CN102685741A - 接入认证处理方法及系统、终端和网络设备 - Google Patents
接入认证处理方法及系统、终端和网络设备 Download PDFInfo
- Publication number
- CN102685741A CN102685741A CN2011100567598A CN201110056759A CN102685741A CN 102685741 A CN102685741 A CN 102685741A CN 2011100567598 A CN2011100567598 A CN 2011100567598A CN 201110056759 A CN201110056759 A CN 201110056759A CN 102685741 A CN102685741 A CN 102685741A
- Authority
- CN
- China
- Prior art keywords
- authentication
- message
- terminal
- value
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 21
- 238000000034 method Methods 0.000 claims abstract description 131
- 238000012545 processing Methods 0.000 claims description 49
- 230000004044 response Effects 0.000 claims description 36
- 239000000523 sample Substances 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 abstract description 69
- 230000006870 function Effects 0.000 description 24
- 238000012795 verification Methods 0.000 description 22
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 13
- 230000011664 signaling Effects 0.000 description 8
- 230000000694 effects Effects 0.000 description 7
- 238000000205 computational method Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 238000010561 standard procedure Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 240000007594 Oryza sativa Species 0.000 description 1
- 235000007164 Oryza sativa Nutrition 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 235000021186 dishes Nutrition 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 235000009566 rice Nutrition 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种接入认证处理方法及系统、终端和网络设备。本发明实施例,可以省略现有技术中EAP认证过程和四步握手过程,仅需要三个认证消息即可完成认证和密钥分发过程,消息数量大大减少,但同样可以通过计数器的计数器当前值防止消息重放攻击。因此,本发明实施例可以适用于802.11i和802.11r两种标准过程,其可以实现WLAN快速安全的初始接入认证,缩短初始接入认证所需要的时间,降低实现的复杂度。
Description
技术领域
本发明实施例涉及通信领域,尤其涉及一种接入认证处理方法及系统、终端和网络设备。
背景技术
为了弥补有线等效保密(Wired Equivalent Privacy,以下简称:WEP)协议安全性较低的缺陷,美国电气和电子工程师协会(Institute of Electrical andElectronics Engineers,以下简称:IEEE)推出了无线局域网(Wireless LocalArea Network,以下简称:WLAN)安全标准802.11i;为了终端在接入点(AccessPoint,以下简称:AP)之间的快速切换问题,IEEE推出了标准802.11r。
对于802.11i中终端与AP进行的初始安全接入过程来说,802.11i采用在进行开放认证过程、关联过程之后进行EAP认证过程以及四步握手过程进行终端的初始接入认证和密钥分发。具体来说,该初始安全接入过程可以为:终端通过扫描过程发现WLAN的AP及其具有的安全能力,然后终端和AP在802.11定义的认证(以下简称:Authentication)过程中进行开放系统认证,之后终端和AP使用802.11定义的关联(以下简称:Association)过程建立关联,并通过关联请求和关联响应协商它们之间的密码组件。终端和AP完成关联之后,可以执行扩展认证协议(Extensible Authentication Protocol,以下简称:EAP)认证过程进行真正的认证。该EAP认证过程举例来说可以包括:终端向AP发送在局域网上的EAP过程开始(EAPoL_Start,以下简称:EAPoL开始)消息指示认证开始,之后AP向终端发送EAP请求/标识(EAP-Request/Identity)消息以请求终端发送其身份标识。终端在EAP响应/标识(EAP_Response/Identity)消息中将其身份标识发送给AP,AP可以将终端的身份标识发送给认证服务器(Authentication Server,以下简称:AS),触发AS和终端使用某种EAP方法执行认证过程,在认证过程中,AP在终端和AS之间转发消息。如果AS部署在AP上,则AP和AS之间的消息交互可以省略。在认证通过后,终端可以与AS协商出主会话密钥(Master SessionKey,以下简称:MSK),AS和终端在MSK的基础上生成对节点主密钥(Pairwise Master Key,以下简称:PMK),AS将PMK发送给AP。如果AS部署在AP上,则不存在该PMK的发送过程,如果AS未部署在AP上,则AS和AP之间存在安全通道,可以安全地将PMK发给AP。AP获取PMK之后,即可通知终端认证成功,然后和终端进行由四个消息组成的四步握手(4-way handshake)过程,在PMK基础上协商对节点临时密钥(PairwiseTransient Key,以下简称:PTK)。如果四步握手成功后,则终端和AP就验证了双方PMK的一致性。成功完成四步握手之后,终端和AP之间即可通过PTK进行安全通信。
对于802.11r中终端与AP进行的初始安全接入过程来说,其接入认证过程与802.11i近似,仅增加了一些移动域(Mobility Domain,以下简称:MD)信息和快速迁移相关信息,其生成密钥的过程与802.11i存在差别较大。举例来说,其密钥生成过程是在EAP认证过程产生MSK之后,终端和AS在MSK基础上计算PMK-R0,又在PMK-R0的基础上计算PMK-R1。然后AS将PMK-R1发送给AP。802.11r中的PMK-R1相当于802.11i中的PMK,但PMK-R1和MSK之间多了PMK-R0,这有利于移动过程中AS和终端在PMK-R0基础上产生与新的AP相关的PMK-R1,而不用再做完整的认证过程了。终端和AP进行四步握手,在PMK-R1基础上计算PTK。
不管是802.11i中的初始接入过程还是802.11r中的初始接入过程,其均需包括开放认证过程、关联过程、EAP认证过程以及四步握手过程,交互次数多,时间较长,不利于提高网络空口利用效率。
发明内容
本发明实施例提供一种接入认证处理方法及系统、终端和网络设备。
本发明实施例提供一种接入认证处理方法,包括:
向网络设备发送第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、终端现场值以及用户标识;
接收所述网络设备根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理后发送的第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码;
根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理,根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥,并使用所述临时密钥验证所述第二认证消息的消息完整性码;
向所述网络设备发送第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。
本发明实施例提供另一种接入认证处理方法,包括:
接收终端发送的第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获得的第一身份认证值、终端现场值以及用户标识;
根据所述计数器当前值、所述第一身份认证值以及所述用户标识对所述终端进行认证处理;
向所述终端发送第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码;
接收所述终端发送的第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。
本发明实施例提供一种终端,包括:
第一计数模块,用于进行计数,获取计数器当前值;
第一发送模块,用于向网络设备发送第一认证消息,所述第一认证消息中至少包含所述计数器当前值、根据所述计数器当前值和共享密钥获得的第一身份认证值、终端现场值以及用户标识;
第一接收模块,用于接收所述网络设备根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理后发送的第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码;
第一处理模块,用于根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理,根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥,并使用所述临时密钥验证所述第二认证消息的消息完整性码;
第二发送模块,用于向所述网络设备发送第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。
本发明实施例提供一种网络设备,包括:
第三接收模块,用于接收终端发送的第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、终端现场值以及用户标识;
第三处理模块,用于根据所述计数器当前值、所述第一身份认证值以及所述用户标识对所述终端进行认证处理;
第三发送模块,用于向所述终端发送第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获取的第二身份认证值以及所述第二认证消息的消息完整性码;
第四接收模块,用于接收所述终端发送的第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。
本发明实施例提供一种接入认证处理系统,包括:网络设备和终端,
所述终端,用于向网络设备发送第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、终端现场值以及用户标识;接收所述网络设备发送的第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码;根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理,根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥,并使用所述临时密钥验证所述第二认证消息的消息完整性码;向所述网络设备发送第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码;
所述网络设备,用于接收终端发送的所述第一认证消息,根据所述计数器当前值、所述第一身份认证值以及所述用户标识对所述终端进行认证处理,向所述终端发送所述第二认证消息,并接收所述终端发送的所述第三认证消息。
本发明实施例,可以省略现有技术中EAP认证过程和四步握手过程,仅需要三个认证消息即可完成认证和密钥分发过程,消息数量大大减少,但同样可以通过计数器的计数器当前值防止消息重放攻击。因此,本发明实施例可以适用于802.11i和802.11r两种标准过程,其可以实现WLAN快速安全的初始接入认证,缩短初始接入认证所需要的时间,降低实现的复杂度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明接入认证处理方法实施例一的流程图;
图2为本发明接入认证处理方法实施例二的流程图;
图3为本发明接入认证处理方法实施例三的信令流程图;
图4为本发明接入认证处理方法实施例四的信令流程图;
图5为本发明接入认证处理方法实施例五的信令流程图;
图6为本发明接入认证处理方法实施例六的信令流程图;
图7为本发明终端实施例一的结构示意图;
图8为本发明终端实施例二的结构示意图;
图9为本发明网络设备实施例一的结构示意图;
图10为本发明网络设备实施例二的结构示意图;
图11为本发明接入认证处理系统实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明接入认证处理方法实施例一的流程图,如图1所示,本实施例的方法可以包括:
步骤101、向网络设备发送第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、终端现场值以及用户标识。
具体来说,终端可以向网络设备发送第一认证消息。需要说明的是:本发明实施例中提到的网络设备既可以是AP和AS分离部署时的AP,也可以是内部包含AS的AP;本发明实施例中提到的终端指支持WiFi协议的终端,例如,支持WiFi的手机等。
本实施例中,该计数器当前值既可以为终端上部署的计数器的计数值,也可以是部署在网络设备上的计数器的计数值,该网络设备可以在步骤101之前将其获取的计数器当前值发送给终端。
终端可以根据计数器当前值和共享密钥,采用哈希变换或者加密算法等方式,计算获取第一身份认证值,而且,终端还可以随机产生一个终端现场值,终端本身还具有用户标识User-ID。
因此,终端即可在向网络设备发送的第一认证消息中至少包含计数器当前值、第一身份认证值、终端现场值以及用户标识,需要说明的是,本实施例并不限定该第一认证消息中还可以包含其它信息。
步骤102、接收所述网络设备根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理后发送的第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码。
网络设备在接收终端发送的第一认证消息后,即可根据该第一认证消息中包含的计数器当前值、第一身份认证值以及终端现场值进行快速认证处理,该快速认证处理可以包括AS部署在AP内部时,AP对终端进行认证并分发密钥的过程,以及AS和AP分离部署时,AP和AS进行交互,对终端进行认证并分发密钥的过程。需要说明的是,该认证和分发密钥的过程,均需要考虑计数器当前值、第一身份认证值以及终端现场值。
所述网络设备在获取所述第二身份认证值时,可以直接在所述计数器当前值基础上采用与计算所述第一身份认证值不同的算法计算所述第二身份认证值,也可以在所述第一身份认证值基础上计算所述第二身份认证值。对于后者,实际上是间接地在所述计数器当前值基础上计算所述第二身份认证值,或者可以理解为在所述计数器当前值基础上采用更多的步骤算出所述第二身份认证值。简单来说,所述第二身份认证值是在所述计数器当前值基础上并在共享密钥等数据参与下计算获得的。
在网络设备对终端进行快速认证处理后,网络设备即可向终端发送第二认证消息,该第二认证消息中至少可以包含所述网络设备的网络设备现场值、根据所述共享密钥和所述第一身份认证值获得的第二身份认证值以及所述第二认证消息的消息完整性码。
步骤103、根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理,根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥,并使用所述临时密钥验证所述第二认证消息的消息完整性码。
终端在接收该第二认证消息后,即可根据计数器当前值、所述共享密钥以及第二认证消息中的第二身份认证值对网络设备进行认证,在认证通过后,根据所述网络设备现场值、终端现场值、所述共享密钥以及计数器当前值生成临时密钥,因此该终端可以使用该临时密钥验证第二认证消息中包含的消息完整性码是否有效。
步骤104、向所述网络设备发送第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。
终端在对网络设备认证通过后,可以向网络设备发送第三认证消息,该第三认证消息可以使得网络设备获知终端完成了对网络设备和AS的认证。
本实施例可以省略现有技术中EAP认证过程和四步握手过程,仅需要三个认证消息即可完成认证和密钥分发过程,考虑到组播密钥的分发过程,可能需要在这三个消息之后再增加两个消息,这仍然使消息数量大大减少,并通过计数器的计数器当前值防止消息重放攻击,安全可靠。因此,本实施例适用于802.11i和802.11r两种标准过程,其可以实现WLAN快速安全的初始接入认证,缩短初始接入认证所需要的时间,降低实现的复杂度。
图2为本发明接入认证处理方法实施例二的流程图,如图2所示,本实施例的方法是与上述图1所示终端所执行的方法对应的网络设备所执行的方法,本实施例的方法可以包括:
步骤201、接收终端发送的第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获得的第一身份认证值、终端现场值以及用户标识;
步骤202、根据所述计数器当前值、所述第一身份认证值以及所述用户标识对所述终端进行认证处理;
步骤203、向所述终端发送第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码;
步骤204、接收所述终端发送的第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息以及所述第三认证消息的消息完整性码。
本实施例的方法与上述图1所示终端所执行的方法相对应,其实现原理以及技术效果类似,此处不再赘述。
本发明上述两个实施例,在具体实现时,可以在终端上设置计数器和/或在AP上设置计数器,不管在终端上设置计数器还是在AP上设置计数器,本发明实施例均可以对802.11i和802.11r两种标准过程进行简化,下面采用四个具体实施例对本发明的技术方案进行详细说明。
图3为本发明接入认证处理方法实施例三的信令流程图,如图3所示,本实施例是在终端上设置计数器对802.11i的简化的技术方案,该计数器可以对终端发送给AP的认证请求消息进行计数,本实施例的方法可以包括:
步骤301、终端扫描发现AP,获取扫描信息。
该扫描信息可以包括:基础服务集标识(Basic Service Set Identifier,以下简称:BSSID)和认证服务器标识(AS Identifier,以下简称:AS-ID),其中,该BSSID即为AP的ID,也就是AP的MAC地址。如果AS部署在AP上,则AS-ID可以与BSSID相等,如果AS和AP是分离的,则AP可以通过网络配置获取AS-ID。认证服务器的标识也可以配置在终端上,而不通过扫描获得。
举例来说,终端可以采用被动扫描方式,即终端可以侦听AP周期性广播的信标(beacon)帧获取上述扫描信息;或者终端可以采用主动扫描方式,即终端可以以广播或单播方式向AP发送探测请求(probe request)帧并从AP反馈的探测响应(probe response)帧中获得上述扫描信息。
步骤302、终端向AP发送第一认证消息。
该第一认证消息中包含终端的用户标识(以下简称:User-ID)、AS-ID、终端的认证计数器的计数器当前值t、终端的现场值SNonce,以及第一身份认证值F,其中,F是终端由共享密钥k和计数器当前值t采用某一种算法或公式计算后获得,或者在前述参数的基础上还可以包含User-ID、AS-ID计算获取F,该共享密钥k是终端与AS之间预先设置的共享密钥,也就是与用户标识User-ID对应的密钥。User-ID就是通常所说的用户帐号名,而k就是通常所说的用户帐号密钥。User-ID也有可能就是终端的MAC地址。AS-ID也可以不在第一认证消息中出现,例如AP总是连接到唯一一个AS,或者AP使用自己内嵌的AS,那么终端就可以不再第一认证消息中携带AS-ID。
举例来说,第一身份认证值F可以采用下述公式(1)计算:
F=f(k,t||User-ID||AS-ID) (1)
其中,符号“||”表示连接,即后一个信息连接到前一个信息的后面。在公式(1)中,User-ID、AS-ID不是必需的,但优选方案包含这个两个信息。本实施例并不限定函数f的具体计算方法,举例来说,该函数f可以是MD5、SHA、或802.11规范中定义的PRF等杂凑算法。优选地,该F的长度不少于128比特。
User-ID、AS-ID、t、F以及SNonce可以封装在一个称为快速初始认证信息单元(Fast Initiation Authentication Information Element,以下简称:FIAIE)的结构中,FIAIE表示其中包含与快速初始认证相关的信息,其具体格式可以参考现有规范中的信息单元格式实现,此处不再赘述。
该第一认证消息中还携带终端现场值SNonce。现场值SNonce与计数器当前值t一样,在终端每次发送第一认证消息时需要保证不一样,但与计数器当前值t不同的是,现场值SNonce不需要保存到非易失存储器中,而每次开机时随机产生,以后可以单调变化,或者终端每次发送第一认证消息前随机产生,只要保证开机后较长一段时间内不使用重复的值即可,例如在SNonce中终端当前时钟的信息。该现场值SNonce用于后续计算临时密钥PTK。
计数器当前值t的初始值可以为1,终端在每次发出第一认证消息之后可以将本地保存的t加1后再保存到终端的非易失存储器中。当然,终端也可以每次发送第一认证消息之前更新计数器当前值t,此时计数器当前值t的初值可设为0。不管认证结果是否成功终端每次发送第一认证消息后计数器均需加1;AS记录终端的计数器值,仅当认证终端成功才更新该计数器值。计数器当前值t的长度可以为64比特或更长,以至于t的取值可以被认为永远都不会溢出。t的计数变化也可以从最大值向最小值变化,只要单调变化就可以,本领域人员应可理解。这里仅以从小到大单调变化为例进行说明。
步骤303、AP向AS发送认证请求消息。
该认证请求消息中包含:User-ID、AS-ID、t、F。其中AS-ID也可以不用包含在该认证请求消息中,因为AS知道自己的AS-ID。
步骤304、AS验证t和F,并在验证通过后生成PMK。
具体来说,AS可以根据User-ID获得用户相关的帐号信息,得到保存的User-ID对应的t,将保存的t与收到的认证请求消息中的t进行比较,如果认证请求消息中的t小于或等于AS保存的t,也即该认证请求消息可能是在发生消息重放攻击时发送的消息,因此,AS对终端的认证失败,AS保持当前保存的t值不变。
如果认证请求消息中的t有效,AS即可根据User-ID找到对应的共享密钥k,根据认证请求消息中的t、共享密钥k使用与终端计算F时相同的函数f和数据计算F,当然计算F时可能包含User-ID、AS-ID,计算的数据源和终端要一致,这在实施本发明方案时规定。如果计算得到的F与认证请求消息中的F相等,那么AS对终端的认证成功。
AS认证终端成功后,将当前保存的t更新为认证请求消息中的t,从而保证AS保存的t与终端保存的t的值一样。当然AS也可以将t加1后保存,则前面的对t的判断即为“小于”而不是“小于或等于”。AS也可以将t保存在非易失存储器中。
AS认证终端成功后,就可以计算主密钥PMK。
举例来说,计算PMK的方法可以采用下述公式(2)实现:
PMK=PRF-256(k,“FIA_PMK”,t||User-ID||AS-ID) (2)
其中PRF-256为杂凑函数,应该是不同于函数f的函数,产生的结果长度是256比特,与802.11i中定义的PMK的长度一致。符号“||”表示连接,即后一个信息连接到前一个信息的后面。“FIA_PMK”是常量字符串。
再举例来说,计算PMK的方法也可以先计算一个384比特的MSK,以便和现有规范中使用EAP认证过程产生的密钥层次保持一致,然后将MSK的前256位作为PMK,其中,计算MSK可以例如采用如下公式(3)实现:
MSK=PRF-384(k,“FIA_MSK”,t||User-ID||AS-ID) (3)
因此,PMK=MSK的左256比特。
该方法计算获得的PMK与802.11i中使用EAP认证过程后产生MSK后的方法一致。
步骤305、AS向AP发送认证响应消息。
该认证响应消息中包含认证成功与否的认证结果信息s,若认证成功,还包含用于终端认证AS的第二身份认证值E,及生成的PMK,还可以包含在认证请求消息包含的User-ID、AS-ID、t等信息。
其中,s的取值可以为:如果AS对终端认证成功则取值表示认证成功,如果认证失败则取值表示认证失败的原因,例如“计数值错误”、“认证字校验失败”等。
E可以是采用杂凑函数e对共享密钥k、第一身份认证值F进行计算的结果,也可以将其中的F换成终端发送的第一认证消息中的t,或者t和F都包含,还可以包含User-ID、AS-ID等。优选的,本实施例可以采用下述公式(4)计算E:
E=e(k,F||User-ID||AS-ID) (4)
另外,杂凑函数e可以是和杂凑函数f相同的杂凑函数,也可以不同,优选为不同。如果用t而不用F计算E,并且使用的其它数据和计算F时相同,则e一定是不同于f的函数。符号“||”表示连接,即后一个信息连接到前一个信息的后面。
步骤306、AP计算临时密钥PTK。
AP收到AS的认证响应消息后,如果消息指示认证失败,则将认证失败的信息发送给终端,或者什么也不做,不详细描述。这里只详细描述AS认证终端成功的情况。
具体来说,AP可以在收到AS的认证响应消息后,若信息s指示认证成功,则取出其中的PMK,产生自己的现场值ANonce,从而计算PTK。举例来说,本实施例的PTK可以采用现有规范中规定的下述公式(5)计算:
PTK=PRF-X(PMK,“Pairwise key expansion”,Min(AA,SPA)||Max(AA,SPA)||Min(ANonce,SNonce)||Max(ANonce,SNonce)) (5)
其中,PRF-X为一个伪随机数生成函数,其实也就是一种杂凑函数。SPA为终端的IEEE 802.11MAC地址,这在终端向AP发送的消息头中包含了。AA为AP的IEEE 802.11MAC地址。Min是取最小值之意,Max是取最大值之意。ANonce是AP的现场值,SNonce是终端步骤302中发给AP的终端的现场值。符号“||”表示连接,即后一个信息连接到前一个信息的后面。“Pairwisekey expansion”是一个固定的字符串。
需要说明的是,本实施例仅示出AS和AP分离的情况,如果AS部署在AP上,则AS和AP之间不存在消息交互,步骤303~步骤306涉及的计算和判断均由AP执行。
步骤307、AP向终端发送第二认证消息。
该第二认证消息中包含AP的现场值ANonce、AS在认证响应消息中包含的认证结果标识s、第二身份认证值E以及AP自己对该消息计算的消息完整性码(Message Integrity Code,以下简称:MIC)。MIC是AP使用PTK参与对第二认证消息进行摘要算法的结果,其实现过程可以采用现有规范实现,此处不再赘述。
步骤308、终端验证E,并生成PMK和PTK,并验证MIC。
具体来说,终端收到第二认证消息后,首先判断网络侧即AS对终端认证是否成功。如果认证不成功,且失败原因是“计数值错误”,则可能是用户更换了终端使得计数值恢复到初始值等原因造成,终端可以将计数器的值一次性增加一个较大的值例如10000,重新发送第一认证消息。如果第二认证消息中指示AS对终端认证成功,则终端对AS进行认证。终端可以采用杂凑函数e计算E,并将计算获取的E与第二认证消息中的E比较,若相同,则终端对AS认证通过,否则对AS认证失败。
终端计算E时使用与AS计算E使用的相同的数据,包括共享密钥k、第一身份认证值F或计数器当前值t等。终端也可以在发送第一认证消息时就算好E,因为在那时终端要计算F,因此可以接着就算出E,如此,在收到AP的第二认证消息时直接对比E就可以。
终端认证AS成功后,可以计算PMK和PTK,计算方法同AS和AP。实际上终端可以在步骤301之后即可算出PMK,但PTK的计算则需要在步骤308得到AP的现场值ANonce之后计算。
终端算出PTK之后,可以进一步验证第二认证消息中的MIC。这和AP发送第二认证消息前计算该消息的MIC的过程一致。然后,终端将算出的MIC与第二认证消息中携带的MIC比较,如果一致,则说明终端与AP有相同的PTK,也即终端对AP认证通过。
由此可知,步骤308中,终端可以通过E的比较完成对AS的认证,还可以通过对MIC的比较完成对AP的认证。
步骤309、终端向AP发送第三认证消息。
该第三认证消息中可以包含本消息的MIC。该第三认证消息是终端认证AS之后的确认消息,同时也是让AP认证终端。
可选地,终端还可以在第三认证消息中指示是否需要群临时密钥(GroupTransient Key,以下简称:GTK)。
步骤310、AP认证终端。
AP收到第三认证消息后,可以验证其中的MIC,若验证通过,则证明终端产生了相同的PTK,对终端认证通过。
步骤311、AP向AS发送快速认证确认消息。
该快速认证确认消息表示终端对AS的认证成功。
在该快速认证确认消息之后,AS再启动计费等操作就无需担心第一认证消息是重放的。
如果AP超过一定时间没有收到第三认证消息,则认为终端认证AP/AS失败,删除终端相关的认证信息,即解除认证,同时可以向AS发送快速认证失败消息,则AS也会删除终端相关的认证信息。
可选的,本实施例的方法还可以包括:
步骤312、AP向终端发送第四认证消息。
如果终端在第三认证消息中指示需要GTK,或者规定终端总是要从AP获得GTK而无需在第三认证消息中指示,则AP可以在对终端认证通过后,向终端发送第四认证消息,其中包含GTK以及组播相关的其它信息,例如下一个组播报文序号、组播MAC地址等,GTK及其相关信息应当使用PTK加密。该消息也应该包含MIC,以便终端验证该消息,防止消息被篡改。事实上以后终端和AP之间所有的数据帧和一些有必要保护的管理帧都会包含MIC。
终端收到第四认证消息后,可以验证其MIC,若验证通过,用PTK解密其中加密的数据获得GTK及其相关信息。
步骤313、终端收到GTK之后,可以向AP发送第五认证消息,表示收到GTK。
步骤312和313是传送GTK的过程,可以采用现有标准中GTK握手的交互过程,那也是两个消息的过程,因此对于本发明这两步是可选的。
至此,对802.11i初始接入过程进行简化的快速初始接入过程完成。
本实施例中,初始接入过程可以省略现有技术中EAP认证过程和四步握手过程,仅需要三到五个认证消息即可完成,消息数量大大减少,但实现了与现有技术相同的功能,并且同样可以通过计数器防止认证消息重放攻击,保证认证过程安全性。因此,本实施例可以实现WIAN快速安全的初始接入认证,缩短初始接入认证所需要的时间,降低实现的复杂度。
图4为本发明接入认证处理方法实施例四的信令流程图,如图4所示,本实施例是在终端上设置计数器对802.11r的简化的技术方案,该计数器可以对终端发送给AP的认证请求消息进行计数,本实施例的方法可以包括:
步骤401、终端扫描发现AP,获取扫描信息。
该步骤的实现原理与图3所示步骤301的实现原理类似,此处不再赘述。
步骤402、终端向AP发送第一认证消息。
本步骤与图3所示步骤302之间的区别在与,在步骤402的第一认证消息中,除了需要包含User-ID、AS-ID、t、SNonce以及F之外,还需要包含MDID。MDID是移动域标识之意,即AP所在的一个终端在其中可以移动的区域的标识。由于用WiFi AP难以构建覆盖广大地域范围的网络,所以通常用若干个AP覆盖一个人口比较密集的小区域,使得终端可以在其中通过切换AP实现移动而不中断网络连接,但离开这个小区域后只能切换到其它网络,这样的区域称为移动域,每个移动域有一个唯一的标识。
步骤403、AP向AS发送认证请求消息。
本步骤与图3所示步骤303之间的区别在于,步骤403的认证请求消息中除了包含User-ID、AS-ID、t、F之外,AP还需要将MDID也包含在认证请求消息中,并且还可以将AP所在网络的服务集标识(Service Set Identity,以下简称:SSID)以及BSSID添加到认证请求消息中,需要说明的是,如果AS管理的AP同属于一个网络,即SSID总是一样的,则AP可以不用在消息中携带SSID,而AS知道SSID的值。AS也可以根据AP的BSSID查询获得其SSID。另外AP还可以将终端的MAC地址终端_Addr包含在认证请求消息中。AP可以从终端发送的消息帧头中获得终端的MAC地址。
步骤404、AS验证t和F,并生成PMK-R0和PMK-R1。
本步骤与图3所示步骤304中对t和F验证的过程类似,此处不再赘述。其区别在于,AS认证终端成功后,计算802.11r中定义的主密钥PMK-R0和PMK-R1,其中PMK-R1相当于802.11i中的PMK,而PMK-R0是为了实现移动快速切换增加的一个密钥层次。
计算PMK-R0和PMK-R1的过程可以为:
计算MSK,MSK=PRF-384(k,“FIA_MSK”,t||User-ID||AS-ID)。
其中PRF-384是一个杂凑函数,生成的结果为384比特,“FIA_MSK”是常量字符串。这样做的结果是为了产生一个与EAP认证结果一样的MSK,以后的密钥计算就可以采用现有802.11r中相同的计算过程。
得到MSK之后,AS就可以计算PMK-R0,先计算一个中间数据:
R0_Key_Data=KDF_384(MSK,“FT_R0”,SSIDlength||SSID||MDID||R0KHlength||R0KH-ID||S0KH-ID)
其中,KDF_384是一个杂凑函数,R0KH-ID是AS的标识,即AS-ID,S0KH-ID就是终端的MAC地址,即终端_Addr,SSIDlength是SSID的长度,R0KHlength是R0KH-ID的长度,“FT_R0”是固定的字符串。
如果实际上MSK没有用,也可以一步算出R0_Key_Data,例如:
R0_Key_Data=KDF_384(k,“FT_R0”,t||User-ID||SSIDlength||SSID||MDID||R0KHlength||R0KH-ID||S0KH-ID)
之后将R0_Key_Data的前256比特作为PMK-R0,R0_Key_Data的后128比特再经过一次杂凑运算得到PMKR0Name作为PMK-R0的标识符,这些都和现有规范一样,此处不再赘述。
在算出PMK-R0后,进一步计算PMK-R1,也使用现有算法:
PMK-R1=KDF_256(PMK-R0,“FT_R1″,R1KH-ID||S1KH-ID)
其中,KDF_256是一个杂凑函数,R1KH-ID是AP的标识,也就是AP的BSSID。S1KH-ID同样为终端_Addr,即终端的MAC地址,“FT_R1″是固定字符串,这个802.11r中的规定一样,此处不再赘述。
同时利用PMKR0Name和R1KH-ID(即BSSID)、S1KH-ID(即终端_Addr)经过杂凑运算得到PMKR1Name作为为PMK-R1的标识符,具体计算方法可以采用现有规范实现,此处不再赘述。
步骤405、AS向AP发送认证响应消息。
与图3所示步骤305的区别在于,本实施例的认证响应消息中除了包含User-ID、AS-ID、t、生成的PMK-R1、认证结果标识s以及第二身份认证值E之外,还可以包含SSID、BSSID、MDID以及终端_Addr。
步骤406、AP计算PTK。
AP收到AS的认证响应消息后,取出其中的PMK-R1,产生自己的现场值ANonce,计算PTK。PTK的计算仍采用现有802.11r规范中的公式(6)计算:
PTK=KDF_PTKLen(PMK-R1,“FT_PTK”,SNonce||ANonce||BSSID||终端_Addr) (6)
其中,KDF_PTKLen为伪随机数生成函数,“FT_PTK”是固定字符串。
另外,AP还可以利用PMKR1Name,SNonce、ANonce、BSSID、终端_Addr计算PTK的标识符PTKName,具体过程可以采用现有规范实现,此处不再赘述。
需要说明的是,本实施例仅示出AS和AP分离的情况,如果AS部署在AP上,则AS和AP之间不存在消息交互,步骤403~步骤406涉及的计算和判断均由AP执行。
步骤407、AP向终端发送第二认证消息。
本步骤与图3所示步骤307的区别在于,在该第二认证消息中,除了包含AP的现场值ANonce、认证结果标识s、第二身份认证值E以及AP自己计算的该消息的MIC之外,还包含MDID。由于终端在扫描阶段就获得了AS-ID即802.11r中所说的R0KH-ID,因此AP不需要将R0KH-ID告知终端,这和现有技术中AP需在关联响应消息中将R0KH-ID、R1KH-ID告知终端是不同的。
步骤408、终端验证E,计算PMK-R0、PMK-R1和PTK,并验证MIC。
终端收到第二认证消息后,采用e算法计算E,与消息中的E比较,若相同,则对AS认证通过,否则对AS认证失败。
终端认证AS成功后,计算PMK-R0、PMK-R1和PTK,计算方法同AS和AP。实际上终端可以从一开始就算出PMK-R0和PMK-R1,但PTK的计算则必须在这一步得到AP的现场值ANonce之后才能计算。
终端算出PTK之后,可以进一步验证第二认证消息中的MIC,其实现过程与图3所示步骤308中验证MIC的过程相同,不再赘述。
步骤409~步骤413的实现原理与图3所示步骤309~步骤313的实现原理类似,不再赘述。
至此,对802.11r初始接入过程进行简化的快速初始接入过程完成。
本实施例中,初始接入过程可以省略现有技术中EAP认证过程和四步握手过程,仅需要三到五个认证消息即可完成,消息数量大大减少,但实现了与现有技术相同的功能,并且同样可以通过计数器防止认证消息重放攻击,保证认证过程安全性。因此,本实施例可以实现WLAN快速安全的初始接入认证,缩短初始接入认证所需要的时间,降低实现的复杂度。另外,在实现快速接入认证的时候,可以保持802.11r所生成的密钥层次不变,保证初始接入认证不影响802.11r随后的快速切换过程。
图5为本发明接入认证处理方法实施例五的信令流程图,如图5所示,本实施例是在AP上设置计数器对802.11i的简化的技术方案,本实施例的方法可以包括:
步骤501、终端扫描发现AP,获取扫描信息。
该扫描信息可以包括:基础服务集标识BSSID、认证服务器标识AS-ID、AP计数器最新值c。其中,该BSSID即为AP的ID,也就是AP的MAC地址。如果AS部署在AP上,则AS-ID可以与BSSID相等,如果AS和AP是分离的,则AP可以通过网络配置获取AS-ID。认证服务器的标识也可以配置在终端上,而不通过扫描获得。
终端可以采用被动扫描方式或主动扫描方式获得上述信息。
本实施例中,AP维护一个计数器c(c既表示计数器又表示计数器的值,通常计数器就是指一个变量),每次发送信标帧或响应终端的探测请求而发送探测响应帧时都更新c的取值。c可以分成高位和低位两部分,高位在每次发送信标帧时增1;低位在每次发信标帧时归0,之后每次发探测响应帧时增1。
不管c怎样变化,c的变化要保证单调性,保证使用过的取值不被重复使用,并且要有利于判断。最简单的变化方式就是每次递增1,但分高低位的变化方式有利于AP对c值的有效性管理。
c的最新值保存在AP的非易失存储器中,这样AP下电后c就不会恢复到初始值。c的位数足够大,例如64比特位,就可认为永远不会溢出,也就是说AP在它的生命期内,c的取值永远不重复。以64比特位为例,若AP每10毫秒发送一次信标帧,并且平均每个信标周期都会响应多个终端的探测请求,为了便于计算,不妨假设每10毫秒c的值递增100,也即每毫秒c递增10,则也需要5千万年以上c才会溢出,即使按高低位变化方式,高位只取48比特,按照每毫秒递增10的速度,也需要近900年才会溢出,因此只要c取64比特位就可以认为永远不会溢出。
也可以不在信标帧中包含c,终端必须发送探测请求帧以便从探测响应帧获得最新的c,这样的话,c就可以总是简单地递增1,而与信标周期没有关系,也就不用分高低位的变化。
步骤502、终端向AP发送第一认证消息。
在该第一认证消息中包含User-ID、AS-ID、AP计数器的最新值c、终端的现场值SNonce,以及第一身份认证值F。其中也可以不包含AS-ID,参见步骤302的描述。其中的F是采用杂凑算法f由密钥k和c、还可以包含User-ID、AS-ID计算获得。F的计算可以采用公式(7)实现:
F=f(k,c||User-ID||AS-ID) (7)
计算F可以只使用k和c,而不使用User-ID、AS-ID,优选地,本实施例包含User-ID、AS-ID更能体现结果F的特异性,增加安全性。关于函数f和第一身份认证值F参考步骤302中的描述。
步骤503、AP检查c是否有效,并在有效时向AS发送认证请求消息。
AP收到终端的第一认证消息后,检查其中的c,如果c的取值无效,则忽略此消息。所谓c的取值无效包括但不限于如下情况:
1、第一认证消息中的c值大于AP最后一次发出去的c;
2、第一认证消息中的c值是较早以前产生的,超过一定时间,不再有效;
3、AP通过探测响应帧发出去的c值已经在其它认证请求消息中使用过。
对于第1种情况,终端发送的第一认证消息中的c值大于AP最后一次向外发送的c值,显然终端没有使用AP的信标帧或探测响应帧中的c值,自然是无效的。
对于第2种情况,AP发出去的c值有一个生命周期,例如1个信标周期内的c值才是有效的,如果终端使用的是AP的信标帧中的c值,则这个信标帧应该是最近一次的信标帧,如果终端是在发送探测请求后从AP的探测响应帧中获得c值,则应该在收到探测响应帧后一定时间例如10毫秒内向AP发送认证请求,否则所获得的c值超时失效。
对于第3种情况,AP判断收到的第一认证消息中的c值是不是已经在其它的第一认证消息中使用过,如果是,则忽略这次的第一认证消息,拒绝执行认证过程。
对于第2和第3种情况,AP可以记录最近通过探测响应帧发出的c值及其发出的时间,并且可以记录每个c值对应的发送探测请求帧的终端的MAC地址,这样的c值记录只保留一定时间,例如10毫秒,或0.5、1、或2个信标周期等。当AP收到终端的第一认证消息后,可以根据第一认证消息中的指示或c值的特征判断其是不是AP在探测响应帧中发送的c,如果是,可以根据终端的MAC和第一认证消息中的c值或仅根据第一认证消息中的c值在c值记录表中查找,若表中存在第一认证消息中的c值记录,则该第一认证消息是有效的,否则AP忽略此第一认证消息。AP从c值记录表查到第一认证消息中的c值记录后,从c值记录表中删除这个c值记录,表示已经收到过包含这样的c值的第一认证消息。对于c值记录表中的每个c值记录,即使没有收到过相应的第一认证消息,AP在其超时后也将其删除。通过上述处理,所述的c值记录表总是一个很小的表,AP查找迅速,对效率没什么影响。
若AP判断第一认证消息中c值有效,向AS发送认证请求消息,其中包含User-ID、AS-ID、c、F。其中AS-ID不是必须,参见步骤303相关描述。
步骤504、AS验证F,并在验证通过后生成PMK。
AS在收到AP的认证请求消息后,检查F是否正确,具体来说,AS根据User-ID找到对应的密钥k,使用与终端计算F时相同的函数f和数据计算F,当然计算F时可能包含User-ID、AS-ID,计算的数据源和终端要一致,这在实施本发明方案时规定。如果计算得到的F与认证请求消息中的F相等,那么AS对终端的认证成功。
AS认证终端成功后,计算PMK,可以采用下述公式(8)计算:
PMK=PRF-256(k,“FIA_PMK”,c||User-ID||AS-ID) (8)
具体的计算PMK的过程请参考步骤304中的相关描述。
步骤505、AS向AP发送认证响应消息。
本步骤与图3所示步骤305的区别在于,认证响应消息中以及相关计算中使用c而不是t。其它不再重复描述。
步骤506、AP计算PTK。
AP收到AS的认证响应消息后,若消息指示认证成功,取出其中的PMK,产生自己的现场值ANonce,计算PTK。具体参考步骤306的相关描述。
步骤507、AP向终端发送第二认证消息。
本步骤与图3所示步骤307的区别在于将t换成这里的c,其它一样,不再重复描述。
步骤508、终端认证AS和AP。具体参考步骤308的描述。
步骤509、终端向AP发送第三认证消息。具体参考步骤309的描述。
步骤510、AP认证终端。具体参考步骤310的描述。
步骤511、AP向AS发送快速认证确认消息。具体参考步骤311的描述。
步骤512、AP向终端发送第四认证消息。具体参考步骤312的描述。
步骤513、终端向AP发送第五认证消息。具体参考步骤313的描述。
至此,对802.11i初始接入过程进行简化的快速初始接入过程完成本实施例中,初始认证过程可以省略现有技术中EAP认证过程和四步握手过程,仅需要三到五个认证消息即可完成,消息数量大大减少,但实现了与现有技术相同的功能,并且同样可以通过设置在AP上的计数器防止认证消息重放攻击,保证认证过程安全性。因此,本实施例可以实现WLAN快速安全的初始接入认证,缩短初始接入认证所需要的时间,降低实现的复杂度。
图6为本发明接入认证处理方法实施例六的信令流程图,如图6所示,本实施例是AP上设置计数器对802.11r的简化的技术方案,本实施例的方法可以包括:
步骤601、终端扫描发现AP,获取扫描信息。
该步骤的实现原理与图5所示步骤501的实现原理类似,此处不再赘述。
步骤602、终端向AP发送第一认证消息。
本步骤与图5所示步骤502之间的区别在与,在步骤602的第一认证消息中,除了需要包含User-ID、AS-ID、c、SNonce以及F之外,还需要包含MDID。
步骤603、AP向AS发送认证请求消息。
本步骤与图5所示步骤503之间的区别在于,步骤603的认证请求消息中除了包含User-ID、AS-ID、c、F之外,AP还需要将MDID也包含在认证请求消息中,并且还可以将AP所在网络的SSID以及BSSID添加到认证请求消息中,需要说明的是,如果AP同属于一个网络,即SSID总是一样的,则AP可以不用在消息中携带SSID,而AS知道SSID的值。另外AP还可以将终端的MAC地址终端_Addr包含在认证请求消息中。AP可以从终端发送的消息帧头中获得终端的MAC地址。
步骤604、AS验证F,并在验证通过后生成PMK-R0和PMK-R1。
本步骤与图5所示步骤504中对F验证的过程类似,此处不再赘述。其区别在于,AS认证终端成功后,计算802.11r中定义的主密钥PMK-R0和PMK-R1。
步骤605~613与图5所示步骤505~513类似,此处不再赘述。
至此,对802.11r初始认证过程进行简化的快速初始认证过程完成。
本实施例中,初始认证过程可以省略现有技术中EAP认证过程和四步握手过程,仅需要三到五个认证消息即可完成,消息数量大大减少,但实现了与现有技术相同的功能,并且同样可以通过计数器防止认证消息重放攻击,保证认证过程安全性。因此,本实施例可以实现WLAN快速安全的初始接入认证,缩短初始接入认证所需要的时间,降低实现的复杂度。另外,在实现快速接入认证的时候,可以保持802.11r所生成的密钥层次不变,保证初始接入认证不影响802.11r随后的快速切换过程。
对于四个具体实施例来说,所提及的用PTK加密数据、解密数据和用PTK生成MIC和验证MIC等均可以按照802.11现有规范进行,实际上PTK包含了多个部分,分别用于保护消息完整性、保护密钥数据如GTK在传输中的私密性、保护数据帧中的数据的私密性等,这里简单地都说成是PTK。
需要特别说明的是,以上实施例的技术方案中可以将图3和图5所示实施例结合起来进行实施,即同时使用终端上的计数器t和AP上的计数器c,终端在发送第一认证消息时同时包含t和c的最新值,AP收到第一认证消息后检查c的有效性,AS收到认证请求消息后检查t的有效性。终端和AS在计算相关密钥时可同时使用t和c。同理,图4和图6所示实施例也可以结合起来实施。
图7为本发明终端实施例一的结构示意图,如图7所示,本实施例的终端可以包括:第一计数模块11、第一发送模块12、第一接收模块13、第一处理模块14以及第二发送模块15,其中,第一计数模块11用于进行计数,获取计数器当前值;第一发送模块12用于向网络设备发送第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、终端现场值以及用户标识;第一接收模块13用于接收所述网络设备根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理后发送的第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码;第一处理模块14用于根据所述计数器当前值、第二身份认证值以及所述共享密钥对所述网络设备进行认证处理,根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥,并使用所述临时密钥验证所述第二认证消息的消息完整性码;第二发送模块15用于向所述网络设备发送第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。
本实施例的终端可以执行图1所示方法实施例的方法,其实现原理和技术效果类似,此处不再赘述。
图8为本发明终端实施例二的结构示意图,如图8所示,本实施例的终端在图7所示终端的基础上,进一步地,还包括第二接收模块16,第二接收模块16用于接收所述网络设备发送的第四认证消息,所述第四认证消息中至少包含群临时密钥、组播相关信息以及所述第四认证消息的消息完整性码。第一发送模块12具体用于向接入点发送所述第一认证消息,所述第一认证消息中还包含认证服务器标识;第一接收模块13具体用于接收所述接入点与认证服务器根据所述用户标识、认证服务器标识、计数器当前值、第一身份认证值进行快速认证交互后所述接入点发送的第二认证消息,所述第二认证消息中包含所述认证服务器的认证结果标识、用于对认证服务器进行认证的第二身份认证值、接入点现场值、所述用户设备标识、所述认证服务器标识、所述计数器当前值以及所述第二认证消息的消息完整性码;第一处理模块14,包括:第一处理单元141和第二处理单元142,其中,第一处理单元141用于根据所述第二身份认证值对所述认证服务器进行认证,根据所述第二认证消息的消息完整性码对所述接入点进行认证;第二处理单元142用于根据所述共享密钥和所述计数器当前值生成主密钥,根据所述主密钥、所述终端现场值以及所述接入点现场值生成所述临时密钥。
本实施例的终端可以执行图3~6中任一实施例所述的方法,其实现原理和技术效果类似,此处不再赘述。
图9为本发明网络设备实施例一的结构示意图,如图9所示,本实施例的网络设备可以包括:第三接收模块21、第三处理模块22、第三发送模块23以及第四接收模块24,其中,第三接收模块21用于接收终端发送的第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、终端现场值以及用户标识;第三处理模块22用于根据所述计数器当前值、所述第一身份认证值以及所述用户标识对所述终端进行认证处理;第三发送模块23用于向所述终端发送第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获取的第二身份认证值以及所述第二认证消息的消息完整性码;第四接收模块24用于接收所述终端发送的第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。
本实施例的网络设备可以为与AS分离部署的AP或者AS部署在内部的AP,其可以执行图2所示实施例的方法,其实现原理和技术效果类似,此处不再赘述。其具体实现时,可以执行图3~6中任一实施例所述的方法,其实现原理和技术效果类似,此处不再赘述。
图10为本发明网络设备实施例二的结构示意图,如图10所示,本实施例网络设备在图9所示网络设备的基础上进一步地,还可以包括:第二计数模块25,该第二计数模块25用于进行计数,获取所述计数器当前值;所述第三发送模块23还用于将所述计数器当前值发送给所述终端。
本实施例的网络设备可以执行图4或者图6所示实施例的方法,其实现原理和技术效果类似,此处不再赘述。
图11为本发明接入认证处理系统实施例的结构示意图,如图11所示,本实施例的系统可以包括:网络设备1和终端2,其中,终端2用于向网络设备1发送第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、终端现场值以及用户标识;接收网络设备1发送的第二认证消息,所述第二认证消息中至少包含所述网络设备1的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码;根据所述计数器当前值、第二身份认证值以及所述共享密钥对所述网络设备1进行认证处理,根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥,并使用所述临时密钥验证所述第二认证消息的消息完整性码;向所述网络设备1发送第三认证消息,所述第三认证消息中包含对所述网络设备1进行认证的结果信息和所述第三认证消息的消息完整性码;网络设备1,用于接收终端2发送的所述第一认证消息,根据所述计数器当前值、所述第一身份认证值以及所述用户标识对所述终端2进行认证处理,向所述终端2发送所述第二认证消息,并接收所述终端2发送的所述第三认证消息。
在具体实现时,该网络设备1可以为内嵌AS的AP,或该网络设备1包括相互通信的AP和AS。对于AS与AP分离下的系统架构,其交互过程可以参见图3~6中任一实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (22)
1.一种接入认证处理方法,其特征在于,包括:
向网络设备发送第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、终端现场值以及用户标识;
接收所述网络设备根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理后发送的第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码;
根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理,根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥,并使用所述临时密钥验证所述第二认证消息的消息完整性码;
向所述网络设备发送第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。
2.根据权利要求1所述的方法,其特征在于,所述向网络设备发送第一认证消息之前或之后,还包括:
单调更新计数器当前值。
3.根据权利要求1所述的方法,其特征在于,所述向网络设备发送第一认证消息,包括:向接入点发送所述第一认证消息,所述第一认证消息中还包含认证服务器标识;
所述接收所述网络设备根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理后发送的第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获取的第二身份认证值以及所述第二认证消息的消息完整性码,包括:
接收所述接入点与认证服务器根据所述用户标识、所述认证服务器标识、所述计数器当前值以及所述第一身份认证值进行快速认证交互后由所述接入点发送的第二认证消息,所述第二认证消息中包含所述认证服务器的认证结果标识、用于对所述认证服务器进行认证的所述第二身份认证值、接入点现场值、所述用户设备标识、所述认证服务器标识、所述计数器当前值以及所述第二认证消息的消息完整性码;
所述根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理,包括:
根据所述第二身份认证值对所述认证服务器进行认证,根据所述第二认证消息的消息完整性码对所述接入点进行认证;
所述根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥,包括:
根据所述共享密钥和所述计数器当前值生成主密钥,根据所述主密钥、所述终端现场值以及所述接入点现场值生成所述临时密钥。
4.根据权利要求1所述的方法,其特征在于,所述第一认证消息和所述第二认证消息中还包含移动域标识。
5.根据权利要求1~4中任一权利要求所述的方法,其特征在于,所述计数器当前值包括:终端计数器当前值和/或网络设备计数器当前值。
6.根据权利要求5所述的方法,其特征在于,所述向网络设备发送第一认证消息之前,还包括:
接收所述网络设备发送的广播消息或探测响应消息,所述广播消息或探测响应消息中至少包含所述网络设备计数器当前值。
7.根据权利要求1~4中任一权利要求所述的方法,其特征在于,向所述网络设备发送第三认证消息之后,还包括:
接收所述网络设备发送的第四认证消息,所述第四认证消息中至少包含群临时密钥、组播相关信息以及所述第四认证消息的消息完整性码。
8.一种接入认证处理方法,其特征在于,包括:
接收终端发送的第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获得的第一身份认证值、终端现场值以及用户标识;
根据所述计数器当前值、所述第一身份认证值以及所述用户标识对所述终端进行认证处理;
向所述终端发送第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码;
接收所述终端发送的第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。
9.根据权利要求8所述的方法,其特征在于,所述接收终端发送的第一认证消息,包括:
接入点接收所述终端发送的第一认证消息,所述第一认证消息中还包含认证服务器标识;
所述根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理,包括:
所述接入点向认证服务器发送认证请求消息,所述认证请求消息中包含所述计数器当前值、所述第一身份认证值以及所述用户标识;
所述认证服务器根据所述用户标识、所述认证服务器标识、所述第一身份认证值以及所述计数器当前值,对所述终端进行认证处理,并向所述接入点发送认证响应消息,所述认证响应消息中包含对所述终端进行认证处理的结果信息和主密钥;
所述接入点生成接入点现场值,根据所述接入点现场值、所述终端现场值以及所述主密钥生成临时密钥。
10.根据权利要求9所述的方法,其特征在于,
所述认证服务器根据所述用户标识、所述认证服务器标识、所述第一身份认证值以及所述计数器当前值,对所述终端进行认证处理,并向所述接入点发送认证响应消息,所述认证响应消息中包含对所述终端进行认证处理的结果信息和主密钥,包括:
所述认证服务器根据本地存储的计数器当前值确定所述认证请求消息中包含的计数器当前值是否有效,若有效,所述认证服务器根据共享密钥以及所述计数器当前值计算获得身份认证值,并确定计算获得的身份认证值与所述认证请求消息中包含的第一身份认证值是否相等,若相等,则所述认证服务器对所述终端的认证通过,所述认证服务器更新本地存储的计数器当前值;
所述认证服务器根据所述共享密钥、所述计数器当前值、所述用户标识以及所述认证服务器标识计算获得主密钥;
所述认证服务器向所述接入点发送认证响应消息,所述认证响应消息中包含所述用户标识、所述认证服务器标识、所述认证服务器的认证结果标识、用于所述终端对所述认证服务器进行认证的第二身份认证值、所述计数器当前值以及所述主密钥;
所述向所述终端发送第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码,包括:
所述接入点向所述终端发送第二认证消息,所述第二认证消息中包含所述认证结果标识、所述第二身份认证值、所述接入点现场值、所述用户标识、所述认证服务器标识、所述计数器当前值以及所述第二认证消息的消息完整性码。
11.根据权利要求10所述的方法,其特征在于,所述第一认证消息以及所述认证请求消息中至少还包含移动域标识。
12.根据权利要求10或11所述的方法,其特征在于,所述计数器当前值包括:终端计数器当前值和/或接入点计数器当前值。
13.根据权利要求12所述的方法,其特征在于,所述接入点接收所述终端发送的第一认证消息之前,还包括:
所述接入点发送广播消息或向所述终端发送探测响应消息,所述探测响应消息中至少包含所述接入点计数器当前值;
所述接入点向所述认证服务器发送认证请求消息之前,还包括:
确定所述第一认证消息中包含的接入点计数器当前值是否有效。
14.根据权利要求13所述的方法,其特征在于,所述确定所述第一认证消息中包含的接入点计数器当前值是否有效,包括:
若所述第一认证消息中的接入点计数器当前值大于接入点最后一次发出去的计数值,则确定所述第一认证消息中包含的接入点计数器当前值无效;或者,
若所述第一认证消息中的接入点计数器当前值超过生命周期,则确定所述第一认证消息中包含的接入点计数器当前值无效;或者
若所述第一认证消息中的接入点计数器当前值被使用过,则确定所述第一认证消息中包含的接入点计数器当前值无效。
15.根据权利要求10或11所述的方法,其特征在于,接收所述终端发送的第三认证消息之后,还包括:
接收所述终端发送的第四认证消息,所述第四认证消息中至少包含群临时密钥、组播相关信息以及所述第四认证消息的消息完整性码。
16.一种终端,其特征在于,包括:
第一计数模块,用于进行计数,获取计数器当前值;
第一发送模块,用于向网络设备发送第一认证消息,所述第一认证消息中至少包含所述计数器当前值、根据所述计数器当前值和共享密钥获得的第一身份认证值、终端现场值以及用户标识;
第一接收模块,用于接收所述网络设备根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理后发送的第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码;
第一处理模块,用于根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理,根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥,并使用所述临时密钥验证所述第二认证消息的消息完整性码;
第二发送模块,用于向所述网络设备发送第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。
17.根据权利要求16所述的终端,其特征在于,
所述第一发送模块具体用于向接入点发送所述第一认证消息,所述第一认证消息中还包含认证服务器标识;
所述第一接收模块具体用于接收所述接入点与认证服务器根据所述用户标识、认证服务器标识、计数器当前值以及所述第一身份认证值进行快速认证交互后由所述接入点发送的第二认证消息,所述第二认证消息中包含所述认证服务器的认证结果标识、用于对认证服务器进行认证的第二身份认证值、接入点现场值、所述用户设备标识、所述认证服务器标识、所述计数器当前值以及所述第二认证消息的消息完整性码;
所述第一处理模块,包括:
第一处理单元,用于根据所述第二身份认证值对所述认证服务器进行认证,根据所述第二认证消息的消息完整性码对所述接入点进行认证;
第二处理单元,用于根据所述共享密钥和所述计数器当前值生成主密钥,根据所述主密钥、所述终端现场值以及所述接入点现场值生成所述临时密钥。
18.根据权利要求16或17所述的终端,其特征在于,还包括:
第二接收模块,用于接收所述网络设备发送的第四认证消息,所述第四认证消息中至少包含群临时密钥、组播相关信息以及所述第四认证消息的消息完整性码。
19.一种网络设备,其特征在于,包括:
第三接收模块,用于接收终端发送的第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、终端现场值以及用户标识;
第三处理模块,用于根据所述计数器当前值、所述第一身份认证值以及所述用户标识对所述终端进行认证处理;
第三发送模块,用于向所述终端发送第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获取的第二身份认证值以及所述第二认证消息的消息完整性码;
第四接收模块,用于接收所述终端发送的第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。
20.根据权利要求19所述的网络设备,其特征在于,还包括:
第二计数模块,用于进行计数,获取所述计数器当前值;
所述第三发送模块,还用于将所述计数器当前值发送给所述终端。
21.一种接入认证处理系统,其特征在于,包括:网络设备和终端,
所述终端,用于向网络设备发送第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、终端现场值以及用户标识;接收所述网络设备发送的第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码;根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理,根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥,并使用所述临时密钥验证所述第二认证消息的消息完整性码;向所述网络设备发送第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码;
所述网络设备,用于接收终端发送的所述第一认证消息,根据所述计数器当前值、所述第一身份认证值以及所述用户标识对所述终端进行认证处理,向所述终端发送所述第二认证消息,并接收所述终端发送的所述第三认证消息。
22.根据权利要求21所述的系统,其特征在于,所述网络设备为内嵌认证服务器的接入点,或者所述网络设备包括相互通信的接入点和认证服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110056759.8A CN102685741B (zh) | 2011-03-09 | 2011-03-09 | 接入认证处理方法及系统、终端和网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110056759.8A CN102685741B (zh) | 2011-03-09 | 2011-03-09 | 接入认证处理方法及系统、终端和网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102685741A true CN102685741A (zh) | 2012-09-19 |
| CN102685741B CN102685741B (zh) | 2014-12-03 |
Family
ID=46816976
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110056759.8A Active CN102685741B (zh) | 2011-03-09 | 2011-03-09 | 接入认证处理方法及系统、终端和网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102685741B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013166908A1 (zh) * | 2012-05-08 | 2013-11-14 | 华为终端有限公司 | 密钥信息生成方法及系统、终端设备、接入网设备 |
| WO2013166909A1 (zh) * | 2012-05-08 | 2013-11-14 | 华为终端有限公司 | Eap认证触发方法及系统、接入网设备、终端设备 |
| CN103560879A (zh) * | 2013-10-09 | 2014-02-05 | 中国科学院信息工程研究所 | 一种轻量级认证与密钥协商的实现方法 |
| WO2014071886A1 (zh) * | 2012-11-09 | 2014-05-15 | 华为终端有限公司 | 一种信息配置方法、设备及系统 |
| WO2014106402A1 (zh) * | 2013-01-06 | 2014-07-10 | 华为终端有限公司 | 一种安全认证的方法、设备及系统 |
| WO2014124561A1 (zh) * | 2013-02-18 | 2014-08-21 | 华为技术有限公司 | 实现在wlan中的通信的方法和系统 |
| CN104660405A (zh) * | 2013-11-21 | 2015-05-27 | 中国移动通信集团公司 | 一种业务设备认证方法及设备 |
| WO2015096138A1 (zh) * | 2013-12-27 | 2015-07-02 | 华为技术有限公司 | 分流方法、用户设备、基站和接入点 |
| CN104954125A (zh) * | 2014-03-25 | 2015-09-30 | 华为技术有限公司 | 密钥协商方法、用户设备、路由器及位置服务器 |
| WO2017167102A1 (zh) * | 2016-03-31 | 2017-10-05 | 中兴通讯股份有限公司 | 消息完整性认证信息的生成和验证方法、装置及验证系统 |
| CN107968774A (zh) * | 2016-10-20 | 2018-04-27 | 深圳联友科技有限公司 | 一种车联网终端设备的信息安全防护方法 |
| CN108323231A (zh) * | 2018-02-06 | 2018-07-24 | 福建联迪商用设备有限公司 | 一种传输密钥的方法、接收终端和分发终端 |
| CN108323230A (zh) * | 2018-02-06 | 2018-07-24 | 福建联迪商用设备有限公司 | 一种传输密钥的方法、接收终端和分发终端 |
| CN108449755A (zh) * | 2018-04-03 | 2018-08-24 | 新华三技术有限公司 | 一种终端接入方法和装置 |
| CN108924839A (zh) * | 2018-06-12 | 2018-11-30 | 上海康斐信息技术有限公司 | 一种基于wps的认证方法及智能设备及无线路由器及系统 |
| CN111865592A (zh) * | 2020-09-21 | 2020-10-30 | 四川科锐得电力通信技术有限公司 | 物联网设备快速接入方法、装置、物联网平台及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070297611A1 (en) * | 2004-08-25 | 2007-12-27 | Mi-Young Yun | Method for Security Association Negotiation with Extensible Authentication Protocol in Wireless Portable Internet System |
| CN101420695A (zh) * | 2008-12-16 | 2009-04-29 | 天津工业大学 | 一种基于无线局域网的3g用户快速漫游认证方法 |
| CN101810018A (zh) * | 2007-10-09 | 2010-08-18 | 朗讯科技公司 | 安全无线通信 |
-
2011
- 2011-03-09 CN CN201110056759.8A patent/CN102685741B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070297611A1 (en) * | 2004-08-25 | 2007-12-27 | Mi-Young Yun | Method for Security Association Negotiation with Extensible Authentication Protocol in Wireless Portable Internet System |
| CN101810018A (zh) * | 2007-10-09 | 2010-08-18 | 朗讯科技公司 | 安全无线通信 |
| CN101420695A (zh) * | 2008-12-16 | 2009-04-29 | 天津工业大学 | 一种基于无线局域网的3g用户快速漫游认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王佳斌: "一种高效WLAN接入及切换协议的设计与实现", 《西安电子科技大学硕士学位论文》 * |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013166909A1 (zh) * | 2012-05-08 | 2013-11-14 | 华为终端有限公司 | Eap认证触发方法及系统、接入网设备、终端设备 |
| WO2013166908A1 (zh) * | 2012-05-08 | 2013-11-14 | 华为终端有限公司 | 密钥信息生成方法及系统、终端设备、接入网设备 |
| WO2014071886A1 (zh) * | 2012-11-09 | 2014-05-15 | 华为终端有限公司 | 一种信息配置方法、设备及系统 |
| US9756504B2 (en) | 2013-01-06 | 2017-09-05 | Huawei Device Co., Ltd. | Security authentication method, device, and system |
| WO2014106402A1 (zh) * | 2013-01-06 | 2014-07-10 | 华为终端有限公司 | 一种安全认证的方法、设备及系统 |
| CN104247482A (zh) * | 2013-02-18 | 2014-12-24 | 华为技术有限公司 | 实现在wlan中的通信的方法和系统 |
| WO2014124561A1 (zh) * | 2013-02-18 | 2014-08-21 | 华为技术有限公司 | 实现在wlan中的通信的方法和系统 |
| CN103560879B (zh) * | 2013-10-09 | 2016-12-07 | 中国科学院信息工程研究所 | 一种轻量级认证与密钥协商的实现方法 |
| CN103560879A (zh) * | 2013-10-09 | 2014-02-05 | 中国科学院信息工程研究所 | 一种轻量级认证与密钥协商的实现方法 |
| CN104660405B (zh) * | 2013-11-21 | 2018-06-12 | 中国移动通信集团公司 | 一种业务设备认证方法及设备 |
| CN104660405A (zh) * | 2013-11-21 | 2015-05-27 | 中国移动通信集团公司 | 一种业务设备认证方法及设备 |
| WO2015096138A1 (zh) * | 2013-12-27 | 2015-07-02 | 华为技术有限公司 | 分流方法、用户设备、基站和接入点 |
| US10034215B2 (en) | 2013-12-27 | 2018-07-24 | Huawei Technologies Co., Ltd. | Offloading method, user equipment, base station, and access point |
| CN104954125A (zh) * | 2014-03-25 | 2015-09-30 | 华为技术有限公司 | 密钥协商方法、用户设备、路由器及位置服务器 |
| WO2017167102A1 (zh) * | 2016-03-31 | 2017-10-05 | 中兴通讯股份有限公司 | 消息完整性认证信息的生成和验证方法、装置及验证系统 |
| CN107968774A (zh) * | 2016-10-20 | 2018-04-27 | 深圳联友科技有限公司 | 一种车联网终端设备的信息安全防护方法 |
| CN107968774B (zh) * | 2016-10-20 | 2020-10-09 | 深圳联友科技有限公司 | 一种车联网终端设备的信息安全防护方法 |
| CN108323231A (zh) * | 2018-02-06 | 2018-07-24 | 福建联迪商用设备有限公司 | 一种传输密钥的方法、接收终端和分发终端 |
| CN108323230A (zh) * | 2018-02-06 | 2018-07-24 | 福建联迪商用设备有限公司 | 一种传输密钥的方法、接收终端和分发终端 |
| WO2019153110A1 (zh) * | 2018-02-06 | 2019-08-15 | 福建联迪商用设备有限公司 | 一种传输密钥的方法、接收终端和分发终端 |
| CN108323230B (zh) * | 2018-02-06 | 2021-03-05 | 福建联迪商用设备有限公司 | 一种传输密钥的方法、接收终端和分发终端 |
| CN108323231B (zh) * | 2018-02-06 | 2021-04-06 | 福建联迪商用设备有限公司 | 一种传输密钥的方法、接收终端和分发终端 |
| CN108449755A (zh) * | 2018-04-03 | 2018-08-24 | 新华三技术有限公司 | 一种终端接入方法和装置 |
| CN108924839A (zh) * | 2018-06-12 | 2018-11-30 | 上海康斐信息技术有限公司 | 一种基于wps的认证方法及智能设备及无线路由器及系统 |
| CN111865592A (zh) * | 2020-09-21 | 2020-10-30 | 四川科锐得电力通信技术有限公司 | 物联网设备快速接入方法、装置、物联网平台及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102685741B (zh) | 2014-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102685741B (zh) | 接入认证处理方法及系统、终端和网络设备 | |
| JP6262308B2 (ja) | リンク設定および認証を実行するシステムおよび方法 | |
| US7793103B2 (en) | Ad-hoc network key management | |
| CN103797830B (zh) | 用于对与一组共享临时密钥数据的交换进行编码的系统和方法 | |
| US9554270B2 (en) | Enhanced security for direct link communications | |
| CN101926151B (zh) | 建立安全关联的方法和通信网络系统 | |
| US8959607B2 (en) | Group key management and authentication schemes for mesh networks | |
| KR102024653B1 (ko) | 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템 | |
| TWI388180B (zh) | 通信系統中之金鑰產生 | |
| KR20100103721A (ko) | 무선 통신 네트워크에서 노드들의 상호 인증을 위한 방법 및 시스템 | |
| Dantu et al. | EAP methods for wireless networks | |
| JP2017513327A (ja) | ソーシャルWi−Fiメッシュネットワークに加わるための安全で簡略化された手続き | |
| CN101371491A (zh) | 提供无线网状网络的方法和装置 | |
| JP2011139457A (ja) | 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム | |
| CN102883316A (zh) | 建立连接的方法、终端和接入点 | |
| CN104602229A (zh) | 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法 | |
| CN102111761B (zh) | 密钥管理方法及设备 | |
| JP4498871B2 (ja) | 無線通信装置 | |
| WO2010094185A1 (zh) | 安全切换方法及系统 | |
| Singh et al. | Security in Wireless Local Area Networks (WLANs) | |
| Qachri et al. | A formally verified protocol for secure vertical handovers in 4G heterogeneous networks | |
| Shen et al. | Fast handover pre-authentication protocol in 3GPP-WLAN heterogeneous mobile networks | |
| Lin et al. | Performance Evaluation of the Fast Authentication Schemes in GSM-WLAN Heterogeneous Networks. | |
| US11902775B2 (en) | Encrypted nonces as rotated device addresses | |
| Huang et al. | A secure and efficient multi-device and multi-service authentication protocol (semmap) for 3gpp-lte networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20171031 Address after: Metro Songshan Lake high tech Industrial Development Zone, Guangdong Province, Dongguan City Road 523808 No. 2 South Factory (1) project B2 -5 production workshop Patentee after: Huawei terminal (Dongguan) Co.,Ltd. Address before: 518129 Longgang District, Guangdong, Bantian HUAWEI base B District, building 2, building No. Patentee before: HUAWEI DEVICE Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province Patentee after: HUAWEI DEVICE Co.,Ltd. Address before: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province Patentee before: Huawei terminal (Dongguan) Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20240402 Address after: Room 321, Jincai Building, Kangbashi New District, Ordos City, Inner Mongolia Autonomous Region Patentee after: Ordos Innovation Investment Group Co.,Ltd. Country or region after: China Address before: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province Patentee before: HUAWEI DEVICE Co.,Ltd. Country or region before: China |