CN103391540A - 密钥信息生成方法及系统、终端设备、接入网设备 - Google Patents
密钥信息生成方法及系统、终端设备、接入网设备 Download PDFInfo
- Publication number
- CN103391540A CN103391540A CN2012101402065A CN201210140206A CN103391540A CN 103391540 A CN103391540 A CN 103391540A CN 2012101402065 A CN2012101402065 A CN 2012101402065A CN 201210140206 A CN201210140206 A CN 201210140206A CN 103391540 A CN103391540 A CN 103391540A
- Authority
- CN
- China
- Prior art keywords
- message
- terminal equipment
- key information
- access network
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供密钥信息生成方法及系统、终端设备、接入网设备,通过在终端设备向接入网设备发送的关联请求消息中携带所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数,触发认证服务器与所述终端设备执行无线通信网络认证,以及使得所述接入网设备与所述终端设备生成用于会话消息的第二密钥信息,所述终端设备与所述接入网设备之间通过至少三个消息即能生成用于会话消息的第二密钥信息,解决了现有技术中由于终端设备与接入网设备之间交互的空口消息较多的问题,与现有技术相比,密钥信息的生成时间大大缩短,从而提高了密钥信息的生成效率,以及降低了接入网设备的信令处理负担。
Description
技术领域
本发明实施例涉及通信技术,尤其涉及密钥信息生成方法及系统、终端设备、接入网设备。
背景技术
在无线通信网络例如:无线局域网(Wireless Local Area Network,WLAN)连接的建立过程中,认证服务器(Authentication Server,AS)需要通过接入网设备,与终端设备执行可扩展的认证协议(ExtensibleAuthentication Protocol,EAP)认证。在EAP认证成功之后,通过接入网设备与终端设备执行四步密钥握手过程,生成用于会话消息的密钥信息。
然而,现有的密钥信息的生成过程中,终端设备与接入网设备之间交互的空口消息较多,使得密钥信息的生成时间较长,导致了密钥信息的生成效率的降低,以及接入网设备的信令处理负担的增加。
发明内容
本发明实施例提供密钥信息生成方法及系统、终端设备、接入网设备,用以提高密钥信息的生成效率。
一方面提供了一种密钥信息生成方法,包括:
终端设备向接入网设备发送关联请求消息,所述关联请求消息中包含所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数,以使得所述接入网设备根据所述终端设备的标识,触发认证服务器与所述终端设备执行无线通信网络认证,以及所述接入网设备根据第一密钥信息、所述第一随机数和所述接入网设备生成的用于密钥握手的第二随机数生成用于会话消息的第二密钥信息,所述第一密钥信息为所述认证服务器通过无线通信网络认证获得后发送给所述接入网设备,或者所述认证服务器预先配置后发送给所述接入网设备;
所述终端设备接收所述接入网设备发送的所述第二随机数、MIC和用于组播消息的第三密钥信息;
所述终端设备根据第四密钥信息、所述第一随机数和所述第二随机数,生成用于会话消息的第五密钥信息,所述第四密钥信息为所述终端设备通过无线通信网络认证获得,或者所述终端设备预先配置,所述第四密钥信息的内容与所述第一密钥信息的内容一致,所述第五密钥信息的内容与所述第二密钥信息的内容一致;
所述终端设备向所述接入网设备发送确认消息,所述确认消息用于通知成功完成所述无线通信网络认证。
另一方面提供了一种密钥信息生成方法,包括:
接入网设备接收终端设备发送的关联请求消息,所述关联请求消息中包含所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数;
所述接入网设备根据所述终端设备的标识,触发认证服务器与所述终端设备执行无线通信网络认证;
所述接入网设备根据第一密钥信息、所述第一随机数和所述接入网设备生成的用于密钥握手的第二随机数,生成用于会话消息的第二密钥信息,所述第一密钥信息为所述认证服务器通过无线通信网络认证获得后发送给所述接入网设备,或者所述认证服务器预先配置后发送给所述接入网设备;
所述接入网设备向所述终端设备发送所述第二随机数、MIC和用于组播消息的第三密钥信息,以使得所述终端设备根据第四密钥信息、所述第一随机数和所述第二随机数,生成用于会话消息的第五密钥信息,所述第四密钥信息为所述终端设备通过无线通信网络认证获得,或者所述终端设备预先配置,所述第四密钥信息的内容与所述第一密钥信息的内容一致,所述第五密钥信息的内容与所述第二密钥信息的内容一致;
所述接入网设备接收所述终端设备发送的确认消息,所述确认消息用于通知成功完成所述无线通信网络认证。
另一方面提供了一种终端设备,包括:
发送器,用于向接入网设备发送关联请求消息,所述关联请求消息中包含所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数,以使得所述接入网设备根据所述终端设备的标识,触发认证服务器与所述终端设备执行无线通信网络认证,以及所述接入网设备根据第一密钥信息、所述第一随机数和所述接入网设备生成的用于密钥握手的第二随机数生成用于会话消息的第二密钥信息,所述第一密钥信息为所述认证服务器通过无线通信网络认证获得后发送给所述接入网设备,或者所述认证服务器预先配置后发送给所述接入网设备;
接收器,用于接收所述接入网设备发送的所述第二随机数、MIC和用于组播消息的第三密钥信息;
处理器,用于根据第四密钥信息、所述第一随机数和所述第二随机数,生成用于会话消息的第五密钥信息,所述第四密钥信息为所述终端设备通过无线通信网络认证获得,或者所述终端设备预先配置,所述第四密钥信息的内容与所述第一密钥信息的内容一致,所述第五密钥信息的内容与所述第二密钥信息的内容一致;
所述发送器还用于向所述接入网设备发送确认消息,所述确认消息用于通知成功完成所述无线通信网络认证。
另一方面提供了一种接入网设备,包括:
接收器,用于接收终端设备发送的关联请求消息,所述关联请求消息中包含所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数;
处理器,用于根据所述终端设备的标识,触发认证服务器与所述终端设备执行无线通信网络认证,以及根据第一密钥信息、所述第一随机数和所述接入网设备生成的用于密钥握手的第二随机数,生成用于会话消息的第二密钥信息,所述第一密钥信息为所述认证服务器通过无线通信网络认证获得后发送给所述接入网设备,或者所述认证服务器预先配置后发送给所述接入网设备;
发送器,用于向所述终端设备发送所述第二随机数、MIC和用于组播消息的第三密钥信息,以使得所述终端设备根据第四密钥信息、所述第一随机数和所述第二随机数,生成用于会话消息的第五密钥信息,所述第四密钥信息为所述终端设备通过无线通信网络认证获得,或者所述终端设备预先配置,所述第四密钥信息的内容与所述第一密钥信息的内容一致,所述第五密钥信息的内容与所述第二密钥信息的内容一致;
所述接收器还用于接收所述终端设备发送的确认消息,所述确认消息用于通知成功完成所述无线通信网络认证。
另一方面提供了一种密钥信息生成系统,包括上述接入网设备,还包括认证服务器,用于受所述接入网设备触发与所述终端设备执行无线通信网络认证。
由上述技术方案可知,本发明实施例通过在终端设备向接入网设备发送的关联请求消息中携带所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数,触发认证服务器与所述终端设备执行无线通信网络认证,以及使得所述接入网设备与所述终端设备生成用于会话消息的第二密钥信息,所述终端设备与所述接入网设备之间通过至少三个消息即能生成用于会话消息的第二密钥信息,解决了现有技术中由于终端设备与接入网设备之间交互的空口消息较多的问题,与现有技术相比,密钥信息的生成时间大大缩短,从而提高了密钥信息的生成效率,以及降低了接入网设备的信令处理负担。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的密钥信息生成方法的流程示意图;
图2为本发明另一实施例提供的密钥信息生成方法的流程示意图;
图3为本发明另一实施例提供的密钥信息生成方法的流程示意图;
图4为本发明另一实施例提供的密钥信息生成方法的流程示意图;
图5为本发明另一实施例提供的终端设备的结构示意图;
图6为本发明另一实施例提供的接入网设备的结构示意图;
图7为本发明另一实施例提供的密钥信息生成系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的技术方案,可以应用于各种无线通信网络,例如:无线局域网(Wireless Local Area Network,WLAN)、全球移动通信系统(Global Systemfor Mobile Communications,GSM)网络、通用分组无线业务(GeneralPacket Radio Service,GPRS)网络、码分多址(Code Division MultipleAccess,CDMA)网络、CDMA2000网络、宽带码分多址(Wideband CodeDivision Multiple Access,WCDMA)网络、长期演进(Long Term Evolution,LTE)网络或全球微波接入互操作性(World Interoperability for MicrowaveAccess,WiMAX)网络等。
其中,接入网设备,可以是WLAN中的接入点(Access Point,AP),还可以是GSM网络、GPRS网络或CDMA网络中的基站(Base TransceiverStation,BTS),还可以是CDMA2000网络或WCDMA网络中的基站(NodeB),还可以是LTE网络中的演进型基站(Evolved NodeB,eNB),还可以是WiMAX网络中的接入服务网络的基站(Access Service NetworkBase Station,ASN BS)等网元;或也可以是以上所述接入点、基站后面的控制器或认证器等网元。
图1为本发明一实施例提供的密钥信息生成方法的流程示意图,如图1所示。
101、终端设备向接入网设备发送关联请求消息,所述关联请求消息中包含所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数,以使得所述接入网设备根据所述终端设备的标识,触发认证服务器与所述终端设备执行无线通信网络认证,以及所述接入网设备根据第一密钥信息、所述第一随机数和所述接入网设备生成的用于密钥握手的第二随机数生成用于会话消息的第二密钥信息,所述第一密钥信息为所述认证服务器通过无线通信网络认证获得后发送给所述接入网设备,或者所述认证服务器预先配置后发送给所述接入网设备。
其中,所述认证服务器所获得的所述第一密钥信息为所述认证服务器通过本次无线通信网络认证或者之前的无线通信网络认证获得后发送给所述接入网设备。
可选地,在本实施例的一个可选实施方式中,所述关联请求消息中所包含的所述终端设备的标识可以包括但不限于所述终端设备的用户标识或所述终端设备的设备标识。例如:所述终端设备的用户标识可以为业务层面的一个用户标识,即账号名;所述终端设备的设备标识可以为终端设备的媒体访问控制(Media Access Control,MAC)地址。
可选地,在本实施例的一个可选实施方式中,所述关联请求中还可以进一步包含无线通信网络认证开始指示,用以指示请求执行所述无线通信网络认证。
102、所述终端设备接收所述接入网设备发送的所述第二随机数、用于组播消息的第三密钥信息和消息完整性校验码(Message Integrity Code,MIC)。
103、所述终端设备根据第四密钥信息、所述第一随机数和所述第二随机数,生成用于会话消息的第五密钥信息,所述第四密钥信息为所述终端设备通过无线通信网络认证获得,或者所述终端设备预先配置,所述第四密钥信息的内容与所述第一密钥信息的内容一致,所述第五密钥信息的内容与所述第二密钥信息的内容一致。
其中,所述终端设备所获得的所述第四密钥信息为所述终端设备通过本次无线通信网络认证或者之前的无线通信网络认证获得。
104、所述终端设备向所述接入网设备发送确认消息,所述确认消息用于通知成功完成所述无线通信网络认证。
可选地,在本实施例的一个可选实施方式中,在102中,所述终端设备具体可以接收所述接入网设备发送的第一关联响应消息,所述第一关联响应消息中包含所述第二随机数,所述第三密钥信息和所述MIC,所述第一关联响应消息为所述认证服务器在与所述终端设备执行无线通信网络认证成功后触发所述接入网设备发送给所述终端设备。其中,所述确认消息可以为关联确认消息。
可以理解的是:所述第一关联响应消息中还可以进一步包含所述接入网设备为所述终端设备分配的关联标识(Association ID,AID),所述关联标识用于在一个无线通信网络例如:无线局域网中唯一标识一个设备。
以WIFI网络为例,相应地,所述无线通信网络认证则可以为EAP认证。那么,进一步可选地,所述关联请求消息中还可以进一步包含EAP认证开始指示,用以指示请求执行所述EAP认证。相应地,所述第一关联响应消息中还可以进一步包含EAP认证成功指示。所述第一密钥信息可以为成对主密钥(Pai rwise Master Key,PMK),或者还可以为预先配置的是预共享密钥(Pre-Shared Key,PSK);第二密钥信息则可以为成对临时密钥(PairwiseTransient Key,PTK);第三密钥信息则可以为组播临时密钥(GroupTransient Key,GTK)。
可选地,在本实施例的一个可选实施方式中,在102中,所述终端设备具体可以接收所述接入网设备发送的第二关联响应消息,所述第二关联响应消息中包含所述第二随机数;以及接收所述接入网设备发送的密钥消息,所述密钥消息中包含所述第三密钥信息和所述MIC,所述密钥消息为所述认证服务器在与所述终端设备执行无线通信网络认证成功后触发所述接入网设备发送给所述终端设备。
可以理解的是:所述第二关联响应消息中还可以进一步包含所述接入网设备为所述终端设备分配的关联标识(Association ID,AID),所述关联标识用于在一个无线通信网络例如:无线局域网中唯一标识一个设备。
以WIFI网络为例,相应地,所述无线通信网络认证则可以为EAP认证。那么,进一步可选地,所述关联请求消息中还可以进一步包含EAP认证开始指示,用以指示请求执行所述EAP认证。相应地,所述密钥消息中还可以进一步包含EAP认证成功指示。其中,所述密钥消息可以为局域网(Local AreaNetwork,LAN)上的EAP(EAP over LAN,EAPoL)密钥(EAPoL-key)消息;相应地,所述确认消息则可以为EAPoL-key消息。可以理解的是:所述EAP认证是在所述接入网设备接收关联请求消息之后触发所述认证服务器与所述终端设备执行,并且在所述终端设备接收EAPoL-key消息之前完成。
本实施例中,通过在终端设备向接入网设备发送的关联请求消息中携带所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数,触发认证服务器与所述终端设备执行无线通信网络认证,以及使得所述接入网设备与所述终端设备生成用于会话消息的第二密钥信息,所述终端设备与所述接入网设备之间通过至少三个消息即能生成用于会话消息的第二密钥信息,解决了现有技术中由于终端设备与接入网设备之间交互的空口消息较多的问题,与现有技术相比,密钥信息的生成时间大大缩短,从而提高了密钥信息的生成效率,以及降低了接入网设备的信令处理负担。
图2为本发明另一实施例提供的密钥信息生成方法的流程示意图,如图2所示。
201、接入网设备接收终端设备发送的关联请求消息,所述关联请求消息中包含所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数。
可选地,在本实施例的一个可选实施方式中,所述关联请求消息中所包含的所述终端设备的标识可以包括但不限于所述终端设备的用户标识或所述终端设备的设备标识。例如:所述终端设备的用户标识可以为业务层面的一个用户标识,即账号名;所述终端设备的设备标识可以为终端设备的媒体访问控制(Media Access Control,MAC)地址。
可选地,在本实施例的一个可选实施方式中,所述关联请求中还可以进一步包含无线通信网络认证开始指示,用以指示请求执行所述无线通信网络认证。
202、所述接入网设备根据所述终端设备的标识,触发认证服务器与所述终端设备执行无线通信网络认证。
203、所述接入网设备根据第一密钥信息、所述第一随机数和所述接入网设备生成的用于密钥握手的第二随机数,生成用于会话消息的第二密钥信息,所述第一密钥信息为所述认证服务器通过无线通信网络认证获得后发送给所述接入网设备,或者所述认证服务器预先配置后发送给所述接入网设备。
其中,所述认证服务器所获得的所述第一密钥信息为所述认证服务器通过本次无线通信网络认证或者之前的无线通信网络认证获得后发送给所述接入网设备。
204、所述接入网设备向所述终端设备发送所述第二随机数、MIC和用于组播消息的第三密钥信息,以使得所述终端设备根据第四密钥信息、所述第一随机数和所述第二随机数,生成用于会话消息的第五密钥信息,所述第四密钥信息为所述终端设备通过无线通信网络认证获得,或者所述终端设备预先配置,所述第四密钥信息的内容与所述第一密钥信息的内容一致,所述第五密钥信息的内容与所述第二密钥信息的内容一致。
其中,所述终端设备所获得的所述第四密钥信息为所述终端设备通过本次无线通信网络认证或者之前的无线通信网络认证获得。
205、所述接入网设备接收所述终端设备发送的确认消息,所述确认消息用于通知成功完成所述无线通信网络认证。
可选地,在本实施例的一个可选实施方式中,在204中,所述接入网设备在所述认证服务器与所述终端设备执行无线通信网络认证成功时,向所述终端设备发送第一关联响应消息,所述第一关联响应消息中包含所述第二随机数,所述第三密钥信息和所述MIC。其中,所述确认消息可以为关联确认消息。
可以理解的是:所述第一关联响应消息中还可以进一步包含所述接入网设备为所述终端设备分配的关联标识(Association ID,AID),所述关联标识用于在一个无线通信网络例如:无线局域网中唯一标识一个设备。
以WIFI网络为例,相应地,所述无线通信网络认证则可以为EAP认证。那么,进一步可选地,所述关联请求消息中还可以进一步包含EAP认证开始指示,用以指示请求执行所述EAP认证。相应地,所述第一关联响应消息中还可以进一步包含EAP认证成功指示。所述第一密钥信息可以为成对主密钥(Pairwise Master Key,PMK),或者还可以为预先配置的是预共享密钥(Pre-Shared Key,PSK);第二密钥信息则可以为成对临时密钥(PairwiseTransient Key,PTK);第三密钥信息则可以为组播临时密钥(GroupTransient Key,GTK)。
可选地,在本实施例的一个可选实施方式中,在204中,所述接入网设备具体可以向所述终端设备发送第二关联响应消息,所述第二关联响应消息中包含所述第二随机数;以及所述接入网设备在所述认证服务器与所述终端设备执行无线通信网络认证成功时,向所述终端设备发送密钥消息,所述密钥消息中包含所述第三密钥信息和所述MIC。
可以理解的是:所述第二关联响应消息中还可以进一步包含所述接入网设备为所述终端设备分配的关联标识(Association ID,AID),所述关联标识用于在一个无线通信网络例如:无线局域网中唯一标识一个设备。
以WIFI网络为例,相应地,所述无线通信网络认证则可以为EAP认证。那么,进一步可选地,所述关联请求消息中还可以进一步包含EAP认证开始指示,用以指示请求执行所述EAP认证。相应地,所述密钥消息中还可以进一步包含EAP认证成功指示。其中,所述密钥消息可以为局域网(Local AreaNetwork,LAN)上的EAP(EAP over LAN,EAPoL)密钥(EAPoL-key)消息;相应地,所述确认消息则可以为EAPoL-key消息。可以理解的是:所述EAP认证是在所述接入网设备接收关联请求消息之后触发所述认证服务器与所述终端设备执行,并且在所述终端设备接收EAPoL-key消息之前完成。
本实施例中,通过在终端设备向接入网设备发送的关联请求消息中携带所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数,触发认证服务器与所述终端设备执行无线通信网络认证,以及使得所述接入网设备与所述终端设备生成用于会话消息的第二密钥信息,所述终端设备与所述接入网设备之间通过至少三个消息即能生成用于会话消息的第二密钥信息,解决了现有技术中由于终端设备与接入网设备之间交互的空口消息较多的问题,与现有技术相比,密钥信息的生成时间大大缩短,从而提高了密钥信息的生成效率,以及降低了接入网设备的信令处理负担。
为使得本发明实施例提供的方法更加清楚,下面将以WIFI网络作为举例。其中,终端设备可以是WI FI网络中的站点(Station,简称STA)。
图3为本发明另一实施例提供的密钥信息生成方法的流程示意图,具体地,通过采用3步关联消息(即关联请求消息、关联响应消息和关联确认消息)实现STA与AP的关联、STA与AS的EAP认证和STA与AP的四步密钥握手(4-Way Handshake),如图3所示。
301、STA向AP发送关联(Association)请求(Request)消息,所述关联请求消息中包含EAP认证开始指示、STA的用户标识和STA生成的用于密钥握手的第一随机数SNonce。
在301之前,STA可以通过被动扫描或主动扫描,发现AP,该AP可以支持本实施例后续步骤的执行。
需要说明的是,所述关联请求消息中所包含的EAP认证开始指示可以是隐含的,例如:通过在现有关联请求消息中设置的一个位来体现,再例如:通过其他字段(如STA的用户标识)来体现,即当AP接收到包含STA的用户标识的关联请求消息后即认为STA发送了EAP认证开始指示,请求执行所述EAP认证;或者也可以是显示的,即通过在现有关联请求消息中新增加信息元素(Information Element,简称IE)来包含所述EAP认证开始指示。
需要说明的是,本实施例具体可以通过在现有关联请求消息中新增加IE来包含STA的用户标识。
需要说明的是,本实施例具体可以通过在现有关联请求消息中新增加IE,所述IE可以直接包含STA生成的用于密钥握手的第一随机数SNonce,或者所述IE还可以携带一个EAPoL-Key消息,所述EAPoL-Key消息中封装有所述第一随机数SNonce。
302、AP根据显示的所述EAP认证开始指示,或者根据隐含的所述EAP认证开始指示即STA的用户标识,向AS发送EAP认证请求消息,所述EAP认证请求消息中包含STA的用户标识,用以通知AS需要执行EAP认证的STA。
可选地,所述EAP认证请求消息中还可以进一步包括STA的安全认证能力信息,以使得AS能够根据所述STA支持的安全认证能力信息选择合适的认证方法。
303、STA与AS进行EAP认证,以实现AS对STA的认证,或者AS与STA双方的相互认证,并通过所述EAP认证生成成对主密钥(PairwiseMaster Key,PMK)。
具体地,EAP认证方法可以由AS选择,或者还可以通过AS与STA进行协商确定,本实施例对此不进行限定。
其中,所述EAP认证的消息传输的格式可以直接采用EAP封装,或者也可以采用802.1X封装,本实施例对此不进行限定。
304、AS向AP发送EAP认证成功消息,并同时将所述PMK发送给AP。
可以理解的是:如果AS的功能由AP实现,即AS位于AP上,该步骤的发送过程则无需执行。
305、AP根据所述第一随机数SNonce、所述PMK和AP生成的用于密钥握手的第二随机数ANonce,生成成对临时密钥(Pairwise Transient Key,PTK),并向STA发送关联响应(Response)消息,所述关联响应消息中包含EAP认证成功指示、所述第二随机数ANonce、用于组播消息的组播临时密钥(Group Transient Key,GTK)、消息完整性校验码(Message IntegrityCode,MIC)和AP为STA分配的AID。
需要说明的是,所述关联响应消息中包含的EAP认证成功指示可以是隐含的,例如:通过在现有关联响应消息中设置的一个位来体现,再例如:通过其他字段(如所述GTK)来体现;或者也可以是显示的,即通过在现有关联请求消息中新增加信息元素(Information Element,简称IE)来包含所述EAP认证成功指示。
需要说明的是,本实施例具体可以通过在现有关联响应消息中新增加IE,所述IE可以直接包含AP生成的用于密钥握手的第二随机数ANonce,或者所述IE还可以携带一个802.1X消息,所述802.1X消息中封转有所述第二随机数ANonce。
需要说明的是,AID是AP分配给STA的关联标识,可以是未加密的;或者还可以是通过PTK加密后放入IE中的,由于AID是AP在生成PTK生成之后为STA分配的,采用PTK对AID进行加密,进一步提高了AID的安全性。
需要说明的是,GTK,用于AP进行组播时加密使用,这里通过PTK进行加密传输给STA。
需要说明的是,MIC,采用PTK对消息摘要或部分内容进行加密,用于STA确认;
306、STA根据所述PMK或者预先配置的PSK、所述第一随机数SNonce和所述第二随机数ANonce,生成PTK,并利用生成的PTK验证所述MIC,并向AP发送关联确认(Confirm)消息,用以通知STA成功完成EAP认证。
可以理解的是,所述STA可以在向AP发送EAPoL-key消息之前,或者同时,或者之后,安装所述PTK和所述GTK等相关密钥。
可以理解的是,如果AID是经过加密的,STA还可以进一步利用生成的PTK,解密获得所述AID。
可以理解的是,所述关联确认消息中还可以进一步包含该消息对应的MIC。
至此,STA实现了STA与AP的关联、STA与AS的EAP认证和STA与AP的密钥握手,以及生成并安装了用于会话消息的PTK等。
与现有标准中的关联、EAP认证和密钥握手相比,去除了不产生任何实际作用的开放认证,将EAPoL-Start和STA的用户标识的交互和并到关联请求消息中,并且在关联过程中并行处理密钥握手信息,通过3步关联消息(即关联请求消息、关联响应消息和关联确认消息)即可实现PTK的生成并安装,可以减少11条消息交互,从而极大地提高了初始链路建立(包括密钥信息生成)过程的效率。
本实施例中,通过在STA向AP发送的关联请求消息中携带所述STA的标识和所述STA生成的用于密钥握手的第一随机数SNonce,触发认证服务器与所述终端设备执行无线通信网络认证,以及使得所述AP与所述STA生成用于会话消息的第二密钥信息PTK,所述STA与所述AP之间通过三个消息即能生成用于会话消息的第二密钥信息PTK,解决了现有技术中由于STA与AP之间交互的空口消息较多的问题,与现有技术相比,密钥信息的生成时间大大缩短,从而提高了密钥信息的生成效率,以及降低了接入网设备的信令处理负担。
图4为本发明另一实施例提供的密钥信息生成方法的流程示意图,具体地,通过采用2步关联消息(即关联请求消息和关联响应消息)实现STA与AP的关联,并且在关联过程中实现STA的用户标识的传输和EAP认证的启动,同时在关联过程中进行STA与AP的四步密钥握手(4-Way Handshake)中前两步的随机数的交互,如图4所示。
401、STA向AP发送关联(Association)请求(Request)消息,所述关联请求消息中包含EAP认证开始指示、STA的用户标识和STA生成的用于密钥握手的第一随机数SNonce。
在401之前,STA可以通过被动扫描或主动扫描,发现AP,该AP可以支持本实施例后续步骤的执行。
需要说明的是,所述关联请求消息中所包含的EAP认证开始指示可以是隐含的,例如:通过在现有关联请求消息中设置的一个位来体现,再例如:通过其他字段(如STA的用户标识)来体现,即当AP接收到包含STA的用户标识的关联请求消息后即认为STA发送了EAP认证开始指示,请求执行所述EAP认证;或者也可以是显示的,即通过在现有关联请求消息中新增加信息元素(Information Element,简称IE)来包含所述EAP认证开始指示。
需要说明的是,本实施例具体可以通过在现有关联请求消息中新增加IE来包含STA的用户标识。
需要说明的是,本实施例具体可以通过在现有关联请求消息中新增加IE,所述IE可以直接包含STA生成的用于密钥握手的第一随机数SNonce,或者所述I E还可以携带一个EAPoL-Key消息,所述EAPoL-Key消息中封装有所述第一随机数SNonce。
402、AP向STA发送关联响应(Response)消息,所述关联响应消息中包含AP生成的用于密钥握手的第二随机数ANonce和AP为STA分配的AID。
需要说明的是,本实施例具体可以通过在现有关联响应消息中新增加IE,所述IE可以直接包含AP生成的用于密钥握手的第二随机数ANonce,或者所述IE还可以携带一个802.1X消息,所述802.1X消息中封转有所述第二随机数ANonce。
需要说明的是,AID是AP分配给STA的关联标识,是未加密的。
403、AP根据显示的所述EAP认证开始指示,或者根据隐含的所述EAP认证开始指示即STA的用户标识,向AS发送EAP认证请求消息,所述EAP认证请求消息中包含STA的用户标识,用以通知AS需要执行EAP认证的STA。
可选地,所述EAP认证请求消息中还可以进一步包括STA的安全认证能力信息,以使得AS能够根据所述STA支持的安全认证能力信息选择合适的认证方法。
404、STA与AS进行EAP认证,以实现AS对STA的认证,或者AS与STA双方的相互认证,并通过所述EAP认证生成成对主密钥(PairwiseMaster Key,PMK)。
具体地,EAP认证方法可以由AS选择,或者还可以通过AS与STA进行协商确定,本实施例对此不进行限定。
其中,所述EAP认证的消息传输的格式可以直接采用EAP封装,或者也可以采用802.1X封装,本实施例对此不进行限定。
405、AS向AP发送EAP认证成功消息,并同时将所述PMK发送给AP。
可以理解的是:如果AS的功能由AP实现,即AS位于AP上,该步骤的发送过程则无需执行。
406、AP根据所述第一随机数SNonce、所述PMK和AP生成的用于密钥握手的第二随机数ANonce,生成成对临时密钥(Pairwise Transient Key,PTK),并向STA发送EAPoL-key消息,所述EAPoL-key消息中包含EAP认证成功指示、用于组播消息的组播临时密钥(Group Transient Key,GTK)和消息完整性校验码(Message Integrity Code,MIC)。
需要说明的是,所述EAPoL-key消息中包含的EAP认证成功指示可以是隐含的,例如:通过在现有关联响应消息中设置的一个位来体现,再例如:通过其他字段(如所述GTK)来体现;或者也可以是显示的,即通过在现有关联请求消息中新增加信息元素(Information Element,简称IE)来包含所述EAP认证成功指示。
需要说明的是,GTK,用于AP进行组播时加密使用,这里通过PTK进行加密传输给STA。
需要说明的是,MIC,采用PTK对消息摘要或部分内容进行加密,用于STA确认;
407、STA根据所述PMK或者预先配置的PSK、所述第一随机数SNonce和所述第二随机数ANonce,生成PTK,并利用生成的PTK验证所述MIC,并向AP发送EAPoL-key消息,用以通知STA成功完成EAP认证。
可以理解的是,所述STA可以在向AP发送EAPoL-key消息之前,或者同时,或者之后,安装所述PTK和所述GTK等相关密钥。
可以理解的是,所述EAPoL-key消息中还可以进一步包含该消息对应的MIC。
至此,STA实现了STA与AP的关联、STA与AS的EAP认证和STA与AP的四步密钥握手(4-Way Handshake),以及生成并安装了用于会话消息的PTK等。
与现有标准中的关联、EAP认证和密钥握手相比,去除了不产生任何实际作用的开放认证,将EAPoL-Start和STA的用户标识的交互和并到关联请求消息中,并且在关联过程中并行处理密钥握手信息,通过4步消息(即关联请求消息、关联响应消息、EAPoL-key消息和EAPoL-key消息)即可实现PTK的生成并安装,可以减少10条消息交互,从而极大地提高了初始链路建立(包括密钥信息生成)过程的效率。
本实施例中,通过在STA向AP发送的关联请求消息中携带所述STA的标识和所述STA生成的用于密钥握手的第一随机数SNonce,触发认证服务器与所述终端设备执行无线通信网络认证,以及使得所述AP与所述STA生成用于会话消息的第二密钥信息PTK,所述STA与所述AP之间通过四个消息即能生成用于会话消息的第二密钥信息PTK,解决了现有技术中由于STA与AP之间交互的空口消息较多的问题,与现有技术相比,密钥信息的生成时间大大缩短,从而提高了密钥信息的生成效率,以及降低了接入网设备的信令处理负担。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
图5为本发明另一实施例提供的终端设备的结构示意图,如图5所示,本实施例的终端设备可以包括发送器51、接收器52和处理器53。其中,发送器51用于向接入网设备发送关联请求消息,所述关联请求消息中包含所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数,以使得所述接入网设备根据所述终端设备的标识,触发认证服务器与所述终端设备执行无线通信网络认证,以及所述接入网设备根据第一密钥信息、所述第一随机数和所述接入网设备生成的用于密钥握手的第二随机数生成用于会话消息的第二密钥信息,所述第一密钥信息为所述认证服务器通过无线通信网络认证获得后发送给所述接入网设备,或者所述认证服务器预先配置后发送给所述接入网设备;接收器52用于接收所述接入网设备发送的所述第二随机数、MIC和用于组播消息的第三密钥信息;处理器53用于根据第四密钥信息、所述第一随机数和所述第二随机数,生成用于会话消息的第五密钥信息,所述第四密钥信息为所述终端设备通过无线通信网络认证获得,或者所述终端设备预先配置,所述第四密钥信息的内容与所述第一密钥信息的内容一致,所述第五密钥信息的内容与所述第二密钥信息的内容一致;发送器51还用于向所述接入网设备发送确认消息,所述确认消息用于通知成功完成所述无线通信网络认证。
可选地,在本实施例的一个可选实施方式中,所述关联请求消息中所包含的所述终端设备的标识可以包括但不限于所述终端设备的用户标识或所述终端设备的设备标识。例如:所述终端设备的用户标识可以为业务层面的一个用户标识,即账号名;所述终端设备的设备标识可以为终端设备的媒体访问控制(Media Access Control,MAC)地址。
可选地,在本实施例的一个可选实施方式中,所述关联请求中还可以进一步包含无线通信网络认证开始指示,用以指示请求执行所述无线通信网络认证。
可选地,在本实施例的一个可选实施方式中,接收器52具体可以接收所述接入网设备发送的第一关联响应消息,所述第一关联响应消息中包含所述第二随机数,所述第三密钥信息和所述MIC,所述第一关联响应消息为所述认证服务器在与所述终端设备执行无线通信网络认证成功后触发所述接入网设备发送给所述终端设备。其中,所述确认消息可以为关联确认消息。
可以理解的是:所述第一关联响应消息中还可以进一步包含所述接入网设备为所述终端设备分配的关联标识(Association ID,AID),所述关联标识用于在一个无线通信网络例如:无线局域网中唯一标识一个设备。
以WIFI网络为例,相应地,所述无线通信网络认证则可以为EAP认证。那么,进一步可选地,所述关联请求消息中还可以进一步包含EAP认证开始指示,用以指示请求执行所述EAP认证。相应地,所述第一关联响应消息中还可以进一步包含EAP认证成功指示。所述第一密钥信息可以为成对主密钥(Pairwise Master Key,PMK),或者还可以为预先配置的是预共享密钥(Pre-Shared Key,PSK);第二密钥信息则可以为成对临时密钥(PairwiseTransient Key,PTK);第三密钥信息则可以为组播临时密钥(GroupTransient Key,GTK)。
可选地,在本实施例的一个可选实施方式中,接收器52具体可以接收所述接入网设备发送的第二关联响应消息,所述第二关联响应消息中包含所述第二随机数,以及接收所述接入网设备发送的密钥消息,所述密钥消息中包含所述第三密钥信息和所述MIC,所述密钥消息为所述认证服务器在与所述终端设备执行无线通信网络认证成功后触发所述接入网设备发送给所述终端设备。
可以理解的是:所述第二关联响应消息中还可以进一步包含所述接入网设备为所述终端设备分配的关联标识(Association ID,AID),所述关联标识用于在一个无线通信网络例如:无线局域网中唯一标识一个设备。
以WIFI网络为例,相应地,所述无线通信网络认证则可以为EAP认证。那么,进一步可选地,所述关联请求消息中还可以进一步包含EAP认证开始指示,用以指示请求执行所述EAP认证。相应地,所述密钥消息中还可以进一步包含EAP认证成功指示。其中,所述密钥消息可以为局域网(Local AreaNetwork,LAN)上的EAP(EAP over LAN,EAPoL)密钥(EAPoL-key)消息;相应地,所述确认消息则可以为EAPoL-key消息。可以理解的是:所述EAP认证是在所述接入网设备接收关联请求消息之后触发所述认证服务器与所述终端设备执行,并且在所述终端设备接收EAPoL-key消息之前完成。
本实施例中,终端设备通过在发送器向接入网设备发送的关联请求消息中携带所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数,触发认证服务器与所述终端设备执行无线通信网络认证,以及使得所述接入网设备与处理器生成用于会话消息的第二密钥信息,所述终端设备与所述接入网设备之间通过至少三个消息即能生成用于会话消息的第二密钥信息,解决了现有技术中由于终端设备与接入网设备之间交互的空口消息较多的问题,与现有技术相比,密钥信息的生成时间大大缩短,从而提高了密钥信息的生成效率,以及降低了接入网设备的信令处理负担。
图6为本发明另一实施例提供的接入网设备的结构示意图,如图6所示,本实施例的接入网设备可以包括接收器61、处理器62和发送器63。其中,接收器61用于接收终端设备发送的关联请求消息,所述关联请求消息中包含所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数;处理器62用于根据所述终端设备的标识,触发认证服务器与所述终端设备执行无线通信网络认证,以及根据第一密钥信息、所述第一随机数和所述接入网设备生成的用于密钥握手的第二随机数,生成用于会话消息的第二密钥信息,所述第一密钥信息为所述认证服务器通过无线通信网络认证获得后发送给所述接入网设备,或者所述认证服务器预先配置后发送给所述接入网设备;发送器63用于向所述终端设备发送所述第二随机数、MIC和用于组播消息的第三密钥信息,以使得所述终端设备根据第四密钥信息、所述第一随机数和所述第二随机数,生成用于会话消息的第五密钥信息,所述第四密钥信息为所述终端设备通过无线通信网络认证获得,或者所述终端设备预先配置,所述第四密钥信息的内容与所述第一密钥信息的内容一致,所述第五密钥信息的内容与所述第二密钥信息的内容一致;接收器61还用于接收所述终端设备发送的确认消息,所述确认消息用于通知成功完成所述无线通信网络认证。
可选地,在本实施例的一个可选实施方式中,所述关联请求消息中所包含的所述终端设备的标识可以包括但不限于所述终端设备的用户标识或所述终端设备的设备标识。例如:所述终端设备的用户标识可以为业务层面的一个用户标识,即账号名;所述终端设备的设备标识可以为终端设备的媒体访问控制(Media Access Control,MAC)地址。
可选地,在本实施例的一个可选实施方式中,所述关联请求中还可以进一步包含无线通信网络认证开始指示,用以指示请求执行所述无线通信网络认证。
可选地,在本实施例的一个可选实施方式中,发送器63具体可以当处理器62与所述终端设备执行无线通信网络认证成功时,向所述终端设备发送第一关联响应消息,所述第一关联响应消息中包含所述第二随机数,所述第三密钥信息和所述MIC。其中,所述确认消息可以为关联确认消息。
可以理解的是:所述第一关联响应消息中还可以进一步包含所述接入网设备为所述终端设备分配的关联标识(Association ID,AID),所述关联标识用于在一个无线通信网络例如:无线局域网中唯一标识一个设备。
以WIFI网络为例,相应地,所述无线通信网络认证则可以为EAP认证。那么,进一步可选地,所述关联请求消息中还可以进一步包含EAP认证开始指示,用以指示请求执行所述EAP认证。相应地,所述第一关联响应消息中还可以进一步包含EAP认证成功指示。所述第一密钥信息可以为成对主密钥(Pairwise Master Key,PMK),或者还可以为预先配置的是预共享密钥(Pre-Shared Key,PSK);第二密钥信息则可以为成对临时密钥(PairwiseTransient Key,PTK);第三密钥信息则可以为组播临时密钥(GroupTransient Key,GTK)。
可选地,在本实施例的一个可选实施方式中,发送器63具体可以向所述终端设备发送第二关联响应消息,所述第二关联响应消息中包含所述第二随机数,以及在所述认证服务器与所述终端设备执行无线通信网络认证成功时,向所述终端设备发送密钥消息,所述密钥消息中包含所述第三密钥信息和所述MIC。
可以理解的是:所述第二关联响应消息中还可以进一步包含所述接入网设备为所述终端设备分配的关联标识(Association ID,AID),所述关联标识用于在一个无线通信网络例如:无线局域网中唯一标识一个设备。
以WIFI网络为例,相应地,所述无线通信网络认证则可以为EAP认证。那么,进一步可选地,所述关联请求消息中还可以进一步包含EAP认证开始指示,用以指示请求执行所述EAP认证。相应地,所述密钥消息中还可以进一步包含EAP认证成功指示。其中,所述密钥消息可以为局域网(Local AreaNetwork,LAN)上的EAP(EAP over LAN,EAPoL)密钥(EAPoL-key)消息;相应地,所述确认消息则可以为EAPoL-key消息。可以理解的是:所述EAP认证是在所述接入网设备接收关联请求消息之后触发所述认证服务器与所述终端设备执行,并且在所述终端设备接收EAPoL-key消息之前完成。
本实施例中,通过在终端设备向接收器发送的关联请求消息中携带所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数,触发认证服务器与所述终端设备执行无线通信网络认证,以及使得处理器与所述终端设备生成用于会话消息的第二密钥信息,所述终端设备与所述接入网设备之间通过至少三个消息即能生成用于会话消息的第二密钥信息,解决了现有技术中由于终端设备与接入网设备之间交互的空口消息较多的问题,与现有技术相比,密钥信息的生成时间大大缩短,从而提高了密钥信息的生成效率,以及降低了接入网设备的信令处理负担。
图7为本发明另一实施例提供的密钥信息生成系统的结构示意图,如图7所示,本实施例的密钥信息生成系统可以包括图6对应的实施例提供的接入网设备71,还包括认证服务器72,用于受所述接入网设备71触发与所述终端设备执行无线通信网络认证。
本实施例中,通过在终端设备向接入网设备发送的关联请求消息中携带所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数,触发认证服务器与所述终端设备执行无线通信网络认证,以及使得所述接入网设备与所述终端设备生成用于会话消息的第二密钥信息,所述终端设备与所述接入网设备之间通过至少三个消息即能生成用于会话消息的第二密钥信息,解决了现有技术中由于终端设备与接入网设备之间交互的空口消息较多的问题,与现有技术相比,密钥信息的生成时间大大缩短,从而提高了密钥信息的生成效率,以及降低了接入网设备的信令处理负担。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例上述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (53)
1.一种密钥信息生成方法,其特征在于,包括:
终端设备向接入网设备发送关联请求消息,所述关联请求消息中包含所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数,以使得所述接入网设备根据所述终端设备的标识,触发认证服务器与所述终端设备执行无线通信网络认证,以及所述接入网设备根据第一密钥信息、所述第一随机数和所述接入网设备生成的用于密钥握手的第二随机数生成用于会话消息的第二密钥信息,所述第一密钥信息为所述认证服务器通过无线通信网络认证获得后发送给所述接入网设备,或者所述认证服务器预先配置后发送给所述接入网设备;
所述终端设备接收所述接入网设备发送的所述第二随机数、MIC和用于组播消息的第三密钥信息;
所述终端设备根据第四密钥信息、所述第一随机数和所述第二随机数,生成用于会话消息的第五密钥信息,所述第四密钥信息为所述终端设备通过无线通信网络认证获得,或者所述终端设备预先配置,所述第四密钥信息的内容与所述第一密钥信息的内容一致,所述第五密钥信息的内容与所述第二密钥信息的内容一致;
所述终端设备向所述接入网设备发送确认消息,所述确认消息用于通知成功完成所述无线通信网络认证。
2.根据权利要求1所述的方法,其特征在于,所述终端设备接收所述接入网设备发送的所述第二随机数、MIC和用于组播消息的第三密钥信息,包括:
所述终端设备接收所述接入网设备发送的第一关联响应消息,所述第一关联响应消息中包含所述第二随机数,所述第三密钥信息和所述MIC,所述第一关联响应消息为所述认证服务器在与所述终端设备执行无线通信网络认证成功后触发所述接入网设备发送给所述终端设备。
3.根据权利要求2所述的方法,其特征在于,所述确认消息为关联确认消息。
4.根据权利要求2或3所述的方法,其特征在于,所述无线通信网络为WIFI网络,所述无线通信网络认证为EAP认证。
5.根据权利要求4所述的方法,其特征在于,所述关联请求消息中还包含EAP认证开始指示,用以指示请求执行所述EAP认证。
6.根据权利要求4或5所述的方法,其特征在于,所述第一关联响应消息中还包含EAP认证成功指示。
7.根据权利要求1所述的方法,其特征在于,所述终端设备接收所述接入网设备发送的所述第二随机数、MIC和用于组播消息的第三密钥信息,包括:
所述终端设备接收所述接入网设备发送的第二关联响应消息,所述第二关联响应消息中包含所述第二随机数;
所述终端设备接收所述接入网设备发送的密钥消息,所述密钥消息中包含所述第三密钥信息和所述MIC,所述密钥消息为所述认证服务器在与所述终端设备执行无线通信网络认证成功后触发所述接入网设备发送给所述终端设备。
8.根据权利要求7所述的方法,其特征在于,所述无线通信网络为WIFI网络,所述无线通信网络认证为EAP认证。
9.根据权利要求8所述的方法,其特征在于,所述关联请求消息中还包含EAP认证开始指示,用以指示请求执行所述EAP认证。
10.根据权利要求8或9所述的方法,其特征在于,所述密钥消息中还包含EAP认证成功指示。
11.根据权利要求8~10任一权利要求所述的方法,其特征在于,所述密钥消息为EAPoL-key消息。
12.根据权利要求8~11任一权利要求所述的方法,其特征在于,所述确认消息为EAPoL-key消息。
13.根据权利要求1~12任一权利要求所述的方法,其特征在于,所述终端设备的标识包括所述终端设备的用户标识或所述终端设备的设备标识。
14.一种密钥信息生成方法,其特征在于,包括:
接入网设备接收终端设备发送的关联请求消息,所述关联请求消息中包含所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数;
所述接入网设备根据所述终端设备的标识,触发认证服务器与所述终端设备执行无线通信网络认证;
所述接入网设备根据第一密钥信息、所述第一随机数和所述接入网设备生成的用于密钥握手的第二随机数,生成用于会话消息的第二密钥信息,所述第一密钥信息为所述认证服务器通过无线通信网络认证获得后发送给所述接入网设备,或者所述认证服务器预先配置后发送给所述接入网设备;
所述接入网设备向所述终端设备发送所述第二随机数、MIC和用于组播消息的第三密钥信息,以使得所述终端设备根据第四密钥信息、所述第一随机数和所述第二随机数,生成用于会话消息的第五密钥信息,所述第四密钥信息为所述终端设备通过无线通信网络认证获得,或者所述终端设备预先配置,所述第四密钥信息的内容与所述第一密钥信息的内容一致,所述第五密钥信息的内容与所述第二密钥信息的内容一致;
所述接入网设备接收所述终端设备发送的确认消息,所述确认消息用于通知成功完成所述无线通信网络认证。
15.根据权利要求14所述的方法,其特征在于,所述接入网设备向所述终端设备发送所述第二随机数、MIC和用于组播消息的第三密钥信息,包括:
所述接入网设备在所述认证服务器与所述终端设备执行无线通信网络认证成功时,向所述终端设备发送第一关联响应消息,所述第一关联响应消息中包含所述第二随机数,所述第三密钥信息和所述MIC。
16.根据权利要求15所述的方法,其特征在于,所述确认消息为关联确认消息。
17.根据权利要求15或16所述的方法,其特征在于,所述无线通信网络为WI FI网络,所述无线通信网络认证为EAP认证。
18.根据权利要求17所述的方法,其特征在于,所述关联请求消息中还包含EAP认证开始指示,用以指示请求执行所述EAP认证。
19.根据权利要求17或18所述的方法,其特征在于,所述第一关联响应消息中还包含EAP认证成功指示。
20.根据权利要求14所述的方法,其特征在于,所述接入网设备向所述终端设备发送所述第二随机数、MIC和用于组播消息的第三密钥信息,包括:
所述接入网设备向所述终端设备发送第二关联响应消息,所述第二关联响应消息中包含所述第二随机数;
所述接入网设备在所述认证服务器与所述终端设备执行无线通信网络认证成功时,向所述终端设备发送密钥消息,所述密钥消息中包含所述第三密钥信息和所述MIC。
21.根据权利要求20所述的方法,其特征在于,所述无线通信网络为WIFI网络,所述无线通信网络认证为EAP认证。
22.根据权利要求21所述的方法,其特征在于,所述关联请求消息中还包含EAP认证开始指示,用以指示请求执行所述EAP认证。
23.根据权利要求21或22所述的方法,其特征在于,所述密钥消息中还包含EAP认证成功指示。
24.根据权利要求21~23任一权利要求所述的方法,其特征在于,所述密钥消息为EAPoL-key消息。
25.根据权利要求21~24任一权利要求所述的方法,其特征在于,所述确认消息为EAPoL-key消息。
26.根据权利要求14~25任一权利要求所述的方法,其特征在于,所述终端设备的标识包括所述终端设备的用户标识或所述终端设备的设备标识。
27.一种终端设备,其特征在于,包括:
发送器,用于向接入网设备发送关联请求消息,所述关联请求消息中包含所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数,以使得所述接入网设备根据所述终端设备的标识,触发认证服务器与所述终端设备执行无线通信网络认证,以及所述接入网设备根据第一密钥信息、所述第一随机数和所述接入网设备生成的用于密钥握手的第二随机数生成用于会话消息的第二密钥信息,所述第一密钥信息为所述认证服务器通过无线通信网络认证获得后发送给所述接入网设备,或者所述认证服务器预先配置后发送给所述接入网设备;
接收器,用于接收所述接入网设备发送的所述第二随机数、MIC和用于组播消息的第三密钥信息;
处理器,用于根据第四密钥信息、所述第一随机数和所述第二随机数,生成用于会话消息的第五密钥信息,所述第四密钥信息为所述终端设备通过无线通信网络认证获得,或者所述终端设备预先配置,所述第四密钥信息的内容与所述第一密钥信息的内容一致,所述第五密钥信息的内容与所述第二密钥信息的内容一致;
所述发送器还用于向所述接入网设备发送确认消息,所述确认消息用于通知成功完成所述无线通信网络认证。
28.根据权利要求27所述的终端设备,其特征在于,所述接收器具体用于
接收所述接入网设备发送的第一关联响应消息,所述第一关联响应消息中包含所述第二随机数,所述第三密钥信息和所述MIC,所述第一关联响应消息为所述认证服务器在与所述终端设备执行无线通信网络认证成功后触发所述接入网设备发送给所述终端设备。
29.根据权利要求28所述的终端设备,其特征在于,所述确认消息为关联确认消息。
30.根据权利要求28或29所述的终端设备,其特征在于,所述无线通信网络为WIFI网络,所述无线通信网络认证为EAP认证。
31.根据权利要求30所述的终端设备,其特征在于,所述关联请求消息中还包含EAP认证开始指示,用以指示请求执行所述EAP认证。
32.根据权利要求30或31所述的终端设备,其特征在于,所述第一关联响应消息中还包含EAP认证成功指示。
33.根据权利要求27所述的终端设备,其特征在于,所述接收器具体用于
接收所述接入网设备发送的第二关联响应消息,所述第二关联响应消息中包含所述第二随机数,以及接收所述接入网设备发送的密钥消息,所述密钥消息中包含所述第三密钥信息和所述MIC,所述密钥消息为所述认证服务器在与所述终端设备执行无线通信网络认证成功后触发所述接入网设备发送给所述终端设备。
34.根据权利要求33所述的终端设备,其特征在于,所述无线通信网络为WIFI网络,所述无线通信网络认证为EAP认证。
35.根据权利要求34所述的终端设备,其特征在于,所述关联请求消息中还包含EAP认证开始指示,用以指示请求执行所述EAP认证。
36.根据权利要求34或35所述的终端设备,其特征在于,所述密钥消息中还包含EAP认证成功指示。
37.根据权利要求34~36任一权利要求所述的终端设备,其特征在于,所述密钥消息为EAPoL-key消息。
38.根据权利要求34~37任一权利要求所述的终端设备,其特征在于,所述确认消息为EAPoL-key消息。
39.根据权利要求1~38任一权利要求所述的终端设备,其特征在于,所述终端设备的标识包括所述终端设备的用户标识或所述终端设备的设备标识。
40.一种接入网设备,其特征在于,包括:
接收器,用于接收终端设备发送的关联请求消息,所述关联请求消息中包含所述终端设备的标识和所述终端设备生成的用于密钥握手的第一随机数;
处理器,用于根据所述终端设备的标识,触发认证服务器与所述终端设备执行无线通信网络认证,以及根据第一密钥信息、所述第一随机数和所述接入网设备生成的用于密钥握手的第二随机数,生成用于会话消息的第二密钥信息,所述第一密钥信息为所述认证服务器通过无线通信网络认证获得后发送给所述接入网设备,或者所述认证服务器预先配置后发送给所述接入网设备;
发送器,用于向所述终端设备发送所述第二随机数、MIC和用于组播消息的第三密钥信息,以使得所述终端设备根据第四密钥信息、所述第一随机数和所述第二随机数,生成用于会话消息的第五密钥信息,所述第四密钥信息为所述终端设备通过无线通信网络认证获得,或者所述终端设备预先配置,所述第四密钥信息的内容与所述第一密钥信息的内容一致,所述第五密钥信息的内容与所述第二密钥信息的内容一致;
所述接收器还用于接收所述终端设备发送的确认消息,所述确认消息用于通知成功完成所述无线通信网络认证。
41.根据权利要求40所述的接入网设备,其特征在于,所述发送器具体用于
在所述认证服务器与所述终端设备执行无线通信网络认证成功时,向所述终端设备发送第一关联响应消息,所述第一关联响应消息中包含所述第二随机数,所述第三密钥信息和所述MIC。
42.根据权利要求41所述的接入网设备,其特征在于,所述确认消息为关联确认消息。
43.根据权利要求41或42所述的接入网设备,其特征在于,所述无线通信网络为WIFI网络,所述无线通信网络认证为EAP认证。
44.根据权利要求43所述的接入网设备,其特征在于,所述关联请求消息中还包含EAP认证开始指示,用以指示请求执行所述EAP认证。
45.根据权利要求43或44所述的接入网设备,其特征在于,所述第一关联响应消息中还包含EAP认证成功指示。
46.根据权利要求40所述的接入网设备,其特征在于,所述发送器具体用于
向所述终端设备发送第二关联响应消息,所述第二关联响应消息中包含所述第二随机数,以及在所述认证服务器与所述终端设备执行无线通信网络认证成功时,向所述终端设备发送密钥消息,所述密钥消息中包含所述第三密钥信息和所述MIC。
47.根据权利要求46所述的接入网设备,其特征在于,所述无线通信网络为WIFI网络,所述无线通信网络认证为EAP认证。
48.根据权利要求47所述的接入网设备,其特征在于,所述关联请求消息中还包含EAP认证开始指示,用以指示请求执行所述EAP认证。
49.根据权利要求47或48所述的接入网设备,其特征在于,所述密钥消息中还包含EAP认证成功指示。
50.根据权利要求47~49任一权利要求所述的接入网设备,其特征在于,所述密钥消息为EAPoL-key消息。
51.根据权利要求47~50任一权利要求所述的接入网设备,其特征在于,所述确认消息为EAPoL-key消息。
52.根据权利要求20~51任一权利要求所述的接入网设备,其特征在于,所述终端设备的标识包括所述终端设备的用户标识或所述终端设备的设备标识。
53.一种密钥信息生成系统,其特征在于,包括如权利要求40~52中任一权利要求所述的接入网设备,还包括认证服务器,用于受所述接入网设备触发与所述终端设备执行无线通信网络认证。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210140206.5A CN103391540B (zh) | 2012-05-08 | 2012-05-08 | 密钥信息生成方法及系统、终端设备、接入网设备 |
| PCT/CN2013/074499 WO2013166908A1 (zh) | 2012-05-08 | 2013-04-22 | 密钥信息生成方法及系统、终端设备、接入网设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210140206.5A CN103391540B (zh) | 2012-05-08 | 2012-05-08 | 密钥信息生成方法及系统、终端设备、接入网设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103391540A true CN103391540A (zh) | 2013-11-13 |
| CN103391540B CN103391540B (zh) | 2017-02-01 |
Family
ID=49535681
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210140206.5A Expired - Fee Related CN103391540B (zh) | 2012-05-08 | 2012-05-08 | 密钥信息生成方法及系统、终端设备、接入网设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103391540B (zh) |
| WO (1) | WO2013166908A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104915153A (zh) * | 2015-06-09 | 2015-09-16 | 山东超越数控电子有限公司 | 一种基于scst的双控缓存同步设计方法 |
| CN105850168A (zh) * | 2013-12-31 | 2016-08-10 | 华为终端有限公司 | 一种网络设备安全连接方法、相关装置及系统 |
| CN105873039A (zh) * | 2015-01-19 | 2016-08-17 | 普天信息技术有限公司 | 一种移动自组网络会话密钥生成方法及终端 |
| CN105916147A (zh) * | 2016-04-19 | 2016-08-31 | 石狮睿纺纺织品贸易有限公司 | 一种通过服务器进行鞋子验证的方法 |
| CN105916146A (zh) * | 2016-04-19 | 2016-08-31 | 石狮睿纺纺织品贸易有限公司 | 一种利用手机验证衣物是否正品的方法 |
| CN108064436A (zh) * | 2017-11-21 | 2018-05-22 | 深圳市汇顶科技股份有限公司 | 生物识别信息传输建立方法、装置、系统及存储介质 |
| CN112702776A (zh) * | 2020-12-15 | 2021-04-23 | 锐捷网络股份有限公司 | 一种实现无线终端接入无线局域网的方法和无线接入点 |
| US11051169B2 (en) | 2017-08-16 | 2021-06-29 | Juniper Networks, Inc. | Methods and apparatus for performing access and/or forwarding control in wireless networks such as WLANS |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060083200A1 (en) * | 2004-10-15 | 2006-04-20 | Emeott Stephen P | Method for performing authenticated handover in a wireless local area network |
| CN101114957A (zh) * | 2006-07-27 | 2008-01-30 | 西安电子科技大学 | 无线局域网中的快速切换方法及系统 |
| CN101133592A (zh) * | 2005-03-04 | 2008-02-27 | 松下电器产业株式会社 | 密钥播发控制装置、无线基站装置以及通信系统 |
| CN101141444A (zh) * | 2006-09-05 | 2008-03-12 | 智邦科技股份有限公司 | 早期四向交握执行无线网络装置连接新存取点的方法 |
| CN103096307A (zh) * | 2011-10-27 | 2013-05-08 | 中兴通讯股份有限公司 | 密钥验证方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685741B (zh) * | 2011-03-09 | 2014-12-03 | 华为终端有限公司 | 接入认证处理方法及系统、终端和网络设备 |
-
2012
- 2012-05-08 CN CN201210140206.5A patent/CN103391540B/zh not_active Expired - Fee Related
-
2013
- 2013-04-22 WO PCT/CN2013/074499 patent/WO2013166908A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060083200A1 (en) * | 2004-10-15 | 2006-04-20 | Emeott Stephen P | Method for performing authenticated handover in a wireless local area network |
| CN101133592A (zh) * | 2005-03-04 | 2008-02-27 | 松下电器产业株式会社 | 密钥播发控制装置、无线基站装置以及通信系统 |
| CN101114957A (zh) * | 2006-07-27 | 2008-01-30 | 西安电子科技大学 | 无线局域网中的快速切换方法及系统 |
| CN101141444A (zh) * | 2006-09-05 | 2008-03-12 | 智邦科技股份有限公司 | 早期四向交握执行无线网络装置连接新存取点的方法 |
| CN103096307A (zh) * | 2011-10-27 | 2013-05-08 | 中兴通讯股份有限公司 | 密钥验证方法及装置 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105850168A (zh) * | 2013-12-31 | 2016-08-10 | 华为终端有限公司 | 一种网络设备安全连接方法、相关装置及系统 |
| US10305684B2 (en) | 2013-12-31 | 2019-05-28 | Huawei Device Co., Ltd. | Secure connection method for network device, related apparatus, and system |
| CN105873039A (zh) * | 2015-01-19 | 2016-08-17 | 普天信息技术有限公司 | 一种移动自组网络会话密钥生成方法及终端 |
| CN105873039B (zh) * | 2015-01-19 | 2019-05-07 | 普天信息技术有限公司 | 一种移动自组网络会话密钥生成方法及终端 |
| CN104915153B (zh) * | 2015-06-09 | 2017-09-22 | 山东超越数控电子有限公司 | 一种基于scst的双控缓存同步设计方法 |
| CN104915153A (zh) * | 2015-06-09 | 2015-09-16 | 山东超越数控电子有限公司 | 一种基于scst的双控缓存同步设计方法 |
| CN105916147A (zh) * | 2016-04-19 | 2016-08-31 | 石狮睿纺纺织品贸易有限公司 | 一种通过服务器进行鞋子验证的方法 |
| CN105916146A (zh) * | 2016-04-19 | 2016-08-31 | 石狮睿纺纺织品贸易有限公司 | 一种利用手机验证衣物是否正品的方法 |
| US11051169B2 (en) | 2017-08-16 | 2021-06-29 | Juniper Networks, Inc. | Methods and apparatus for performing access and/or forwarding control in wireless networks such as WLANS |
| CN108064436A (zh) * | 2017-11-21 | 2018-05-22 | 深圳市汇顶科技股份有限公司 | 生物识别信息传输建立方法、装置、系统及存储介质 |
| US11245531B2 (en) | 2017-11-21 | 2022-02-08 | Shenzhen GOODIX Technology Co., Ltd. | Method, apparatus and system for establishing biometric identification information transmission and storage medium |
| CN112702776A (zh) * | 2020-12-15 | 2021-04-23 | 锐捷网络股份有限公司 | 一种实现无线终端接入无线局域网的方法和无线接入点 |
| CN112702776B (zh) * | 2020-12-15 | 2023-03-21 | 锐捷网络股份有限公司 | 一种实现无线终端接入无线局域网的方法和无线接入点 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103391540B (zh) | 2017-02-01 |
| WO2013166908A1 (zh) | 2013-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6293800B2 (ja) | リンク設定および認証を実行するシステムおよび方法 | |
| US10003966B2 (en) | Key configuration method and apparatus | |
| CN101926151B (zh) | 建立安全关联的方法和通信网络系统 | |
| CN103781066B (zh) | 无线发射/接收单元以及由其实施的方法 | |
| CN103391540A (zh) | 密钥信息生成方法及系统、终端设备、接入网设备 | |
| CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
| JP2017098986A (ja) | Mtcのためのシステム、コアネットワーク、及び方法 | |
| CN105828330B (zh) | 一种接入方法及装置 | |
| CN101378313A (zh) | 建立安全关联的方法、用户设备和网络侧设备 | |
| CN103200004B (zh) | 发送消息的方法、建立安全连接的方法、接入点和工作站 | |
| CN103391542B (zh) | Eap认证触发方法及系统、接入网设备、终端设备 | |
| KR20100015238A (ko) | 스마트 카드 인증 시스템 및 그 방법 | |
| CN109151816B (zh) | 一种网络鉴权方法及系统 | |
| KR100968523B1 (ko) | 세션키 분배 방법, 단말 및 그 방법을 실행하는 프로그램이기록된 기록매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 518129 Building 2, B District, Bantian HUAWEI base, Longgang District, Shenzhen, Guangdong. Patentee after: Huawei terminal (Shenzhen) Co.,Ltd. Address before: 518129 Building 2, B District, Bantian HUAWEI base, Longgang District, Shenzhen, Guangdong. Patentee before: HUAWEI DEVICE Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181221 Address after: 523808 Southern Factory Building (Phase I) Project B2 Production Plant-5, New Town Avenue, Songshan Lake High-tech Industrial Development Zone, Dongguan City, Guangdong Province Patentee after: HUAWEI DEVICE Co.,Ltd. Address before: 518129 Building 2, B District, Bantian HUAWEI base, Longgang District, Shenzhen, Guangdong. Patentee before: Huawei terminal (Shenzhen) Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170201 |