CN101568107A - 票据分发装置、快速认证装置、接入点及其方法 - Google Patents
票据分发装置、快速认证装置、接入点及其方法 Download PDFInfo
- Publication number
- CN101568107A CN101568107A CNA2008100923478A CN200810092347A CN101568107A CN 101568107 A CN101568107 A CN 101568107A CN A2008100923478 A CNA2008100923478 A CN A2008100923478A CN 200810092347 A CN200810092347 A CN 200810092347A CN 101568107 A CN101568107 A CN 101568107A
- Authority
- CN
- China
- Prior art keywords
- bill
- travelling carriage
- key
- access point
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出了一种用于向蜂窝通信网络中使用的移动台分发票据的方法,包括步骤:移动台向接入点发送认证请求消息;接入点基于认证请求消息,向认证、授权和计费服务器验证移动台;以及如果移动台被证实,接入点生成票据并将票据发送到移动台。本发明还提供了一种用于通过使用上述生成的票据在切换期间对移动台进行快速认证的方法。此外,本发明提出了用于实施上述方法的票据分发装置、快速认证装置以及接入点。根据本发明,几乎消除了由重新认证导致的通信中断时间,因而整个切换等待时间可以小于20ms,这极大地满足了交互实时应用的要求。
Description
技术领域
本发明涉及无线网络,具体地,提供在两个接入点之间切换时执行快速重新认证的方法,以最小化在移动台(Mobile Station,STA)离开其当前关联的接入点(Access Point,AP)去往另一AP时发生的通信中断时段。
背景技术
目前,基于IEEE 802.11的无线LAN(WLAN)产品正在经历空前的增长。由于这些产品工作于未许可的频带,因而它们的功率受到管制机构的限制(低于100mW)。因此,必须部署多个WLAN接入点(AP)以覆盖一个大的区域,如图3所示。为了保持连续的连通性,当用户在该区域内移动时,用户终端必须将其连接从一个AP切换到下一AP。为了保证安全的接入,AP需要对用户进行认证,以确保只有授权的用户可以获得无线接入服务。
IEEE 802.11WLAN提供了关联机制来支持连接接入点(AP)彼此之间的转换,如图1所示。在该机制中,当移动台(STA)请求从原AP(切换前的AP)切换到新AP(切换后的AP)时,它首先向原AP发送解关联请求,以结束与原AP的当前关联;在它通过扫描过程选出目标新AP之后,向新AP发送重新认证和重新关联请求。当新AP接收到这些请求时,新AP应该确定是否接受该站点。IEEE已经设计了允许AP对站点进行认证的安全扩展,称作IEEE 802.11i(参见参考文献[1]),其定义了基于EAP(参见参考文献[8])和802.1x(参见参考文献[3])的完全互认证机制。这将该机制关联到允许站点使用动态加密材料的密钥交换算法。不幸的是,整个扩展对于网络和设备性能具有影响。站点在第一次关联期间花费时间并不是问题,但是站点在每次切换时必须与新AP进行重新认证以便获得新的安全关联确实是一个问题。因此,重新认证机制的等待时间将影响切换过程的整体性能,因而,不能满足实时交互多媒体应用的要求(切换等待时间应小于50ms)(参见参考文献[7])。
根据图1,通信中断时段包括扫描过程(也称作发现过程)以及(重新)认证和重新关联过程。许多先前的工作已经研究并提出了快速切换过程,以减小扫描过程所花的时间。近来,新开发的技术宣称能够将该延迟缩减到约10ms。然而,(重新)认证和重新关联过程所花的时间可以在1秒的量级,这仍不能满足实时应用的要求。
由于单个接入点(AP)的覆盖区域有限,移动用户位于一个AP的覆盖区域内的时间可能仅仅为几分钟的量级,或者甚至只有几秒,这取决于其移动速度。实时交互应用具有严格的质量要求,尤其对于切换等待时间。例如,VoIP要求其端到端的延迟低于250ms,延迟变化或抖动低于50ms,并且丢包率低于1%。因此,为了诸如基于IP的语音之类的交互实时多媒体应用正常操作,总延迟应低于50ms(参见参考文献[7])。然而,利用标准802.11和标准802.11i协议,切换过程不能满足实时交互应用的要求,这是由于如下两个原因:
(1)在切换期间AP与移动终端完成重新认证过程所花的时间太长(可能在1秒的量级),这导致长时间的通信中断。
(2)长时间的通信中断导致大量丢包。
(3)切换所导致的丢包在移动台高速运动期间尤其严重。
在此,问题在于如何最小化切换过程期间重新认证的等待时间以支持实时应用。
图2A示出了基本重新认证过程。当STA对自身进行重新认证时,它必须重复与首次认证时相同的过程。
IEEE 802.11i建议了一种称作鲁棒安全网络(Robust SecurityNetwork,RSN)的安全体系结构,包括通过IEEE 802.1x的用户接入控制、诸如临时密钥完整性协议(TKIP)或计数器模式密码块链消息认证码协议(CCMP)之类的新无线隐私机制、以及通过802.11i四次密钥握手机制的动态密钥管理(图2A)。IEEE 802.1x提供了基于端口的网络接入控制机制,可以用来在移动台和移动台关联AP之间协商成对主密钥(pair-wise master key,PMK)。这里的PMK用作主密钥以导出在WLAN中提供数据隐私的每分组瞬时密钥。这种方法的缺点在于用户认证和密钥传输要花费较长时间。
图2B示出了预先认证过程。预先认证是在STA切换到下一AP之前通过其当前连接AP来进行的。
IEEE 802.11i(参见参考文献[1])介绍了一种可以减少切换过程期间重新认证时间的预先认证方案(图2B)。该方案的基本思想是使用预先缓存的PMK而非IEEE 802.1x完全认证(图2A)来对切换站点进行重新认证。为了实现该方案,相邻AP必须在站点经过之前缓存PMK。在站点与当前AP建立关联之后,它通过当前AP与各相邻AP开始IEEE 802.11i重新认证。换言之,当前AP充当中继代理的角色,STA通过各相邻AP完成IEEE 802.11i重新认证。通过这种重新认证,每个AP可以缓存相邻AP中关联的并通过它完成重新认证的STA的PMK。当某个站点切换到相邻AP时,该站点向AP发送包括PMK标识符(PMKID)的重新关联请求。这里,PMKID是16字节令牌值,以标识缓存的PMK。如果该AP缓存了与PMKID关联的PMK,则可以在AP和该站点之间直接进行IEEE 802.11i四次握手,而不用进行802.1x完全认证。最终,802.11i预先认证方案中的性能增益取决于缓存的PMK的命中率。
在参考文献[4]和[5]中,作者建议了基于上述802.11i中定义的预测认证方法的一种快速AP间切换方案。为了预测移动模式,引入了频繁切换区域(frequent handoff region,FHR)。FHR由在切换时最有可能成为站点所访问的下一AP的AP构成。移动台根据IEEE 802.1x模型,仅仅与FHR内的AP进行预先认证,这也可以在图2B中示出,但是其中只有AP2表示FHR内的AP。
图2C示出了主动密钥分发方案。当前AP将安全上下文传送到相邻AP,以避免在重新认证期间涉及到认证、授权和计费(AAA)服务器。
IEEE 802.11f(参见参考文献[2])建议了一种AP间协议(IAPP),该协议可以通过在两个AP之间动态建立的安全网络转移移动台的安全上下文,如PMK。IAPP的基本思想是再利用在首次(先前)关联AP中使用IEEE 802.1x生成的PMK。IAPP提出了两种方案来实现该思想。一种方案是在站点切换之前将来自原AP的PMK预先缓存到相邻AP,如图2C中(1)所示。另一种方案是在站切换到相邻AP之一后,将切换站点的PMK从原AP取到新AP,如图2C中(2)所示。如果PMK缓存命中或者取成功,则可以减小重新认证延迟。
参考文献[6]的作者建议了一种基于主动密钥分配(图2C中(2))的预先认证方法。作者引入了称作相邻图的数据结构,其动态捕获网络不断变化的拓扑,并因此预测站点在不久以后有可能切换到的AP。在这些利用802.11i安全性的802.11网络中,全部的切换等待时间已经减小到70m,但是仍然高于诸如基于IP的语音通话之类的交互实时多媒体应用所要求的50ms。
图2D示出了票据的快速重新认证方案,图2E示出了票据分发的消息交换过程。在该方案中,在向AAA服务器首次成功认证之后,AAA服务器向STA分发票据。为了执行重新认证,STA只需要将其票据出示给新AP。
在参考文献[9]中,建议了一种使用票据作为令牌以便在用户在AP间切换时用于用户认证的方案,如图2D所示。当用户首次登录时,用户进行认证过程以获取票据。在成功认证之后,将票据以明文或者通过外部安全方案进行保护,从AAA通过连接AP传送到终端站点。当票据过期时,或者由于某种原因被废除时,用户必须执行与首次登录时相同的过程,以获取新的票据。在票据的有效期内,每当终端站点切换时,就将票据以明文或者通过外部安全方案进行保护,发送到新AP以进行认证。
IEEE 802.11i在完全认证过程和重新认证过程中均包含四次握手协议,且因此在这两种情况下均存在这种开销(即,四次握手所导致的开销)。
上述基于预先认证或者在相邻AP间进行主动密钥分发的机制的快速重新认证方法将重新认证需要的时间从1秒的量级减小到约50ms(参见参考文献[6])。然而,全部的切换等待时间(图1中的通信中断时间)仍然为约70ms,因而这不能满足诸如VoIP之类的实时交互应用的要求。此外,如果流量较大,该延迟可能进一步增加。另一方面,这类方法的性能取决于相邻缓存匹配概率。
在参考文献[9]中,票据使用明文传输,除非有某些外部安全机制来为票据的传送提供保密。从系统级别的观点看,由中央AAA服务器执行票据的分发,这意味着不能以动态、频繁的方式分发票据。因此,集中式票据分发系统在认证和授权时存在灵活性和粒度的问题。
参考文献:
[1].IEEE 802.11i:Amendment 6:Medium Access Control(MAC)Security Enhancements.IEEE Computer Society,April 2004.
[2].IEEE 802.11f:IEEE Trial-Use Recommended Practicefor Multi-Vendor Access Point Interoperability viaan Inter-Access Point Protocol Across DistributionSystems Supporting IEEE 802.11 Operation.IEEE,July 2003.
[3].IEEE 802.1x:IEEE Standards for Local andMetropolitan Area Networks:Port based NetworkAccess Control.IEEE,June 2001.
[4].Sangheon Pack and Yanghee Choi,“Fast Inter-APHandoff using Predictive-Authentication Scheme ina Public Wireless LAN”,IEEE Networks,August2002.
[5].Sangheon Pack and Yanghee Choi,“Pre-Authenticated Fast Handoff in a PublicWireless LAN based on IEEE 802.1x Model”.IFIP TC6Personal Wireless Communications,October 2002.
[6].A.Mishra,M.Shin and W.Arbaugh.,“Pro-active KeyDistribution using Neighbor Graphs”,IEEEWireless Communications,vol.11,February 2004.
[7].International Telecommunication Union:GeneralCharacteristics of International TelephoneConnections and International Telephone Circuits.ITU-TG.114,1988.
[8].B.Aboba,L.Blunk,J.Vollbrecht,J.Carlson,andH.Levkowetz,“Extensible Authentication Protocol(EAP)”,IETF RFC 3748,June 2004
[9].“Method for Authenticating Radio CommunicationDevice in Communication System,RadioCommunication,Base Station and AuthenticationDevice”,JP-2005-110112,April 2005
发明内容
考虑到现有技术存在上述缺点,本发明提出了一种创造性的认证数据结构,称作速通票(FastPass),并且允许携带有速通票的移动台(STA)进行快速重新认证。通过所述的速通票,本发明可以简化用户在无线接入点(AP)之间切换时重新认证的方法和过程。当移动台首次连接到网络时,移动台执行完全认证,并获得速通票。当随后移动台从一个AP切换到另一AP时,移动台只需要通过重新关联请求(在重新关联消息尾部嵌入速通票)向新AP出示速通票,而无需再次进行完全认证的过程。通过本发明的验证方法,AP可以通过速通票对移动台进行快速重新认证,并且确定是否允许其正常通信。因而,几乎可以去除重新认证的延迟,因为这仅仅占用略多的流量(将速通票附于重新关联消息)且新AP处计算(用于验证速通票的有效性)成本极小。
根据本发明的第一方面,提供了一种用于向STA分发票据的方法,其中STA用于蜂窝通信网络中,该方法包括步骤:STA向AP发送认证请求消息;AP基于认证请求消息,向AAA服务器验证STA;以及如果STA被证实,AP生成票据并将票据发送到STA。
优选地,认证请求消息至少包含用户帐户信息和媒体访问控制地址。更优选地,通过AP的公钥对认证请求消息进行加密;以及AP通过其私钥对认证请求消息进行解密,并将STA的用户帐户信息发送到AAA服务器以验证STA。可选地,通过AP和STA共享的共享密钥对认证请求消息进行加密;以及AP通过共享密钥对认证请求消息进行解密,并将STA的用户帐户信息发送到AAA服务器以验证STA。
优选地,票据是可自验证的,并且根据如下子步骤生成票据:利用散列键,对密钥和媒体访问控制地址的位串级联执行散列函数,以生成散列摘要值;以及利用加密密钥,对密钥和所生成的散列摘要值的位串级联进行加密,以生成票据,其中,散列键和加密密钥仅为蜂窝通信网络中所有AP所知。更优选地,密钥由扩展密钥代替,所述扩展密钥包括密钥以及如下各项中至少一项:有效期项;允许次数项;以及有效切换AP/AP组项。
优选地,AP通过STA的公钥,对至少包含密钥和票据的消息进行加密,然后将加密的消息发送到STA;以及STA通过其私钥,对所述加密的消息进行解密,以获得密钥和票据。可选地,AP通过共享密钥,对至少包含密钥和票据的消息进行加密,然后将加密的消息发送到STA;以及STA通过共享密钥,对所述加密的消息进行解密,以获得密钥和票据。
优选地,如果STA没有被证实,则AP忽略来自该STA的认证请求消息。
根据本发明的第二方面,提供了一种安全消息通信方法,在根据本发明第一方面的用于向STA分发票据的方法执行票据分发过程之后,包括步骤:在发送消息时,STA和AP中的发送方利用密钥生成消息的散列摘要值,并将散列摘要值附在消息的末尾;在接收消息时,STA和AP中的接收方首先验证散列摘要值;以及如果散列摘要值被证实,则接受消息。
根据本发明的第三方面,提供了一种用于在切换期间对STA进行快速认证的方法,其中STA用于蜂窝通信网络中,该方法包括步骤:STA向AP发送重新关联消息;AP检查重新关联消息末尾所附的票据是否有效;以及如果票据被检查为有效,则AP建立与STA的连接。
优选地,重新关联消息至少包含STA的媒体访问控制地址和票据。
更优选地,AP通过使用票据自身以及STA的媒体访问控制地址,来检查票据的有效性。
更优选地,根据如下子步骤检查票据的有效性:利用解密密钥对票据进行解密,以获得密钥和第一散列摘要值;利用散列键,对密钥和媒体访问控制地址的位串级联执行散列函数,以生成第二散列摘要值;以及如果第一和第二散列摘要值彼此相等,则确定票据有效,否则,确定票据无效,其中,散列键和解密密钥仅为蜂窝通信网络中所有AP所知。
更优选地,密钥由扩展密钥代替,所述扩展密钥包括密钥以及如下各项中至少一项:有效期项;允许次数项;以及有效切换AP/AP组项。
优选地,如果票据被检查为无效,AP忽略来自STA的重新关联消息,并且不建立与STA的连接。
根据本发明的第四方面,提供了一种票据分发装置,该装置用于蜂窝通信网络中的AP中,且包括:STA通信单元,用于接收来自STA的认证请求消息;验证器单元,用于基于接收到的认证请求消息,向AAA服务器验证STA;以及票据生成器单元,用于在STA被证实时生成给STA的票据,其中,STA通信单元还用于将所生成的票据发送到STA。
优选地,认证请求消息至少包含用户帐户信息和媒体访问控制地址。更优选地,通过AP的公钥对认证请求消息进行加密,票据分发装置还包括:消息加密/解密单元,用于通过其私钥对接收到的认证请求消息进行解密,以及验证器单元将STA的用户帐户信息发送到AAA服务器以验证STA。可选地,通过AP和STA共享的共享密钥对认证请求消息进行加密,票据分发装置还包括:消息加密/解密单元,用于通过共享密钥对接收到的认证请求消息进行解密,以及验证器单元将STA的用户帐户信息发送到AAA服务器以验证STA。
优选地,票据是可自验证的,并且票据生成器单元包括:散列函数处理器,用于利用散列键,对密钥和媒体访问控制地址的位串级联执行散列函数,以生成散列摘要值;以及加密处理器,用于利用加密密钥,对密钥和所生成的散列摘要值的位串级联进行加密,以生成票据,其中,散列键和加密密钥仅为蜂窝通信网络中所有AP所知。更优选地,密钥由扩展密钥代替,所述扩展密钥包括密钥以及如下各项中至少一项:有效期项;允许次数项;以及有效切换接入点/接入点组项。
优选地,消息加密/解密单元通过STA的公钥,对至少包含密钥和票据的消息进行加密,然后STA通信单元将加密的消息发送到STA。可选地,消息加密/解密单元通过共享密钥,对至少包含密钥和票据的消息进行加密,然后STA通信单元将加密的消息发送到STA。
优选地,如果验证器单元没有证实STA,则票据分发装置忽略来自该STA的认证请求消息。
根据本发明的第五方面,提供了一种快速认证装置,用于在切换期间对STA进行快速认证,该装置用于蜂窝通信网络中的AP中,且包括:STA通信单元,用于接收来自STA的重新关联消息;票据检查器单元,用于检查重新关联消息末尾所附的票据是否有效;以及连接建立器单元,用于在票据被检查为有效时建立与STA的连接。
优选地,重新关联消息至少包含STA的媒体访问控制地址和票据。
更优选地,票据检查器单元通过使用票据自身以及STA的媒体访问控制地址,来检查票据的有效性。
更优选地,票据检查器单元包括:解密处理器,用于利用解密密钥对票据进行解密,以获得密钥和第一散列摘要值;散列函数处理器,用于利用散列键,对密钥和媒体访问控制地址的位串级联执行散列函数,以生成第二散列摘要值;以及比较器,用于比较第一和第二散列摘要值,如果第一和第二散列摘要值彼此相等,则票据检查器单元确定票据有效,否则,确定票据无效,其中,散列键和解密密钥仅为蜂窝通信网络中所有AP所知。
更优选地,密钥由扩展密钥代替,所述扩展密钥包括密钥以及如下各项中至少一项:有效期项;允许次数项;以及有效切换接入点/接入点组项。
优选地,如果票据检查器单元确定票据无效,快速认证装置忽略来自STA的重新关联消息,并且连接建立器单元不建立与STA的连接。
根据本发明的第六方面,提供了一种蜂窝通信网络中使用的AP,包括:根据本发明第四方面的票据分发装置;以及根据本发明第五方面的快速认证装置。
本发明提供了一种在移动台从原AP切换到另一AP时实现快速重新认证的新颖方案。几乎消除了由重新认证而导致的通信中断时间,因而整个切换等待时间可以小于20ms,这极大地满足了交互实时应用的要求。同时,本发明还可以确保用户通讯的数据完整性。
附图说明
结合附图,根据如下对本发明的非限制性实施例的具体描述,本发明的上述以及其他目的、特征和优点将更为清晰,附图中:
图1是示出由IEEE 802.11切换导致的通信中断的示意图;
图2A是示出现有技术中标准切换过程的示意图;
图2B是示出现有技术中预先认证切换过程的示意图;
图2C是示出现有技术中主动密钥分发切换过程的示意图;
图2D是示出现有技术中基于票据的快速重新认证方案的示意图;
图2E是示出图2D所示情形中所使用的票据分发的消息交换过程的序列图;
图3示出了两个AP的重叠覆盖区;
图4是示出根据本发明的快速重新认证方案的示意图;
图5是示出本发明中所使用的速通票分发的消息交换过程的序列图;
图6是示出票据分发方法中所使用的速通票生成过程的序列图;
图7是示出快速认证方法中所使用的速通票验证过程的序列图;
图8给出了速通票中每一项的格式的示例;
图9示出了根据本发明的用于AP中的票据分发装置的示意图;以及
图10示出了根据本发明的也是用于AP中的快速认证装置的示意图。
具体实施方式
下文,将根据附图描述本发明。在下面的描述中,使用了一些具体的实施例,这仅仅是为了描述的目的,而不应将它们理解为对本发明的任何限制,它们仅仅是用来说明本发明的技术方案的例子。
本发明一般地涉及无线通信,更具体地,涉及无线服务在无线网络的接入点之间切换时提供快速重新认证的方案。
总而言之,本公开涉及无线通信设备或单元以及无线通信基础设施系统。无线通信设备或单元常常是指客户站点(STA),例如膝上型电脑、PDA、具有WLAN接口的智能电话。无线通信基础设施系统常常是指接入点(AP)以及它们之后的网络,网络向STA提供服务如视频、语音和数据通信。更具体地,各种创新性概念体现于STA、AP以及其中所使用的方法中,以在无线服务从一个AP切换到另一个AP期间提供快速重新认证,而不会导致任何服务中断。
尤其关注的AP和STA可以提供或有助于短程通信能力(通常称作WLAN能力),例如IEEE 802.11、蓝牙或HiperLAN等,并且优选地可以作为对数据通信网络的无线接入设备。
在无线接入点工作于未许可频带的系统中,其功率受到管制机构的限制(低于100mW),单个接入点覆盖范围较小。因此,必须部署多个无线网络接入点(AP)以尽量覆盖一个大的区域。为了保持连续的连通性,当用户在该区域中移动时,用户终端必须将其连接从一个AP切换到下一个AP。为了保证安全接入,AP应该在向任何STA授予访问许可之前对STA进行认证。当前切换机制的主要问题在于,重新认证过程的等待时间太长,不能满足诸如VoIP之类的实时交互应用的要求。
本发明的方法通过采用创新性的安全数据结构“速通票”达到快速重新认证的目的,解决了当前存在的问题。所述速通票包含密钥以及可以进行STA的快速验证的其他信息。速通票机制包括两个部分:(1)速通票分配;(2)速通票在重新认证期间的使用。图4中示出了本发明的快速重新认证方案的示意图。与图2A、2B和2C相比,可以得到:本发明的方法与现有技术的关键差别在于,当STA从一个AP切换到另一个AP时,它只需要向新AP出示速通票,然后获取新的连接。由于速通票是可自验证的,因此在AP之间或者在新AP和远程AAA服务器之间不需要额外的通信,这将重新认证延迟减小到非常小的程度。
与图2D相比,关键差别在于:在现有技术中,票据由AAA服务器分发给STA;而在本发明中,速通票由AP分发给STA。下面将参照有关图5的描述来详细示出该差别。
接下来,将参照图4~图8,详细描述本发明的方法。
(1)速通票分配:这是在STA首次连接到无线网络时,接入网络执行来向STA分发速通票的过程。
图5示出了速通票分配的消息交换过程。首先,STA向AP发送认证请求(AREQ)消息(图5中步骤(1))。AREQ消息包含STA的MAC地址(M)、诸如用户名和口令之类的用户帐户信息、以及该STA的公钥(在本发明的方案中,如果所述STA与AP之间具有共享密钥,则在AREQ消息中可以不包括该共享密钥)。通过AP的公钥(在共享密钥方案中,通过STA和AT所共享的共享密钥)对AREQ消息进行加密。然后,AP使用其私钥(在共享密钥方案中,通过共享密钥)将AREQ消息解密。AP获得用户信息:STA的MAC地址、用户帐户信息(例如,用户名和口令)以及用户的公钥。此后,AP询问第三方AAA服务器,以验证用户帐户信息(图5中步骤(2)和(3))。然后,AP进行本地计算,并通过AP上的如下步骤(详情参见图6)计算特定速通票数据:
| 1.生成足够长的随机整数作为密钥:R2.计算Hk:Hk=H(R|| M,Kh)(1)其中,H(*)是带密钥的加密散列函数,Kh是秘密散列键,以及“||”表示位串级联。注意,Kh是仅为所有AP所知的秘密散列键。3.利用也是仅为所有AP所知的加密密钥Ke,使用诸如DES之类的对称加密方法Encrypt(*),对R||Hk进行加密:Ck=Encrypt(R||Hk,Ke)(2)4.Ck是速通票。 |
与图2D和2E中描述的方案相比,该方案中AP负责向STA分发票据。这种设计在使用票据(即,速通票)方面给系统带来了很大的灵活性。票据甚至可以用作AP间的通信工具。换言之,移动台的票据可以用于向新AP传送某些附加信息。
接下来,AP对包含R和Ck的消息加密(利用STA的公钥(通过图5中的步骤(1)传送到AP)或者在共享密钥方案中通过共享密钥对整个消息进行加密),并将其发送到STA(图5中步骤(4))。利用其私钥(或者共享密钥)对消息进行解密,STA可以获得R和Ck。因此,STA和AP共享相同的密钥R,且STA获得了速通票Ck。
此后,STA和AP之间每个数据帧的发送方需要使用密钥R计算散列摘要:
Hr(msg)=HMAC(data_msg,R)(3)
其中,Hr(msg)是使用密钥R的消息data_msg的数据的散列摘要,HMAC(*)是带密钥的散列认证码函数。
需要将Hr(msg)附在数据帧的尾部。接收方将利用本地再计算,检查每一帧,以与发送方按公式(3)进行计算相同的方式生成新的散列摘要:H′r(msg)。如果Hr(msg)=H′r(msg),则证实且接受数据帧,否则将丢弃数据帧。通过对每一数据帧使用这种HAMC摘要检查,可以保证只有从认证的STA(拥有密钥R)发送的流量可被转发。Ck称做速通票,将用于在重新关联期间支持快速重新认证。
图5中的所有四条消息可以或可以不通过标准IEEE 802.1x帧承载,这在本发明中不受限制。
(2)重新认证期间速通票的使用。当STA要切换到新AP时,在它与原AP解关联之后,它将向新AP发出重新认证和重新关联请求,如IEEE 802.11标准所定义的那样。
在本发明中,通过在IEEE 802.11标准重新关联消息尾部添加速通票(Ck),引入了一种新型重新关联消息。在接收到嵌入有速通票(Ck)的这种新型重新关联消息时,新AP可以按如下方式进行STA的快速重新认证(详情参见图7):
因此,根据速通票Ck,一方面,新AP可以对STA进行快速认证;另一方面,新AP可以获取STA和原AP之间共享的密钥Rr=R,且新AP也将与STA共享密钥Rr=R。
改进实例1
以上两个过程是速通票方案的基本思想,通过上述速通票的基本思想,还可以解决速通票废除的问题。在计算速通票时,可在R中增加了一项(T)表示速通票的过期时间(参见公式(6)):
Rext=R||T (6)
因此,在AP对速通票解码之后,将首先检查过期时间,以确保速通票仍处于有效期内。否则,如果过期,则AP将直接丢弃关联请求。该方法需要所有AP之间时间同步。如果速通票过期,STA需要与首次进行认证时一样重新进行完整的认证过程(如图5所示的速通票分配过程)并获得新的速通票。
改进实例2
对于速通票的一种安全考虑是:速通票是否被恶意节点捕获然后该恶意节点使用所捕获的速通票进行伪装重新认证。实际上,速通票方案自身可以抵抗这种攻击。速通票Ck由加密的R||Hk构成;尽管捕获了速通票Ck,但是对于恶意节点,密钥R仍然是未知的。因而,不可能通过这种方式盗取AP和STA共享的密钥(R)。因此,由于根据本发明,使用密钥R对STA和AP之间的所有流量数据进行加密(参见公式(3)),因此恶意节点获取速通票是没有用的,AP或STA仍将拒绝来自恶意节点的所有流量数据。
另外,还可以将该方法用来确保解关联消息避免拒绝服务攻击。这种攻击是恶意节点发送伪装解关联消息来请求AP进行攻击STA的解关联,从而导致拒绝正常STA的服务。可以按照与利用AP和STA共享的密钥(R)进行散列摘要来检查数据流量(data_msg)时相同的方式,对每条解关联消息(de_msg)进行安全性检查。
Hr(de_msg)=HMAC(de_msg,R)(3’)
其中,Hr(de_msg)是使用密钥R的解关联消息de_msg的数据的散列摘要,HMAC(*)是带密钥的散列认证码函数。
如果AP不能从该散列摘要验证解关联消息,则AP直接忽略这些解关联请求。因而,可以避免这类攻击。实际上,诸如解认证、重新认证和解关联之类的所有IEEE 802.11标准管理帧可以以相同方式来保证。
改进实例3
在基于令牌(例如本发明的速通票以及参考文献[9]中的票据)的认证系统中,授予用户的票据决定用户的权限。在本发明的设计中,认证过程和授权过程是分离的。在本发明的网络中,票据可以由任何合法AP分发,并且终端站点可以容易地获取新票据。因而,通过向用户分发新票据,系统可以以非常灵活的方式运行,且具有细粒度。
例如,可以向R增加两项:APN(将为站点服务的下一AP(或AP组),例如相邻AP)和Cn(票据可以使用的次数)(参见公式(7))。
Rext2=R||T||APN||Cn (7)
当新AP解密了票据的内容时,它检查票据中的项。
可以如改进实例1中所述检查项T,因而省略对此的详细描述。
如果使用项APN,新AP必须确保其自身是APN(或在APN中),否则将忽略关联请求。
如果使用项Cn,1)新AP必须向原AP询问票据已经使用过的次数(通常,这种交互发生在两个相邻AP之间,这几乎不会为认证带来大的时间成本),这种次数可以缓存在每个原AP中。如果次数超过所允许的次数Cn,则忽略关联请求,否则新AP接受请求,并向票据的使用次数加一,然后将其缓存在新AP中。为了实现这种灵活性和粒度,必须有某些机制来保证数据一致性、时间同步以及系统中的其他必需条件。业已存在许多这种机制,因此在该说明书中对此不进行详细描述。该方法将在新AP和原AP之间带来交互流量,并导致稍长的认证时间。
可选地,如果使用项Cn,2)每当STA已经向新AP传送速通票Ck以对自身进行认证时,在新AP认证STA之后,新AP将废除当前的速通票Ck,并向STA重新分发新的速通票Ck,其中C′n=Cn-1。一旦新AP发现Cn小于阈值(例如,零),将拒绝接入,并且STA必须向AAA服务器执行完全认证,以获取新的有效速通票Ck。
使用项Cn的另一方法可以如下。如果使用项Cn,3)如果检查速通票Ck为有效,则暂时接受STA,且暂时建立与STA的连接。此后,新AP与原AP如使用项Cn的第一方法1)中一样通信。如果AP最终确定它被欺骗了,则AP将断开所建立的与STA的连接。该方法也在新AP和原AP之间带来交互,并且当STA确实在欺骗时,将占用少量接入网络资源。
在本发明中,速通票Ck中项(例如R、T、APN、Cn)的格式没有特别限制。有多种方式来定义各项的格式。优选方式是使用在AAA协议中所使用的类型-长度-值风格。如图8所示,速通票中的每一项以类型字段开始,接着是长度字段,最后是值字段。类型字段具有固定长度。长度字段也具有固定长度,并且指示类型字段、长度字段和值字段的总长度。值字段具有可变长度。
为了在AP中实现上述方法,本发明还提出了在AP中使用的票据分发装置、快速认证装置。然而,应该注意,这些装置的具体实施方式不局限于此,任意组合、拆分、修改和改变对于本领域技术人员而言都是显而易见的。它们可以通过硬件、固件或软件或者其任意组合来实现,这不应解释为对本发明范围的限制。
图9示出了根据本发明的用于AP中的票据分发装置900的示意图。
参照图9,票据分发装置900包括:STA通信器910,用于与STA10进行通信;验证器920,用于向第三方AAA服务器30验证STA 10;以及票据生成器930,用于根据来自验证器920的验证结果,生成给STA 10的速通票Ck,其中STA通信器910还将所生成的速通票Ck发送到STA 10。基本上,票据分发装置900执行(1)速通票分配的功能。
具体地,STA通信器910接收来自STA 10的认证请求消息。验证器920根据接收到的认证请求消息,向AAA服务器30验证STA 10,其中认证请求消息可以包含STA 10的用户帐户信息、MAC地址M和公钥(可选,如果使用共享密钥方案,则省略)。验证器920询问AAA服务器300,以验证STA 10的用户帐户信息。如果STA 10被验证器920证实,则票据生成器930生成给STA 10的速通票Ck。此后,STA通信器910将所生成的速通票Ck发送到STA 10。
优选地,可以通过安装有票据分发装置900的AP的公钥(在共享密钥方案中,通过共享密钥)对认证请求消息进行加密。此时,票据分发装置900可以进一步包括消息加密/解密单元940,用于通过其私钥(在共享密钥方案中,通过共享密钥)对接收到的认证请求消息进行解密。
优选地,速通票Ck是可自验证的。为此,票据生成器930可以如(1)速通票分配中所述生成速通票Ck。因此,票据分发装置900可以进一步包括密钥生成器950,用于生成密钥R。票据生成器930可以包括:散列函数处理器9310,用于利用散列键Kh,对密钥和MAC地址的位串级联R||Hk执行散列函数,以生成散列摘要值Hk(公式(1));以及加密处理器9320,用于利用加密密钥Ke,对密钥和所生成的散列摘要值的位串级联R||Hk进行加密,以生成票据Ck(公式(2)),其中散列键Kh和加密密钥Ke仅为蜂窝通信网络中所有AP所知。
优选地,根据改进实例1和3,密钥生成器950可以生成扩展密钥(例如,Rext1或Rext2)来代替密钥R,其中扩展密钥包括密钥R以及如下至少一项:有效期项T(公式(6));允许次数项Cn;以及有效切换AP/AP组项APN。密钥生成器950可以通过将密钥R和任意存在项进行位串级联,生成扩展密钥,如R||T||APN||Cn(公式(7)),项的阶数没有特别限制,并且也可以根本不存在这些项。密钥生成器950可以以如图8所示的类型-长度-值风格的格式,生成密钥R和这些项中的每一个。
在票据生成器930生成速通票Ck之后,消息加密/解密单元940可以通过STA 10的公钥(在共享密钥方案中,通过共享密钥),对速通票Ck或至少包含密钥R和速通票Ck的消息进行加密,然后STA通信器910将加密的速通票或加密的消息发送到STA 10。
另一方面,如果验证器920在询问AAA服务器30之后没有证实STA 10,则票据分发装置900将忽略来自STA 10的认证请求消息。
图10示出了根据本发明的也是用于AP中的快速认证装置1000的示意图。
参照图10,快速认证装置1000包括:STA通信器1010,用于与STA 10进行通信;票据检查器1030,用于检查STA 10所提供的速通票Ck是否有效;以及连接建立器1050,,用于在速通票Ck被检查为有效时建立与STA 10的连接。基本上,快速认证装置1000执行(2)重新认证期间速通票的使用中的功能。
具体地,STA通信器1010接收来自STA 10的重新关联消息。在重新关联消息的末尾,附有速通票Ck,并且重新关联消息可以包含STA10的MAC地址Mr。票据检查器1030通过使用速通票Ck本身以及STA 10的MAC地址,检查速通票Ck是否有效。如果速通票Ck被检查为有效,则连接建立器1050将建立与STA 10的连接。
优选地,速通票Ck是可自验证的。为此,票据检查器1030可以如(2)重新认证期间速通票的使用中所述检查速通票Ck。因此,票据检查器1030可以包括:解密处理器10320,用于利用解密密钥Ke对速通票Ck进行解密,以获得密钥Rr和第一散列摘要值Hk r(公式(4));散列函数处理器10310,用于利用散列键Kh,对密钥和MAC地址的位串级联Rr||Mr执行散列函数,以生成第二散列摘要值Hk r′;以及比较器10330,用于比较第一和第二散列摘要值Hk r和Hk r′。如果第一和第二散列摘要值彼此相等,即 ,那么票据检查器1030确定速通票Ck有效;否则,确定速通票Ck无效,其中散列键Kh和解密密钥Ke仅为蜂窝通信网络中所有AP所知。
优选地,根据改进实例1和3,密钥R可以以扩展密钥(例如,Rext1或Rext2)来代替,扩展密钥包括密钥R以及如下至少一项:有效期项T(公式(6));允许次数项Cn;以及有效切换AP/AP组项APN。可以通过将密钥R和任意存在项进行位串级联,生成扩展密钥,如R||T||APN||Cn(公式(7)),项的阶数没有特别限制,并且也可以根本不存在这些项。密钥R和这些项中的每一个具有如图8所示的类型-长度-值风格的格式。
票据检查器1030还可以包括如下项处理器10350,用于检查扩展密钥中存在的相应项:有效期项处理器、允许次数项处理器、以及有效切换AP/AP组项处理器。在图10中,这些处理器统一由标号10350表示。
有效期项处理器将判断扩展密钥中是否存在有效期项,以及有效期项所指示的有效期是否过期。如果有效期项所指示的有效期过期,则票据检查器1030将确定速通票Ck无效;否则,速通票Ck有效。
允许次数项处理器将确定扩展密钥中是否存在允许次数项。如果存在,那么该处理器将与STA 10紧接切换之前所关联到的原AP 20进行通信,以查询速通票Ck的使用次数,从而确定是否达到允许次数项所指示的允许次数。如果所查询的速通票Ck的使用次数不小于允许次数项所指示的允许次数,则允许次数项处理器确定达到允许次数,并且票据检查器1030将确定票据无效。另一方面,如果所查询的速通票Ck的使用次数小于允许次数项所指示的允许次数,则允许次数项处理器确定尚未达到允许次数,且票据检查器1030将确定票据有效,AP将速通票Ck的使用次数递增1,并缓存递增后的次数。
可选地,允许次数项处理器将确定扩展密钥中是否存在允许次数项,以及允许次数项所指示的允许次数是否达到预定阈值,如0。如果允许次数达到预定阈值,则票据检查器1030将确定速通票Ck无效,并且如果允许次数尚未达到预定阈值,则票据检查器1030将确定速通票Ck有效,并且AP废除速通票Ck,将允许次数项所指示的允许次数递减1(C′n=Cn-1),且调用票据分发装置900向STA 10重新分发具有递减后的允许次数项(C′n=Cn-1)的新速通票Ck。
可选地,如果在没有考虑允许次数项Cn的情况下速通票Ck被检查为有效,临时接受STA,且临时建立与STA的连接。此后,允许次数处理器与STA 10紧接切换之前所关联到的原AP 20进行通信,以查询速通票Ck的使用次数。如果所查询的速通票Ck的使用次数不小于允许次数项所指示的允许次数,则安装有快速认证装置1000的AP将断开所建立的与STA 10的连接。另一方面,如果所查询的速通票Ck的使用次数小于允许次数项所指示的允许次数,则AP将速通票Ck的使用次数递增1,并缓存递增后的次数。
有效切换AP/AP组项处理器将确定是否存在有效切换AP/AP组项,以及安装有快速认证装置1000的AP是否是由有效切换AP/AP组项所指示的AP或者是否属于由有效切换AP/AP组项所指示的组。如果是的话,那么票据检查器1030将确定速通票Ck有效;否则,票据检查器1030将确定速通票Ck无效。
另一方面,如果票据检查器1030将确定速通票Ck无效,则快速认证装置1000将忽略来自STA 10的重新关联消息,并且连接建立器1050不会建立与STA 10的连接。
本发明的方案得到以下的技术效果:
◆提出了一种允许AP与移动台执行快速重新认证的发明方案。本发明的方法几乎消除了重新认证过程的延迟,这允许移动台在一个接入网络内的任意AP之间进行快速和安全的切换,而不会导致实时交互应用的服务中断。
◆本发明的方法还提供了一种保护无线接入网络不受如IEEE802.11协议中的解认证和解关联攻击的安全机制。
前面的描述只是给出了本发明的优选实施例,而决不是要限制本发明。因而,在本发明的精神和原理之内所做的任何修改、替换、改进等都应包括在本发明的范围内。
Claims (32)
1.一种用于向移动台分发票据的方法,其中移动台用于蜂窝通信网络中,该方法包括步骤:
移动台向接入点发送认证请求消息;
接入点基于认证请求消息,向认证、授权和计费服务器验证移动台;以及
如果移动台被证实,接入点生成票据并将票据发送到移动台。
2.根据权利要求1所述的用于向移动台分发票据的方法,其中,认证请求消息至少包含用户帐户信息和媒体访问控制地址。
3.根据权利要求2所述的用于向移动台分发票据的方法,其中,通过接入点的公钥对认证请求消息进行加密;以及
接入点通过其私钥对认证请求消息进行解密,并将移动台的用户帐户信息发送到认证、授权和计费服务器以验证移动台。
4.根据权利要求2所述的用于向移动台分发票据的方法,其中,通过接入点和移动台共享的共享密钥对认证请求消息进行加密;以及
接入点通过共享密钥对认证请求消息进行解密,并将移动台的用户帐户信息发送到认证、授权和计费服务器以验证移动台。
5.根据权利要求1所述的用于向移动台分发票据的方法,其中,票据是可自验证的,并且根据如下子步骤生成票据:
利用散列键,对密钥和媒体访问控制地址的位串级联执行散列函数,以生成散列摘要值;以及
利用加密密钥,对密钥和所生成的散列摘要值的位串级联进行加密,以生成票据,
其中,散列键和加密密钥仅为蜂窝通信网络中所有接入点所知。
6.根据权利要求5所述的用于向移动台分发票据的方法,其中,密钥由扩展密钥代替,所述扩展密钥包括密钥以及如下各项中至少一项:
有效期项;
允许次数项;以及
有效切换接入点/接入点组项。
7.根据权利要求1~6中任一项所述的用于向移动台分发票据的方法,其中,接入点通过移动台的公钥,对至少包含密钥和票据的消息进行加密,然后将加密的消息发送到移动台;以及
移动台通过其私钥,对所述加密的消息进行解密,以获得密钥和票据。
8.根据权利要求1~6中任一项所述的用于向移动台分发票据的方法,其中,接入点通过共享密钥,对至少包含密钥和票据的消息进行加密,然后将加密的消息发送到移动台;以及
移动台通过共享密钥,对所述加密的消息进行解密,以获得密钥和票据。
9.根据权利要求1~8中任一项所述的用于向移动台分发票据的方法,其中,如果移动台没有被证实,则接入点忽略来自该移动台的认证请求消息。
10.一种安全消息通信方法,在根据权利要求1中所述的用于向移动台分发票据的方法执行票据分发过程之后,包括步骤:
在发送消息时,移动台和接入点中的发送方利用密钥生成消息的散列摘要值,并将散列摘要值附在消息的末尾;
在接收消息时,移动台和接入点中的接收方首先验证散列摘要值;以及
如果散列摘要值被证实,则接受消息。
11.一种用于在切换期间对移动台进行快速认证的方法,其中移动台用于蜂窝通信网络中,该方法包括步骤:
移动台向接入点发送重新关联消息;
接入点检查重新关联消息末尾所附的票据是否有效;以及
如果票据被检查为有效,则接入点建立与移动台的连接。
12.根据权利要求11所述的用于在切换期间对移动台进行快速认证的方法,其中,重新关联消息至少包含移动台的媒体访问控制地址和票据。
13.根据权利要求12所述的用于在切换期间对移动台进行快速认证的方法,其中,接入点通过使用票据自身以及移动台的媒体访问控制地址,来检查票据的有效性。
14.根据权利要求13所述的用于在切换期间对移动台进行快速认证的方法,其中,根据如下子步骤检查票据的有效性:
利用解密密钥对票据进行解密,以获得密钥和第一散列摘要值;
利用散列键,对密钥和媒体访问控制地址的位串级联执行散列函数,以生成第二散列摘要值;以及
如果第一和第二散列摘要值彼此相等,则确定票据有效,否则,确定票据无效,
其中,散列键和解密密钥仅为蜂窝通信网络中所有接入点所知。
15.根据权利要求14所述的用于在切换期间对移动台进行快速认证的方法,其中,密钥由扩展密钥代替,所述扩展密钥包括密钥以及如下各项中至少一项:
有效期项;
允许次数项;以及
有效切换接入点/接入点组项。
16.根据权利要求11所述的用于在切换期间对移动台进行快速认证的方法,其中,如果票据被检查为无效,接入点忽略来自移动台的重新关联消息,并且不建立与移动台的连接。
17.一种票据分发装置,该装置用于蜂窝通信网络中的接入点中,且包括:
移动台通信单元,用于接收来自移动台的认证请求消息;
验证器单元,用于基于接收到的认证请求消息,向认证、授权和计费服务器验证移动台;以及
票据生成器单元,用于在移动台被证实时生成给移动台的票据,
其中,移动台通信单元还用于将所生成的票据发送到移动台。
18.根据权利要求17所述的票据分发装置,其中,认证请求消息至少包含用户帐户信息和媒体访问控制地址。
19.根据权利要求18所述的票据分发装置,其中,
通过接入点的公钥对认证请求消息进行加密,
票据分发装置还包括:消息加密/解密单元,用于通过其私钥对接收到的认证请求消息进行解密,以及
验证器单元将移动台的用户帐户信息发送到认证、授权和计费服务器以验证移动台。
20.根据权利要求18所述的票据分发装置,其中,
通过接入点和移动台共享的共享密钥对认证请求消息进行加密,
票据分发装置还包括:消息加密/解密单元,用于通过共享密钥对接收到的认证请求消息进行解密,以及
验证器单元将移动台的用户帐户信息发送到认证、授权和计费服务器以验证移动台。
21.根据权利要求17所述的票据分发装置,其中,票据是可自验证的,并且
票据生成器单元包括:
散列函数处理器,用于利用散列键,对密钥和媒体访问控制地址的位串级联执行散列函数,以生成散列摘要值;以及
加密处理器,用于利用加密密钥,对密钥和所生成的散列摘要值的位串级联进行加密,以生成票据,
其中,散列键和加密密钥仅为蜂窝通信网络中所有接入点所知。
22.根据权利要求21所述的票据分发装置,其中,密钥由扩展密钥代替,所述扩展密钥包括密钥以及如下各项中至少一项:
有效期项;
允许次数项;以及
有效切换接入点/接入点组项。
23.根据权利要求17~22中任一项所述的票据分发装置,其中,消息加密/解密单元通过移动台的公钥,对至少包含密钥和票据的消息进行加密,然后移动台通信单元将加密的消息发送到移动台。
24.根据权利要求17~22中任一项所述的票据分发装置,其中,消息加密/解密单元通过共享密钥,对至少包含密钥和票据的消息进行加密,然后移动台通信单元将加密的消息发送到移动台。
25.根据权利要求17~24中任一项所述的票据分发装置,其中,如果验证器单元没有证实移动台,则票据分发装置忽略来自该移动台的认证请求消息。
26.一种快速认证装置,用于在切换期间对移动台进行快速认证,该装置用于蜂窝通信网络中的接入点中,且包括:
移动台通信单元,用于接收来自移动台的重新关联消息;
票据检查器单元,用于检查重新关联消息末尾所附的票据是否有效;以及
连接建立器单元,用于在票据被检查为有效时建立与移动台的连接。
27.根据权利要求26所述的快速认证装置,其中,重新关联消息至少包含移动台的媒体访问控制地址和票据。
28.根据权利要求27所述的快速认证装置,其中,票据检查器单元通过使用票据自身以及移动台的媒体访问控制地址,来检查票据的有效性。
29.根据权利要求28所述的快速认证装置,其中,票据检查器单元包括:
解密处理器,用于利用解密密钥对票据进行解密,以获得密钥和第一散列摘要值;
散列函数处理器,用于利用散列键,对密钥和媒体访问控制地址的位串级联执行散列函数,以生成第二散列摘要值;以及
比较器,用于比较第一和第二散列摘要值,
如果第一和第二散列摘要值彼此相等,则票据检查器单元确定票据有效,否则,确定票据无效,
其中,散列键和解密密钥仅为蜂窝通信网络中所有接入点所知。
30.根据权利要求29所述的快速认证装置,其中,密钥由扩展密钥代替,所述扩展密钥包括密钥以及如下各项中至少一项:
有效期项;
允许次数项;以及
有效切换接入点/接入点组项。
31.根据权利要求26所述的快速认证装置,其中,如果票据检查器单元确定票据无效,快速认证装置忽略来自移动台的重新关联消息,并且连接建立器单元不建立与移动台的连接。
32.一种蜂窝通信网络中使用的接入点,包括:
根据权利要求17~25中任一项所述的票据分发装置;以及
根据权利要求26~31中任一项所述的快速认证装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810092347.8A CN101568107B (zh) | 2008-04-22 | 2008-04-22 | 票据分发装置、快速认证装置、接入点及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810092347.8A CN101568107B (zh) | 2008-04-22 | 2008-04-22 | 票据分发装置、快速认证装置、接入点及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101568107A true CN101568107A (zh) | 2009-10-28 |
| CN101568107B CN101568107B (zh) | 2014-04-16 |
Family
ID=41283998
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810092347.8A Expired - Fee Related CN101568107B (zh) | 2008-04-22 | 2008-04-22 | 票据分发装置、快速认证装置、接入点及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101568107B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102819914A (zh) * | 2012-08-02 | 2012-12-12 | 浪潮齐鲁软件产业有限公司 | 一种发票分发系统及其方法 |
| CN105430695A (zh) * | 2015-11-30 | 2016-03-23 | 中国联合网络通信集团有限公司 | 一种ap切换方法 |
| CN107197330A (zh) * | 2016-03-15 | 2017-09-22 | 奥多比公司 | 自动标识多频道媒体分布者用于认证或授权的减少的可用性 |
| US20220360578A1 (en) * | 2019-07-22 | 2022-11-10 | Cisco Technology, Inc. | Access point manager for roaming user products |
| WO2024088165A1 (zh) * | 2022-10-28 | 2024-05-02 | 华为技术有限公司 | 一种网络连接方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004045224A1 (en) * | 2002-11-13 | 2004-05-27 | Nokia Corporation | Method and apparatus for performing inter-technology handoff from wlan to cellular network |
| CN1849840A (zh) * | 2003-09-12 | 2006-10-18 | 株式会社Ntt都科摩 | 安全域内和域间切换 |
| CN101159556A (zh) * | 2007-11-09 | 2008-04-09 | 清华大学 | 基于组密钥服务器的共享加密文件系统中的密钥管理方法 |
-
2008
- 2008-04-22 CN CN200810092347.8A patent/CN101568107B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004045224A1 (en) * | 2002-11-13 | 2004-05-27 | Nokia Corporation | Method and apparatus for performing inter-technology handoff from wlan to cellular network |
| CN1849840A (zh) * | 2003-09-12 | 2006-10-18 | 株式会社Ntt都科摩 | 安全域内和域间切换 |
| CN101159556A (zh) * | 2007-11-09 | 2008-04-09 | 清华大学 | 基于组密钥服务器的共享加密文件系统中的密钥管理方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102819914A (zh) * | 2012-08-02 | 2012-12-12 | 浪潮齐鲁软件产业有限公司 | 一种发票分发系统及其方法 |
| CN105430695A (zh) * | 2015-11-30 | 2016-03-23 | 中国联合网络通信集团有限公司 | 一种ap切换方法 |
| CN107197330A (zh) * | 2016-03-15 | 2017-09-22 | 奥多比公司 | 自动标识多频道媒体分布者用于认证或授权的减少的可用性 |
| CN107197330B (zh) * | 2016-03-15 | 2021-01-12 | 奥多比公司 | 标识认证或授权的可用性下降的方法、系统和存储介质 |
| US20220360578A1 (en) * | 2019-07-22 | 2022-11-10 | Cisco Technology, Inc. | Access point manager for roaming user products |
| US11979391B2 (en) * | 2019-07-22 | 2024-05-07 | Cisco Technology, Inc. | Access point manager for roaming user products |
| WO2024088165A1 (zh) * | 2022-10-28 | 2024-05-02 | 华为技术有限公司 | 一种网络连接方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101568107B (zh) | 2014-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5597676B2 (ja) | 鍵マテリアルの交換 | |
| TWI249316B (en) | SIM-based authentication method for supporting inter-AP fast handover | |
| Xu et al. | Security issues in privacy and key management protocols of IEEE 802.16 | |
| Huang et al. | Authentication and key agreement protocol for UMTS with low bandwidth consumption | |
| Kassab et al. | Fast pre-authentication based on proactive key distribution for 802.11 infrastructure networks | |
| US20020120844A1 (en) | Authentication and distribution of keys in mobile IP network | |
| US20080046732A1 (en) | Ad-hoc network key management | |
| JP2011139457A (ja) | 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム | |
| US20060240802A1 (en) | Method and apparatus for generating session keys | |
| Li et al. | Efficient authentication for fast handover in wireless mesh networks | |
| US20020199102A1 (en) | Method and apparatus for establishing a shared cryptographic key between energy-limited nodes in a network | |
| CN101568107B (zh) | 票据分发装置、快速认证装置、接入点及其方法 | |
| Li et al. | A ticket-based re-authentication scheme for fast handover in wireless local area networks | |
| Kumar et al. | A secure seamless handover authentication technique for wireless LAN | |
| Li et al. | A novel re-authentication scheme based on tickets in wireless local area networks | |
| Zhang et al. | Ticket-based authentication for fast handover in wireless mesh networks | |
| Al Shidhani et al. | Local fast re-authentication protocol for 3G-WLAN interworking architecture | |
| Kassab et al. | Securing fast handover in WLANs: a ticket based proactive authentication scheme | |
| Marin-Lopez et al. | Secure three-party key distribution protocol for fast network access in EAP-based wireless networks | |
| CN1996838A (zh) | 一种多主机WiMAX系统中的AAA认证优化方法 | |
| Hur et al. | An efficient pre-authentication scheme for IEEE 802.11-based vehicular networks | |
| Singh et al. | A secure WLAN authentication scheme | |
| KR101023605B1 (ko) | 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득방법 | |
| Wang et al. | An efficient eap-based pre-authentication scheme for handovers in wrans over tvws | |
| Zhang et al. | A new authentication and key management scheme of WLAN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140416 Termination date: 20170422 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |