的密钥,该密钥可以称为对临时密钥,对临时密钥保证用户终端和目标AP之间的数据通信安全。
需要说明的是,本发明实施例不限制目标AP700利用重认证主会话密钥派生出对临时密钥的具体实现过程。另外,目标AP700派生出对临时密钥的时机有多种,具体如上述方法实施例中的描述。
本实施例***中的目标AP700的结构如上述实施例六中针对切换装置的描述,在此不再重复说明。
实施例八、用户终端。该用户终端的结构如附图8所示。图8中的用户终端包括:终端发送模块800、终端接收模块810和通信处理模块820。可选的,用户终端还可以包括终端验证模块830。
终端发送模块800,用于在切换过程中,向目标AP发送携带有EAP开始重认证包的认证请求帧,并在终端接收模块810接收到目标AP发送来的携带有EAP结束重认证包的认证响应帧后,向目标AP发送重关联请求帧。
终端接收模块810,用于接收目标AP发送来的重关联响应帧和携带有EAP结束重认证包的认证响应帧。
通信处理模块820,用于计算重认证主会话密钥,根据重认证主会话密钥派生出用于与目标AP进行数据通信的密钥,并在终端接收模块810接收到重关联响应帧后,根据派生出的密钥与目标AP进行数据通信。
在用户终端包括终端验证模块830的情况下,终端验证模块830,用于根据EAP结束重认证包中携带的信息对EAP结束重认证包进行消息完整性验证,并根据重关联响应帧中携带的信息对重关联响应帧进行消息完整性验证。此时,终端发送模块800在终端验证模块830对EAP结束重认证包验证通过后,向目标AP发送重关联请求帧;而且,通信处理模块820在终端验证模块830对重关联响应帧验证通过后,根据派生出的密钥与目标AP进行数据通信。
上述四个模块配合实现切换的具体过程可以为:在切换过程中,终端发送模块800向目标AP发送携带有EAP开始重认证包的认证请求帧,如终端发送模块800发送的认证请求帧中携带有包含EAP开始重认证包的ERP信元。在终端接收模块810接收到目标AP发送来的携带有EAP结束重认证包的认证响应帧后,终端验证模块830根据认证响应帧中的EAP结束重认证包携带的信息对EAP结束重认证包进行消息完整性验证,例如,终端验证模块830根据EAP结束重认证包中携带的认证标签对EAP结束重认证包进行消息完整性验证;在终端验证模块830对EAP结束重认证包的验证通过后,终端发送模块800向目标AP发送重关联请求帧。在终端接收模块810接收到目标AP发送来的重关联响应帧后,终端验证模块830可以根据重关联响应帧中携带的信息对重关联响应帧进行消息完整性验证,例如,终端验证模块830根据重关联响应帧的FTIE中的MIC对重关联响应帧进行消息完整性验证;在终端验证模块830对重关联响应帧验证通过后,通信处理模块820根据对临时密钥与目标AP进行数据通信。这里的对临时密钥为通信处理模块820根据重认证主会话密钥派生出的与目标AP进行数据通信的密钥,而这里的重认证主会话密钥可以是通信处理模块820根据用户终端存储的重认证根密钥派生出来的。重认证根密钥可以是用户终端在初次接入认证过程中获得并存储的。本实施例不限制用户终端获得重认证根密钥和利用重认证根密钥派生出重认证主会话密钥的具体实现过程。
需要说明的是,通信处理模块820派生对临时密钥的过程可以在终端验证模块830对EAP结束重认证包进行验证之后的诸多时刻实现,例如,在终端验证模块830对EAP结束重认证包验证通过后,通信处理模块820就根据重认证根密钥派生出重认证主会话密钥rMSK,并利用重认证主会话密钥rMSK派生出对临时密钥;再例如,在终端验证模块830对重关联响应帧验证通过后,通信处理模块820再根据重认证根密钥派生出重认证主会话密钥,并利用重认证主会话密钥派生出对临时密钥;还有,终端验证模块830派生出重认证主会话密钥和对临时密钥的过程也可以分开不连续的执行,再有终端验证模块830可以在需要与目标AP进行数据通信时,再派生出重认证主会话密钥和对临时密钥等等。
本发明实施例不限制终端验证模块830根据重认证根密钥派生出重认证主会话密钥、以及终端验证模块830根据重认证主会话密钥派生出对临时密钥的具体实现过程。另外,在本实施例的描述中,省略了消息中携带的一些信息、以及切换过程中的一些相关操作等,例如,认证信息、以及认证操作等,可将实际网络中包含的相关信息和相关操作添加在上述实施例描述的流程中。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现,当然也可以全部通过硬件来实施,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,本发明的申请文件的权利要求包括这些变形和变化。
Claims (11)
1.一种切换方法,其特征在于,包括:
在切换过程中,目标接入点AP接收用户终端发送来的认证请求帧,所述认证请求帧中携带有可扩展认证框架EAP开始重认证包;
所述目标AP向可扩展认证框架重认证协议ERP服务器发送所述认证请求帧中携带的EAP开始重认证包;
所述目标AP从所述ERP服务器发送来的数据包中获取重认证主会话密钥和EAP结束重认证包,并向所述用户终端发送携带有所述EAP结束重认证包的认证响应帧;
所述目标AP接收所述用户终端发送来的重关联请求帧,并向所述用户终端发送重关联响应帧;
所述目标AP利用所述重认证主会话密钥派生出用于切换成功后与所述用户终端进行数据通信的密钥。
2.如权利要求1所述的方法,其特征在于,所述目标AP向ERP服务器发送所述认证请求帧中携带的EAP开始重认证包包括:
目标AP从接收到的认证请求帧中获取EAP开始重认证包,将所述EAP开始重认证包封装为AAA数据包,向所述ERP服务器发送所述AAA数据包;
且所述ERP服务器发送来的数据包为:ERP服务器在对EAP开始重认证包验证通过后发送的携带有重认证主会话密钥和EAP结束重认证包的AAA数据包。
3.如权利要求1或2所述的方法,其特征在于,所述重关联请求帧为用户终端对接收到的认证响应帧中的EAP结束重认证包进行消息完整性验证通过后,向目标AP发送的重关联请求帧,且所述向所述用户终端发送重关联响应帧包括:
所述目标AP根据重关联请求帧中携带的信息对所述重关联请求帧进行消息完整性验证,并在验证通过后向所述用户终端发送重关联响应帧。
4.一种切换装置,其特征在于,所述装置包括:
接收模块,用于接收在切换过程中用户终端发送来的认证请求帧和重关联请求帧,并接收可扩展认证框架重认证协议ERP服务器发送来的数据包,所述认证请求帧中携带有可扩展认证框架EAP开始重认证包;
发送模块,用于向所述ERP服务器发送所述认证请求帧中携带的EAP开始重认证包,从所述ERP服务器发送来的数据包中获取重认证主会话密钥和EAP结束重认证包,并向所述用户终端发送封装有所述EAP结束重认证包的认证响应帧,以及向所述用户终端发送重关联响应帧;
密钥模块,用于利用所述重认证主会话密钥派生出用于切换成功后与所述用户终端进行数据通信的密钥。
5.如权利要求4所述的装置,其特征在于,所述发送模块包括:
获取子模块,用于从所述认证请求帧中获取EAP开始重认证包;从所述ERP服务器发送来的数据包中获取重认证主会话密钥和EAP结束重认证包;
发送子模块,用于将所述EAP开始重认证包封装为AAA数据包,向ERP服务器发送所述AAA数据包;将所述EAP结束重认证包携带在认证响应帧中,向所述用户终端发送所述认证响应帧,在所述接收模块接收到所述重关联请求帧后,向所述用户终端发送重关联响应帧。
6.如权利要求4或5所述的装置,其特征在于,所述装置还包括:
验证模块,用于根据所述接收模块接收到的重关联请求帧中携带的信息对所述重关联请求帧进行消息完整性验证;
且所述发送模块在所述验证模块验证通过后向所述用户终端发送重关联响应帧。
7.一种切换***,其特征在于,包括:
目标接入点AP,用于接收用户终端发送来的携带有可扩展认证框架EAP开始重认证包的认证请求帧,并向可扩展认证框架重认证协议ERP服务器发送所述认证请求帧中携带的EAP开始重认证包,从所述ERP服务器发送来的数据包中获取重认证主会话密钥和EAP结束重认证包,并向所述用户终端发送封装有所述EAP结束重认证包的认证响应帧,接收所述用户终端发送来的重关联请求帧,并向所述用户终端发送重关联响应帧,以及利用所述重认证主会话密钥获得用于切换成功后与用户终端进行数据通信的密钥;
ERP服务器,用于接收所述目标AP发送来的EAP开始重认证包,根据所述EAP开始重认证包中携带的信息对所述EAP开始重认证包进行消息完整性验证,在验证通过后向所述目标AP发送携带有重认证主会话密钥和EAP结束重认证包的数据包。
8.一种切换方法,其特征在于,包括:
在切换过程中,用户终端向目标接入点AP发送携带有可扩展认证框架EAP开始重认证包的认证请求帧;
所述用户终端在接收到所述目标AP发送来的封装有EAP结束重认证包的认证响应帧后,向所述目标AP发送重关联请求帧;
所述用户终端在接收到所述目标AP发送的重关联响应帧后,根据利用重认证主会话密钥派生出的密钥与所述目标AP进行数据通信。
9.如权利要求8所述的切换方法,其特征在于,所述向所述目标AP发送重关联请求帧包括:
所述用户终端根据所述EAP结束重认证包中携带的信息对所述EAP结束重认证包进行消息完整性验证,并在验证通过后向目标AP发送重关联请求帧;
且所述根据利用重认证主会话密钥派生出的密钥与所述目标AP进行数据通信包括:
所述用户终端根据重关联响应帧携带的信息对重关联响应帧进行消息完整性验证,并在验证通过后根据利用重认证主会话密钥派生出的密钥与所述目标AP进行数据通信。
10.一种用户终端,其特征在于,包括:
终端发送模块,用于在切换过程中,向目标接入点AP发送携带有可扩展认证框架EAP开始重认证包的认证请求帧,并在终端接收模块接收到所述目标AP发送来的携带有EAP结束重认证包的认证响应帧后,向所述目标AP发送重关联请求帧;
终端接收模块,用于接收所述目标AP发送来的重关联响应帧和携带有EAP结束重认证包的认证响应帧;
通信处理模块,用于计算重认证主会话密钥,根据所述重认证主会话密钥派生出用于与所述目标AP进行数据通信的密钥,并在所述终端接收模块接收到所述重关联响应帧后,根据所述派生出的密钥与所述目标AP进行数据通信。
11.如权利要求10所述的用户终端,其特征在于,还包括:
终端验证模块,用于根据所述EAP结束重认证包中携带的信息对EAP结束重认证包进行消息完整性验证,以及根据所述重关联响应帧中携带的信息对重关联响应帧进行消息完整性验证;
且所述终端发送模块在所述终端验证模块对所述EAP结束重认证包验证通过后,向所述目标AP发送重关联请求帧;
所述通信处理模块在所述终端验证模块对所述重关联响应帧验证通过后,根据所述派生出的密钥与所述目标AP进行数据通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910091942A CN101695165A (zh) | 2009-09-01 | 2009-09-01 | 切换方法、装置和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910091942A CN101695165A (zh) | 2009-09-01 | 2009-09-01 | 切换方法、装置和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101695165A true CN101695165A (zh) | 2010-04-14 |
Family
ID=42094094
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910091942A Pending CN101695165A (zh) | 2009-09-01 | 2009-09-01 | 切换方法、装置和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101695165A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103797832A (zh) * | 2011-09-12 | 2014-05-14 | 高通股份有限公司 | 使用并发重认证和连接建立的无线通信 |
| CN103999495A (zh) * | 2011-11-08 | 2014-08-20 | 高通股份有限公司 | 启用对无线链路建立的密钥生存期的访问 |
| WO2015101040A1 (zh) * | 2013-12-31 | 2015-07-09 | 华为技术有限公司 | 一种无线局域网中的切换方法及装置 |
| CN105657746A (zh) * | 2016-01-05 | 2016-06-08 | 上海斐讯数据通信技术有限公司 | 一种基于ap邻接关系的无线终端快速漫游***和方法 |
| CN106211150A (zh) * | 2015-04-29 | 2016-12-07 | 中国电信股份有限公司 | 无线局域网的接入方法、ap及无线局域网络 |
| CN106464689A (zh) * | 2014-06-03 | 2017-02-22 | 高通股份有限公司 | 用于在快速初始链路设立期间进行认证的***、方法和装置 |
| CN107425961A (zh) * | 2011-09-12 | 2017-12-01 | 高通股份有限公司 | 执行链路建立和认证的***和方法 |
| CN108540493A (zh) * | 2018-04-28 | 2018-09-14 | 北京佰才邦技术有限公司 | 认证方法、用户设备、网络实体以及业务侧服务器 |
| CN108881103A (zh) * | 2017-05-08 | 2018-11-23 | 腾讯科技(深圳)有限公司 | 一种接入网络的方法及装置 |
| CN109906624A (zh) * | 2016-10-31 | 2019-06-18 | 瑞典爱立信有限公司 | 支持无线通信网络中的认证的方法以及相关网络节点和无线终端 |
-
2009
- 2009-09-01 CN CN200910091942A patent/CN101695165A/zh active Pending
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107425961A (zh) * | 2011-09-12 | 2017-12-01 | 高通股份有限公司 | 执行链路建立和认证的***和方法 |
| CN103797832B (zh) * | 2011-09-12 | 2018-07-31 | 高通股份有限公司 | 使用并发重认证和连接建立的无线通信 |
| CN103797832A (zh) * | 2011-09-12 | 2014-05-14 | 高通股份有限公司 | 使用并发重认证和连接建立的无线通信 |
| CN103999495A (zh) * | 2011-11-08 | 2014-08-20 | 高通股份有限公司 | 启用对无线链路建立的密钥生存期的访问 |
| CN103999495B (zh) * | 2011-11-08 | 2017-10-27 | 高通股份有限公司 | 启用对无线链路建立的密钥生存期的访问 |
| WO2015101040A1 (zh) * | 2013-12-31 | 2015-07-09 | 华为技术有限公司 | 一种无线局域网中的切换方法及装置 |
| CN106464689A (zh) * | 2014-06-03 | 2017-02-22 | 高通股份有限公司 | 用于在快速初始链路设立期间进行认证的***、方法和装置 |
| CN106211150A (zh) * | 2015-04-29 | 2016-12-07 | 中国电信股份有限公司 | 无线局域网的接入方法、ap及无线局域网络 |
| CN105657746A (zh) * | 2016-01-05 | 2016-06-08 | 上海斐讯数据通信技术有限公司 | 一种基于ap邻接关系的无线终端快速漫游***和方法 |
| CN105657746B (zh) * | 2016-01-05 | 2019-09-13 | 上海斐讯数据通信技术有限公司 | 一种基于ap邻接关系的无线终端快速漫游***和方法 |
| CN109906624A (zh) * | 2016-10-31 | 2019-06-18 | 瑞典爱立信有限公司 | 支持无线通信网络中的认证的方法以及相关网络节点和无线终端 |
| US11818569B2 (en) | 2016-10-31 | 2023-11-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods supporting authentication in wireless communication networks and related network nodes and wireless terminals |
| CN108881103A (zh) * | 2017-05-08 | 2018-11-23 | 腾讯科技(深圳)有限公司 | 一种接入网络的方法及装置 |
| CN108881103B (zh) * | 2017-05-08 | 2020-10-13 | 腾讯科技(深圳)有限公司 | 一种接入网络的方法及装置 |
| CN108540493A (zh) * | 2018-04-28 | 2018-09-14 | 北京佰才邦技术有限公司 | 认证方法、用户设备、网络实体以及业务侧服务器 |
| CN108540493B (zh) * | 2018-04-28 | 2021-05-04 | 深圳佰才邦技术有限公司 | 认证方法、用户设备、网络实体以及业务侧服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101695165A (zh) | 切换方法、装置和*** | |
| JP4976548B2 (ja) | 端末が移動するときにセキュリティ機能を折衝するための方法、システム、および装置 | |
| KR101901448B1 (ko) | 스테이션과 엑세스 포인트의 결합 방법 및 장치 | |
| EP1972125B1 (en) | Apparatus and method for protection of management frames | |
| US7546459B2 (en) | GSM-like and UMTS-like authentication in a CDMA2000 network environment | |
| US8094817B2 (en) | Cryptographic key management in communication networks | |
| JP5597676B2 (ja) | 鍵マテリアルの交換 | |
| CN100512182C (zh) | 无线局域网中的快速切换方法及*** | |
| EP3175639B1 (en) | Authentication during handover between two different wireless communications networks | |
| CN101925059B (zh) | 一种切换的过程中密钥的生成方法及*** | |
| KR20110053495A (ko) | 차세대 이동 네트워크에서의 보호용 키를 생성하는 방법, 네트워크 디바이스, 사용자 장비 및 컴퓨터 판독가능 매체 | |
| US20130196708A1 (en) | Propagation of Leveled Key to Neighborhood Network Devices | |
| CN109391942A (zh) | 触发网络鉴权的方法及相关设备 | |
| WO2009088252A2 (en) | Pre-authentication method for inter-rat handover | |
| WO2016015748A1 (en) | Authentication in a radio access network | |
| EP2648437B1 (en) | Method, apparatus and system for key generation | |
| JP6123035B1 (ja) | Twagとueとの間でのwlcpメッセージ交換の保護 | |
| CN101911742B (zh) | 用于交互rat切换的预认证方法 | |
| CN101610507A (zh) | 一种接入3g-wlan互联网络的方法 | |
| Tang et al. | Analysis of authentication and key establishment in inter-generational mobile telephony | |
| US20120254615A1 (en) | Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network | |
| US20190149326A1 (en) | Key obtaining method and apparatus | |
| WO2022237561A1 (zh) | 一种通信方法及装置 | |
| Haddar et al. | Securing fast pmipv6 protocol in case of vertical handover in 5g network | |
| Sun et al. | Efficient authentication schemes for handover in mobile WiMAX |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100414 |