CN100388664C - 实现wlan多模安全认证的接入方法 - Google Patents
实现wlan多模安全认证的接入方法 Download PDFInfo
- Publication number
- CN100388664C CN100388664C CNB2005101245647A CN200510124564A CN100388664C CN 100388664 C CN100388664 C CN 100388664C CN B2005101245647 A CNB2005101245647 A CN B2005101245647A CN 200510124564 A CN200510124564 A CN 200510124564A CN 100388664 C CN100388664 C CN 100388664C
- Authority
- CN
- China
- Prior art keywords
- network
- module
- protocol
- authentication
- agreement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种实现WLAN多模安全认证的接入方法。主要解决国际标准IEEE802.11i与无线局域网鉴别与保密基础结构WAPI两种安全协议可以进行选择接入的问题。其具体方法是:利用两种协议的可兼容性和网络的可区分性,在TCP/IP协议的链路层上将国际安全标准IEEE 802.11i和国家安全标准WAPI两种安全协议分别集成在现有的IEEE802.11b无线网卡上,集成时先把IEEE802.11i的协议认证模块WAPI的协议认证模块为链路级和服务级两层,再分别进行集成,最后由终端根据待接入网络,通过网络识别、选择相应的协议认证,自适应地选取其中的一个安全标准进行协议会话,接入到网络中。具有可自动识别网络信息进行接入认证,适应性强,兼容性好,功能实用等优点,可用于无线局域网的安全接入领域。
Description
技术领域
本发明属于通信技术领域,涉及网络安全,具体地说是一种实现无线局域网WLAN的多模安全接入方法,用于无线局域网的安全接入领域。
背景技术
随着各种可移动的用户终端的普及,WLAN的应用以其灵活性和方便性得到了迅速增长。据市场调研机构Dell′Oro公司预计,2003年到2006年间,WLAN市场仍将保持年平均40%左右的速度增长,到2006年,全球WLAN市场规模将突破100亿美元,WLAN市场仍将保持着连续数年跳跃式高速发展。而In-Stat/MDR称,无线运营商正在扩大其数据服务,更多的消费设备和商业设备将支持无线连接,但目前存在许多与无线数据有关的风险,在这种风险的推动下,一个新的无线安全市场将诞生。In-Stat/MDR认为,无线安全市场将由三部分组成:无线基础设施安全、无线设备安全和无线局域网安全,整个无线安全市场的规模到2008年将达到84亿美元。然而由于无限局域网自身开放式的特点会产生诸多安全问题,例如,信息泄漏和非法接入等。
为了能够较好解决WLAN网络的安全问题,IEEE工作组提出了IEEE 802.11i标准。IEEE 802.11i协议主要是对802.11协议的安全方面进行的增强。同时为了解决WLAN网络的安全问题,我国在2003年5月份提出了无线网络强制安全标准WAPI,无线局域网鉴别与保密基础结构,GB 15629.11/1102-2003及其实施指南。这两个标准由于其不一致性,因而在网络接入控制,即身份认证和加密方式的实现上都不相同。
802.11i协议作为新一代的无线网络安全协议标准,其核心就是IEEE 802.1x和TKIP与CCMP。其接入控制采用的是开放式链路验证+802.1x,通过802.1x的EAP方法承载,实现TLS、TTLS、MD5、SIM、AKA等多种具体认证方案;在数据保密性和完整性上使用CCMP或者TKIP。由上面的分析可以看出,IEEE802.11i采用新的密钥管理算法、用户认证机制、并且加入了数据完整性保护,从而IEEE802.11i确实能使无线装置的安全性得到保证。因此在WLAN网络上使用IEEE802.11i来保证安全是有意义的,且具有很好的实用性。
WAPI采用公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。WAPI由WAI和WPI两部分组成,分别实现对用户身份的鉴别和对传输数据的加密。其中WAI采用公开密钥密码体制,利用证书来对WLAN系统的STA和AP进行相互认证。
这两种安全标准各有优缺点,并可能同时存在。一旦使用WAPI的安全标准,现有的IEEE802.11b终端就将面临不能接入网络环境的尴尬。如果用户选择了其中的一种安全标准,那么在遇到另一种安全技术的网络环境时也将无能为力。
发明的内容
本发明要解决的技术问题是提供一种实现WLAN多模安全接入方法,即将国际标准IEEE802.11i与无线局域网鉴别与保密基础结构WAPI国家标准两种安全协议集成接入的方法,以解决用户可以选择使用两种标准入网的问题。
本发明的技术方案是这样实现的:
本发明从WLAN网络的安全需求出发,从链路层协议角度考虑网络安全接入的问题,以传输控制协议/网络互连协议TCP/IP的4层协议栈为基础,根据ISO/IEC7498-2标准的建议,将实现方法定位于链路层来解决,即利用两种协议的可兼容性和网络的可区分性,在链路层上将WAPI国家标准与IEEE802.11i国际标准两种安全协议分别集成在现有的IEEE802.11b无线网卡上,由终端根据待接入网络,自适应地选取其中的一个安全标准进行协议会话,接入到网络中。
上述接入方法,其中将IEEE 802.11i集成到IEEE802.11b网卡上,是按如下步骤进行:
(1)通过链路层驱动实现管理帧的处理、信息元素提取、插入以及网卡的控制功能;
(2)通过在操作系统的用户态分别实现IEEE802.1x、四步握手、组密钥协商等协议过程,完成对身份的认证和密钥的管理;
(3)将用户态协议过程与所述无线网卡驱动程序通过操作系统的接口,完成链路数据交互,实现对网卡的端口控制及协议状态转换,最终完成集成。
上述接入方法,其中将WAPI集成到IEEE802.11b网卡上,是把WAPI的协议认证模块先分为链路级和服务级两层,再按如下步骤进行:
(1)用IEEE 802.11b驱动实现网卡链路级认证;
(2)在用户态完成STA的接入鉴别和密钥协商,即完成证书的收发、签名、消息摘要的计算和验证、密钥协商以及加解密等操作;通过网卡设备与接入网络进行数据交互,对数据按照WAPI标准进行必要的验证、加解密操作;
(3)通过用户态协议过程和接入网络进行认证过程所必须的协议步骤,实现服务级认证。
上述接入方法,其中自适应地选取其中的一个安全标准,接入到网络中,是按如下过程进行:
(1)信息收集模块从驱动模块收集来自链路层的帧,并将其交给网络识别模块;
(2)网络识别模块根据各个协议的特征可区分性,对收到的链路层的帧进行分析,得出具体的网络类型识别;
(3)协议调度模块根据网络识别模块提供的网络类型信息选择相应的协议认证模块;
(4)启动协议认证模块,进行认证协议会话,若认证通过则可进行正常的数据通信。
本发明由于采用将为IEEE802.11i和WAPI两种安全协议集成到IEEE802.11b无线网卡上,不仅弥补了WLAN在安全方面的不足,而且为现有的IEEE802.11b的无线网卡通过软件升级的方式接入到IEEE 802.11i或WAPI的网络环境提供了技术保障,最大程度上保证了通信安全。同时本发明由于采用在链路层实现安全协议的集成,可以做到无线终端接入的多模特性,这是其他层次的安全实现方法所无法完成的;此外本发明可自动识别网络信息进行接入认证,接入时无需用户的干预,具有适应性强,兼容性好,功能实用的优点。
附图说明
图1是本发明集成方法实现位置图
图2是本发明集成系统模块图
图3是本发明对IEEE 802.11i接入的过程图
图4是本发明实现协议模块的层次图
图5是本发明对WAPI接入的过程图
图6是本发明网络识别流程图
图7是本发明模块调度接人流程图
图8是现有IEEE802.11i探询响应帧格式图
图9是现有WAPI/802.11b探询响应帧格式图
图10是现有IEEE802.11i信标帧格式图
图11是现有WAPI/802.11b信标帧格式图
图12是现有IEEE802.11i的RSN IE的信息格式图
图13是现有WAI鉴别系统分组格式图
具体实施方式
以下参照附图对本发明作进一步详细说明。
一.IEEE802.11i与WAPI集成系统
参照图1,本发明的方法是在链路层位置进行,即在链路层实现将WAPI与IEEE802.11i两种安全协议集成在IEEE802.11b无线网卡上,形成WLAN网络集成认证层。该集成认证层的实现必须满足以下两个条件:
1所要集成的安全协议在软件控制下能够与IEEE802.11b协议兼容;
2必须能够识别欲接入的网络类型,并选择使用与目标网络匹配的安全协议。
由于只能在移动终端与待接入网络使用相同的接入协议时,才能进行正确的接入认证以及后续协议会话,因此需要一个能够满足上述条件的系统来实现,本发明所设计的系统框架如图2所示。
参照图2,本发明的集成系统框架由如下五部分构成:
1)信息收集模块,通过标准接口从网卡获取信息,并为其上层运行的网络识别模块提供一个统一的接口。该模块是在认证启动前系统与网卡驱动程序交互的主要功能模块。
2)网络识别模块,从收集模块中获取一些网络数据,并根据这些基本的数据对网络类型进行分析,判断终端当前有待接入网络的类型。
3)协议调度模块,根据网络识别模块的输出,做出安全模块调度的判定。若已经有模块被激活,则需要将该模块的状态重新设置为睡眠,再启用当前判定所选用的模块。
4)IEEE 802.11i和WAPI认证模块,这两个模块分别实现了IEEE 802.11i协议和WAPI协议,是该集成软件系统的核心,他们与驱动模块交换信息。网络的接入过程由这两个模块完成。
5)IEEE802.11b网卡驱动程序,主要完成在集成平台中对网卡实施控制。
(二)实现IEEE 802.11i和WAPI协议的兼容集成方法
本发明将WLAN的安全接入过程抽象成链路级关联和服务级关联两个层次。链路级关联过程负责与AP建立链路关联,但它并不会给用户提供业务连通;而服务级关联,即业务级的连通,则完成与后端的认证服务器,即一般是RADIUS的相互认证,进而保证用户对资源和服务的授权访问。一个STA只有在链路级上完成接入后才能进行数据的交互,完成上层安全协议,实现服务级的关联。
(1)在IEEE802.11b网卡上集成IEEE 802.11i
本发明在IEEE802.11b网卡上集成IEEE 802.11i协议的过程是通过链路关联和服务级关联实现的。为了能够实现基于IEEE802.11b网卡的IEEE 802.11i接入,当一个站点STA接入IEEE 802.11i网络时需要满足图3所示各阶段的条件:
1)扫描阶段:由于IEEE 802.11i在信标帧(Beacon)和探询响应(Probe Response)帧中加入了RSN信息元素,要实现在IEE802.11b网卡上集成IEEE 802.11i,因此在扫描阶段就要求:站点能够正确提取出各种信息元素并对其进行分析,尤其是RSN信息元素的提取和分析。若能正确提取信息元素,则可进行后续的接入过程,否则,就拒绝接入网络。
2)关联阶段:由于IEEE 802.11i的关联帧中含有RSN信息元素,因此要求STA的管理实体SME能够初始化一个关联,并将一个RSN信息元素插入到它的关联请求中。当一个安全参数的协商过程完成后,STA就可以使用协商的安全参数和网络参数进行网络关联,即完成链路级的接入。
3)服务级安全关联阶段:STA在完成了链路级关联后,进入服务级安全关联。由于服务级的关联即RSN安全关联,包含了上层的身份认证、密钥管理和会话的加解密等操作,即802.1x和4步握手、组密钥协商等过程。因此,要求有一个具体的认证模块来控制协议状态机的转移,进而完成协议的过程。
在满足上述条件后,本发明为了将IEEE 802.11i集成到IEEE802.11b网卡上,在认证模块的设计上,采用了分层的协议模块结构,如图4所示。通过图4的模块结构本发明将IEEE 802.11i集成到IEEE802.11b网卡上的具体实现步骤如下:
Step1:通过链路层驱动内核级模块实现管理帧的处理、信息元素提取、插入以及网卡的控制等功能;
Step2:通过一个处于用户态的服务级安全模块完成上层身份认证,即802.1x;密钥协商,即四步握手,组密钥协商等过程,从而完成对身份的认证和密钥的管理;
Step3:服务级安全模块和链路层驱动内核级模块通过操作系统完成链路数据交互,实现对网卡的端口控制,最终完成集成。
使用上面步骤,可实现将IEEE 802.11i集成到IEEE802.11b网卡上,并可保证系统的运行能够根据协议过程执行。
(2)IEEE802.11b网卡上集成WAPI
WAPI协议过程可以分为两大部分:认证和密钥协商WAI及传输数据加密WPI两个部分。在BSS中,WAI采用公钥密码技术实现STA与AP之间的相互身份鉴别,只有鉴别成功后,AP才允许STA接入,同时STA也才允许通过该AP收发数据。
同样,完成在IEEE802.11b网卡上集成WAPI协议,可抽象为链路级和服务级关联两个层次。在链路级关联阶段,如果IEEE802.11b采用开放系统认证,与WAPI的接入过程是一致的,即都经过:扫描→开放系统认证→关联。而WAPI随后的鉴别协议分组提供了网络环境的区分信息,其鉴别协议分组类型号为0X88B4。因此,使用IEEE802.11b网卡的开放系统认证方式,就可兼容的从链路级别上接入到WAPI网络。这个过程不需要对IEEE802.11b协议做其它特殊处理。
在WAPI网络的服务级关联阶段,通过WAI、WPI过程分别实现STA的接入鉴别和密钥协商的过程如图5所示。
图中CertSRA,CertAP分别表示STA和AP的证书。sigxxx表示AP或者STA用自身的私钥对消息的签名。E(k,m)表示用密钥k对消息m进行加密。HMAC(m)表示对消息m的消息鉴别码。PkAP,PkSTA分别表示AP和STA的公钥。图5描述了建立在链路级关联之上的服务级关联的过程,由图可以看到为了完成服务级关联需要进行证书鉴别,单播密钥和组密钥协商等阶段,而这些阶段的操作是可以通过一个处于用户态的服务级安全模块来实现的。
因此,为了将WAPI集成到IEEE802.11b网卡上,WAPI协议认证模块也可以采用如图4所示的两层结构实现,具体步骤如下:
Step1:由于链路级的关联上WAPI与802.11b保持完全一致无需特殊处理,因此链路层驱动内核级模块使用IEEE 802.11b驱动的处理过程即可;
Step2:通过一个处于用户态的服务级安全模块在完成STA的接入鉴别和密钥协商,此步骤主要涉及到的操作是证书的收发、签名、消息摘要的计算和验证、密钥协商以及加解密等操作。系统通过网卡设备与接入网络进行数据交互,对数据按照WAPI标准进行必要的验证、加解密操作。
Step3:服务级安全模块和链路层驱动内核级模块通过操作系统完成链路数据交互,实现对网卡的端口控制,最终完成集成。
使用上面步骤,可实现将WAPI集成到IEEE802.11b网卡上,并可保证系统的运行能够根据协议过程执行。
(三)协议的自适应选择与调度流程
集成系统除了需要完成上述基本的协议集成外,还要能够自适应地选取其中的一个安全标准,接入到网络中,完成这样一个过程需要通过图2所示的如下模块来实现:
(1)网络信息收集模块
STA在接入AP时首先扫描网络环境,看是否有可接入的网络。信息收集模块从链路层驱动模块中的信标帧和探询响应帧中提取出所有信息元素,并将提取的信息元素提交给网络识别模块。信息收集模块从扫描过程中获取的数据帧中完成信息元素的提取的,WLAN网络的扫描类型分为主动扫描和被动扫描。
a)主动扫描
STA发送探询Probe请求帧,等待探询响应帧Probe response的到达。当STA发出探询请求帧后,等待无线接入点将其支持的探询响应帧传回,然后STA根据该响应帧的内容进行参数协商,选择正确的网络接入,这时STA就会接收到无线接入点传送回来的探询响应帧,其中包括IEEE802.11i和WAPI探询响应帧。图8是IEEE802.11i探询响应帧格式,图9是WAPI/802.11b探询响应帧格式。
b)被动扫描
STA在信道列表的各个信道上等待信标帧Beacon的到达,根据其内容配置参数。无线接入点会在其支持的信道上发送信标帧,从而向网络中宣告自己的存在。而STA可以通过侦听网络得到信标帧,并根据接收到的信标帧进行参数协商,选择正确的网络接入,这时STA就会收到无线接入点发送的信标帧,其中包括IEEE802.11i和WAPI信标帧。图10是IEEE802.11i信标帧帧格式,图11是WAPI/802.11b信标帧帧格式。
(2)网络识别模块
移动终端使用网络识别模块来判断当前网络类型。网络识别模块主要使用从信息收集模块中获取的信息元素来确定当前网络的类型。网络识别流程能够根据各种协议的特征依据网络的可区分特性进行网络的识别,网络类型的识别过程如图6所示。该识别过程所涉及的信息元素包括:能力信息字段,RSN信息元素,鉴别激活分组等。
参照图6,本发明的网络识别过程包括:
1)网络模式识别
该过程主要识别网络属于基础设施模式ESS还是自组网模式IBSS。针对这两种模式,网络识别模块将采取不同的过程来区分网络属于IEEE802.11b、WAPI、IEEE802.11i。即在ESS模式下AP发送的探询响应帧或信标帧中,设置ESS子字段为1,IBSS子字段为0;而IBSS模式下的STA设置ESS子字段为0,IBSS字段子为1,由此可以确定当前网络拓扑结构是BSS,还是IBSS。判断后根据网络模式进行网络类型识别。
2)网络类型识别
(1)如果当前网络拓扑结构为ESS,则有两种情况:
第一种情况是:若在信息元素集合中发现了如图12所示的IEEE802.11i的RSN IE的信息格式,并且RSN信息元素满足IEEE 802.11i的特征,根据IEEE802.11i的协议规范特点,可说明该网络是一个IEEE 802.11i网络,这样可完成网络基本识别功能。
第二种情况是:若信息元素集合中不含RSN IE,则网络应该为IEEE802.11b或者WAPI网络。这时再根据信息元素中的能力信息字段B4位,结合关联过程后是否有鉴别协议分组来判断。
a)B4=0,说明没有采用WEP加密或WAI认证机制。而ESS结构的WAPI是强制认证的,
所以可以判断当前接入网络为802.11b。
b)B4=1,说明采用了WEP加密或WAI认证机制。这种情况下,到关联完成阶段WAPI与IEEE802.11b过程都是相同的。此时,需要认证协议模块按照基本的IEEE802.11b协议过程执行,直到建立链路关联后。到链路关联完成后,若是WAPI网络,则会发送激活鉴别分组,该分组属于WAPI的管理帧,该管理帧如图13所示。图13中的协议鉴别类型号为0X88B4,当关联后收到的管理帧中协议鉴别类型号为0X88B4时,则可以判断网络为WAPI网络。否则若没有收到激活鉴别分组,则网络属于IEEE802.11b网络。
(2)如果当前网络拓扑结构为IBSS,也有如下两种情况:
第一种情况是:若在信息元素集合中发现了RSN IE并且RSN IE满足IEEE 802.11i的特征,则说明该网络是一个IEEE 802.11i网络。
第二种情况是:若信息元素集合中不含RSN IE,这时再根据能力信息字段的B4是否等于0来判断,
当能力信息字段的B4=0时,可以判断当前网络类型为不启用WEP的IEEE802.11bADHOC或者是WAPI的ADHOC网络,此时需要按照IEEE802.11b协议进行操作,然后判断后续数据帧中的帧控制字段的B14的值。若B14=1,由于WAPI在ADHOC网络中的WPI过程是强制执行的,B14=1说明应该是在不启用WAI时启用了WPI,网络这时应该为WAPI网络。而对于IEEE802.1b网络若B4=0则B14一定为0,因此B14=1不可能是IEEE802.11b网络,而B14=0则说明网络是IEEE802.11b。
当能力信息字段的B4=1时,由于IBSS结构的WAPI网络不启用WAI,其B4=0,所以可判定当前的网络为启用了WEP加密保护的IEEE802.11b网络。
网络识别模块能够将同一时刻拥有的所有的网络类型识别出来,然后统一提交给协议调度模块去完成具体的调度工作。
(3)协议调度模块
协议调度模块根据网络识别模块的结果来激活具体的调度模块,进行安全认证。协议调度模块存在一个内部状态表IST以及调度策略数据库SPD,其中内部状态数据用来记录当前是否启用了具体的调度模块,以及启用了哪个调度模块,该调度模块完成接入的情况等信息。调度策略数据库主要完成调度策略的存储,数据库以当前的内部状态、网络识别信息为入口进行调度策略的选取。每个SPD入口由一组识别的网络信息和内部状态进行定义,该协议调度模块的具体调度过程如图7所示。
参照图7,系统首先将各种认证协议模块作为插件加载到系统内,若协议认证模块加载失败则系统作相关日志后退出,否则继续。协议调度模块随后等待网络识别模块的网络识别消息,当网络识别模块根据网络信息正常的识别出了网络类型后,它会向协议调度模块发送消息,告知该模块调度哪些协议模块可以用来进行网络的接入认证。若协议调度模块还没有识别消息则不断等待,否则继续。当协议调度模块收到了识别出来的网络信息后,协议调度模块根据当前识别出来的网络信息、内部状态以及调度策略综合考虑,实现具体的模块调度,即调度模块根据内部的状态信息和网络识别消息检索调度选择策略来决定模块调度策略。而协议的调度策略尽量和用户进行交互,即对协议的调度要求与应用层协议进行交互,这意味着要接收用户的选择确认信息。若用户选择自动,则完全由一个内部算法完成模块的调度选择功能,否则按用户指定的优先级尝试各种网络的接入。若内部状态记录的当前已经激活的认证模块需要被新的认证模块取代,则进行协议的切换调度,更新内部状态表。否则仍然使用原有的模块。当选定了一个认证协议模块后则将该模块激活,被激活的模块会对链路层驱动模块进行初始化,开始实施控制,认证协议模块安装自己的协议实现过程和接入点进行正确的协议过程会话,从而保证用户接入该网络。
为了测试本发明的系统性能,我们搭建了一个简单的无线网络环境,其中含有一个IEEE 802.11b的AP,一个WPA的AP+Linux下的FreeRadius认证服务器,以及模拟的WAPI AP+认证服务器。在配有ZCOM XI626无线适配器+Linux 2.6内核上安装集成平台,测试结果如表1所示。
表1多种网络环境的接入数据表
| 被测网络位置 | 网络识别结果 | 网络接入时间(秒) | 工作模块 |
| IEEE802.11b网络中 | 802.11b网络 | 0.0084(链路) | 上层认证不启用 |
| WPA网络中 | WPA网络 | 0.0095(链)+1.874(上层) | WPA模块 |
| WAPI网络中 | WAPI网络 | 0.0085(链)+1.984(上层) | WAPI模块 |
| IEEE802.11b、WPA混和环境 | WPA网络 | 0.0113(链)+1.911(上层) | WPA模块(基于策略) |
| IEEE802.11b、WAPI混和环境 | WAPI网络 | 0.0105(链)+2.592(上层) | WAPI模块(基于策略) |
从测试结果可见,系统能够正确的识别网络,并且能够调用正确的协议认证模块接入网络。在混和环境中,认证模块的调度是基于一定策略的。这里采用安全优先策略,即安全级较高的模块优先。
上述文中术语解释如下:
AKA(Authentication and Key Agreement)认证和密钥协商
AP(Access Point)访问接入点
CCMP(Temporal Key Integrity Protocol,CTR with CBC-MAC Protocol)增强的报文封装机制
EAP(Extensible Authentication Protocol)可扩展认证协议
IEEE(Institute of Electrical and Electronics Engineers)美国电气与电子工程师学会
ISO/IEC(International Organization for Standardization)国际标准化组织/IEC(InternationalElectrical Commission)国际电工委员会
IST(Inside State Table)内部状态表
MD5(Message Digest Algorithm5)信息摘要5
RSN(Robust Security Network)健壮性安全网络
SIM(Subscriber Identity Module)用户身份模块
SPD(Security Policy Database)安全策略数据库
STA(Station)工作站
TKIP(Temporal Key Integrity Protocol)临时密钥完整性协议
TLS(Transport Layer Security)传输层安全协议
TTLS(Tunnel Transport Layer Security)隧道传输层安全协议
WAI(Wireless local area network Authentication Infrastructure)无线局域网鉴别基础结构
WAPI(Wireless local area network Authentication and Privacy Infrastructure)无线局域网鉴别与保密基础结构
WEP(Wired Equivalent Privacy)有线等效加密
WLAN(Wireless Local Area Network)无线局域网
WPI(Wireless local area network Privacy Infrastructure)无线局域网保密基础结构
Claims (6)
1.一种实现WLAN多模安全认证的接入方法,是在无线局域网终端设备上,将国际安全标准IEEE 802.11i和国家安全标准WAPI两种安全协议分别集成在现有的IEEE802.11b无线网卡上,由终端根据待接入网络,选取其中的一个安全标准进行协议会话,接入到网络中,其特征在于:
所述的将IEEE 802.11i集成到IEEE802.11b网卡上的过程如下:
(1)把IEEE 802.11i的协议认证模块先分为链路级和服务级两层;
(2)通过链路层驱动实现管理帧的处理、信息元素提取、插入及网卡的控制功能;
(3)通过在操作系统的用户态分别实现IEEE802.1x、四步握手、组密钥协商等协议过程,完成对身份的认证和密钥的管理;
(4)将用户态服务级安全模块与所述链路层驱动程序通过操作系统的接口,完成链路数据交互,实现对网卡的端口控制及协议状态转换,最终完成集成;
所述的将WAPI集成到IEEE802.11b网卡上的过程如下:
(1)是把WAPI的协议认证模块先分为链路级和服务级两层;
(2)用IEEE 802.11b驱动实现链路级认证;
(3)在用户态完成STA的接入鉴别和密钥协商,即完成证书的收发、签名、消息摘要的计算和验证、密钥协商以及加解密操作;通过网卡设备与接入网络进行数据交互,对数据按照WAPI标准进行必要的验证、加解密操作;
(4)通过用户态协议过程和接入网络进行认证过程所必须的协议步骤,实现网卡端口控制,最终完成集成。
2.根据权利要求1所述的接入方法,其特征在于所述的由终端根据待接入网络选取其中的一个安全标准,接入到网络中,是按如下过程自适应地进行:
(1)网络信息收集模块从驱动模块收集来自链路层的帧,并将其交给网络识别模块;
(2)网络识别模块根据各个协议的特征可区分性,对收到的链路层的帧进行分析,得出具体的网络类型识别,
(3)协议调度模块根据网络识别模块提供的网络类型信息选择相应的协议认证模块;
(4)启动协议认证模块,进行认证协议会话,若认证通过则可进行正常的数据通信。
3.根据权利要求2所述的接入方法,其特征在于网络信息收集模块从链路层驱动模块中的信标帧和探询响应帧中提取出所有信息元素,并将这些元素提交给网络识别模块。
4.根据权利要求2所述的接入方法,其特征在于网络识别模块主要使用从网络信息收集模块中获取的信息元素来确定当前网络的类型,该识别过程所涉及的信息元素包括:能力信息字段,RSN信息元素,鉴别激活分组。
5.根据权利要求2所述的接入方法,其特征在于协议调度模块设有一个内部状态表
IST以及调度策略数据库SPD,该内部状态表用来记录当前是否启用了具体的调度模块,启用了哪个调度模块以及完成接入情况信息,该调度策略数据库完成调度策略的存储,并以当前的内部状态、网络识别信息为入口进行调度策略的选取。
6.根据权利要求2所述的接入方法,其特征在于协议调度模块选择相应的协议认证模块,按如下过程进行;
首先,将各种认证协议模块作为插件加载到系统内,若协议认证模块加载失败则系统作相关日志后退出,否则继续;
随后,由协议调度模块等待网络识别模块的网络识别消息,当网络识别模块识别出了网络类型后,向协议调度模块发送消息,告知该模块调度哪些协议模块可以用来进行网络的接入认证;
若协议调度模块还没有识别消息则不断等待,否则继续;
当协议调度模块收到了识别出来的网络信息后,则根据当前识别出来的网络信息、内部状态以及调度策略综合考虑,实现具体的模块调度,即调度模块根据内部的状态信息和网络识别消息检索调度选择策略来决定模块调度策略;
若用户选择自动,则完全由一个内部算法完成模块的调度选择功能,否则按用户指定的优先级尝试各种网络的接入;
若内部状态记录的当前已经激活的认证模块需要被新的认证模块取代,则进行协议的切换调度,更新内部状态表,否则仍然使用原有的模块;
当选定了一个认证协议模块后则将该模块激活,被激活的模块会对链路层驱动模块进行初始化,开始实施控制,认证协议模块安装自己的协议实现过程和接入点进行正确的协议过程会话,以保证用户接入该网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101245647A CN100388664C (zh) | 2005-12-16 | 2005-12-16 | 实现wlan多模安全认证的接入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101245647A CN100388664C (zh) | 2005-12-16 | 2005-12-16 | 实现wlan多模安全认证的接入方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1801709A CN1801709A (zh) | 2006-07-12 |
| CN100388664C true CN100388664C (zh) | 2008-05-14 |
Family
ID=36811492
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005101245647A Expired - Fee Related CN100388664C (zh) | 2005-12-16 | 2005-12-16 | 实现wlan多模安全认证的接入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100388664C (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100448196C (zh) * | 2006-12-29 | 2008-12-31 | 西安西电捷通无线网络通信有限公司 | 一种基于wapi的无线局域网运营方法 |
| CN101453319B (zh) * | 2007-11-29 | 2010-10-06 | 北京中电华大电子设计有限责任公司 | 兼容多种安全标准的usb接口无线网卡 |
| CN101568109B (zh) * | 2009-05-18 | 2011-05-25 | 中兴通讯股份有限公司 | 一种双模终端及双模终端的网络选择方法 |
| JP4798258B2 (ja) * | 2009-06-08 | 2011-10-19 | パナソニック株式会社 | 無線lan装置および無線lanアダプタ |
| CN101715190B (zh) * | 2009-11-04 | 2013-08-21 | 中兴通讯股份有限公司 | 一种无线局域网下实现终端与服务器鉴别的系统及方法 |
| CN101730097B (zh) * | 2009-11-18 | 2012-10-10 | 中兴通讯股份有限公司 | 一种无线终端接入无线网络的方法及系统 |
| CN102088702B (zh) * | 2009-12-03 | 2014-02-26 | 中国电信股份有限公司 | 用户驻地网关接入无线网络的方法和系统 |
| CN102629928B (zh) * | 2012-04-13 | 2014-09-03 | 江苏新彩软件有限公司 | 一种基于公共密钥的互联网彩票系统安全链路实施方法 |
| EP2939370A4 (en) * | 2012-12-31 | 2016-12-21 | Elwha Llc | PROVEN PROTOCOLS FOR MOBILE CONNECTIVITY |
| US9980114B2 (en) | 2013-03-15 | 2018-05-22 | Elwha Llc | Systems and methods for communication management |
| CN104519600A (zh) * | 2013-09-30 | 2015-04-15 | 宁夏先锋软件有限公司 | 一种囊括多种安全标准的usb无线网卡 |
| CN110311922B (zh) * | 2019-07-16 | 2021-11-09 | 超越科技股份有限公司 | 一种高并发策略决策系统、可信网络系统及接入方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1671136A (zh) * | 2004-03-16 | 2005-09-21 | 神州亿品科技(北京)有限公司 | 一种扩展无线局域网鉴别协议的方法 |
| CN1691582A (zh) * | 2004-04-24 | 2005-11-02 | 华为技术有限公司 | 实现wapi协议与802.1x协议兼容的方法 |
| CN1848780A (zh) * | 2005-04-12 | 2006-10-18 | 上海信息安全技术支持中心有限公司 | 标准自动切换的装置及方法 |
-
2005
- 2005-12-16 CN CNB2005101245647A patent/CN100388664C/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1671136A (zh) * | 2004-03-16 | 2005-09-21 | 神州亿品科技(北京)有限公司 | 一种扩展无线局域网鉴别协议的方法 |
| CN1691582A (zh) * | 2004-04-24 | 2005-11-02 | 华为技术有限公司 | 实现wapi协议与802.1x协议兼容的方法 |
| CN1848780A (zh) * | 2005-04-12 | 2006-10-18 | 上海信息安全技术支持中心有限公司 | 标准自动切换的装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1801709A (zh) | 2006-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100388664C (zh) | 实现wlan多模安全认证的接入方法 | |
| US7607013B2 (en) | Method and apparatus for access authentication in wireless mobile communication system | |
| Akyol et al. | A survey of wireless communications for the electric power system | |
| US7607015B2 (en) | Shared network access using different access keys | |
| CN102869014A (zh) | 终端和数据通信方法 | |
| CN101778382B (zh) | 用于扩展传输层安全性协议的装置、系统和方法 | |
| CN101102188B (zh) | 一种移动接入虚拟局域网的方法与系统 | |
| CN1805441B (zh) | Wlan网络集成认证体系结构及实现结构层的方法 | |
| CN107667554A (zh) | 分散式配置器实体 | |
| CN102711110A (zh) | 一种管理Wi-Fi网络的方法和无线路由器 | |
| CN107439027A (zh) | 用于电子用户身份模块(esim)安装和互操作的装置和方法 | |
| EP1760945A2 (en) | Wireless LAN security system and method | |
| CN103297968B (zh) | 一种无线终端认证的方法、设备及系统 | |
| CN100363882C (zh) | 无线网络中的打印客户机管理方法和无线局域网打印机 | |
| CN101919278A (zh) | 使用数字证书的无线设备认证 | |
| CN101006739A (zh) | 外围设备对来自用户设备中的身份模块的身份数据的再利用 | |
| CN102111766A (zh) | 网络接入方法、装置及系统 | |
| CN105530589A (zh) | 一种蓝牙信标装置、无线局域网终端认证接入系统和方法 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN104424676A (zh) | 身份信息发送方法、装置和门禁读卡器及门禁系统 | |
| CN101227362A (zh) | 一种无线个域网接入方法 | |
| CN101588366A (zh) | 基于SaaS接入企业信息系统的系统和方法 | |
| CN103442359A (zh) | 基于短距离无线接入方式的传感器节点认证方法和系统 | |
| CN106454903A (zh) | 一种智能终端设备接入互联网的方法及装置 | |
| CN204231671U (zh) | 一种蓝牙信标装置和无线局域网终端认证接入系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: KUNSHAN RUIXIANG XUNTONG COMMUNICATION TECHNOLOGY Free format text: FORMER OWNER: XIDIAN UNIVERSITY Effective date: 20140910 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 710071 XI'AN, SHAANXI PROVINCE TO: 215347 SUZHOU, JIANGSU PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20140910 Address after: High tech Zone Kunshan city Jiangsu province 215347 Dengyun Road No. 268 Patentee after: Kunshan Ruixiang Xuntong Communication Technology Co., Ltd. Address before: Xi'an City, Shaanxi province Taibai Road 710071 No. 2 Patentee before: Xidian University |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080514 Termination date: 20171216 |