CN103391543A - 一种实现漫游切换的方法和装置 - Google Patents
一种实现漫游切换的方法和装置 Download PDFInfo
- Publication number
- CN103391543A CN103391543A CN2012101407162A CN201210140716A CN103391543A CN 103391543 A CN103391543 A CN 103391543A CN 2012101407162 A CN2012101407162 A CN 2012101407162A CN 201210140716 A CN201210140716 A CN 201210140716A CN 103391543 A CN103391543 A CN 103391543A
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- access point
- master key
- point apparatus
- bssid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000005540 biological transmission Effects 0.000 claims description 13
- 230000006855 networking Effects 0.000 abstract description 9
- 238000012790 confirmation Methods 0.000 abstract 2
- 230000008569 process Effects 0.000 description 18
- 238000012795 verification Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000005538 encapsulation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 2
- PRPINYUDVPFIRX-UHFFFAOYSA-N 1-naphthaleneacetic acid Chemical compound C1=CC=C2C(CC(=O)O)=CC=CC2=C1 PRPINYUDVPFIRX-UHFFFAOYSA-N 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/142—Reselecting a network or an air interface over the same radio air interface technology
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供的一种实现漫游切换的方法及装置,该方法包括:接入点设备与移动终端关联成功后,向接入控制器发送关联成功消息,所述关联成功消息包括:所述接入点设备的BSSID和所述移动终端的媒体接入控制地址;接入点设备接收到所述接入控制器返回的关联成功确认消息后,从所述关联成功确认消息中解析出会话主密钥信息和所述移动终端的媒体接入控制地址;接入点设备根据所述会话主密钥信息,决定在与所述移动终端进行密钥协商之前是否进行802.1x认证。通过本发明可以在瘦AP组网模式下,STA首次漫游切换即可以省略802.1x认证,实现快速漫游的方法和装置,以减小STA在不同AP之间漫游切换的延时,增强用户的上网体验。
Description
技术领域
本专利涉及无线局域网(Wireless Local Area NetWork,简称WLAN)系统,更具体的说,是一种在无线局域网中实现终端在不同接入点之间快速漫游切换的方法和装置。
背景技术
IEEE(Institute Electrical and Electronics Engineers,美国电气和电子工程师协会)有关无线局域网(Wireless Local Area NetWork,简称WLAN)的802.11协议定义了如图1所示的基础结构网络(Infrastructure)。图中移动站点(Station,简称STA)表示具有无线功能的终端设备,比如带wifi功能的笔记本、手机、平板电脑等。接入点(Access Point,简称AP)负责STA的接入,STA和STA之间或者STA和有线网络的通信必须通过AP进行。STA必须首先和AP通过关联(Association)过程才能接入无线网络。关联在同一个AP下的STA组成了一个基本服务集(Basic Service Set,简称BSS)。
如图2所示,单个BSS服务范围比较小,如果将多个BSS串联在一起组成扩展服务集(Extended Service Set,简称ESS)可以增大网络覆盖范围。在同一个ESS中的AP使用相同的服务集标识符(Service Set Identifier,简称SSID)。
对于大型的WLAN部署,其中AP的数量庞大,一般采用瘦AP(FitAP)和接入控制器(Access Controller,简称AC)的组网方式。图3为比较典型的FitAP组网图。其中,AC主要负责对下挂AP的配置、管理。本文阐述的STA在AP间快速漫游的方法正是基于这种FitAP加AC的组网方式。
由于无线局域网传输媒介的开放性和共享性。目前WLAN普遍采用基于IEEE802.11i(无线局域网中的认证和加密协议)作为安全机制。IEEE802.11i协议包括STA接入的认证(802.1x)、密钥的产生方法、密钥管理、密钥更新几个部分组成。整个协议涉及的实体有STA、AP和认证服务器(Authentication Server,简称AS)三部分。
如图4所示为STA采用IEEE802.11i协议接入无线局域网的认证和密钥协商的过程。STA在成功关联到AP之后,通过AP和AS进行认证。认证成功后,STA和AS都会生成会话主密钥(Pairwise Master Key,简称PMK),AS再将PMK通过Access Accept(接入接受)消息发送给AP。最后,STA和AP通过PMK进行四次握手(图4中EAPOL-Key(基于局域网的可扩展认证协议-密钥)报文)得到会话临时密钥(Temporal Key)用于通信。
会话主密钥(PMK)是802.11i协议中的密钥导出体系中的最高阶密钥,其它密钥通过PMK导出。PMK可以通过STA和AS之间802.1x认证获得。
会话主密钥标识符(Pairwise Master Key Identifier,简称PMKID),PMKID的计算公式为HMAC(散列消息身份验证码)-SHA1(安全散列算法)-128(PMK,“PMK Name”‖AA‖SPA),其中AA一般为AP的BSSID(基本服务集标识符),SPA为STA的MAC(媒体接入控制)地址。
HMAC-SHA1-128是HMAC-SHA1散列算法结果的前128位。
会话主密钥安全关联(Pairwise Master Key Security Association,简称PMKSA)在IEEE802.11i协议中是一个比较重要的概念,它表示一次成功的802.1x认证结果。PMKSA主要包含PMKID、认证者MAC地址(通常为AP的BSSID)、PMK等信息。
通过上面的介绍可以知道,IEEE802.11i协议虽然保证了无线局域网的安全性,但是认证过程中STA和AS之间存在多条报文交互,当STA从一个AP切换到另外一个AP时,STA必须和AS重新认证,这样会造成切换过程网络延迟比较大。另外,当STA频繁的在多个AP之间切换时会对AS造成一定的压力。
在802.11i协议中定义了PMKSA缓存的机制,当STA通过某个AP认证成功后,STA和AP都会缓存本次认证的PMKSA。当STA再次漫游切换到这个AP的时候,STA通过在关联请求报文的RSN信息元素中携带PMKID通告其缓存的PMKSA,STA和AP之间可以利用缓存的PMKSA直接进行四次握手而免去了802.1x认证过程。上面所述的过程的前提是STA之前在这个AP上进行了802.1x认证,STA和AP都缓存了PMKSA。对于STA首次漫游切换到一个AP时仍然需要进行802.1x认证过程。对于比较大型的WLAN网络,当STA接入该网络后,从一个AP逐次漫游到多个其它AP,每次漫游都要重新认证,造成漫游切换过程中网络延迟比较大,对实时性的应用造成影响,降低了用户体验。
发明内容
本发明要解决的技术问题是提供一种实现漫游切换的方法及装置,以减小漫游切换的延时。
为了解决上述技术问题,本发明提供了一种实施漫游切换的方法,包括:
接入点设备与移动终端关联成功后,向接入控制器发送关联成功消息,所述关联成功消息包括:所述接入点设备的基本服务集标识符(BSSID)和所述移动终端的媒体接入控制地址;
所述接入点设备接收到所述接入控制器返回的关联成功确认消息后,从所述关联成功确认消息中解析出会话主密钥信息和所述移动终端的媒体接入控制地址;
所述接入点设备根据所述会话主密钥信息,决定在与所述移动终端进行密钥协商之前是否进行802.1x认证。
进一步地,上述方法还具有下面特点:所述根据所述会话主密钥信息,决定在与所述移动终端进行密钥协商之前是否进行802.1x认证,包括:
所述接入点设备若判断所述会话主密钥信息为空,则执行802.1x认证,802.1x认证成功后,根据802.1x认证得到的会话主密钥与所述移动终端进行密钥协商;若判断所述会话主密钥信息不为空,则根据指定公式计算得到会话主密钥标识,若判断所述会话主密钥标识与所述移动终端的关联请求中携带的会话主密钥标识相等,则与所述移动终端进行密钥协商,若不相等,则执行802.1x认证。
进一步地,上述方法还具有下面特点:所述接入点设备执行802.1x认证成功后,还包括:
所述接入点设备向所述接入控制器发送认证成功消息,所述认证成功消息包括:认证得到的会话主密钥、所述接入点设备的BSSID和所述移动终端的媒体接入控制地址。
为了解决上述问题,本发明还提供了一种接入点设备,包括:
第一模块,用于在与移动终端关联成功后,向接入控制器发送关联成功消息,所述关联成功消息包括:所述接入点设备的基本服务集标识符(BSSID)和所述移动终端的媒体接入控制地址;
第二模块,用于接收到所述接入控制器返回的关联成功确认消息后,从所述关联成功确认消息中解析出会话主密钥信息和所述移动终端的媒体接入控制地址;
第三模块,用于根据所述会话主密钥信息决定在与所述移动终端进行密钥协商之前,是否进行802.1x认证。
进一步地,上述设备还具有下面特点:所述第三模块包括:
第一单元,用于判断所述会话主密钥信息是否为空;
第二单元,用于在所述第一单元判断不为空的情况下,根据指定公式计算得到会话主密钥标识,判断所述会话主密钥标识与所述移动终端的关联请求中携带的会话主密钥标识是否相等;
第三单元,用于在所述第二单元判断相等的情况下,与所述移动终端进行密钥协商;
第四单元,用于在所述第一单元判断为空或所述第二单元判断不相等的情况下,执行802.1x认证,802.1x认证成功后,根据802.1x认证得到的会话主密钥与所述移动终端进行密钥协商。
进一步地,上述设备还具有下面特点:还包括,
第四模块,在所述第四单元执行802.1x认证成功后,向所述接入控制器发送认证成功消息,所述认证成功消息包括:认证得到的会话主密钥、所述接入点设备的BSSID和所述移动终端的媒体接入控制地址。
为了解决上述问题,本发明还提供了一种实施漫游切换的方法,包括:
接入控制器接收到第一接入点设备发送的认证成功消息后,从所述认证成功消息中解析出会话主密钥信息、所述第一接入点设备的基本服务集标识符(BSSID)和移动终端的媒体接入控制地址信息;
所述接入控制器缓存所述会话主密钥信息、所述第一接入点设备的BSSID和移动终端的媒体接入控制地址信息。
进一步地,上述方法还具有下面特点:所述接入控制器缓存所述会话主密钥信息、所述第一接入点设备的BSSID和移动终端的媒体接入控制地址信息,包括:
所述接入控制器根据所述BSSID查找对应的扩展服务集域,将所述会话主密钥信息、所述第一接入点设备的BSSID和移动终端的媒体接入控制地址缓存在所述扩展服务集域内。
进一步地,上述方法还具有下面特点:所述接入控制器缓存所述会话主密钥信息、所述第一接入点设备的BSSID和移动终端的媒体接入控制地址之后,还包括:
所述接入控制器接收到第二接入点设备发送的关联成功消息后,从所述关联成功消息中解析出所述第二接入点设备的BSSID和移动终端的媒体接入控制地址信息;
所述接入控制器根据所述第二接入点设备的BSSID查找对应的扩展服务集域,根据移动终端的媒体接入控制地址信息在该扩展服务集域内查找所述移动终端的认证信息,如找到所述移动终端的认证信息,则向所述第二接入点设备发送关联成功确认消息,所述关联成功确认消息包括:会话主密钥信息和所述移动终端的媒体接入控制地址信息。
为了解决上述问题,本发明还提供了一种接入控制器,包括:
第一模块,用于接收到第一接入点设备发送的认证成功消息后,从所述认证成功消息中解析出会话主密钥信息、所述第一接入点设备的基本服务集标识符(BSSID)和移动终端的媒体接入控制地址信息;
第二模块,用于缓存所述会话主密钥信息、所述第一接入点设备的BSSID和移动终端的媒体接入控制地址信息。
进一步地,上述接入控制器还具有下面特点:
所述第二模块,具体用于根据所述BSSID查找对应的扩展服务集域,将所述会话主密钥信息、所述第一接入点设备的BSSID和移动终端的媒体接入控制地址缓存在所述扩展服务集域内。
进一步地,上述接入控制器还具有下面特点:还包括:
第三模块,用于接收到第二接入点设备发送的关联成功消息后,从所述关联成功消息中解析出所述第二接入点设备的BSSID和移动终端的媒体接入控制地址信息;
第四模块,用于根据所述第二接入点设备的BSSID查找对应的扩展服务集域,根据移动终端的媒体接入控制地址信息在该扩展服务集域内查找所述移动终端的认证信息;
第五模块,用于在所述第四模块找到所述移动终端的认证信息的情况下,向所述第二接入点设备发送关联成功确认消息,所述关联成功确认消息包括:会话主密钥信息和所述移动终端的媒体接入控制地址信息。
综上,本发明提供的一种实现漫游切换的方法及装置,在瘦AP组网模式下,STA首次漫游切换即可以省略802.1x认证,实现快速漫游的方法和装置,以减小STA在不同AP之间漫游切换的延时,增强用户的上网体验。
附图说明
图1是IEEE802.11协议中定义的基础结构无线局域网示意图;
图2是IEEE802.11协议中扩展服务集网络结构示意图;
图3是本发明采用的瘦AP模式组网网络结构示意图;
图4是现有技术采用的802.11i协议的无线局域网认证和密钥协商的流程图;
图5是本发明实施例的实现漫游切换的方法的流程图;
图6是本发明实施例中AP处理AC下发PMK的流程图;
图7是本发明实施例的AP设备的示意图;
图8是本发明实施例的AC设备的示意图;
图9是本发明实施例中STA首次接入无线局域网时认证过程以及AP和AC之间交互流程图;
图10是本发明实施例中STA首次漫游切换的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本发明实施例中,至少包括一个STA、两台或者更多的AP、一台AC和一台AS。本实施例的组网示意图如图3所示。两台AP通过交换机和AC相连,AP通过AC和AS通信。其中,AP1和AP2属于同一个ESS,具有相同的SSID。
本发现实现快速漫游切换的方法,如图5所示,包括:
步骤101、STA首次接入该无线局域网时,通过其中任意的一个AP和AS进行802.1x认证,认证成功后,AP向AC发送STA认证成功的消息,该消息包括如下信息:认证得到的PMK、该AP的BSSID、STA的MAC地址。
步骤102、AC收到认证成功消息后,缓存上述的STA认证成功消息中包含的信息。
步骤103、当STA切换并关联到另一个AP时,该AP向AC发送STA关联成功消息,消息包括信息如下:该AP的BSSID、STA的MAC地址。
这样,STA在该ESS区域内移动,可以在任意AP间漫游切换。
步骤104、AC收到上述AP发送的STA关联成功消息后,根据STA的MAC地址查找对应MAC地址的认证成功消息信息。找到之后,AC向漫游切换后的AP发送关联确认消息,该消息包含:之前认证得到的PMK、STA的MAC地址。
步骤105、STA漫游切换到的AP收到AC发送到关联确认消息后,从中提取出PMK和STA的MAC地址,并进行如图6所示的PMKID重计算和比对操作,该操作还包括如下步骤:
步骤501、判断PMK是否为空,如果为空跳转执行步骤504,如果不为空跳转执行步骤502;
步骤502、利用PMK重新计算PMKID得到PMKID2;
计算公式为:HMAC-SHA1-128(PMK,“PMK Name”‖AA‖SPA),其中,PMK为AC下发的PMK,AA为AP自身的BSSID,SPA为STA的MAC地址。
步骤503、判断PMKID2与STA关联请求RSN(Robust Security Network,强健安全网络)信息元素中携带的PMKID是否相等,如果相等就跳转执行S505,如果不相等就跳转执行步骤504。
步骤504、执行802.1x认证过程。
步骤505、执行四次握手的密钥协商过程。
本实施例的AP设备,如图7所示,包括:
第一模块,用于与STA关联成功后向AC发送关联成功消息,该消息包含的信息为:AP的BSSID、STA的MAC地址;
第二模块,用于接收AC发送给AP的关联成功确认消息,并从中解析出PMK,STA的MAC地址信息,触发第三模块对AC下发的PMK做处理。
第三模块,用于检测AC下发的PMK不为空,之后根据AC下发的PMK重新计算PMKID和STA关联请求中的PMKID进行比较。如果相等,则跳转到执行四次握手的密钥协商过程,否则执行802.1x认证过程。
所述第三模块可以包括:
第一单元,用于判断所述PMK是否为空;
第二单元,用于在所述第一单元判断不为空的情况下,根据指定公式计算得到PMKID,判断所述PMKID与所述移动终端的关联请求中携带的PMKID是否相等;
第三单元,用于在所述第二单元判断相等的情况下,与所述移动终端进行密钥协商;
第四单元,用于在所述第一单元判断为空或所述第二单元判断不相等的情况下,执行802.1x认证,802.1x认证成功后,根据802.1x认证得到的会话主密钥与所述移动终端进行密钥协商。
第四模块,用于在与STA执行802.1x认证成功后向AC发送认证成功消息,该消息包含的信息有:认证得到的PMK、AP的BSSID、STA的MAC地址。
本实施例的AC,如图8所示,包括:
第一模块,用于接收AP发送的认证成功消息,从消息中解析出PMK、BSSID、STA的MAC地址信息后,触发第二模块缓存这些信息;
第二模块,用于缓存PMK、BSSID、STA的MAC地址信息;
具体地,所述第二模块根据BSSID查找其所属的ESS域,将PMK、BSSID、STA的MAC地址这三个信息封装成认证信息结构体缓存在对应的ESS域内。
第三模块,用于接收AP发送的关联成功消息,并从该消息中解析出BSSID、STA的MAC地址信息,同时触发第四模块查询STA认证信息结构体;
第四模块,用于根据BSSID查找其所属的ESS域,并在该ESS域内根据STA的MAC地址查找该STA的认证信息结构体,如果找到就触发第五模块发送关联成功确认消息;
第五模块,用于在第四模块查询到的STA认证信息结构体的情况下,向发送关联成功消息的AP发送关联成功确认消息,该消息包含PMK、STA的MAC地址信息。
通过本发明提供的方法和装置,能实现在瘦AP模式组网下,STA首次漫游切换即可省略802.1x认证过程。也就是说STA只需要在第一次接入无线局域网的时候通过AP和AS进行一次802.1x认证。认证成功之后,当STA切换到其它AP的时候,AP和STA可以直接进行密钥协商,而不需要STA再次和AS进行认证。和现有技术相比,本方法减小了漫游切换过程中的网络延迟,增强了用户体验。
下文结合附图并结合实例来详细阐述本发明。图3为典型的瘦AP模式无线局域网组网图,本发明采用该组网方式,该网络由至少两台AP、一台AC、一台AS组成。AP通交换机和AC相连,AP通过AC和AS相互通信。
STA首次接入无线网络时需要通过802.1x认证得到相应的会话临时密钥,同时AP将认证得到的PMK等信息发送给AC保存。其具体流程如图9所示:
步骤601,STA扫描无线网络,对于STA来说AP1信号最强,STA向AP1发起关联请求。
步骤602,AP1收到STA发送的关联请求后,如果STA关联成功,AP1回复STA关联响应。
步骤603,AP1向AC发送关联成功消息,消息包括:AP1的BSSID(为BSSID1)、STA的MAC地址(MACSTA)。
步骤604,AC接收到AP1发送的关联成功消息,解析出BSSID1、MACSTA。
步骤605,AC利用BSSID1查询对应ESS域中MAC地址为MACSTA的STA认证信息。
由于STA第一次接入该无线局域网,查询认证信息失败,之后发送关联成功确认消息。
步骤606,AC发送关联成功确认消息给AP1,该消息中包含PMK和STA地址MACSTA。
由于步骤605中认证信息查询模块未能查询到STA的认证信息,所以关联成功确认消息中PMK为空。
步骤607,AP1接收到AC发送给AP1的关联成功确认消息,从中解析出PMK,STA的MAC地址。
步骤608,AP1判断PMK为空,跳转执行802.1x认证流程。
步骤609,STA通过AP1跟AS进行802.1x认证。
步骤610,认证成功后,AP1向AC发送认证成功消息,该消息中包含认证得到的PMK、STA的MAC地址、AP1的BSSID(为BSSID1)。
步骤611,AC接收到AP1发送的认证成功消息,并从消息中解析出PMK、STA的MAC地址、BSSID1信息。
步骤612,AC根据BSSID1查询AP1所属的ESS域,将PMK、BSSID、STA的MAC地址这个三个信息封装成认证信息结构体缓存在对应的ESS域内。
步骤613,AP1根据802.1x认证得到的PMK,和STA进行四次握手的密钥协商过程,生成会话临时密钥。
STA成功接入到该无线局域网络。
当STA离开AP1信号覆盖区域进入AP2信号覆盖区域,STA将从AP1漫游到AP2,其具体流程如图10所示,包括下面步骤:
步骤701,STA探测到AP2的信号强于AP1,从AP1切换到AP2。
STA首先向AP2发送关联请求(或者重关联请求)报文,报文中RSN信息元素中携带STA根据PMK重新计算得到的PMKIDopt。
步骤702,AP2收到STA发送的关联请求(或者重关联请求)后,如果关联成功了,AP2向STA发送关联响应(或者重关联响应),并向AC发送关联成功消息。
步骤703,AP2向AC发送关联成功消息,消息包括AP2的BSSID(为BSSID2),STA的MAC地址(MACSTA)。
步骤704,AC接收到AP2发送的关联成功消息,解析出BSSID2、MACSTA,查询STA的认证信息。
步骤705,AC利用BSSID2查询对应ESS域中MAC地址为MACSTA的STA认证信息。
由于STA在第一次接入该无线局域网时已经上传认证成功信息,AC能查询到该认证信息。
步骤706,AC发送关联成功确认消息给AP2,消息中携带PMK和STA的MAC地址信息(MACSTA)。
步骤707,AP2接收到AC发送给AP2的关联成功确认消息,从中解析出PMK,STA的MAC地址(MACSTA)。
步骤708,AP2判断PMK不为空,会根据PMKID的公式:HMAC-SHA1-128(PMK,“PMK Name”‖AA‖SPA)重新计算得到PMKID2,其中,AA为BSSID2,SPA为MACSTA;然后,判断PMKID2和STA关联请求中携带的PMKIDopt两者相等,直接跳转到密钥协商过程。
步骤709,AP2根据AC下发的PMK,和STA通过四次握手的密钥协商过程,生成会话临时密钥。
STA成功漫游到该ESS域中的AP2,并且避免了802.1x认证过程,实现了快速漫游切换。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上仅为本发明的优选实施例,当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (12)
1.一种实施漫游切换的方法,包括:
接入点设备与移动终端关联成功后,向接入控制器发送关联成功消息,所述关联成功消息包括:所述接入点设备的基本服务集标识符(BSSID)和所述移动终端的媒体接入控制地址;
所述接入点设备接收到所述接入控制器返回的关联成功确认消息后,从所述关联成功确认消息中解析出会话主密钥信息和所述移动终端的媒体接入控制地址;
所述接入点设备根据所述会话主密钥信息,决定在与所述移动终端进行密钥协商之前是否进行802.1x认证。
2.如权利要求1所述的方法,其特征在于:所述根据所述会话主密钥信息,决定在与所述移动终端进行密钥协商之前是否进行802.1x认证,包括:
所述接入点设备若判断所述会话主密钥信息为空,则执行802.1x认证,802.1x认证成功后,根据802.1x认证得到的会话主密钥与所述移动终端进行密钥协商;若判断所述会话主密钥信息不为空,则根据指定公式计算得到会话主密钥标识,若判断所述会话主密钥标识与所述移动终端的关联请求中携带的会话主密钥标识相等,则与所述移动终端进行密钥协商,若不相等,则执行802.1x认证。
3.如权利要求2所述的方法,其特征在于:所述接入点设备执行802.1x认证成功后,还包括:
所述接入点设备向所述接入控制器发送认证成功消息,所述认证成功消息包括:认证得到的会话主密钥、所述接入点设备的BSSID和所述移动终端的媒体接入控制地址。
4.一种接入点设备,包括:
第一模块,用于在与移动终端关联成功后,向接入控制器发送关联成功消息,所述关联成功消息包括:所述接入点设备的基本服务集标识符(BSSID)和所述移动终端的媒体接入控制地址;
第二模块,用于接收到所述接入控制器返回的关联成功确认消息后,从所述关联成功确认消息中解析出会话主密钥信息和所述移动终端的媒体接入控制地址;
第三模块,用于根据所述会话主密钥信息决定在与所述移动终端进行密钥协商之前,是否进行802.1x认证。
5.如权利要求4所述的设备,其特征在于:所述第三模块包括:
第一单元,用于判断所述会话主密钥信息是否为空;
第二单元,用于在所述第一单元判断不为空的情况下,根据指定公式计算得到会话主密钥标识,判断所述会话主密钥标识与所述移动终端的关联请求中携带的会话主密钥标识是否相等;
第三单元,用于在所述第二单元判断相等的情况下,与所述移动终端进行密钥协商;
第四单元,用于在所述第一单元判断为空或所述第二单元判断不相等的情况下,执行802.1x认证,802.1x认证成功后,根据802.1x认证得到的会话主密钥与所述移动终端进行密钥协商。
6.如权利要求5所述的设备,其特征在于:还包括,
第四模块,在所述第四单元执行802.1x认证成功后,向所述接入控制器发送认证成功消息,所述认证成功消息包括:认证得到的会话主密钥、所述接入点设备的BSSID和所述移动终端的媒体接入控制地址。
7.一种实施漫游切换的方法,包括:
接入控制器接收到第一接入点设备发送的认证成功消息后,从所述认证成功消息中解析出会话主密钥信息、所述第一接入点设备的基本服务集标识符(BSSID)和移动终端的媒体接入控制地址信息;
所述接入控制器缓存所述会话主密钥信息、所述第一接入点设备的BSSID和移动终端的媒体接入控制地址信息。
8.如权利要求7所述的方法,其特征在于:所述接入控制器缓存所述会话主密钥信息、所述第一接入点设备的BSSID和移动终端的媒体接入控制地址信息,包括:
所述接入控制器根据所述BSSID查找对应的扩展服务集域,将所述会话主密钥信息、所述第一接入点设备的BSSID和移动终端的媒体接入控制地址缓存在所述扩展服务集域内。
9.如权利要求7或8所述的方法,其特征在于:所述接入控制器缓存所述会话主密钥信息、所述第一接入点设备的BSSID和移动终端的媒体接入控制地址之后,还包括:
所述接入控制器接收到第二接入点设备发送的关联成功消息后,从所述关联成功消息中解析出所述第二接入点设备的BSSID和移动终端的媒体接入控制地址信息;
所述接入控制器根据所述第二接入点设备的BSSID查找对应的扩展服务集域,根据移动终端的媒体接入控制地址信息在该扩展服务集域内查找所述移动终端的认证信息,如找到所述移动终端的认证信息,则向所述第二接入点设备发送关联成功确认消息,所述关联成功确认消息包括:会话主密钥信息和所述移动终端的媒体接入控制地址信息。
10.一种接入控制器,包括:
第一模块,用于接收到第一接入点设备发送的认证成功消息后,从所述认证成功消息中解析出会话主密钥信息、所述第一接入点设备的基本服务集标识符(BSSID)和移动终端的媒体接入控制地址信息;
第二模块,用于缓存所述会话主密钥信息、所述第一接入点设备的BSSID和移动终端的媒体接入控制地址信息。
11.如权利要求10所述的接入控制器,其特征在于:
所述第二模块,具体用于根据所述BSSID查找对应的扩展服务集域,将所述会话主密钥信息、所述第一接入点设备的BSSID和移动终端的媒体接入控制地址缓存在所述扩展服务集域内。
12.如权利要求10或11所述的方法,其特征在于:还包括:
第三模块,用于接收到第二接入点设备发送的关联成功消息后,从所述关联成功消息中解析出所述第二接入点设备的BSSID和移动终端的媒体接入控制地址信息;
第四模块,用于根据所述第二接入点设备的BSSID查找对应的扩展服务集域,根据移动终端的媒体接入控制地址信息在该扩展服务集域内查找所述移动终端的认证信息;
第五模块,用于在所述第四模块找到所述移动终端的认证信息的情况下,向所述第二接入点设备发送关联成功确认消息,所述关联成功确认消息包括:会话主密钥信息和所述移动终端的媒体接入控制地址信息。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210140716.2A CN103391543B (zh) | 2012-05-07 | 2012-05-07 | 一种实现漫游切换的方法和装置 |
| PCT/CN2013/075106 WO2013166934A1 (zh) | 2012-05-07 | 2013-05-03 | 一种实现漫游切换的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210140716.2A CN103391543B (zh) | 2012-05-07 | 2012-05-07 | 一种实现漫游切换的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103391543A true CN103391543A (zh) | 2013-11-13 |
| CN103391543B CN103391543B (zh) | 2016-11-02 |
Family
ID=49535684
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210140716.2A Active CN103391543B (zh) | 2012-05-07 | 2012-05-07 | 一种实现漫游切换的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103391543B (zh) |
| WO (1) | WO2013166934A1 (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103702375A (zh) * | 2013-12-25 | 2014-04-02 | 北京邮电大学 | 一种wtru利用蜂窝网在无线局域网中切换的方法及系统 |
| CN105898745A (zh) * | 2016-04-05 | 2016-08-24 | 深圳市信锐网科技术有限公司 | 无线网络的认证方法及系统 |
| CN106162633A (zh) * | 2015-04-20 | 2016-11-23 | 北京华为数字技术有限公司 | 一种密钥传输方法和装置 |
| CN106211281A (zh) * | 2016-08-26 | 2016-12-07 | 北京小米移动软件有限公司 | Wlan启动优化方法及装置 |
| CN106304050A (zh) * | 2016-08-18 | 2017-01-04 | 杭州华三通信技术有限公司 | 一种无线漫游方法及装置 |
| CN107241718A (zh) * | 2017-06-13 | 2017-10-10 | 上海斐讯数据通信技术有限公司 | 一种成对主密匙的丢弃方法及系统 |
| CN108449755A (zh) * | 2018-04-03 | 2018-08-24 | 新华三技术有限公司 | 一种终端接入方法和装置 |
| CN108882234A (zh) * | 2018-06-26 | 2018-11-23 | 新华三技术有限公司 | 一种fatap切换方法及装置 |
| CN109495878A (zh) * | 2018-12-24 | 2019-03-19 | 新华三技术有限公司 | 一种接入认证方法及装置 |
| CN109922506A (zh) * | 2017-12-13 | 2019-06-21 | 中兴通讯股份有限公司 | Ap间的切换方法、ap及ap协同工作控制器 |
| CN111328066A (zh) * | 2018-12-14 | 2020-06-23 | 中国电信股份有限公司 | 异构无线网络快速漫游方法和系统、主和从接入点设备 |
| CN114745718A (zh) * | 2021-01-07 | 2022-07-12 | 华为技术有限公司 | 一种局域网内的漫游控制方法及其相关装置 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105376739B (zh) * | 2015-12-04 | 2019-10-11 | 上海斐讯数据通信技术有限公司 | 网络认证方法及系统 |
| CN107979864B (zh) * | 2016-10-25 | 2021-11-19 | 中兴通讯股份有限公司 | 接入点的接入方法、装置及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060227745A1 (en) * | 2005-03-11 | 2006-10-12 | Interdigital Technology Corporation | Method and system for station location based neighbor determination and handover probability estimation |
| CN101013940A (zh) * | 2006-12-22 | 2007-08-08 | 西安电子科技大学 | 一种兼容802.11i及WAPI的身份认证方法 |
| CN101917695A (zh) * | 2010-09-13 | 2010-12-15 | 上海市共进通信技术有限公司 | 基于802.11标准的无线网络漫游的快速切换方法 |
| CN102333309A (zh) * | 2011-10-27 | 2012-01-25 | 华为技术有限公司 | 一种无线局域网中密钥传递的方法、设备和系统 |
-
2012
- 2012-05-07 CN CN201210140716.2A patent/CN103391543B/zh active Active
-
2013
- 2013-05-03 WO PCT/CN2013/075106 patent/WO2013166934A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060227745A1 (en) * | 2005-03-11 | 2006-10-12 | Interdigital Technology Corporation | Method and system for station location based neighbor determination and handover probability estimation |
| CN101013940A (zh) * | 2006-12-22 | 2007-08-08 | 西安电子科技大学 | 一种兼容802.11i及WAPI的身份认证方法 |
| CN101917695A (zh) * | 2010-09-13 | 2010-12-15 | 上海市共进通信技术有限公司 | 基于802.11标准的无线网络漫游的快速切换方法 |
| CN102333309A (zh) * | 2011-10-27 | 2012-01-25 | 华为技术有限公司 | 一种无线局域网中密钥传递的方法、设备和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 赵伟艇等: "基于分离式MAC架构的WLAN漫游认证机制研究", 《电脑与信息技术》, vol. 17, no. 6, 31 December 2009 (2009-12-31), pages 49 - 4 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103702375A (zh) * | 2013-12-25 | 2014-04-02 | 北京邮电大学 | 一种wtru利用蜂窝网在无线局域网中切换的方法及系统 |
| CN106162633A (zh) * | 2015-04-20 | 2016-11-23 | 北京华为数字技术有限公司 | 一种密钥传输方法和装置 |
| CN106162633B (zh) * | 2015-04-20 | 2019-11-29 | 北京华为数字技术有限公司 | 一种密钥传输方法和装置 |
| CN105898745A (zh) * | 2016-04-05 | 2016-08-24 | 深圳市信锐网科技术有限公司 | 无线网络的认证方法及系统 |
| CN106304050B (zh) * | 2016-08-18 | 2020-05-08 | 新华三技术有限公司 | 一种无线漫游方法及装置 |
| CN106304050A (zh) * | 2016-08-18 | 2017-01-04 | 杭州华三通信技术有限公司 | 一种无线漫游方法及装置 |
| CN106211281A (zh) * | 2016-08-26 | 2016-12-07 | 北京小米移动软件有限公司 | Wlan启动优化方法及装置 |
| CN107241718A (zh) * | 2017-06-13 | 2017-10-10 | 上海斐讯数据通信技术有限公司 | 一种成对主密匙的丢弃方法及系统 |
| CN109922506A (zh) * | 2017-12-13 | 2019-06-21 | 中兴通讯股份有限公司 | Ap间的切换方法、ap及ap协同工作控制器 |
| CN108449755A (zh) * | 2018-04-03 | 2018-08-24 | 新华三技术有限公司 | 一种终端接入方法和装置 |
| CN108882234A (zh) * | 2018-06-26 | 2018-11-23 | 新华三技术有限公司 | 一种fatap切换方法及装置 |
| CN111328066A (zh) * | 2018-12-14 | 2020-06-23 | 中国电信股份有限公司 | 异构无线网络快速漫游方法和系统、主和从接入点设备 |
| CN111328066B (zh) * | 2018-12-14 | 2023-09-01 | 中国电信股份有限公司 | 异构无线网络快速漫游方法和系统、主和从接入点设备 |
| CN109495878A (zh) * | 2018-12-24 | 2019-03-19 | 新华三技术有限公司 | 一种接入认证方法及装置 |
| CN109495878B (zh) * | 2018-12-24 | 2021-05-28 | 新华三技术有限公司 | 一种接入认证方法及装置 |
| CN114745718A (zh) * | 2021-01-07 | 2022-07-12 | 华为技术有限公司 | 一种局域网内的漫游控制方法及其相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103391543B (zh) | 2016-11-02 |
| WO2013166934A1 (zh) | 2013-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103391543A (zh) | 一种实现漫游切换的方法和装置 | |
| US10349321B2 (en) | Extended service set transitions in wireless networks | |
| US20210195399A1 (en) | Indirect Registration Method and Apparatus | |
| CN106105134B (zh) | 用于改进端到端数据保护的方法和装置 | |
| AU2004244634B2 (en) | Facilitating 802.11 roaming by pre-establishing session keys | |
| CN101014041B (zh) | 无线网络中的交递系统及方法 | |
| KR101068424B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| RU2665064C1 (ru) | Беспроводная связь, включающая в себя кадр обнаружения быстрого первоначального установления линии связи, fils, для сетевой сигнализации | |
| CN101785343B (zh) | 用于快速转换资源协商的方法、系统和装置 | |
| CN101945388A (zh) | 无线漫游认证方法、无线漫游方法及其装置 | |
| US20050071682A1 (en) | Layer 2 switch device with verification management table | |
| CN100558187C (zh) | 一种无线接入方法及接入控制器 | |
| US9226149B2 (en) | System and method for rapid authentication in wireless communications | |
| KR100998704B1 (ko) | 다수 개의 이동성 영역을 갖는 무선 랜에서의 고속 핸드오버 방법 및 시스템 | |
| KR100991169B1 (ko) | 무선랜에서의 빠른 핸드오버방법 및 이를 적용한 이동단말 | |
| US20230016347A1 (en) | Method, apparatus, and computer program product for authentication using a user equipment identifier | |
| WO2010102497A1 (zh) | 一种基于wapi的漫游认证和业务鉴权方法 | |
| KR100667186B1 (ko) | 무선 이동 단말의 인증 시스템 구현 장치 및 방법 | |
| CN102045173A (zh) | 用户设备的认证方法、装置和系统 | |
| KR20130082202A (ko) | AC와 AP의 연동 기반의 WiFi 로밍에서의 효과적인 트래픽 제어 및 단말 세션 관리 방법 및 장치 | |
| CN103546982A (zh) | 工作站的工作状态转换方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160902 Address after: 210012 Nanjing, Yuhuatai District, South Street, Bauhinia Road, No. 68 Applicant after: Nanjing Zhongxing Software Co., Ltd. Address before: 518057 Nanshan District Guangdong high tech Industrial Park, South Road, science and technology, ZTE building, Ministry of Justice Applicant before: ZTE Corporation |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180419 Address after: 518057, A building, Zhongxing building, Nanshan District science and Technology Park, Shenzhen, Guangdong, five Patentee after: ZTE Corporation Address before: 210012 Nanjing, Yuhuatai District, South Street, Bauhinia Road, No. 68 Patentee before: Nanjing Zhongxing Software Co., Ltd. |
|
| TR01 | Transfer of patent right |