CN102333309B - 一种无线局域网中密钥传递的方法、设备和系统 - Google Patents
一种无线局域网中密钥传递的方法、设备和系统 Download PDFInfo
- Publication number
- CN102333309B CN102333309B CN201110331324.XA CN201110331324A CN102333309B CN 102333309 B CN102333309 B CN 102333309B CN 201110331324 A CN201110331324 A CN 201110331324A CN 102333309 B CN102333309 B CN 102333309B
- Authority
- CN
- China
- Prior art keywords
- sta
- key
- message
- pmk
- access server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种无线局域网中密钥传递的方法、设备和系统。接入服务器获取站点STA的成对主密钥PMK和所述STA的注册信息,向AP或AC发送密钥下发报文,所述密钥下发报文中包含所述PMK和所述STA的MAC地址。采用本发明实施例提供的技术方案,可以解决现有技术中AP或AC无法获取STA的主密钥PMK,无法与STA协商临时密钥,导致STA与AP之间的无线链路无法加密的问题。
Description
技术领域
本发明涉及网络通信领域,尤其涉及一种无线局域网中密钥传递的方法、设备和系统。
背景技术
无线局域网(Wireless Local Area Network,简称WLAN)是以无线信道作为传输媒介的局域网,是无线宽带接入的一种手段。基于WLAN技术的网络结构中通常包括站点(STAtion,简称STA)、接入点(Access Point,简称AP)、接入控制器(Access Controller,简称AC)等设备。其中,AP的作用是将STA与有线网络连接起来,而AC通过无线接入点控制和配置(Control And Provisioning of WirelessAccess Point,简称CAPWAP)协议实现对AP的管理。
现有的WLAN组网中,AC可以分为两种类型:一种是接入服务器,例如宽带远程接入服务器(Broadband Remote Access Server,简称BRAS)与AC分离,由接入服务器实现STA的接入认证功能,AC实现AP的管理功能;另一种是AC作为一个功能模块集成在接入服务器中,接入服务器同时实现STA的接入认证功能和AP的管理功能。
STA接入WLAN网络时,STA需要向接入服务器发起认证请求,接入服务器向认证、授权和计费(Authentication,Authorization andAccounting,简称AAA)服务器转发该STA的认证请求。通常STA会采用全球移动通信系统用户一致模块的可扩展鉴定协议(Extensible Authentication Protocol Method For MobileCommunications Subscriber Identity Modules,简称EAP-SIM),或第三代移动通讯网络的认证和密钥协商机制的可扩展鉴定协议(Extensible Authentication Protocol Method for3rd GenerationAuthentication and Key Agreement,简称EAP-AKA)等认证方式,STA和AP之间传输数据会采用无线保真(Wireless Fidelity,简称Wi-Fi)保护访问(Wi-Fi Protected Access,简称WPA)或WPA2等进行加密。当该STA获得AAA服务器授权,AAA服务器会给接入服务器返回认证响应,并且下发该STA的成对主密钥(Pairwise Master Key,简称PMK),接入服务器再向该STA发送认证响应,以通知该STA认证成功。
当接入服务器获得STA的PMK之后,如果接入服务器与AC分离,接入服务器无法通过内部通信机制将该PMK发送给AC,AC或AP无法知晓何时根据该PMK与STA协商成对临时密钥(PairwiseTransient Key,简称PTK),从而导致STA与AP之间的无线链路无法加密。
发明内容
本发明实施例提供了一种无线局域网中密钥传递的方法、设备和系统,以解决现有技术中接入服务器与AC或AP分离时,AC或AP无法获取STA的主密钥PMK,无法与STA协商临时密钥,导致STA与AP之间的无线链路无法加密的问题。
根据本发明的一个方面,本发明提供了一种无线局域网中密钥传递的方法,所述无线局域网中接入服务器与接入控制器AC分离,所述方法包括:
所述接入服务器获取站点STA的成对主密钥PMK;
当所述AC不参与密钥分发时,所述接入服务器从所述STA关联的接入点AP获取所述STA的注册信息,所述注册信息包括所述STA的媒体访问控制MAC地址和所述AP的唯一标识;所述AC管理所述STA关联的所述AP;
当所述AC参与密钥分发时,所述接入服务器从所述AC获取所述STA的注册信息,所述注册信息包括所述STA的MAC地址和所述AC的唯一标识;所述AC管理所述STA关联的AP;
所述接入服务器向所述AC或所述STA关联的AP发送密钥下发报文,所述密钥下发报文中包含所述PMK和所述STA的MAC地址;
所述接入服务器获取STA的成对主密钥PMK具体包括:
所述接入服务器接收来自所述STA的认证请求报文,所述认证请求报文中包含所述STA的MAC地址;
向认证、授权和计费AAA服务器转发所述认证请求报文,以使所述AAA服务器对所述STA进行认证;
接收来自所述AAA服务器的认证应答报文,所述认证应答报文中包含所述STA的成对主密钥PMK;
所述接入服务器根据所述认证应答报文获取所述PMK;
所述接入服务器向所述STA关联的AP或所述AC发送密钥下发报文,包括:
当所述AC不参与密钥分发时,所述接入服务器向所述STA关联的AP发送密钥下发报文;所述AP根据所述PMK与所述STA协商生成成对临时密钥PTK;
当所述AC参与密钥分发时,所述接入服务器向所述AC发送密钥下发报文;当所述AC参与密钥协商时,所述AC与所述STA根据所述PMK协商生成PTK,并通过管理协议向所述STA关联的AP发送所述PTK;当所述AC不参与密钥协商时,所述AC向所述STA关联的AP转发所述密钥下发报文,或者通过管理协议向所述STA关联的AP发送所述PMK和所述STA的MAC地址,所述AP根据所述PMK与所述STA协商生成PTK。
根据本发明的第二方面,本发明提供了一种无线局域网中密钥传递的方法,用于接入服务器与接入控制器AC分离的场景,包括:
当所述AC不参与密钥分发时,接入点AP接收来自所述接入服务器的密钥下发报文,所述密钥下发报文中包含站点STA的媒体访问控制MAC地址和所述STA的成对主密钥PMK;所述AP为所述STA关联的接入点;
所述AP根据所述PMK与所述STA协商生成成对临时密钥PTK,并向所述接入服务器发送密钥下发应答报文;
当所述AC参与密钥分发时,所述AC接收来自所述接入服务器的密钥下发报文,所述密钥下发报文中包含站点STA的媒体访问控制MAC地址和所述STA的成对主密钥PMK;当所述AC参与密钥协商时,所述AC与所述STA根据所述PMK协商生成PTK,并通过管理协议向所述STA关联的AP发送所述PTK;当所述AC不参与密钥协商时,所述AC向所述STA关联的AP转发所述密钥下发报文,或者通过管理协议向所述STA关联的AP发送所述PMK和所述STA的MAC地址,所述AP根据所述PMK与所述STA协商生成PTK;
在所述AP接收来自接入服务器的密钥下发报文之前,所述方法还包括:
当所述AC不参与密钥分发时,所述AP向所述接入服务器发送所述STA的注册信息,以使所述接入服务器根据所述STA的注册信息向所述AP发送所述密钥下发报文,所述注册信息包括所述STA的MAC地址和所述AP的唯一标识;
当所述AC参与密钥分发时,所述AC向接入服务器发送所述STA的注册信息,以使所述接入服务器根据所述STA的注册信息向所述AC发送所述密钥下发报文,所述注册信息包括所述STA的MAC地址和所述AC的MAC地址。
根据本发明的第三方面,本发明提供了一种无线局域网中密钥传递的第一网络设备,所述第一网络设备具体为接入服务器,所述第一网络设备与接入控制器分离;所述第一网络设备包括第一获取单元,第二获取单元和发送器,其中:
所述第一获取单元,用于获取站点STA的成对主密钥PMK;
所述第二获取单元,用于当所述AC不参与密钥分发时,从所述STA关联的接入点AP获取所述STA的注册信息,所述注册信息包括所述STA的媒体访问控制MAC地址和所述AP的唯一标识;当所述AC参与密钥分发时,从所述AC获取所述STA的注册信息,所述注册信息包括所述STA的MAC地址和所述AC的唯一标识;所述AC管理所述STA关联的AP;
所述发送器,用于向所述AC或所述STA关联的AP发送密钥下发报文,所述密钥下发报文中包含所述PMK和所述STA的MAC地址;
所述设备还包括:
接收器,用于接收来自所述STA的认证请求报文,所述认证请求报文中包含所述STA的MAC地址;相应地,
所述发送器,还用于向认证、授权和计费AAA服务器转发所述认证请求报文,以使所述AAA服务器对所述STA进行认证;
所述接收器,还用于接收来自所述AAA服务器的认证应答报文,所述认证应答报文中包含所述STA的成对主密钥PMK;
所述第一获取单元,具体用于根据所述认证应答报文,获取所述PMK;
所述发送器,具体用于当所述AC不参与密钥分发时,向所述STA关联的AP发送密钥下发报文,以使所述AP根据所述PMK与所述STA协商生成PTK;当所述AC参与密钥分发时,向所述AC发送密钥下发报文,以使所述AC,在参与密钥协商时与所述STA根据所述PMK协商生成PTK,并通过管理协议向所述STA关联的AP发送所述PTK;在不参与密钥协商时向所述STA关联的AP转发所述密钥下发报文,或者通过管理协议向所述STA关联的AP发送所述PMK和所述STA的MAC地址,并使所述AP根据所述PMK与所述STA协商生成PTK。
根据本发明的第四方面,本发明提供了一种无线局域网中密钥传递的系统,所述无线局域网中接入服务器与AC分离,所述系统包括上述第一网络设备和第二网络设备;所述第二网络设备包括接收器、密钥协商单元和发送器,其中:
所述接收器,用于接收来自所述接入服务器的密钥下发报文,所述密钥下发报文中包含站点STA的媒体访问控制MAC地址和所述STA的成对主密钥PMK;所述第二网络设备是所述STA关联的接入点AP或所述AC,所述AC管理所述STA关联的所述AP;
密钥协商单元,用于根据所述接收器收到的所述STA的MAC地址和所述PMK,与所述STA协商生成成对临时密钥PTK;
所述发送器,用于向所述接入服务器发送密钥下发应答报文;还用于向所述接入服务器发送所述STA的注册信息,以使所述接入服务器根据所述STA的注册信息向所述第二网络设备发送所述密钥下发报文,所述注册信息包括所述STA的MAC地址和所述第二网络设备的唯一标识。
采用本发明提供的技术方案,通过接入服务器向AC或AP下发STA的PMK,使得AC或AP可以根据该PMK与该STA协商PTK,从而对STA与AP之间的无线链路采用该PTK进行数据加密。
附图说明
图1是本发明实施例提供的一种无线局域网中密钥传递的方法流程图;
图2是本发明实施例提供的另一种无线局域网中密钥传递的方法流程图;
图3是本发明实施例提供的一种无线局域网中密钥传递的信息交互示意图;
图4是本发明实施例提供的另一种无线局域网中密钥传递的信息交互示意图;
图5是本发明实施例提供的又一种无线局域网中密钥传递的信息交互示意图;
图6、图7是本发明实施例提供的一种无线局域网中密钥传递的第一网络设备框图;
图8是本发明实施例提供的一种无线局域网中密钥传递的第二网络设备框图;
图9是本发明实施例提供的一种无线局域网中密钥传递的系统框图。
具体实施方式
参见图1,是本发明实施例提供的一种无线局域网中密钥传递的方法流程图,所述方法包括:
101:接入服务器获取站点STA的成对主密钥PMK。
所述接入服务器包括宽带远程接入服务器(Broadband RemoteAccess Server,简称BRAS),全业务路由器(Service Router,简称SR)等。
所述STA,包括手机(mobile telephone),计算机(computer),个人数字助理(Personal Digital Assistant,简称PDA)等。
具体的,所述接入服务器接收来自所述STA的认证请求报文,所述认证请求报文中包含所述STA的媒体访问控制(Media AccessControl,简称MAC)地址;向认证、授权和计费(Authentication,Authorization and Accounting,简称AAA)服务器转发所述认证请求报文,以使所述AAA服务器对所述STA进行认证;接收来自所述AAA服务器的认证应答报文,所述认证应答报文中包含所述STA的成对主密钥PMK,并向所述STA转发所述认证应答报文。
所述接入服务器根据所述认证应答报文获取所述PMK。
102:所述接入服务器获取所述STA的注册信息。
当没有部署AC时,或者AC不参与密钥分发时,所述接入服务器可以从所述STA关联的接入点AP获取所述STA的注册信息,所述注册信息包括所述STA的MAC地址和所述AP的唯一标识,例如MAC地址,网际协议(Internet Protocol,简称IP)地址或AP标识(IDentifier,简称ID)等。
当所述AC参与密钥分发时,所述接入服务器也可以从管理所述STA关联的接入点AP的接入控制器AC获取所述STA的注册信息,所述注册信息包括所述STA的MAC地址和所述AC的唯一标识,例如MAC地址,IP地址或AC ID等;所述注册信息还可以包括所述AP的唯一标识。
可选的,所述STA的注册信息也可以手动配置在所述接入服务器上;所述接入服务器在需要时,从本地获取所述STA的注册信息。
本领域普通技术人员可以理解,102可以在101之前或之后执行。
103:所述接入服务器向所述AP或所述AC发送密钥下发报文,所述密钥下发报文中包含所述PMK和所述STA的MAC地址。
当所述AC不参与密钥分发时,所述接入服务器向所述AP发送密钥下发报文。所述AP根据所述PMK与所述STA协商生成PTK。
当所述AC参与密钥分发时,所述接入服务器向所述AC发送密钥下发报文。当所述AC参与密钥协商时,所述AC与所述STA根据所述PMK协商生成PTK,并通过管理协议,例如CAPWAP协议向所述STA关联的AP发送所述PTK。当所述AC不参与密钥协商时,所述AC向所述STA关联的AP转发所述密钥下发报文;或者,通过管理协议,例如CAPWAP协议,向所述STA关联的AP发送所述PMK和所述STA的MAC地址,以使所述AP根据所述PMK与所述STA协商生成PTK。
所述AP对所述STA使能所述PTK,完成对所述STA和所述AP之间无线链路的加密。
如图2所示,是本发明实施例提供的另一种无线局域网中密钥传递的方法流程图,所述方法包括:
201:接收来自接入服务器的密钥下发报文,所述密钥下发报文中包含站点STA的MAC地址和所述STA的PMK。
202:向所述接入服务器发送密钥下发应答报文。
具体可以是,STA关联的AP或者管理STA关联的AP的AC,接收来自接入服务器的密钥下发报文,并向所述接入服务器发送密钥下发应答报文;所述密钥下发报文中包含STA的MAC地址和所述STA的PMK。
在201之前,STA关联的AP或者管理STA关联的AP的AC,向接入服务器发送所述STA的注册信息,所述注册信息包括所述STA的MAC地址和本地唯一标识。
当管理STA关联的AP的AC参与密钥分发时,所述AC向接入服务器发送所述STA的注册信息,所述注册信息包括所述STA的MAC地址和所述AC的MAC地址,所述注册信息还可以包括所述STA关联的AP的MAC地址;所述AC接收来自接入服务器的密钥下发报文。当所述AC参与密钥协商时,所述AC向所述接入服务器发送密钥下发应答报文;所述AC可以与所述STA根据所述PMK协商生成PTK,并通过管理协议,例如CAPWAP协议向所述STA关联的AP发送所述PTK。当所述AC不参与密钥协商时,所述AC向所述STA关联的AP转发所述密钥下发报文,以使所述AP可以与所述STA根据所述PMK协商生成PTK,并接收来自所述AP的密钥下发应答报文,再向所述接入服务器发送密钥下发应答报文。
当没有部署AC时,或者管理STA关联的AP的AC不参与密钥分发时,STA关联的AP向接入服务器发送所述STA的注册信息,所述注册信息包括所述STA的MAC地址和所述AP的MAC地址,所述AP接收来自接入服务器的密钥下发报文。所述AP根据所述PMK与所述STA协商生成PTK。
所述AP对所述STA使能所述PTK,完成对所述STA和所述AP之间无线链路的加密。
采用本发明实施例提供的技术方案,通过在接入服务器和AC或AP之间增加下发STA主密钥PMK的流程,使得AC或AP可以根据该PMK与STA协商PTK,实现对STA与AP之间无线链路的加密。
如图3所示,是本发明实施例提供的一种无线局域网中密钥传递的信息交互示意图。所述无线局域网中包括STA,AP,AC,BRAS和AAA服务器;AC参与密钥的分发和协商。
注册阶段:301.STA与AP关联。STA可以根据802.11系列标准与AP关联,并向AC通过管理协议,例如CAPWAP协议注册关联信息,例如STA的MAC地址,STA关联的AP的MAC地址等信息。
302.STA信息注册。STA与AP关联成功之后,AC向BRAS发送STA的注册信息,包括STA的MAC地址,AC的MAC地址,AP的MAC地址等信息。
认证和密钥传递阶段:303.STA通过EAP进行接入认证。STA向BRAS发送EAP报文,进行接入认证。
304.BRAS收到该EAP报文,与AAA服务器交互,对所述STA进行认证。当认证成功,AAA服务器向BRAS返回认证成功,并携带该STA的PMK。
305.BRAS收到携带PMK的认证成功报文后,向AC发送密钥下发报文,所述密钥下发报文中包含该STA的MAC地址和PMK等信息。
306.AC收到该密钥下发报文后,向BRAS回应密钥下发应答报文。可选的,所述密钥下发应答报文中包含该STA的MAC地址等信息,以进行确认。
307.BRAS收到AC回应的密钥下发应答报文后,向STA发送认证成功的EAP报文。BRAS可以设定响应时限,当超过设定的时限,没有收到AC的回应,则向AC重发密钥下发报文,可以重复一定次数;如果重发后,收到回应,则认为发送成功,向STA发送认证成功的EAP报文,继续执行307;如果重发后,仍没有收到回应,则认为发送失败,BRAS可以当作认证失败处理,向STA发送认证失败的EAP报文,信息交互过程结束。后续客户端可以重新发起认证。
密钥协商阶段:308.AC根据PMK与STA发起四次握手,协商生成PTK。
309.AC通过管理协议,例如CAPWAP协议将PTK发送给AP。
AP对STA使能PTK,从而和STA配合,完成STA和AP之间无线链路的加密。
如图4所示,是本发明实施例提供的另一种无线局域网中密钥传递的信息交互示意图。所述无线局域网中包括STA,AP,AC,BRAS和AAA服务器;AC参与密钥的分发,但是不参与密钥协商。
注册阶段:401-402,与图3所示实施例中301-302相同,这里不再赘述。
认证和密钥传递阶段:403-405,与图3所示实施例中303-305相同,这里不再赘述。
406.AC收到该密钥下发报文后,向AP转发所述密钥下发报文,AP向AC回应密钥下发应答报文。同样的,AC也可以通过管理协议,例如CAPWAP协议将STA的MAC地址和主密钥PMK等信息发送给AP。
407.AC收到AP回应的密钥下发应答报文后,向BRAS回应密钥下发应答报文。可选的,所述密钥下发应答报文中包含该STA的MAC地址等信息,以进行确认。
408.与图3所示实施例中307相同,这里不再赘述。
密钥协商阶段:409.AP根据主密钥PMK与STA发起四次握手,协商生成临时密钥PTK。
AP对STA使能临时密钥PTK,从而和STA配合,完成STA和AP之间无线链路的加密。
如图5所示,是本发明实施例提供的又一种无线局域网中密钥传递的信息交互示意图。所述无线局域网中包括STA,AP,BRAS和AAA服务器。
注册阶段:501.STA向AP关联。STA可以根据802.11系列标准与AP关联。
502.STA和AP关联成功,AP向BRAS发送STA的注册信息,包括STA的MAC地址,AP的MAC地址等信息。
认证和密钥传递阶段:503-504.与图3所示实施例中303-304相同,这里不再赘述。
505.BRAS收到携带PMK的认证成功报文后,向AP发送密钥下发报文,所述密钥下发报文中包含该STA的MAC地址和PMK等信息。
506.AP收到该密钥下发报文后,向BRAS回应密钥下发应答报文。可选的,所述密钥下发应答报文中包含该STA的MAC地址等信息,以进行确认。
507.BRAS收到AP回应的密钥下发应答报文后,向STA发送认证成功的EAP报文。BRAS可以设定响应时限,当超过设定的时限,没有收到AP的回应,则向AP重发密钥下发报文,可以重复一定次数;如果重发后,收到回应,则认为发送成功,向STA发送认证成功的EAP报文,继续执行508;如果重发后,仍没有收到回应,则认为发送失败,BRAS可以当作认证失败处理,向STA发送认证失败的EAP报文,信息交互过程结束。后续客户端可以重新发起认证。
密钥协商阶段:508.AP根据主密钥PMK与STA发起四次握手,协商生成临时密钥PTK。
AP对STA使能临时密钥PTK,从而和STA配合,完成STA和AP之间无线链路的加密。
参见图6,是本发明实施例提供的一种无线局域网中密钥传递的第一网络设备框图,用于实现本发明图1所示的方法。所述第一网络设备包括第一获取单元601,第二获取单元602和发送器603,其中:
所述第一获取单元601,用于获取站点STA的成对主密钥PMK;
所述第二获取单元602,用于获取所述STA的注册信息,所述注册信息包括所述STA的媒体访问控制(Media Access Control,简称MAC)地址,和,所述STA关联的接入点AP或管理所述STA关联的接入点AP的接入控制器AC的唯一标识;
所述发送器603,用于向所述AP或所述AC发送密钥下发报文,所述密钥下发报文中包含所述PMK和所述STA的MAC地址。
所述第二获取单元602,具体用于从所述STA关联的AP获取所述STA的注册信息,所述注册信息包括所述STA的MAC地址和所述AP的唯一标识;或者,从管理所述STA关联的AP的AC获取所述STA的注册信息,所述注册信息包括所述STA的MAC地址和所述AC的唯一标识。
所述第一网络设备包括宽带远程接入服务器(Broadband RemoteAccess Server,简称BRAS),全业务路由器(Service Router,简称SR)等。
如图7所示,所述第一网络设备还可以包括接收器604。
所述接收器604,用于接收来自所述STA的认证请求报文,所述认证请求报文中包含所述STA的MAC地址。
所述发送器603,还用于向AAA服务器转发所述认证请求报文,以使所述AAA服务器对所述STA进行认证;所述接收器604,还用于接收来自所述AAA服务器的认证应答报文,所述认证应答报文中包含所述STA的成对主密钥PMK;所述第一获取单元601,具体用于根据所述认证应答报文,获取所述PMK。
所述接收器604,还用于接收来自所述STA关联的AP或者管理所述STA关联的AP的AC发送的携带所述STA的注册信息的报文。
所述第二获取单元602,具体用于根据所述接收器604接收的所述携带所述STA的注册信息的报文,获取所述STA的注册信息。
参见图8,是本发明实施例提供的一种无线局域网中密钥传递的第二网络设备框图,用于实现本发明图2所示的方法。所述第二网络设备包括接收器801和发送器802,其中:
所述接收器801,用于接收来自接入服务器的密钥下发报文,所述密钥下发报文中包含站点STA的媒体访问控制(Media AccessControl,简称MAC)地址和所述STA的成对主密钥PMK;
所述发送器802,用于向所述接入服务器发送密钥下发应答报文。
所述第二网络设备可以是AP或者AC。具体的,所述AP是所述STA关联的接入点;所述AC是管理所述STA关联的AP的接入控制器。
所述发送器802,还用于向所述接入服务器发送所述STA的注册信息,所述注册信息包括所述STA的MAC地址和所述第二网络设备的唯一标识。
当所述第二网络设备是AC时,如果所述AC不参与密钥协商,所述发送器802,还用于向所述STA关联的AP转发所述密钥下发报文;所述接收器801,还用于接收来自所述AP的密钥下发应答报文。如果所述AC参与密钥协商,所述第二网络设备还可以包括密钥协商单元,用于根据所述接收器801收到的STA的MAC地址和PMK,与所述STA协商生成临时密钥PTK;所述发送器802,还用于向AP发送所述PTK。
当所述第二网络设备是AP时,所述第二网络设备还可以包括密钥协商单元,用于根据所述接收器801收到的STA的MAC地址和PMK,与所述STA协商生成临时密钥PTK。
参见图9,是本发明实施例提供的一种无线局域网中密钥传递的系统框图,所述系统包括第一网络设备901和第二网络设备902。其中:
所述第一网络设备901,用于获取站点STA的成对主密钥PMK和所述STA的注册信息,向所述第二网络设备902发送密钥下发报文;所述注册信息包括所述STA的MAC地址和所述第二网络设备902的唯一标识;所述密钥下发报文中包含所述PMK和所述STA的MAC地址;
所述第二网络设备902,用于接收所述密钥下发报文,并向所述第一网络设备901发送密钥下发应答报文。
所述第一网络设备901可以是接入服务器,例如BRAS。
所述第二网络设备902可以是AP或者AC。具体的,所述AP是所述STA关联的接入点;所述AC是管理所述STA关联的AP的接入控制器。
所述系统还可以包括所述STA。
所述STA,用于向所述第一网络设备901发送认证请求报文,所述认证请求报文中包含所述STA的MAC地址;
所述第一网络设备,还用于接收所述认证请求报文,向AAA服务器转发所述认证请求报文,以使所述AAA服务器对所述STA进行认证;并接收来自所述AAA服务器的认证应答报文,向所述STA转发所述认证应答报文,所述认证应答报文中包含所述STA的PMK。
所述系统还可以包括所述AAA服务器。所述AAA服务器用于接收所述第一网络设备901发送的所述认证请求报文,对所述STA进行认证,并向所述第一网络设备901发送所述认证应答报文。
当所述第二网络设备901是AC时,如果所述AC不参与密钥协商,所述第二网络设备901还用于向所述STA关联的AP转发所述密钥下发报文,并接收来自所述AP的密钥下发应答报文;可选的,所述系统还可以包括所述AP。如果所述AC参与密钥协商,所述第二网络设备901还用于根据所述PMK,与所述STA协商生成临时密钥PTK,并向所述STA关联的AP发送所述PTK。
当所述第二网络设备是AP时,所述第二网络设备901还用于根据所述PMK,与所述STA协商生成临时密钥PTK。
采用本发明实施例提供的技术方案,通过在接入服务器和AC或AP之间增加下发STA主密钥PMK的流程,从而可以解决现有技术中接入服务器与AC或AP分离时,AC或AP无法获取STA的主密钥PMK,无法与STA协商临时密钥PTK,导致STA与AP之间的无线链路无法加密的问题。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于计算机可读存储介质中,所述存储介质可以是ROM/RAM,磁盘或光盘等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (6)
1.一种无线局域网中密钥传递的方法,所述无线局域网中接入服务器与接入控制器AC分离,其特征在于,包括:
所述接入服务器获取站点STA的成对主密钥PMK;
当所述AC不参与密钥分发时,所述接入服务器从所述STA关联的接入点AP获取所述STA的注册信息,所述注册信息包括所述STA的媒体访问控制MAC地址和所述AP的唯一标识;所述AC管理所述STA关联的所述AP;
当所述AC参与密钥分发时,所述接入服务器从所述AC获取所述STA的注册信息,所述注册信息包括所述STA的MAC地址和所述AC的唯一标识;所述AC管理所述STA关联的AP;
所述接入服务器向所述AC或所述STA关联的AP发送密钥下发报文,所述密钥下发报文中包含所述PMK和所述STA的MAC地址;
所述接入服务器获取STA的成对主密钥PMK具体包括:
所述接入服务器接收来自所述STA的认证请求报文,所述认证请求报文中包含所述STA的MAC地址;
向认证、授权和计费AAA服务器转发所述认证请求报文,以使所述AAA服务器对所述STA进行认证;
接收来自所述AAA服务器的认证应答报文,所述认证应答报文中包含所述STA的成对主密钥PMK;
所述接入服务器根据所述认证应答报文获取所述PMK;
所述接入服务器向所述STA关联的AP或所述AC发送密钥下发报文,包括:
当所述AC不参与密钥分发时,所述接入服务器向所述STA关联的AP发送密钥下发报文;所述AP根据所述PMK与所述STA协商生成成对临时密钥PTK;
当所述AC参与密钥分发时,所述接入服务器向所述AC发送密钥下发报文;当所述AC参与密钥协商时,所述AC与所述STA根据所述PMK协商生成PTK,并通过管理协议向所述STA关联的AP发送所述PTK;当所述AC不参与密钥协商时,所述AC向所述STA关联的AP转发所述密钥下发报文,或者通过管理协议向所述STA关联的AP发送所述PMK和所述STA的MAC地址,所述AP根据所述PMK与所述STA协商生成PTK。
2.一种无线局域网中密钥传递的方法,用于接入服务器与接入控制器AC分离的场景,其特征在于,包括:
当所述AC不参与密钥分发时,接入点AP接收来自所述接入服务器的密钥下发报文,所述密钥下发报文中包含站点STA的媒体访问控制MAC地址和所述STA的成对主密钥PMK;所述AP为所述STA关联的接入点;所述AP根据所述PMK与所述STA协商生成成对临时密钥PTK,并向所述接入服务器发送密钥下发应答报文;
当所述AC参与密钥分发时,所述AC接收来自所述接入服务器的密钥下发报文,所述密钥下发报文中包含站点STA的媒体访问控制MAC地址和所述STA的成对主密钥PMK;当所述AC参与密钥协商时,所述AC与所述STA根据所述PMK协商生成PTK,并通过管理协议向所述STA关联的AP发送所述PTK;当所述AC不参与密钥协商时,所述AC向所述STA关联的AP转发所述密钥下发报文,或者通过管理协议向所述STA关联的AP发送所述PMK和所述STA的MAC地址,所述AP根据所述PMK与所述STA协商生成PTK;
在所述AP接收来自接入服务器的密钥下发报文之前,所述方法还包括:
当所述AC不参与密钥分发时,所述AP向所述接入服务器发送所述STA的注册信息,以使所述接入服务器根据所述STA的注册信息向所述AP发送所述密钥下发报文,所述注册信息包括所述STA的MAC地址和所述AP的唯一标识;
当所述AC参与密钥分发时,所述AC向接入服务器发送所述STA的注册信息,以使所述接入服务器根据所述STA的注册信息向所述AC发送所述密钥下发报文,所述注册信息包括所述STA的MAC地址和所述AC的MAC地址。
3.一种无线局域网中密钥传递的第一网络设备,其特征在于,所述第一网络设备具体为接入服务器,所述第一网络设备与接入控制器AC分离;所述第一网络设备包括第一获取单元,第二获取单元和发送器,其中:
所述第一获取单元,用于获取站点STA的成对主密钥PMK;
所述第二获取单元,用于当所述AC不参与密钥分发时,从所述STA关联的接入点AP获取所述STA的注册信息,所述注册信息包括所述STA的媒体访问控制MAC地址和所述AP的唯一标识;当所述AC参与密钥分发时,从所述AC获取所述STA的注册信息,所述注册信息包括所述STA的MAC地址和所述AC的唯一标识;所述AC管理所述STA关联的AP;
所述发送器,用于向所述AC或所述STA关联的AP发送密钥下发报文,所述密钥下发报文中包含所述PMK和所述STA的MAC地址;
所述设备还包括:
接收器,用于接收来自所述STA的认证请求报文,所述认证请求报文中包含所述STA的MAC地址;相应地,
所述发送器,还用于向认证、授权和计费AAA服务器转发所述认证请求报文,以使所述AAA服务器对所述STA进行认证;
所述接收器,还用于接收来自所述AAA服务器的认证应答报文,所述认证应答报文中包含所述STA的成对主密钥PMK;
所述第一获取单元,具体用于根据所述认证应答报文,获取所述PMK;
所述发送器,具体用于当所述AC不参与密钥分发时,向所述STA关联的AP发送密钥下发报文,以使所述AP根据所述PMK与所述STA协商生成PTK;当所述AC参与密钥分发时,向所述AC发送密钥下发报文,以使所述AC,在参与密钥协商时与所述STA根据所述PMK协商生成PTK,并通过管理协议向所述STA关联的AP发送所述PTK;在不参与密钥协商时向所述STA关联的AP转发所述密钥下发报文,或者通过管理协议向所述STA关联的AP发送所述PMK和所述STA的MAC地址,并使所述AP根据所述PMK与所述STA协商生成PTK。
4.一种无线局域网中密钥传递的系统,所述无线局域网中接入服务器与接入控制器AC分离,其特征在于,包括如权利要求3所述的第一网络设备和第二网络设备;
所述第二网络设备包括接收器、密钥协商单元和发送器,其中:
所述接收器,用于接收来自所述接入服务器的密钥下发报文,所述密钥下发报文中包含站点STA的媒体访问控制MAC地址和所述STA的成对主密钥PMK;所述第二网络设备是所述STA关联的接入点AP或所述AC,所述AC管理所述STA关联的所述AP;
密钥协商单元,用于根据所述接收器收到的所述STA的MAC地址和所述PMK,与所述STA协商生成成对临时密钥PTK;
所述发送器,用于向所述接入服务器发送密钥下发应答报文;还用于向所述接入服务器发送所述STA的注册信息,以使所述接入服务器根据所述STA的注册信息向所述第二网络设备发送所述密钥下发报文,所述注册信息包括所述STA的MAC地址和所述第二网络设备的唯一标识。
5.根据权利要求4所述的系统,其特征在于,所述系统还包括站点STA;
所述STA用于向所述第一网络设备发送认证请求报文,并接收所述第一网络设备发送的认证应答报文。
6.根据权利要求5所述的系统,其特征在于,所述系统还包括认证、授权和计费AAA服务器;
所述AAA服务器,用于接收所述第一网络设备发送的所述认证请求报文,并向所述第一网络设备发送所述认证应答报文,所述认证应答报文中包含所述STA的成对主密钥PMK。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110331324.XA CN102333309B (zh) | 2011-10-27 | 2011-10-27 | 一种无线局域网中密钥传递的方法、设备和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110331324.XA CN102333309B (zh) | 2011-10-27 | 2011-10-27 | 一种无线局域网中密钥传递的方法、设备和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102333309A CN102333309A (zh) | 2012-01-25 |
| CN102333309B true CN102333309B (zh) | 2014-12-24 |
Family
ID=45484884
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110331324.XA Active CN102333309B (zh) | 2011-10-27 | 2011-10-27 | 一种无线局域网中密钥传递的方法、设备和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102333309B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103391543B (zh) * | 2012-05-07 | 2016-11-02 | 南京中兴软件有限责任公司 | 一种实现漫游切换的方法和装置 |
| CN103391542B (zh) * | 2012-05-08 | 2016-11-23 | 华为终端有限公司 | Eap认证触发方法及系统、接入网设备、终端设备 |
| CN102761869B (zh) * | 2012-06-26 | 2015-04-15 | 杭州华三通信技术有限公司 | 一种802.1x认证方法和设备 |
| CN104247482A (zh) * | 2013-02-18 | 2014-12-24 | 华为技术有限公司 | 实现在wlan中的通信的方法和系统 |
| CN104243416B (zh) * | 2013-06-17 | 2018-04-27 | 华为技术有限公司 | 加密通信方法、系统和相关设备 |
| CN104869564A (zh) * | 2014-02-21 | 2015-08-26 | 中国电信股份有限公司 | 一种以bras作为peap认证点的实现方法和系统 |
| CN106162633B (zh) * | 2015-04-20 | 2019-11-29 | 北京华为数字技术有限公司 | 一种密钥传输方法和装置 |
| CN109451493B (zh) * | 2018-11-30 | 2022-03-18 | 锐捷网络股份有限公司 | 基于wpa的密钥配置方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003096554A2 (en) * | 2002-05-13 | 2003-11-20 | Thomson Licensing S.A. | Seamless public wireless local area network user authentication |
| CN1859085A (zh) * | 2005-08-12 | 2006-11-08 | 华为技术有限公司 | 无线局域网中密钥下发的方法 |
| CN101651682A (zh) * | 2009-09-15 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种安全认证的方法、系统和装置 |
| CN102404720A (zh) * | 2010-09-19 | 2012-04-04 | 华为技术有限公司 | 无线局域网中密钥的发送方法及装置 |
-
2011
- 2011-10-27 CN CN201110331324.XA patent/CN102333309B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003096554A2 (en) * | 2002-05-13 | 2003-11-20 | Thomson Licensing S.A. | Seamless public wireless local area network user authentication |
| CN1859085A (zh) * | 2005-08-12 | 2006-11-08 | 华为技术有限公司 | 无线局域网中密钥下发的方法 |
| CN101651682A (zh) * | 2009-09-15 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种安全认证的方法、系统和装置 |
| CN102404720A (zh) * | 2010-09-19 | 2012-04-04 | 华为技术有限公司 | 无线局域网中密钥的发送方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102333309A (zh) | 2012-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102333309B (zh) | 一种无线局域网中密钥传递的方法、设备和系统 | |
| CN105554747B (zh) | 无线网络连接方法、装置及系统 | |
| KR101648158B1 (ko) | 동시적 재인증 및 접속 셋업을 이용하는 무선 통신 | |
| US8295488B2 (en) | Exchange of key material | |
| TWI420921B (zh) | 異質無線網路之間的快速鑑別 | |
| US9392453B2 (en) | Authentication | |
| EP2432265B1 (en) | Method and apparatus for sending a key on a wireless local area network | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| CN103609154B (zh) | 一种无线局域网接入鉴权方法、设备及系统 | |
| CN101262670A (zh) | 移动装置、通信系统及连线建立方法 | |
| US8959333B2 (en) | Method and system for providing a mesh key | |
| CN107690138A (zh) | 一种快速漫游方法、装置、系统、接入点和移动站 | |
| MX2009002507A (es) | Autentificacion de seguridad y gestion de claves dentro de una red de multisalto inalambrica basada en infraestructura. | |
| CN104285422A (zh) | 用于利用邻近服务的计算设备的安全通信 | |
| CN101682931A (zh) | 流量加密密钥的产生方法 | |
| KR20120091635A (ko) | 통신 시스템에서 인증 방법 및 장치 | |
| WO2009152749A1 (zh) | 一种绑定认证的方法、系统和装置 | |
| CN101689990A (zh) | 流量加密密钥的产生方法 | |
| JP2006345205A (ja) | 無線lan接続管理方法、無線lan接続管理システム及び設定用無線中継装置 | |
| CN1859098A (zh) | 在无线接入系统中实现eap认证中继的方法 | |
| CN102223634A (zh) | 一种用户终端接入互联网方式的控制方法及装置 | |
| CN103096307A (zh) | 密钥验证方法及装置 | |
| CN108882233B (zh) | 一种imsi的加密方法、核心网和用户终端 | |
| CN102883265B (zh) | 接入用户的位置信息发送和接收方法、设备及系统 | |
| CN106304400A (zh) | 无线网络的ip地址分配方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211220 Address after: 215010 room 704, building 5, No. 556, Changjiang Road, high tech Zone, Suzhou, Jiangsu Patentee after: SUZHOU YUDESHUI ELECTRICAL TECHNOLOGY Co.,Ltd. Address before: 518129 headquarters building of Bantian HUAWEI base, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. Effective date of registration: 20211220 Address after: 256599 No. 166, Chemical Road, boxing Economic Development Zone, Boxing County, Binzhou City, Shandong Province Patentee after: Shandong rongzhixin Enterprise Consulting Service Co.,Ltd. Address before: 215010 room 704, building 5, No. 556, Changjiang Road, high tech Zone, Suzhou, Jiangsu Patentee before: SUZHOU YUDESHUI ELECTRICAL TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220415 Address after: 300000 Building 1, block g, No. 6, Huafeng Road, Huaming high tech Industrial Zone, Dongli District, Tianjin Patentee after: USTC TIANGONG INTELLIGENT EQUIPMENT TECHNOLOGY (TIANJIN) CO.,LTD. Address before: 256599 No. 166, Chemical Road, boxing Economic Development Zone, Boxing County, Binzhou City, Shandong Province Patentee before: Shandong rongzhixin Enterprise Consulting Service Co.,Ltd. |