CN106304400B - 无线网络的ip地址分配方法和系统 - Google Patents
无线网络的ip地址分配方法和系统 Download PDFInfo
- Publication number
- CN106304400B CN106304400B CN201510262722.9A CN201510262722A CN106304400B CN 106304400 B CN106304400 B CN 106304400B CN 201510262722 A CN201510262722 A CN 201510262722A CN 106304400 B CN106304400 B CN 106304400B
- Authority
- CN
- China
- Prior art keywords
- client
- certification end
- random number
- key
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出一种无线网络的IP地址分配方法和系统。该方法包括:生成认证端随机数并发送至客户端;接收客户端发送的客户端随机数、MIC和DHCP请求信息;对MIC进行校验,并确定DHCP请求信息的应答信息,以及向客户端发送是否安装加密/整体性密钥和应答信息;接收到客户端发送的确定信息以完成和客户端的共享密钥认证,并根据IP地址与客户端通信。本发明实施例的无线网络的IP地址分配方法,减少了客户端接入或切换无线网络时所需的时间,进一步地,减少了客户端接入或切换无线网络时对应用层的影响时间。
Description
技术领域
本发明涉及无线通信技术领域,尤其涉及一种无线网络的IP地址分配方法、系统、认证端和客户端。
背景技术
在无线网络如Wi-Fi(Wireless-Fidelity)中,出于安全和便捷性的考虑,通常使用基于PSK(Pre-shared key,预共享密钥)的WPA(Wi-Fi Protected Access,保护无线网络安全系统)。
然而,在接入这样的无线网络时,认证端,如无线访问接入点AP(Wireless AccessPoint)和客户端,如站station通过EAPOL-key(EAP(Extensible AuthenticationProtocol,可扩展身份验证协议)over LAN(Local Area Network,局域网)key)包的四次握手进行认证和密钥的协商,并且,在密钥协商好之后,如果客户端设置的是动态IP获取方式,则需要通过DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)获取或续约上次使用过的IP地址。相关技术存在的问题是,客户端接入无线网络或者切换无线网络时,只有在无线链路层的连接后才开始IP地址获取或续约,建立有效网络的耗时长。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的第一个目的在于提出一种无线网络的IP地址分配方法。该方法减少了客户端接入或切换无线网络时所需的时间。
本发明的第二个目的在于提出一种无线网络的IP地址分配系统。
本发明的第三个目的在于提出一种认证端。
本发明的第四个目的在于提出一种客户端。
为了实现上述目的,本发明第一方面实施例的无线网络的IP地址分配方法,包括:生成认证端随机数并发送至客户端;接收所述客户端发送的客户端随机数、消息完整性校验码MIC和动态主机配置协议DHCP请求信息,其中,所述客户端生成所述客户端随机数,并根据所述认证端随机数、所述客户端随机数、成对主密钥PMK、认证端属性信息和客户端属性信息生成临时成对密钥PTK;根据所述认证端随机数、所述客户端随机数、所述成对主密钥PMK、所述认证端属性信息和所述客户端属性信息生成所述临时成对密钥PTK,并对所述MIC进行校验,并确定所述DHCP请求信息的应答信息,以及向所述客户端发送是否安装加密/整体性密钥和所述应答信息,以使所述客户端安装加密/整体性密钥并根据所述应答信息确定IP地址;接收到所述客户端发送的确定信息以完成和所述客户端的共享密钥认证,并根据所述IP地址与所述客户端通信。
本发明实施例的无线网络的IP地址分配方法,和客户端进行四次握手的同时完成客户端IP地址的申请或续约,这样只要建立了无线链路连接的共享密钥认证之后即可申请或续约IP地址,也就是说,只要建立了无线链路连接的共享密钥认证之后上层应用即可开始通信发送和接收数据,无需再进行申请或续约IP地址,从而减少了客户端接入或切换无线网络时所需的时间,进一步地,减少了客户端接入或切换无线网络时对应用层的影响时间。
为了实现上述目的,本发明第二方面实施例的无线网络的IP地址分配系统,包括:认证端和客户端,其中,所述认证端,用于生成认证端随机数并发送至所述客户端;所述客户端,用于生成客户端随机数,并根据所述认证端随机数、所述客户端随机数、成对主密钥PMK、认证端属性信息和客户端属性信息生成临时成对密钥PTK,并发送所述客户端随机数、消息完整性校验码MIC和动态主机配置协议DHCP请求信息至所述认证端;所述认证端,还用于根据所述认证端随机数、所述客户端随机数、所述成对主密钥PMK、所述认证端属性信息和所述客户端属性信息生成所述临时成对密钥PTK,并对所述MIC进行校验,并确定所述DHCP请求信息的应答信息,以及向所述客户端发送是否安装加密/整体性密钥和所述应答信息;所述客户端,还用于安装加密/整体性密钥并根据所述应答信息确定IP地址,并发送确定信息至所述认证端以完成所述认证端和所述客户端的共享密钥认证,并根据所述IP地址与所述认证端进行通信。
本发明实施例的无线网络的IP地址分配系统,在认证端和客户端进行四次握手的同时完成客户端IP地址的申请或续约,这样只要建立了无线链路连接的共享密钥认证之后即可申请或续约IP地址,也就是说,只要建立了无线链路连接的共享密钥认证之后上层应用即可开始通信发送和接收数据,无需再进行申请或续约IP地址,从而减少了客户端接入或切换无线网络时所需的时间,进一步地,减少了客户端接入或切换无线网络时对应用层的影响时间。
为了实现上述目的,本发明第三方面实施例的认证端,包括:第一生成模块,用于生成认证端随机数;第一发送模块,用于将所述认证端随机数发送至客户端;第一接收模块,用于接收所述客户端发送的客户端随机数、消息完整性校验码MIC和动态主机配置协议DHCP请求信息,其中,所述客户端生成所述客户端随机数,并根据所述认证端随机数、所述客户端随机数、成对主密钥PMK、认证端属性信息和客户端属性消息生成临时成对密钥PTK;第二生成模块,用于根据所述认证端随机数、所述客户端随机数、所述成对主密钥PMK、所述认证端属性信息和所述客户端属性信息生成所述临时成对密钥PTK;校验模块,用于对所述MIC进行校验;确认模块,用于确定所述DHCP请求信息的应答信息;第二发送模块,用于向所述客户端发送是否安装加密/整体性密钥和所述应答信息,以使所述客户端安装加密/整体性密钥并根据所述应答信息确定IP地址;第二接收模块,用于接收所述客户端发送的确定信息以完成和所述客户端的共享密钥认证,并根据所述IP地址与所述客户端通信。
本发明实施例的认证端,在接收客户端发送的客户端随机数和MIC的同时接收DHCP请求信息,并在发送是否安装加密/整体性密钥的同时发送DHCP请求信息的应答信息,使得在认证端和客户端进行四次握手的同时完成客户端IP地址的申请或续约,从而减少了客户端接入或切换无线网络时所需的时间,进一步地,减少了客户端接入或切换无线网络时对应用层的影响时间。
为了实现上述目的,本发明第四方面实施例的客户端,包括:第一接收模块,用于接收认证端发送的认证端随机数;第一生成模块,用于生成客户端随机数;第二生成模块,用于根据所述认证端随机数、所述客户端随机数、成对主密钥PMK、认证端属性信息和客户端属性信息生成临时成对密钥PTK;第一发送模块,用于将所述客户端随机数、消息完整性校验码MIC和动态主机配置协议DHCP请求信息发送至所述认证端;第二接收模块,用于接收所述认证端发送的是否安装加密/整体性密钥和所述DHCP请求信息的应答信息,以安装加密/整体性密钥并根据所述应答信息确定IP地址;第二发送模块,用于向所述认证端发送确定信息以完成所述认证端和所述客户端的共享密钥认证,并根据所述IP地址与所述认证端通信。
本发明实施例的客户端,在发送客户端随机数和MIC的同时发送DHCP请求信息,并在接收是否安装加密/整体性密钥的同时接收到DHCP请求信息的应答信息,使得在认证端和客户端进行四次握手的同时完成客户端IP地址的申请或续约,从而减少了客户端接入或切换无线网络时所需的时间,进一步地,减少了客户端接入或切换无线网络时对应用层的影响时间。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,
图1是根据本发明一个实施例的无线网络的IP地址分配方法的流程图;
图2是根据本发明一个实施例的四次握手的流程图;
图3是根据本发明一个实施例的无线网络的IP地址分配系统的结构框图;
图4是根据本发明一个实施例的认证端的结构框图;
图5是根据本发明一个实施例的客户端的结构框图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
相关技术中,为了保证无线通信的安全,认证端和客户端之间建立无线链路连接时,首先进行认证端和客户端之间的共享密钥认证,在共享密钥认证之后客户端再申请或续约IP地址,根据申请或续约的IP地址才能在认证端和客户端之间进行数据的转发和接收,然而,此过程在客户端接入或切换无线网络时导致无线链路连接的耗时较长。其中,认证端和客户端之间进行共享密钥认证时通过四次握手实现,如果能在四次握手的同时实现IP地址的申请或续约,则可以节约申请或续约IP地址所需的时间,从而使得客户端接入或切换无线网络时无线链路连接的耗时减小,基于这样的构想,本发明提供了一种无线网络的IP地址分配方法、系统、认证端和客户端,下面参考附图进行详细描述。
图1是根据本发明一个实施例的无线网络的IP地址分配方法的流程图,图2是根据本发明一个实施例的四次握手的流程图。下面结合图1和图2说明本发明实施例的无线网络的IP地址分配方法。
如图1所示,该无线网络的IP地址分配方法包括:
S101,认证端生成认证端随机数ANonce(Authenticator Nonce)并发送至客户端。其中,认证端可以是无线访问接入点(AP,Wireless Access Point),无线路由器等;客户端可以是站(Station),移动设备,无线设备等。也就是说,认证端和客户端是布置在无线网络中的设备,认证端负责客户端的身份认证并与客户端进行通信,对于认证端和客户端的具体设备本发明的实施例不进行限定。
具体地,认证端随机数为认证端只使用一次的数值,类型可以包括时间戳、大随机数和序列号等中的至少一种。认证端为认证方,客户端为申请方,认证端首先在无线网络范围内广播认证端随机数以使得无线网络范围内的客户端能够接收到该认证端随机数。
如图2所示,认证端发送认证端随机数至客户端,即认证端和客户端进行第一次握手,也就是说,认证端向客户端发送消息1,该消息1中包含认证端生成的认证端随机数。
在本发明的一个实施例中,认证端和客户端通过EAPOL-KEY(EAP(ExtensibleAuthentication Protocol,可扩展身份验证协议)over LAN(Local Area Network,局域网)包进行数据发送。也就是说,在第一握手时,认证端向客户端发送携带认证端随机数的EAPOL-KEY包。
S102,认证端接收客户端发送的客户端随机数、MIC(Message Integrity Code,消息完整性校验码)和DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)请求信息,其中,客户端生成客户端随机数,并根据认证端随机数、客户端随机数、PMK(Pairwise Master Key,成对主密钥)、认证端属性信息和客户端属性信息生成PTK(Pairwise Transient Key,临时成对密钥)。另外,认证端属性信息和客户端属性信息可以是唯一表示对应的设备的信息,例如,设备唯一标识符、MAC(Media Access Control,介质访问控制)地址等。
具体地,客户端获得认证端发送的认证端随机数后,生成客户端随机数SNonce(Supplicant Nonce),客户端随机数为客户端只使用一次的数值,类型可以包括时间戳、大随机数和序列号等中的至少一种。然后,客户端根据认证端随机数、客户端随机数、PMK、认证端属性信息和客户端属性信息生成PTK,从而实现客户端的PTK更新。再然后,如图2所示,客户端发送客户端随机数、MIC和DHCP请求信息至认证端,即客户端和认证端进行第二次握手,也就是说,客户端向认证端发送消息2,该消息2中包含客户端生成的客户端随机数、MIC和DHCP请求信息,认证端接收到消息2。
同样地,在本发明的一个实施例中,客户端将客户端随机数、MIC和DHCP请求信息添加至EAPOL-KEY包并发送至认证端。
S103,认证端根据认证端随机数、客户端随机数、PMK、认证端属性信息和客户端属性信息生成PTK,并对MIC进行校验,并确定DHCP请求信息的应答信息,以及向客户端发送是否安装加密/整体性密钥和应答信息,以使客户端安装加密/整体性密钥并根据应答信息确定IP地址。
具体地,认证端在接收到消息2之后,获得客户端生成的客户端随机数,并根据认证端随机数、客户端随机数、PMK、认证端属性信息和客户端属性信息生成PTK,从而认证端完成PTK的更新。
在本发明的一个实施例中,认证端完成PTK的更新后,该无线网络的IP地址分配方法还包括:认证端向DHCP服务器转发DHCP请求信息;认证端接收DHCP服务器反馈的应答信息。具体地,如图2所示,客户端将DHCP请求信息添加至第二次握手的消息2中,认证端将接收到的DHCP请求信息转交给DHCP服务器进行处理,并获得DHCP服务器的处理结果。通常,如果认证端为家用路由器,这个DHCP服务器即是认证端本身。
认证端在获得应答信息之后,将应答信息和组临时密钥GTK(Group TransientKey)发送至客户端。如图2所示,认证端和客户端进行第三次握手,即发送消息3至客户端,该消息3中包括应答信息和GTK,以使得客户端确定是否安装加密/整体性密钥。同样地,在本发明的一个实施例中,认证端将应答信息和GTK添加至EAPOL-KEY包并发送至客户端。
S104,认证端接收到客户端发送的确定信息以完成无线访问接入点和客户端的共享密钥认证,并根据IP地址与客户端通信。
具体地,客户端和无认证端进行第四次握手,客户端将确定信息发送给认证端之后,确定认证端和客户端的共享密钥认证完成,以确认本次四次握手结果,同时,也根据应答信息确定客户端的IP地址。
本发明实施例的无线网络的IP地址分配方法,在认证端和客户端进行四次握手的同时完成客户端IP地址的申请或续约,这样只要建立了无线链路连接的共享密钥认证之后即可申请或续约IP地址,也就是说,只要建立了无线链路连接的共享密钥认证之后上层应用即可开始通信发送和接收数据,无需再进行申请或续约IP地址,从而减少了客户端接入或切换无线网络时所需的时间,进一步地,减少了客户端接入或切换无线网络时对应用层的影响时间。
在本发明的一个实施例中,请求信息和应答消息分别以供应商特定信息元素VSIE格式作为密钥数据KEY data的扩展加入到EAPOL-KEY包中。具体地,四次握手和EAPOL-KEY包可以参考802.11等相关协议,VSIE格式也可以参考802.11等相关协议,在此不再赘述。
在本发明的一个实施例中,请求信息和应答消息分别省去sname和file字段。由此,减少了DHCP请求信息以及DHCP应答信息构成的VSIE的长度,在传输过程中省去DHCP请求信息的sname和file字段,接收方(即认证端)处理时默认将这两个字段当做0处理。
在本发明的一个实施例中,将请求信息和应答消息分别以EAPOL-KEY加密密钥KEK(EAPOL-Key Encryption Key)进行加密。由此,保证了安全性。
为了实现上述实施例,本发明的实施例还提出一种无线网络的IP地址分配系统。
图3是根据本发明一个实施例的无线网络的IP地址分配系统的结构框图。如图3所示,无线网络的IP地址分配系统包括:认证端10和客户端20。
具体地,认证端10用于生成认证端随机数并发送至客户端20。其中,认证端随机数为认证端10只使用一次的数值,类型可以包括时间戳、大随机数和序列号等中的至少一种。认证端10为认证方,客户端20为申请方,认证端10首先在无线网络范围内广播认证端随机数以使得无线网络范围内的客户端20能够接收到该认证端随机数
如图2所示,认证端10发送认证端随机数至客户端20,即认证端10和客户端20进行第一次握手,也就是说,认证端10向客户端20发送消息1,该消息1中包含认证端10生成的认证端随机数。
在本发明的一个实施例中,认证端10和客户端20通过EAPOL-KEY包进行数据发送。也就是说,在第一握手时,认证端10向客户端20发送携带认证端随机数的EAPOL-KEY包。
客户端20用于生成客户端随机数,并根据认证端随机数、客户端随机数、PMK、认证端和客户端的属性信息生成PTK,并发送客户端随机数、MIC和DHCP请求信息至认证端10。首先,客户端20获得认证端10发送的认证端随机数后,生成客户端随机数,客户端随机数为客户端20只使用一次的数值,类型可以包括时间戳、大随机数和序列号等中的至少一种。然后,客户端20根据认证端随机数、客户端随机数、PMK、认证端属性信息和客户端属性信息生成PTK,从而实现客户端的PTK更新。再然后,如图2所示,客户端20发送客户端随机数、MIC和DHCP请求信息至认证端10,即客户端20和认证端10进行第二次握手,也就是说,客户端20向认证端10发送消息2,该消息2中包含客户端20生成的客户端随机数、MIC和DHCP请求信息,认证端10接收到消息2。
同样地,在本发明的一个实施例中,客户端20将客户端随机数、MIC和DHCP请求信息添加至EAPOL-KEY包并发送至认证端10。
认证端10还用于根据认证端随机数、客户端随机数、PMK、认证端属性信息和客户端属性信息生成PTK,并对MIC进行校验,并确定DHCP请求信息的应答信息,以及向客户端20发送是否安装加密/整体性密钥和应答信息。更具体地,认证端10在接收到消息2之后,获得客户端20生成的客户端随机数,并根据认证端随机数、客户端随机数、PMK、认证端属性信息和客户端属性信息生成PTK,从而认证端10完成PTK的更新。认证端10在获得应答信息之后,将应答信息和GTK发送至客户端20。如图2所示,认证端10和客户端20进行第三次握手,即发送消息3至客户端20,该消息3中包括应答信息和GTK,以使得客户端20确定是否安装加密/整体性密钥。同样地,在本发明的一个实施例中,认证端10将应答信息和GTK添加至EAPOL-KEY包并发送至客户端20。
客户端30还用于安装加密/整体性密钥并根据应答信息确定IP地址,并发送确定信息至认证端10以完成认证端10和客户端20的共享密钥认证,并根据IP地址与认证端10进行通信。更具体地,客户端20和认证端10进行第四次握手,客户端20将确定信息发送给认证端10之后,确定认证端10和客户端20的共享密钥认证完成,以确认本次四次握手结果,同时,也根据应答信息确定客户端20的IP地址。
本发明实施例的无线网络的IP地址分配系统,在认证端和客户端进行四次握手的同时完成客户端IP地址的申请或续约,这样只要建立了无线链路连接的共享密钥认证之后即可申请或续约IP地址,也就是说,只要建立了无线链路连接的共享密钥认证之后上层应用即可开始通信发送和接收数据,无需再进行申请或续约IP地址,从而减少了客户端接入或切换无线网络时所需的时间,进一步地,减少了客户端接入或切换无线网络时对应用层的影响时间。
在本发明的一个实施例中,请求信息和应答消息分别以供应商特定信息元素VSIE格式作为密钥数据KEY data的扩展加入到EAPOL-KEY包中。具体地,四次握手和EAPOL-KEY包可以参考802.11等相关协议,VSIE格式也可以参考802.11等相关协议,在此不再赘述。
在本发明的一个实施例中,请求信息和应答消息分别省去sname和file字段。由此,减少了DHCP请求信息以及DHCP应答信息构成的VSIE的长度,在传输过程中省去DHCP请求信息的sname和file字段,接收方(即认证端10)处理时默认将这两个字段当做0处理。
在本发明的一个实施例中,将请求信息和应答消息分别以EAPOL-KEY加密密钥KEK(EAPOL-Key Encryption Key)进行加密。由此,保证了安全性。
在本发明的一个实施例中,无线网络的IP地址分配系统还包括:DHCP服务器(未示出),认证端10还用于向DHCP服务器转发DHCP请求信息;DHCP服务器,用于向无线访问接入10点发送应答信息。更具体地,如图2所示,认证端10完成PTK的更新后,将接收到的DHCP请求信息转交给DHCP服务器进行处理,并获得DHCP服务器的处理结果。通常,如果认证端10为家用路由器,这个DHCP服务器即是认证端10本身。
为了实现上述实施例,本发明的实施例还提出一种认证端。
图4是根据本发明一个实施例的认证端的结构框图。如图4所示,认证端10包括:第一生成模块110、第一发送模块120、第一接收模块130、第二生成模块140、校验模块150、确认模块160、第二发送模块170和第二接收模块180。
具体地,第一生成模块110用于生成认证端随机数。认证端随机数为认证端10只使用一次的数值,类型可以包括时间戳、大随机数和序列号等中的至少一种。
第一发送模块120用于将认证端随机数发送至客户端20。在本发明的一个实施例中,第一发送模块120通过EAPOL-KEY包将认证端随机数发送至客户端20。
第一接收模块130用于接收客户端20发送的客户端随机数、MIC和DHCP请求信息,其中,客户端20生成客户端随机数,客户端随机数为客户端只使用一次的数值,类型可以包括时间戳、大随机数和序列号等中的至少一种,并根据认证端随机数、客户端随机数、PMK、认证端和客户端的属性信息生成临时成对密钥PTK,从而实现客户端20的PTK更新。客户端20发送客户端随机数、MIC和DHCP请求信息至第一接收模块130,同样地,在本发明的一个实施例中,客户端20将客户端随机数、MIC和DHCP请求信息添加至EAPOL-KEY包并发送至第一接收模块130。
第二生成模块140用于根据认证端随机数、客户端随机数、PMK、认证端属性信息和客户端属性信息生成临时成对密钥PTK,从而认证端10完成PTK的更新。
校验模块150用于对MIC进行校验。
确认模块160用于确定DHCP请求信息的应答信息。更具体地,确认模块160向DHCP服务器转发DHCP请求信息;确认模块160接收DHCP服务器反馈的应答信息。如果认证端10为家用路由器,这个DHCP服务器即是认证端10本身。
第二发送模块170用于向客户端20发送是否安装加密/整体性密钥和应答信息,以使客户端20安装加密/整体性密钥并根据应答信息确定IP地址。在本发明的一个实施例中,第二发送模块170通过EAPOL-KEY包将发送是否安装加密/整体性密钥和应答信息发送至客户端20。
第二接收模块180用于接收客户端20发送的确定信息以完成认证端10和客户端20的共享密钥认证,并根据IP地址与客户端20通信。在本发明的一个实施例中,客户端20通过EAPOL-KEY包将确定信息发送至第二接收模块180。
在本发明的一个实施例中,请求信息和应答消息分别以供应商特定信息元素VSIE格式作为密钥数据KEY data的扩展加入到EAPOL-KEY包中。具体地,四次握手和EAPOL-KEY包可以参考802.11等相关协议,VSIE格式也可以参考802.11等相关协议,在此不再赘述。
在本发明的一个实施例中,请求信息和应答消息分别省去sname和file字段。由此,减少了DHCP请求信息以及DHCP应答信息构成的VSIE的长度,在传输过程中省去DHCP请求信息的sname和file字段,接收方(即认证端10)处理时默认将这两个字段当做0处理。
在本发明的一个实施例中,将请求信息和应答消息分别以KEK进行加密。由此,保证了安全性。
本发明实施例的认证端,在接收客户端发送的客户端随机数和MIC的同时接收DHCP请求信息,并在发送是否安装加密/整体性密钥的同时发送DHCP请求信息的应答信息,使得在认证端和客户端进行四次握手的同时完成客户端IP地址的申请或续约,从而减少了客户端接入或切换无线网络时所需的时间,进一步地,减少了客户端接入或切换无线网络时对应用层的影响时间。
为了实现上述实施例,本发明的实施例还提出一种客户端。
图5是根据本发明一个实施例的客户端的结构框图。如图5所示,客户端20包括:第一接收模块210、第一生成模块220、第二生成模块230、第一发送模块240、第二接收模块250和第二发送模块260。
第一接收模块210用于接收认证端10发送的认证端随机数。在本发明的一个实施例中,认证端10通过EAPOL-KEY包将认证端随机数发送至第一接收模块210。
第一生成模块220用于生成客户端随机数。
其中,认证端随机数为认证端10只使用一次的数值,类型可以包括时间戳、大随机数和序列号等中的至少一种。客户端随机数为终20端只使用一次的数值,类型可以包括时间戳、大随机数和序列号等中的至少一种。
第二生成模块230用于根据认证端随机数、客户端随机数、PMK、认证端属性信息和客户端属性信息生成PTK。从而实现客户端20的PTK更新。
第一发送模块240用于将客户端随机数、MIC和DHCP请求信息发送至认证端10。在本发明的一个实施例中,第一发送模块240将客户端随机数、MIC和DHCP请求信息添加至EAPOL-KEY包并发送至认证端10。
第二接收模块250用于接收认证端10发送的是否安装加密/整体性密钥和DHCP请求信息的应答信息,以安装加密/整体性密钥并根据应答信息确定IP地址。在本发明的一个实施例中,认证端10将是否安装加密/整体性密钥和DHCP请求信息的应答信息添加至EAPOL-KEY包并发送至客户端20。
第二发送模块260用于向认证端10发送确定信息以完成认证端10和客户端20的共享密钥认证,并根据IP地址与认证端通信。在本发明的一个实施例中,第二发送模块260将确定信息添加至EAPOL-KEY包并发送至认证端10。
在本发明的一个实施例中,请求信息和应答消息分别以供应商特定信息元素VSIE格式作为密钥数据KEY data的扩展加入到EAPOL-KEY包中。具体地,四次握手和EAPOL-KEY包可以参考802.11等相关协议,VSIE格式也可以参考802.11等相关协议,在此不再赘述。
在本发明的一个实施例中,请求信息和应答消息分别省去sname和file字段。由此,减少了DHCP请求信息以及DHCP应答信息构成的VSIE的长度,在传输过程中省去DHCP请求信息的sname和file字段,接收方(即认证端)处理时默认将这两个字段当做0处理。
在本发明的一个实施例中,将请求信息和应答消息分别以KEK进行加密。由此,保证了安全性。
本发明实施例的客户端,在发送客户端随机数和MIC的同时发送DHCP请求信息,并在接收是否安装加密/整体性密钥的同时接收到DHCP请求信息的应答信息,使得在认证端和客户端进行四次握手的同时完成客户端IP地址的申请或续约,从而减少了客户端接入或切换无线网络时所需的时间,进一步地,减少了客户端接入或切换无线网络时对应用层的影响时间。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
Claims (12)
1.一种无线网络的IP地址分配方法,其特征在于,包括:
生成认证端随机数并发送至客户端;
接收所述客户端发送的客户端随机数、消息完整性校验码MIC和动态主机配置协议DHCP请求信息,其中,所述客户端生成所述客户端随机数,并根据所述认证端随机数、所述客户端随机数、成对主密钥PMK、认证端属性信息和客户端属性信息生成临时成对密钥PTK;
根据所述认证端随机数、所述客户端随机数、所述成对主密钥PMK、所述认证端属性信息和所述客户端属性信息生成所述临时成对密钥PTK;
对所述MIC进行校验,并确定所述DHCP请求信息的应答信息,以及向所述客户端发送是否安装加密/整体性密钥和所述应答信息,以使所述客户端安装加密/整体性密钥并根据所述应答信息确定IP地址;
接收到所述客户端发送的确定信息以完成和所述客户端的共享密钥认证,并根据所述IP地址与所述客户端通信。
2.根据权利要求1所述的无线网络的IP地址分配方法,其特征在于,通过EAPOL-KEY包和所述客户端进行数据发送。
3.根据权利要求2所述的无线网络的IP地址分配方法,其特征在于,所述请求信息和所述应答消息分别以供应商特定信息元素VSIE格式作为密钥数据KEY data的扩展加入到所述EAPOL-KEY包中。
4.根据权利要求3所述的无线网络的IP地址分配方法,其特征在于,所述请求信息和所述应答消息分别省去sname和file字段,并以EAPOL-KEY加密密钥KEK进行加密。
5.根据权利要求1所述的无线网络的IP地址分配方法,其特征在于,还包括:
向DHCP服务器转发所述DHCP请求信息;
接收所述DHCP服务器反馈的所述应答信息。
6.一种无线网络的IP地址分配系统,其特征在于,包括:认证端和客户端,其中,
所述认证端,用于生成认证端随机数并发送至所述客户端;
所述客户端,用于生成客户端随机数,并根据所述认证端随机数、所述客户端随机数、成对主密钥PMK、认证端属性信息和客户端属性信息生成临时成对密钥PTK,并发送所述客户端随机数、消息完整性校验码MIC和动态主机配置协议DHCP请求信息至所述认证端;
所述认证端,还用于根据所述认证端随机数、所述客户端随机数、所述成对主密钥PMK、所述认证端属性信息和所述客户端属性信息生成所述临时成对密钥PTK;
所述认证端,还用于对所述MIC进行校验,并确定所述DHCP请求信息的应答信息,以及向所述客户端发送是否安装加密/整体性密钥和所述应答信息;
所述客户端,还用于安装加密/整体性密钥并根据所述应答信息确定IP地址,并发送确定信息至所述认证端以完成所述认证端和所述客户端的共享密钥认证,并根据所述IP地址与所述认证端进行通信。
7.根据权利要求6所述的无线网络的IP地址分配系统,其特征在于,所述认证端和所述客户端通过EAPOL-KEY包进行数据发送。
8.根据权利要求7所述的无线网络的IP地址分配系统,其特征在于,所述请求信息和所述应答消息分别以供应商特定信息元素VSIE格式作为密钥数据KEY data的扩展加入到所述EAPOL-KEY包中。
9.根据权利要求8所述的无线网络的IP地址分配系统,其特征在于,所述请求信息和所述应答消息分别省去sname和file字段,并以EAPOL-KEY加密密钥KEK进行加密。
10.根据权利要求6所述的无线网络的IP地址分配系统,其特征在于,还包括:DHCP服务器,其中
所述认证端,还用于向所述DHCP服务器转发所述DHCP请求信息;
所述DHCP服务器,用于向所述认证端发送所述应答信息。
11.一种认证端,其特征在于,包括:
第一生成模块,用于生成认证端随机数;
第一发送模块,用于将所述认证端随机数发送至客户端;
第一接收模块,用于接收所述客户端发送的客户端随机数、消息完整性校验码MIC和动态主机配置协议DHCP请求信息,其中,所述客户端生成所述客户端随机数,并根据所述认证端随机数、所述客户端随机数、成对主密钥PMK、认证端属性信息和客户端属性消息生成临时成对密钥PTK;
第二生成模块,用于根据所述认证端随机数、所述客户端随机数、所述成对主密钥PMK、所述认证端属性信息和所述客户端属性信息生成所述临时成对密钥PTK;
校验模块,用于对所述MIC进行校验;
确认模块,用于确定所述DHCP请求信息的应答信息;
第二发送模块,用于向所述客户端发送是否安装加密/整体性密钥和所述应答信息,以使所述客户端安装加密/整体性密钥并根据所述应答信息确定IP地址;
第二接收模块,用于接收所述客户端发送的确定信息以完成和所述客户端的共享密钥认证,并根据所述IP地址与所述客户端通信。
12.一种客户端,其特征在于,包括:
第一接收模块,用于接收认证端发送的认证端随机数;
第一生成模块,用于生成客户端随机数;
第二生成模块,用于根据所述认证端随机数、所述客户端随机数、成对主密钥PMK、认证端属性信息和客户端属性信息生成临时成对密钥PTK;
第一发送模块,用于将所述客户端随机数、消息完整性校验码MIC和动态主机配置协议DHCP请求信息发送至所述认证端;
第二接收模块,用于接收所述认证端发送的是否安装加密/整体性密钥和所述DHCP请求信息的应答信息,以安装加密/整体性密钥并根据所述应答信息确定IP地址;
第二发送模块,用于向所述认证端发送确定信息以完成所述认证端和所述客户端的共享密钥认证,并根据所述IP地址与所述认证端通信。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510262722.9A CN106304400B (zh) | 2015-05-21 | 2015-05-21 | 无线网络的ip地址分配方法和系统 |
| PCT/CN2016/081952 WO2016184351A1 (zh) | 2015-05-21 | 2016-05-13 | 无线网络的ip地址分配方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510262722.9A CN106304400B (zh) | 2015-05-21 | 2015-05-21 | 无线网络的ip地址分配方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106304400A CN106304400A (zh) | 2017-01-04 |
| CN106304400B true CN106304400B (zh) | 2019-05-07 |
Family
ID=57319413
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510262722.9A Active CN106304400B (zh) | 2015-05-21 | 2015-05-21 | 无线网络的ip地址分配方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106304400B (zh) |
| WO (1) | WO2016184351A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108769288A (zh) * | 2018-05-31 | 2018-11-06 | 北京橙鑫数据科技有限公司 | 确定无线设备在网络中地址的方法、装置和电子设备 |
| CN109450852B (zh) * | 2018-10-09 | 2020-09-29 | 中国科学院信息工程研究所 | 网络通信加密解密方法及电子设备 |
| CN110087240B (zh) * | 2019-03-28 | 2020-09-11 | 中国科学院计算技术研究所 | 基于wpa2-psk模式的无线网络安全数据传输方法及系统 |
| CN114173334A (zh) * | 2021-10-26 | 2022-03-11 | 新华三大数据技术有限公司 | 一种接入ap的方法、ap和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388770A (zh) * | 2008-10-20 | 2009-03-18 | 华为技术有限公司 | 获取动态主机配置协议密钥的方法、服务器及客户端装置 |
| CN104219217A (zh) * | 2013-06-05 | 2014-12-17 | 中国移动通信集团公司 | 安全关联协商方法、设备和系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060047835A1 (en) * | 2004-07-02 | 2006-03-02 | Greaux Jeffrey E | Method and System for LAN and WLAN access to e-commerce sites via Client Server Proxy |
| CN101471767B (zh) * | 2007-12-26 | 2011-09-14 | 华为技术有限公司 | 密钥分发方法、设备及系统 |
| CN105591748B (zh) * | 2015-09-21 | 2019-02-19 | 新华三技术有限公司 | 一种认证方法和装置 |
-
2015
- 2015-05-21 CN CN201510262722.9A patent/CN106304400B/zh active Active
-
2016
- 2016-05-13 WO PCT/CN2016/081952 patent/WO2016184351A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388770A (zh) * | 2008-10-20 | 2009-03-18 | 华为技术有限公司 | 获取动态主机配置协议密钥的方法、服务器及客户端装置 |
| CN104219217A (zh) * | 2013-06-05 | 2014-12-17 | 中国移动通信集团公司 | 安全关联协商方法、设备和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106304400A (zh) | 2017-01-04 |
| WO2016184351A1 (zh) | 2016-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4921557B2 (ja) | インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法 | |
| US8762710B2 (en) | Method and system for updating and using digital certificates | |
| US8374582B2 (en) | Access method and system for cellular mobile communication network | |
| US8259942B2 (en) | Arranging data ciphering in a wireless telecommunication system | |
| US8385549B2 (en) | Fast authentication between heterogeneous wireless networks | |
| WO2019019736A1 (zh) | 安全实现方法、相关装置以及系统 | |
| US20070098176A1 (en) | Wireless LAN security system and method | |
| JP5364796B2 (ja) | 暗号情報送信端末 | |
| KR101582502B1 (ko) | 인증을 위한 시스템 및 방법 | |
| KR101002799B1 (ko) | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 | |
| JP2010503326A5 (ja) | インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法 | |
| JP2008533609A (ja) | 無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法 | |
| CN101502078A (zh) | 提供接入待定的密钥的方法和系统 | |
| CN103888941A (zh) | 一种无线网络密钥协商的方法及装置 | |
| WO2009152749A1 (zh) | 一种绑定认证的方法、系统和装置 | |
| CN105307168A (zh) | 不需切换的无线通信网络 | |
| CN102333309B (zh) | 一种无线局域网中密钥传递的方法、设备和系统 | |
| CN106304400B (zh) | 无线网络的ip地址分配方法和系统 | |
| US11381973B2 (en) | Data transmission method, related device, and related system | |
| CN101785343A (zh) | 快速转换资源协商 | |
| CN101911742A (zh) | 用于交互rat切换的预认证方法 | |
| CN103167493A (zh) | 本地转发模式下无线接入控制器集中认证的方法及系统 | |
| Martinovic et al. | Measurement and analysis of handover latencies in IEEE 802.11 i secured networks | |
| US20110107403A1 (en) | Communication system, server apparatus, information communication method, and program | |
| CN103200004B (zh) | 发送消息的方法、建立安全连接的方法、接入点和工作站 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1233106 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |