CN1681239A - 在无线局域网***中支持多种安全机制的方法 - Google Patents
在无线局域网***中支持多种安全机制的方法 Download PDFInfo
- Publication number
- CN1681239A CN1681239A CN 200410034424 CN200410034424A CN1681239A CN 1681239 A CN1681239 A CN 1681239A CN 200410034424 CN200410034424 CN 200410034424 CN 200410034424 A CN200410034424 A CN 200410034424A CN 1681239 A CN1681239 A CN 1681239A
- Authority
- CN
- China
- Prior art keywords
- sta
- type
- security
- wai
- wpi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 230000007246 mechanism Effects 0.000 title claims abstract description 46
- 230000004913 activation Effects 0.000 claims abstract description 10
- 230000003068 static effect Effects 0.000 claims description 18
- 230000003213 activating effect Effects 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 85
- 230000027455 binding Effects 0.000 description 9
- 238000009739 binding Methods 0.000 description 9
- 238000012850 discrimination method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种使无线局域网***同时支持多种安全机制的方法,以解决非WAI鉴别类型无法与WPI加密类型配合的问题。该方法为:AP和STA之间在建立关联期间或在WAI鉴别激活期间完成安全机制的协商,AP和STA按选择的鉴别类型和密钥管理类型进行相应的鉴别流程和密钥管理流程,并采用所选择的WPI加密类型对数据加密。
Description
技术领域
本无线局域网技术,尤其涉及一种在无线局域网***中支持多种安全机制的方法。
背景技术
无线局域网鉴别与保密基础结构(WLAN Authentication and PrivacyInfrastructure,WAPI)机制由无线局域网鉴别基础结构(WLAN AuthenticationInfrastructure,WAI)和无线保密基础结构(WLAN Privacy Infrastructure,WPI)组成,是国标15629.11《信息技术 ***间远程通信和信息交换 局域网和城域网特定要求 第11部分:无线局域网媒体访问(MAC)和物理(PHY)层规范》提出的WLAN安全体系。
WAPI中采用的数据加密算法定义在WPI中。WPI采用对称加密算法对MAC服务数据单元(MSDU)进行加密和解密。
WAPI中定义了WAI进行身份鉴别和STA、AP之间的密钥协商。WAI采用公共密钥基础,STA和AP之间使用数字证书进行身份鉴别。STA和AP之间的相互鉴别由第三方鉴别服务单元(ASU)完成。ASU为每一个客户(包括STA和AP)颁发公钥数字证书,并为使用该证书的客户提供公钥合法性的证明。ASU的数字签名确保证书不被伪造或篡改。ASU负责管理所有参与网上信息交换的各方所需的数字证书(包括产生、颁发、吊销更新等),是实现电子信息安全交换的核心。
STA接入览别的过程如图1所示:
1、该鉴别建立在关联过程之上。在鉴别过程中,STA和AP之间采用的协议ID定义为0x88B4,为新的协议标准;AP和ASU之间采用用户数据报协议(UDP)进行通讯。
2、当STA关联和重新关联至AP时,必须进行相互身份鉴别。若鉴别成功,则AP允许STA接入,否则解除其关联。整个鉴别过程包括证书鉴别与会话密钥协商。
3、在证书鉴别过程中,需要将SAT和AP的证书一起发送给ASU,由ASU对AP和STA签名和证书的有效性进行验证,并将证书鉴别结果信息(包括AP证书鉴别结果信息和STA证书鉴别结果信息)和ASU对它们的签名过程证书鉴别响应发回给AP;AP对ASU返回的证书鉴别响应进行签名验证,得到STA证书的签名结果,根据此结果对STA进行接入控制。AP将收到的证书鉴别响应回送至STA,STA验证ASU的签名后,得到AP证书的鉴别结果,根据该鉴别结果决定是否接入AP。
4、STA和AP之间的密钥协商请求可以由任意一方发起,另一方响应。发送密钥请求的一方产生一串随机数,利用对方的公钥加密后发出,并包含请求方所有的被选会话算法信息;对方收到后先进行会话算法协商,若协商通过,用本地的私钥解密协商数据,得到随机数据;然后再产生一串随机数据,利用请求方的公钥加密后,在发送给请求方。密钥协商成功后,STA和AP将自己与对方分别产生的随机数据进行模2和运算生产会话密钥,利用协商的会话算法对通讯数据进行加、解密。
5、在STA接入过程中使用的签名算法为用于WLAN的椭圆曲线密码(WCC)算法,包括:192位的椭圆曲线算法、224位的椭圆曲线算法和256位的椭圆曲线算法。
WLAN中国安全标准WAPI只能使用WAI证书鉴别方法进行接入认证控制,无法给用户提供在使用其它接入认证控制方法的情况下使用基于中国数据加密算法,无法给用户提供WAI与其他非WPI规定的数据加密算法的配合,也无法支持802.11i终端和WAPI终端同时使用。
发明内容
本发明提供一种在无线局域网***中支持多种安全机制的方法,以解决非WAI认证方式无法与WPI加密方式配合的问题。
为解决上述问题,本发明提供以下技术方案:
一种在无线局域网***中支持多种安全机制的方法,所述无线局域网中包括终端站点(STA)、无线接入点(AP);该方法为:所述AP和STA之间在建立关联期间或在无线局域网鉴别基础结构(WAI)鉴别激活期间完成安全机制的协商,并按协商时选择的鉴别类型和密钥管理类型进行相应的鉴别流程和密钥管理流程,以及采用协商时所选择的无线保密基础结构(WPI)加密类型对数据加密。
根据上述方法:
所述安全机制是指鉴别类型、密钥管理类型与加密类型的一种有效组合;所支持的鉴别类型和密钥管理类型包括但不限于:WAI证书鉴别和WAI动态密钥管理,WAI证书鉴别和静态密钥管理,基于802.1X的EAP方法和802.1X动态密钥管理,基于802.1X的EAP方法和静态密钥管理,以及不鉴别和静态密钥管理。
所述AP和STA之间在建立关联期间完成安全机制的协商包括以下步骤:
AP根据其安全策略,通过信标帧和/或探询响应报文将表示所支持的鉴别类型、密钥管理类型和支持的WPI加密类型的安全参数发送到STA;
STA根据本端的安全策略和AP的安全参数,选择与AP共同支持的鉴别类型、密钥管理类型和WPI加密类型,并通过发送包含安全参数的关联请求关联到AP。
所述AP和STA之间在WAI鉴别激活期间完成安全机制的协商包括以下步骤:
AP通过WAI鉴别激活报文将表示所支持的鉴别类型、密钥管理类型和无线保密基础结构(WPI)加密类型的安全参数发送到STA;
STA根据本端的安全策略和收到所述安全参数,选择与AP共同支持的鉴别类型、密钥管理类型和WPI加密类型,并将包含安全参数的WAI鉴别激活响应报文发送到AP。
所述安全策略是指根据设备能力及应用要求,确定所述AP或STA所支持的安全机制及安全机制的优选原则,用户可以通过人机界面对所述AP或STA进行安全策略的配置。
当AP发送给STA的鉴别激活报文没有携带安全参数时,STA缺省认为AP支持WAI证书鉴别和WAI动态密钥管理,STA不发送鉴别激活响应报文。
当STA和AP之间在关联期间完成安全参数协商,如果协商的安全机制为WAI,AP发送给STA的WAI鉴别激活报文可以不携带安全参数或携带的安全参数与关联期间协商的安全机制一致。
采用本发明,用户可以灵活选择所支持的安全机制;本发明不仅能完全支持标准的WAPI及802.11i等安全机制,还能够将中国标准WAPI中的WAI认证方式与WPI加密方式分开,支持诸如基于802.1X EAP方法与WPI加密方式的绑定应用等。
附图说明
图1为WAPI接入鉴别的流程图;
图2为STA与AP在关联建立前进行安全参数协商的流程图;
图3A、图3B为图2所示流程中安全参数协商不一致的例外流程图;
图4A为STA与AP通过鉴别激活进行安全参数协商的流程图;
图4B、图4C为图4 A所示流程中安全参数协商不一致的例外流程图;
图5为本发明中WAPI认证和密钥协商流程图;
图6为采用EAP认证和WPI加密的业务流程图;
具体实施方式
本发明在无线局域网鉴别与保密基础结构(WLAN Authentication andPrivacy Infrastructure,WAPI)基础上增加STA和AP之间安全机制协商能力,该安全机制主要涉及鉴别方法、密钥管理方法和加密方法。对于本发明,AP必须无线保密基础结构(WPI)加密类型。
首先定义一种安全参数信息元素(IE),用以承载AP或STA设备在上述三个方面的支持能力。安全参数IE的定义可以采用但不局限于下面格式:
| 安全参数类型(2个八位元) | 长度(2个八位元) | 值1(2个八位元) | …… | 值N(2个八位元) |
安全参数类型取值可采用以下约定或其他约定:
安全参数类型值=1,鉴别参数;
安全参数类型值=2,密钥管理参数;
安全参数类型值=3,加密参数。
其中,长度用于确定值的长度。
在鉴别参数中携带支持的所有鉴别方法种类,在密钥管理参数中携带支持的所有密钥管理参数的种类,在加密参数中携带支持的加密参数的种类。
目前已知的鉴别方法类型有:WAI证书鉴别方法,基于802.1X的EAP等。可定义值=1时为WAI证书鉴别方法;值=2时为基于802.1X的EAP;值=0时为不鉴别;其他值保留。
目前已知的密钥管理类型有:WAI动态密钥管理,802.1X动态密钥管理,静态密钥管理等。可定义值=1时为WAI动态密钥管理;值=2时为802.1X动态密钥管理;值=3时为静态密钥管理;其他值保留。
目前已知的加密方法有:WPI(加密算法仅用于软件实现)、WPI(加密算法仅用于硬件实现)等;可定义值=1时为WPI(加密算法仅于软件实现),值=2时为WPI(加密算法仅用于硬件实现);其他值保留。
AP和STA的安全能力取决于设备本身支持能力及使用时的配置,AP和STA根据其安全能力可选择以下途径将其安全参数通知给对方:
1、在关联过程或关联过程之前完成安全参数协商
AP可通过信标报文、探询响应报文和关联响应报文携带安全参数给STA。
STA可通过探询请求报文、关联请求报文携带安全参数给AP。
2、在关联之后完成安全参数协商
AP通过鉴别激活报文携带安全参数给STA。
STA通过激活响应报文携带安全参数给AP,该激活响应报文为新增加的报文类型,用于向AP提供STA协商后确定的安全参数。
安全参数协商即是STA和AP其中的一方根据接收到的对方的安全参数及己方的安全能力的交集,选定一种鉴别类型、密钥管理类型、加密类型组合。当交集存在多种组合时,设备能根据一定的原则选择一种最佳组合。这种选择原则可能是基于性能考虑如优选WPI(加密算法仅用于硬件实现),或基于用户的优先级配置。STA和AP设备在配置时应考虑到支持的组合种类及不支持的或无意义的组合种类。
本发明增加的安全机制主要包括以下类型(但不限于这些类型):
| 安全机制类型 | 鉴别类型 | 密钥管理类型 | 加密类型 |
| 1 | WAI | WAI动态密钥管理 | WPI(加密算法仅用于软件实现) |
| 2 | WAI | WAI动态密钥管理 | WPI(加密算法仅用于硬件实现) |
| 3 | WAI | 静态密钥管理 | WPI(加密算法仅用于软件实现) |
| 4 | WAI | 静态密钥管理 | WPI(加密算法仅用于硬件实现) |
| 5 | 基于802.1X的EAP | 802.1X动态密钥管理 | WPI(加密算法仅用于软件实现) |
| 6 | 基于802.1X的EAP | 802.1X动态密钥管理 | WPI(加密算法仅用于硬件实现) |
| 7 | 基于802.1X的EAP | 静态密钥管理 | WPI(加密算法仅用于软件实现) |
| 8 | 基于802.1X的EAP | 静态密钥管理 | WPI(加密算法仅用于硬件实现) |
| 9 | 不鉴别 | 静态密钥管理 | WPI(加密算法仅用于软件实现) |
| 10 | 不鉴别 | 静态密钥管理 | WPI(加密算法仅用于硬件实现) |
参阅图3A所示,AP通过信标帧和探询响应报文携带安全参数给STA的主要过程如下:
1、AP向STA发送携带有安全参数的信标帧,该安全参数表明AP所支持的鉴别类型、密钥管理类型和支持WPI加密类型。
2、STA向AP发送探询报文。
3、AP向STA返回携带有安全参数的探询响应报文,该安全参数表明AP所支持的鉴别类型、密钥管理类型和支持WPI加密类型。
4、STA根据本端的安全能力和所述安全参数,在本端支持WPI加密类型时选择与AP共同支持的鉴别类型、密钥管理类型和WPI加密类型,即协商出安全参数。
5、AP和STA按选择的鉴别类型和密钥管理类型进行相应的鉴别流程和密钥管理流程,并采用WPI加密方式对数据加密。
6、7、AP和STA之间进行开放***认证。
8、9、STA向AP发送关联请求报文并由AP返回关联响应报文,其中携带协商后的安全参数。
以上过程完成后,若双方都支持相同的鉴别类型、密钥管理类型和WPI加密,AP和STA之间建立起物理链路,然后根据协商的认证方式,AP向STA发送鉴别激活报文,进入证书鉴别阶段。
在图3A所示的流程中,当STA发现无法与AP协商出一致的安全参数时,STA则不再向AP发起关联请求,参阅图3B所示。
在图3A所示的流程中,当AP发现本端不支持STA通过关联请求报文发送来的安全参数时,在返回关联响应时应将状态码设为失败,原因值为安全参数协商失败(在关联响应报文的原因值中增加“安全参数协商失败”值定义),参阅图3C所示。
STA通过探询请求报文、关联请求报文携带安全参数给AP主要过程如下:
1、STA向AP发送包含安全参数的探询报文,该安全参数表明AP所支持的鉴别类型、密钥管理类型和支持WPI加密类型。
2、AP根据本端的安全能力和所述安全参数选择与STA共同支持的鉴别类型、密钥管理类型并选择WPI加密类型,并向STA返回携带安全参数的探询请求响应报文;
3、STA向AP发送关联请求报文并由AP返回关联响应报文,其中携带协商后的安全参数。
4、AP和STA按选择的鉴别类型和密钥管理类型进行相应的鉴别流程和密钥管理流程,并采用所选择的WPI加密类型对数据加密。
以上过程完成后,若双方都支持相同的鉴别类型、密钥管理类型和WPI加密,AP和STA之间建立起物理链路,然后根据协商的认证方式,AP向STA发送鉴别激活报文,进入证书鉴别阶段。
当STA发现本端不支持AP通过探询响应报文发送来的安全参数时,STA则不再向AP发起关联请求。
参阅图4A所示,AP通过鉴别激活报文携带安全参数给STA的主要过程如下:
1、AP向STA发送包含安全参数的鉴别激活报文,该安全参数表明AP所支持的鉴别类型、密钥管理类型和支持WPI加密类型。
2、STA根据本端的安全能力和所述安全参数选择与AP共同支持的鉴别类型、密钥管理类型并选择WPI加密类型。
3、STA向AP返回携带协商后的安全参数的鉴别激活响应报文。
4、AP检查协商后的安全参数,如果支持这些安全参数,则按选择的鉴别类型和密钥管理类型进行相应的鉴别流程和密钥管理流程,并采用所选择的WPI加密类型对数据加密。
在图4A流程中,当STA无法与AP协商出一致的安全参数时,向AP发起解除关联报文,如图4B所示。当AP收到STA的鉴别激活响应发现不能支持STA选择的安全参数时,向STA发起解除关联报文,参阅图4C所示。
从上述可知,本发明在STA和AP之间能实现802.11i和WAPI所定义的认证和加密方式的动态绑定,即除了支持WAI证书鉴别和WPI加密类型绑定应用,也提供其他认证方式如基于802.1X EAP方法与WPI绑定应用的解决方案,以满足市场对多种认证方法的需求。同时也可以很容易提供WAI证书鉴别与其他加密算法绑定应用的方法,以解决因WPI出口限制而不能在国外推广WAPI的问题。
以下以WAI证书鉴别和WPI加密绑定、802.1X鉴别和WPI加密绑定为例对本发明进行一步说明。
对于在STA与AP建立关联过程中动态协商安全参数信元的编码格式,也可直接采用802.11i定义的RSN IE编码格式。通过对802.11i所定义的RSN IE进行扩充来实现STA和AP之间的认证和加密算法的动态协商。对于如何携带安全参数,并不局限于采用RSN IE。
在802.11i定义的RSN IE中增加WAI证书鉴别类型和WPI加密方式的定义;例如,在802.1li定义的RSN IE中增加WAPI鉴别和加密方式组织唯一标识(OUI)定义,如下表:(
| OUI | 组类型(SuiteType) | 含义 | |
| 认证类型 | 密钥管理类型 | ||
| 00:E0:FC | 1 | WAI证书鉴别 | WAI动态密钥管理 |
| 00:E0:FC | 2 | 无(不鉴别) | 静态密钥管理 |
对于WAI,Element ID为221,OUI为00:E0:FC(可定义为此OUI值,但不限于使用此值),当认证和密钥管理的取值为00:E0:FC:1,即使用WAI证书鉴别和WAI动态密钥管理。当认证和密钥管理的取值为00:E0:FC:2时,不使用任何认证,使用静态密钥管理机制产生加密密钥。
WPI加密类型取值为:
| OUI | 组类型(SuiteType) | 含义 |
| 00:E0:FC | 1 | WPI(加密算法仅用于软件实现) |
| 00:E0:FC | 2 | WPI(加密算法仅用于硬件实现) |
对于WPI,Element ID为221,OUI为00:E0:FC(可定义为此OUI值,但不限于使用此值),加密机制的缺省值为00:E0:FC:1,即使用WPI所规定的基于软件实现的对称加密算法进行数据加密。
参阅图5所示,认证类型及密钥管理类型为WAI,加密类型为WPI加密类型,即WAI和WPI绑定的应用流程如下:
1、支持WAPI的AP在其向STA广播的信标帧中携带RSN IE,其中,认证方式支持WAI证书鉴别,密钥管理机制为WAI动态密钥管理机制,加密方式支持WPI加密类型。
2、STA向AP发送探询报文。
3、支持WAPI的AP在向STA发送的探询响应报文中携带RSN IE,其中,认证方式支持WAI证书鉴别,密钥管理机制为WAI动态密钥管理机制,加密方式支持WPI加密类型。
4、5、AP和STA之间进行开放***认证。
6、STA向AP发送关联帧和重新关联帧,其中携带RSN IE,表明认证方式支持WAI证书鉴别,密钥管理机制为WAI动态密钥管理机制,加密方式支持WPI加密类型。
7、AP在其关联响应帧中携带RSN IE,其中,认证方式支持WAI证书鉴别,密钥管理机制为WAI动态密钥管理机制,加密方式支持WPI加密类型。
以上过程完成后,若双方都支持WAPI,AP和STA之间建立起物理链路,然后根据协商的认证方式,AP向STA发送鉴别激活报文,进入证书鉴别阶段。
当STA和AP支持RSN IE协商认证方式、密钥管理机制和加密机制后,可以灵活解决802.1X认证配合WPI加密的问题,如:认证方式为基于802.1X的EAP认证方法,密钥协商机制为基于802.1X的动态密钥管理机制,数据采用WPI加密类型进行加密。
对于认证方式为基于802.1X的EAP认证方法,密钥协商机制为基于802.1X的动态密钥管理机制,数据采用WPI加密类型进行加密。当使用802.1X的EAPOL-KEY进行密钥协商时,建议采用802.11i的密钥体系,并在EAPOL-KEY报文中定义WPI加密类型相应的EAPOL-KEY报文加密和完整性校验方法。
EAPOL-KEY补充
| Descriptor Type-1 octet | |
| Key Information-2octets | Key Length-2 octets |
| Key Replay Counter-8 octets | |
| Key Nonce-32 octets | |
| EAPOL-Key IV-16 octets | |
| Key RSC-8 octets | |
| STA MAC Address-6 octets | |
| GTK Length-2 octets | |
| Key MIC-16 octets | |
| Key Data Length-2octets | Key Data-n octets |
其中Key Information字段定义如下:
| 3 bits KeyDescriptorVersion | 1 bitKeyType | 2bitsKeyID | 1 bitInstall | 1bitKeyAck | 1 bitKeyMIC | 1 bitSecure | 1 bitError | 1 bitRequest | 1 bitSTAKey | 3 bitsReserved |
b0 b2 b3 b4 b5 b6 b7 b8 b9 b10 b11 b12 b13 b15
增加Key Descriptor Version(bits 0-2)的定义,当取值为3时代表使用单播和组播密钥使用WPI加密类型。EAPOL-Key MIC使用HMAC-SHA256算法计算,并使用WPI加密类型规定的算法加密EAPOL-Key中的组播会话密钥(GTK)。当使用WPI加密时,key长度为32。
参阅图6所示,802.1X与WPI绑定的应用流程如下:
1、在物理连接建立阶段:STA和AP需要在RSN IE中指定自己支持基于802.1X的认证、使用基于802.1X的动态密钥管理、使用WPI进行单播和广播数据的加密;协商结果为使用基于802.1X的EAP认证和动态密钥管理,使用WPI加密类型进行加密。
2、在认证阶段:STA和AS之间使用EAP进行认证;包括,EAP-SIM、TTLS、PEAP等方式;在认证过程中,在认证服务器(AS)和STA之间协商出PMK。认证通过后,AS将PMK发送给AP;GMK由AP随机产生。
3、在密钥管理阶段:STA和AP之间通过802.1X协商出PTK和GTK,密钥协商成功后,STA和AP之间使用WPI进行数据加密。
在鉴别激活阶段实现安全参数协商时,AP通过鉴别激活报文携带其所支持的安全参数,STA通过鉴别激活响应报文将最终协商出的安全参数通知AP。当AP发送的鉴别激活保文没有携带安全参数时,STA不必回鉴别激活响应,按缺省的WAI证书鉴别流程处理。
鉴别激活响应报文是新增加的一种WAI报文类型。
STA和AP之间WAI报文格式如下:
| 版本号 | 报文类型 | 保留 | 数据长度 | 数据 |
八位元组数: 2 2 2 2 0~65535
其中,报文类型字段长度为2个八位元组,其值定义如下:
0:鉴别激活
1:接入鉴别请求
2:接入鉴别响应
3:密钥协商请求
4:密钥协商响应
7:组播密钥通告
8:组播密钥响应
为支持鉴别激活响应报文,增加一种报文类型“鉴别激活响应”,其报文类型值假设取值为10。
鉴别激活及鉴别激活响应报文数据子段携带安全参数。安全参数信元格式可以直接采用RSN IE格式,也可以采用如下TLV格式定义:
| 安全参数类型(2个八位元) | 长度(2个八位元) | 值1(2个八位元) | …… | 值N(2个八位元) |
安全参数类型取值可采用以下约定或其他约定:
安全参数类型值=1,鉴别参数;
安全参数类型值=2,密钥管理参数;
安全参数类型值=3,加密参数。
其中,长度用于确定值的长度。
在鉴别参数中携带支持的所有鉴别方法种类,在密钥管理参数中携带支持的所有密钥管理参数的种类,在加密参数中携带支持的加密参数的种类。
目前已知的鉴别方法类型有:WAI证书鉴别方法,基于802.1X的EAP等。可定义值=1时为WAI证书鉴别方法;值=2时为基于802.1X的EAP;值=0时为不鉴别;其他值保留。
目前已知的密钥管理类型有:WAI动态密钥管理,802.1X动态密钥管理,静态密钥管理等。可定义值=1时为WAI动态密钥管理;值=2时为802.1X动态密钥管理;值=3时为静态密钥管理;其他值保留。
目前已知的加密方法有:WPI(加密算法仅用于软件实现)、WPI(加密算法仅用于硬件实现)等;可定义值=1时为WPI(加密算法仅于软件实现),值=2时为WPI(加密算法仅用于硬件实现);其他值保留。
从上可知:当认证类型为WAI证书鉴别和WAI动态密钥管理、加密类型为WPI加密类型时,后继过程完全遵循标准WAPI流程;当认证类型为基于802.1X的EAP方法与动态密钥管理、加密类型为WPI加密类型时,STA和AP后继过程为上述802.1X+WPI应用流程,因此,采用本发明,用户可以灵活选择所支持的认证方式和加密方式。
对于本发明,如果STA和AP除了支持WPI加密类型,还支持非WPI加密类型,则可能根据设置选择WAI鉴别类型和非WAI鉴别类型作为认证和密钥管理方式时,并选择非WPI加密方式,如允许选择802.11i加密方式中的TKIP、CCMP等。
Claims (11)
1、一种在无线局域网***中支持多种安全机制的方法,所述无线局域网中包括终端站点(STA)、无线接入点(AP);其特征在于,所述AP和STA之间在建立关联期间或在无线局域网鉴别基础结构(WAI)鉴别激活期间完成安全机制的协商,并按协商时选择的鉴别类型和密钥管理类型进行相应的鉴别流程和密钥管理流程,以及采用协商时所选择的无线保密基础结构(WPI)加密类型对数据加密。
2、如权利要求1所述的方法,其特征在于,所述安全机制是指鉴别类型、密钥管理类型与加密类型的一种有效组合;所支持的鉴别类型和密钥管理类型包括但不限于:WAI证书鉴别和WAI动态密钥管理,WAI证书鉴别和静态密钥管理,基于802.1X的EAP方法和802.1X动态密钥管理,基于802.1X的EAP方法和静态密钥管理,以及不鉴别和静态密钥管理。
3、如权利1所述的方法,其特征在于,所述AP和STA之间在建立关联期间完成安全机制的协商包括以下步骤:
AP根据其安全策略,通过信标帧和/或探询响应报文将表示所支持的鉴别类型、密钥管理类型和支持的WPI加密类型的安全参数发送到STA;
STA根据本端的安全策略和AP发送来的安全参数,选择与AP共同支持的鉴别类型、密钥管理类型和WPI加密类型,并通过发送包含安全参数的关联请求关联到AP。
4、如权利要求3所述的方法,其特征在于,当AP根据本端安全策略,发现本端不支持关联请求报文中所携带的安全参数时,将关联请求响应报文中的状态码设置为失败。
5、如权利要求3所述的方法,其特征在于,STA根据本端安全策略,判断本端不支持信标帧和/或探询响应报文中的安全参数时,终止后续流程,即不再关联到AP。
6、如权利1所述方法,其特征在于,所述AP和STA之间在WAI鉴别激活期间完成安全机制的协商包括以下步骤:
AP通过WAI鉴别激活报文将表示所支持的鉴别类型、密钥管理类型和无线保密基础结构(WPI)加密类型的安全参数发送到STA;
STA根据本端的安全策略和AP发送来的安全参数,选择与AP共同支持的鉴别类型、密钥管理类型和WPI加密类型,并将包含安全参数的WAI鉴别激活响应报文发送到AP。
7、如权利要求6所述的方法,其特征在于,当STA根据本端安全策略,发现本端不支持WAI鉴别激活报文中所携带的安全参数时,将发送解除关联请求报文给AP,终止后续流程。
8、如权利要求6所述的方法,其特征在于,当AP根据本端安全策略,判断本端不支持鉴别激活响应报文中的安全参数时,将发送解除关联请求报文给STA,终止后续流程。
9、如权利要求3或6所述的方法,其特征在于,所述安全策略是指根据设备能力及应用要求,确定所述AP或STA所支持的安全机制及安全机制的优选原则,用户可以通过人机界面对所述AP或STA进行安全策略的配置。
10、如权利要求7所述方法,其特征在于,当AP发送给STA的鉴别激活报文没有携带安全参数时,STA缺省认为AP支持WAI证书鉴别和WAI动态密钥管理,STA不发送鉴别激活响应报文。
11、如权利要求1所述方法,当STA和AP之间在关联期间完成安全参数协商,如果协商的安全机制为WAPI,AP发送给STA的WAI鉴别激活报文可以不携带安全参数或携带的安全参数与关联期间协商的安全机制一致。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410034424 CN1681239B (zh) | 2004-04-08 | 2004-04-08 | 在无线局域网***中支持多种安全机制的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410034424 CN1681239B (zh) | 2004-04-08 | 2004-04-08 | 在无线局域网***中支持多种安全机制的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1681239A true CN1681239A (zh) | 2005-10-12 |
| CN1681239B CN1681239B (zh) | 2012-01-04 |
Family
ID=35067680
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200410034424 Expired - Lifetime CN1681239B (zh) | 2004-04-08 | 2004-04-08 | 在无线局域网***中支持多种安全机制的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1681239B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007048301A1 (fr) * | 2005-10-24 | 2007-05-03 | Huawei Technologies Co., Ltd. | Procede de cryptage pour service mgn |
| WO2010083671A1 (zh) * | 2009-01-21 | 2010-07-29 | 中兴通讯股份有限公司 | 一种网络安全的http协商的方法及其相关装置 |
| CN101815288A (zh) * | 2010-02-25 | 2010-08-25 | 苏州汉明科技有限公司 | 用户和无线接入点间通过e-card进行接入加密保护的方法 |
| WO2010096997A1 (zh) * | 2009-02-27 | 2010-09-02 | 西安西电捷通无线网络通信股份有限公司 | 一种以本地mac模式实现会聚式wapi网络架构的方法 |
| WO2010145138A1 (zh) * | 2009-06-30 | 2010-12-23 | 中兴通讯股份有限公司 | 一种安全服务的控制方法及无线局域网终端 |
| CN101931952A (zh) * | 2010-08-25 | 2010-12-29 | 广州杰赛科技股份有限公司 | 一种无线城域网***及其鉴别认证方法 |
| CN101272301B (zh) * | 2008-05-07 | 2011-02-02 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
| CN101222386B (zh) * | 2007-01-11 | 2011-06-29 | 华硕电脑股份有限公司 | 建立无线局域网络联机的方法 |
| CN101465740B (zh) * | 2007-12-21 | 2011-11-23 | 北京中电华大电子设计有限责任公司 | 一种支持pci接口的wlan网卡芯片 |
| CN101808317B (zh) * | 2009-02-18 | 2013-07-03 | 联想(北京)有限公司 | 一种实现无线局域网安全措施的计算机设备和方法 |
| CN103987039A (zh) * | 2013-02-07 | 2014-08-13 | 华为终端有限公司 | Wps协商接入的处理方法和设备 |
| US8813199B2 (en) | 2009-02-27 | 2014-08-19 | China Iwncomm Co., Ltd. | Method for realizing convergent WAPI network architecture with separate MAC mode |
| US8855018B2 (en) | 2009-02-27 | 2014-10-07 | China Iwncomm Co., Ltd. | Method for realizing convergent WAPI network architecture with split MAC mode |
| CN104219662A (zh) * | 2014-08-19 | 2014-12-17 | 杭州华三通信技术有限公司 | 一种Beacon帧的发送方法和设备 |
| CN106572112A (zh) * | 2016-11-09 | 2017-04-19 | 北京小米移动软件有限公司 | 访问控制方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1191696C (zh) * | 2002-11-06 | 2005-03-02 | 西安西电捷通无线网络通信有限公司 | 一种无线局域网移动设备安全接入及数据保密通信的方法 |
| CN1186906C (zh) * | 2003-05-14 | 2005-01-26 | 东南大学 | 无线局域网安全接入控制方法 |
-
2004
- 2004-04-08 CN CN 200410034424 patent/CN1681239B/zh not_active Expired - Lifetime
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007048301A1 (fr) * | 2005-10-24 | 2007-05-03 | Huawei Technologies Co., Ltd. | Procede de cryptage pour service mgn |
| CN101222386B (zh) * | 2007-01-11 | 2011-06-29 | 华硕电脑股份有限公司 | 建立无线局域网络联机的方法 |
| CN101465740B (zh) * | 2007-12-21 | 2011-11-23 | 北京中电华大电子设计有限责任公司 | 一种支持pci接口的wlan网卡芯片 |
| CN101272301B (zh) * | 2008-05-07 | 2011-02-02 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
| WO2010083671A1 (zh) * | 2009-01-21 | 2010-07-29 | 中兴通讯股份有限公司 | 一种网络安全的http协商的方法及其相关装置 |
| US8701160B2 (en) | 2009-01-21 | 2014-04-15 | Zte Corporation | Network security HTTP negotiation method and related devices |
| CN101808317B (zh) * | 2009-02-18 | 2013-07-03 | 联想(北京)有限公司 | 一种实现无线局域网安全措施的计算机设备和方法 |
| US8855018B2 (en) | 2009-02-27 | 2014-10-07 | China Iwncomm Co., Ltd. | Method for realizing convergent WAPI network architecture with split MAC mode |
| US8813199B2 (en) | 2009-02-27 | 2014-08-19 | China Iwncomm Co., Ltd. | Method for realizing convergent WAPI network architecture with separate MAC mode |
| US9015331B2 (en) | 2009-02-27 | 2015-04-21 | China Iwncomm Co., Ltd. | Method for implementing a convergent wireless local area network (WLAN) authentication and privacy infrastructure (WAPI) network architecture in a local MAC mode |
| WO2010096997A1 (zh) * | 2009-02-27 | 2010-09-02 | 西安西电捷通无线网络通信股份有限公司 | 一种以本地mac模式实现会聚式wapi网络架构的方法 |
| WO2010145138A1 (zh) * | 2009-06-30 | 2010-12-23 | 中兴通讯股份有限公司 | 一种安全服务的控制方法及无线局域网终端 |
| US8724816B2 (en) | 2009-06-30 | 2014-05-13 | Zte Corporation | Security service control method and wireless local area network terminal |
| CN101815288A (zh) * | 2010-02-25 | 2010-08-25 | 苏州汉明科技有限公司 | 用户和无线接入点间通过e-card进行接入加密保护的方法 |
| CN101931952A (zh) * | 2010-08-25 | 2010-12-29 | 广州杰赛科技股份有限公司 | 一种无线城域网***及其鉴别认证方法 |
| CN101931952B (zh) * | 2010-08-25 | 2012-12-12 | 广州杰赛科技股份有限公司 | 一种无线城域网***及其鉴别认证方法 |
| CN103987039A (zh) * | 2013-02-07 | 2014-08-13 | 华为终端有限公司 | Wps协商接入的处理方法和设备 |
| CN103987039B (zh) * | 2013-02-07 | 2017-11-28 | 华为终端有限公司 | Wps协商接入的处理方法和设备 |
| CN104219662A (zh) * | 2014-08-19 | 2014-12-17 | 杭州华三通信技术有限公司 | 一种Beacon帧的发送方法和设备 |
| CN104219662B (zh) * | 2014-08-19 | 2019-05-07 | 新华三技术有限公司 | 一种Beacon帧的发送方法和设备 |
| CN106572112A (zh) * | 2016-11-09 | 2017-04-19 | 北京小米移动软件有限公司 | 访问控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1681239B (zh) | 2012-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1298194C (zh) | 基于漫游密钥交换认证协议的无线局域网安全接入方法 | |
| CN1186906C (zh) | 无线局域网安全接入控制方法 | |
| CN1310476C (zh) | 无线局域网用户建立会话连接的方法 | |
| CN1315268C (zh) | 一种验证用户合法性的方法 | |
| CN1681239A (zh) | 在无线局域网***中支持多种安全机制的方法 | |
| CN101052033A (zh) | 基于ttp的认证与密钥协商方法及其装置 | |
| CN1152541C (zh) | 无线家庭网络中的设备注册方法 | |
| CN1929371A (zh) | 用户和***设备协商共享密钥的方法 | |
| CN1805333A (zh) | 无线网络***中的数据安全 | |
| CN1947373A (zh) | 在无线便携因特网***中管理通讯加密密钥的方法及其协议配置方法、以及在用户台中的通讯加密密钥状态机的操作方法 | |
| CN1668005A (zh) | 一种适合有线和无线网络的接入认证方法 | |
| CN101056456A (zh) | 无线演进网络实现认证的方法及安全*** | |
| CN1848994A (zh) | 一种实现微波接入全球互操作***鉴权的方法 | |
| CN1574738A (zh) | 在移动特设网络中分配加密密钥的方法及其网络设备 | |
| CN1751533A (zh) | 在移动无线电***中形成和分配加密密钥的方法和移动无线电*** | |
| CN1929398A (zh) | 无线通信网安全设置方法、存储介质、网络***和客户设备 | |
| CN1659922A (zh) | 用于询问-应答用户鉴权的方法和*** | |
| CN101051898A (zh) | 无线网络端到端通信认证方法及其装置 | |
| CN1649435A (zh) | 一种实现漫游用户使用拜访网络内业务的方法 | |
| CN101047505A (zh) | 一种网络应用push业务中建立安全连接的方法及*** | |
| CN101043328A (zh) | 通用引导框架中密钥更新方法 | |
| CN1941695A (zh) | 初始接入网络过程的密钥生成和分发的方法及*** | |
| CN1819698A (zh) | 一种目标基站获取鉴权密钥上下文信息的方法 | |
| CN1642073A (zh) | 无线局域网中组密钥的协商及更新方法 | |
| CN1708018A (zh) | 一种无线局域网移动终端接入的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20120104 |
|
| CX01 | Expiry of patent term |