CN103888941A - 一种无线网络密钥协商的方法及装置 - Google Patents
一种无线网络密钥协商的方法及装置 Download PDFInfo
- Publication number
- CN103888941A CN103888941A CN201210560648.5A CN201210560648A CN103888941A CN 103888941 A CN103888941 A CN 103888941A CN 201210560648 A CN201210560648 A CN 201210560648A CN 103888941 A CN103888941 A CN 103888941A
- Authority
- CN
- China
- Prior art keywords
- wireless terminal
- eapol
- key frame
- key
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
本发明公开了一种无线网络密钥协商的方法。在AP和无线终端存在PMKSA的情况下,如果无线终端进行或重关联AP,则直接省略四次握手交互过程,利用关联过程协商PTK和GTK的颁发,缩短了链路建立时间,实现更快的数据报文传输;同时AP和无线终端之间直接略过四次密钥协商过程,减少了四次握手失败的可能,使得在无线环境恶劣的情况下,能够减少或避免上层应用的对底层链路的失败处理,进而减少上层应用中断。
Description
技术领域
本发明涉及数据通信领域,尤其涉及一种无线网络密钥协商的方法及装置。
背景技术
WLAN(Wireless Local Area Network,无线局域网)是以无线信道作为传输媒介的计算机局域网,是有线联网方式的重要补充和延伸。WLAN网络是基于空口媒介传输的,为了保证网络的安全性,使用者一般都需要对报文传输过程进行验证和加密。在802.11标准中,IEEE提供了RSNA(Robust Security NetworkAssociation,健壮安全网络联盟)安全架构。在RSNA安全架构下,无线终端和AP(Acess Point,无线接入点)之间在通过802.1X之类的认证或PSK(PairwiseSecurity Key,对称安全密钥)方式下,建立PMKSA安全联盟(Pairwise MasterKey Security Association,对称主密钥安全联盟)。在此基础上,无线终端和AP之间需要进一步进行四次密钥握手过程,才能完成PTK密钥(PairwiseTransient Key,对称临时密钥)的协商,以及AP到无线终端的GTK(GroupTemporal Key,组播临时密钥)颁发。
当无线终端在ESS(Extended Service Set,扩展服务集合)中漫游时,无线终端和新AP(无线终端将要关联的AP)之间可以利用预认证或缓存等方式预先建立了PMKSA,但仍需要通过四次密钥握手交互才能协商出PTK以及GTK的颁发,然后和新AP进行数据报文的传输。在实际运用中,这个过程中的四次密钥握手交互,同时也会给无线运用带来困扰,表现在:
四次密钥握手交互过程花费时间比较长,对手机类终端甚至达到了秒级别,会造成语音中断时间过长;
四次密钥握手交互,会造成无线终端来回切换信道,常常引起四次密钥握手交互过程不能顺利完成,引起链路中断,从而给漫游带来困难,这主要是因为,新AP的工作信道和无线终端当前连接的AP一般是不同的,无线终端需切换到新AP的信道上来关联,但关联之后在四次握文交互完成之前,无线终端如果有数据需要传输,常常会切换到当前AP的信道上,造成不能接收新AP的交互报文,从而引起交互失败。
现有技术中典型的解决方式为:802.11r,但是802.11r不能和现有的802.11(2007)提供的RSNA过程兼容,包括:密钥计算过程;PMK联盟的标识方法,802.11以PMKID来标识,而802.11r以PMKR0Name来标识。此外,802.11r的快速关联过程必须要用到第一次关联过程中的信息,也就是说,无线终端要想在支持的802.11r漫游域中快速漫游,必须先进行一次支持802.11r的首次关联过程。
发明内容
有鉴于此,本发明提供一种无线网络密钥协商的方法和装置,能够直接省略四次密钥握手交互过程而更快的传输数据报文。
为实现本发明目的,本发明实现方案具体如下:
一种无线网络密钥协商的方法,应用于AP,所述方法包括:
接收到无线终端发送的第一个认证报文后,检查AP本地是否保存有所述无线终端的PMKSA;
向所述无线终端回应第二个认证报文,若所述AP本地保存有所述PMKSA,则在所述第二个认证报文中携带第一EAPOL-KEY帧,以便所述无线终端根据所述第一EAPOL-KEY帧向AP发送关联请求报文,其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID;
接收到所述无线终端发送的关联请求报文后,检查所述关联请求报文中是否携带PMKID和第二EAPOL-KEY帧,如果有则将所述PMKID和所述第二EAPOL-KEY帧保存在本地,其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及MIC;
利用本地保存的密钥PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算临时密钥PTK,并检查所述第二EAPOL-KEY帧的MIC是否正确,若检查成功,则表示建立PTKSA成功;
返回关联响应报文,若与无线终端建立了所述PTKSA,则在所述关联响应报文中携带第三EAPOL-KEY帧,以便所述无线终端向AP传输数据报文,其中所述第三EAPOL-KEY帧携带MIC以及GTK。
本发明同时提供一种无线网络密钥协商的方法,应用于无线终端,所述方法包括:
向AP发送第一个认证报文,以便所述AP根据所述第一个认证报文回应第二个认证报文;
接收所述AP回应的所述第二个认证报文,若认证成功则判断所述第二个认证报文中是否携带第一EAPOL-KEY帧,其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID;
若所述第二个认证报文中携带了所述第一EAPOL-KEY帧,将所述第一EAPOL-KEY帧保存在本地,并将所述第一EAPOL-KEY帧中的PMKID和保存在本地的所述AP的各个PMKID比较;若发现有与所述第一EAPOL-KEY帧中的PMKID相等的PMKID,则生成所述无线终端的随机数SNonce,并利用本地存储的PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算出临时密钥PTK,并进行MIC校验;
向AP发送关联请求报文,并在所述关联请求报文中携带所述相等的PMKID和第二EAPOL-KEY帧,以便AP根据所述关联请求报文返回相应的关联响应报文,其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及MIC;
接收AP端返回的关联响应报文,若在所述关联响应报文中携带第三EAPOL-KEY帧,则向AP传输数据报文,其中所述第三EAPOL-KEY帧携带MIC以及GTK。
本发明还提供一种无线网络密钥协商的装置,应用于AP,所述装置包括:
第一接收单元,用于接收到无线终端发送的第一个认证报文后,检查AP本地是否保存有所述无线终端的PMKSA;
第一发送单元,用于向所述无线终端回应第二个认证报文,若所述AP本地保存有所述PMKSA,则在所述第二个认证报文中携带第一EAPOL-KEY帧,以便所述无线终端根据所述第一EAPOL-KEY帧向AP发送关联请求报文,其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID;
第二接收单元,用于接收到所述无线终端发送的关联请求报文后,检查所述关联请求报文中是否携带PMKID和第二EAPOL-KEY帧,如果有则将所述PMKID和所述第二EAPOL-KEY帧保存在本地,其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及MIC;
第一处理单元,利用本地保存的密钥PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算临时密钥PTK,并检查所述第二EAPOL-KEY帧的MIC是否正确,若检查成功,则表示建立PTKSA成功;
第二发送单元,用于返回关联响应报文,若与无线终端建立了所述PTKSA,则在所述关联响应报文中携带第三EAPOL-KEY帧,以便所述无线终端向AP传输数据报文,其中所述第三EAPOL-KEY帧携带MIC以及GTK。
本发明还提供一种无线网络密钥协商的装置,应用于无线终端,所述装置包括:
第三发送单元,用于向AP发送第一个认证报文,以便所述AP根据所述第一个认证报文回应第二个认证报文;
第三接收单元,用于接收所述AP回应的所述第二个认证报文,若认证成功则判断所述第二个认证报文中是否携带第一EAPOL-KEY帧,其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID;
第二处理单元,用于若所述第二个认证报文中携带了所述第一EAPOL-KEY帧,将所述第一EAPOL-KEY帧保存在本地,并将所述第一EAPOL-KEY帧中的PMKID和保存在本地的所述AP的各个PMKID比较;若发现有与所述第一EAPOL-KEY帧中的PMKID相等的PMKID,则生成所述无线终端的随机数SNonce,并利用本地存储的PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算出临时密钥PTK,并进行MIC校验;
第四发送单元,用于向AP发送关联请求报文,并在所述关联请求报文中携带所述相等的PMKID和第二EAPOL-KEY帧,以便AP根据所述关联请求报文返回相应的关联响应报文,其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及MIC;
第四接收单元,用于接收AP端返回的关联响应报文,若在所述关联响应报文中携带第三EAPOL-KEY帧,则向AP传输数据报文,其中所述第三EAPOL-KEY帧携带MIC以及GTK。
与现有技术相比,本发明在PMKSA的情况下,将PTK的协商和GTK的颁发融合在报文认证请求过程中,而省略了认证请求完成之后正常的四次密钥握手过程,缩短了链路建立时间,实现更快的数据报文传输;同时AP和无线终端之间直接略过四次密钥协商过程,减少了四次握手失败的可能,使得在无线环境恶劣的情况下,能够减少或避免上层应用的对底层链路的失败处理,进而减少上层应用中断。
附图说明
图1为本发明一种无线网络密钥协商的方法实施例流程示意图。
图2为本发明一种无线网络密钥协商的方法另一实施例流程示意图。
图3为本发明一种无线网络密钥协商的方法再一实施例流程示意图。
图4为本发明一种无线网络密钥协商的装置逻辑组成图。
具体实施方式
当无线终端在ESS中漫游时,无线终端和新AP(无线终端将要关联的AP)之间可以利用预认证或缓存的方式预先建立PMKSA(对称主密钥安全联盟),但是仍然需要通过四次密钥握手交互才能协商出PTK(对称临时密钥)以及GTK(组播临时密钥)的颁发,然后进行数据报文的传输。本发明提出一种无线网络密钥协商的方法和装置,使得当无线终端和AP之间已经建立PMKSA后,如果无线终端进行关联AP,则直接省略四次密钥握手交互过程,将四次密钥握手交互过程中需要进行的PTK协商和GTK的颁发在AP与无线终端的认证和关联过程中进行,使得无线终端与AP进行关联之后直接进入数据报文的传输过程。
为实现本发明目的,以下结合附图详细说明本发明。请参考图1,为本发明提供的一种无线网络密钥协商的方法实施例,所述无线网络密钥协商的方法应用于AP和无线终端,所述方法包括以下步骤:
步骤101,无线终端向AP发送第一认证报文;
步骤102,AP端接收到无线终端发送的第一个认证报文后,检查AP本地是否保存有所述无线终端的PMKSA,并向无线终端回应第二个认证报文;
若所述AP本地保存有所述PMKSA,在所述第二个认证报文中携带第一EAPOL-KEY帧,所述第一EAPOL-KEY帧携带AP随机数ANonce以及PMKID(pairwise master key identifier,PMKSA的标识,用于唯一标识一个PMKSA),其他内容与PTK协商四次密钥握手中第一个报文中的帧相同。
步骤103,无线终端接收到AP端发送的所述第二认证报文后,检查认证是否成功,如果认证不成功,则重新认证;如果认证成功,则判断所述第二个认证报文中是否携带所述第一EAPOL-KEY帧;
若所述第二个认证报文中携带了所述第一EAPOL-KEY帧,保存所述第一EAPOL-KEY帧,并将所述第一EAPOL-KEY帧中的PMKID和保存在本地的各个AP的PMKID比较;
若发现有与所述第一EAPOL-KEY帧中的PMKID相等的PMKID,则生成无线终端自己的随机数SNonce,并根据IEEE802.11中所述,利用存储在本地的PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算出临时密钥PTK并进行MIC的校验;所述PTK中包含临时密钥TK、加密密钥KEK、确认密钥KCK以及MIC的校验密钥TMK,其中PTK的计算过程为技术领域内的公知技术,在此不再详细介绍;
步骤104,无线终端向所述AP端发送关联请求报文,并在所述关联请求报文中携带所述相等的PMKID和第二EAPOL-KEY帧,所述第二EAPOL-KEY帧携带无线终端随机数SNonce以及MIC(消息完整性校验码),其他内容与PTK协商四次密钥握手第二个报文中的帧相同。
步骤105,AP接收到无线终端发送的关联请求报文后,检查所述关联请求报文中是否携带PMKID和所述第二EAPOL-KEY帧;
若所述关联请求报文中携带所述第二EAPOL-KEY帧,则将所述PMKID和所述第二EAPOL-KEY帧保存在本地,并利用本地保存的密钥PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算出临时密钥PTK,所述PTK中包含临时密钥TK、密钥加密密钥KEK、确认密钥KCK以及MIC的校验密钥TMK,其中PTK的计算过程为技术领域内的公知技术,在此不再详细介绍;
AP通过该PTK中的KCK部分对所述第二EAPOL-KEY帧中的MIC进行验证,检查所述第二EAPOL-KEY帧中的MIC是否正确,若检查所述第二EAPOL-KEY帧中的MIC正确,则表示PTKSA(对称临时密钥联盟)建立成功;
步骤106,AP向无线终端返回关联响应报文,若与无线终端建立了所述PTKSA,则在所述关联响应报文中携带第三EAPOL-KEY帧,所述第三EAPOL-KEY帧携带MIC(消息完整性校验码)、GTK(组播临时密钥),与四次密钥握手中第三个报文中的帧相同,其中所述组播临时密钥GTK已经利用所述PTK中的KEK(Key Encryption key,密钥加密密钥)部分进行了加密;
步骤107,无线终端接收AP端返回的关联响应报文,并对所述的GTK进行解密,完成PTK协商和GTK的颁发,链路建立成功,然后所述无线终端进入数据报文的传输过程。
通过以上步骤可以得出,在AP与无线终端建立PMKSA安全联盟的基础上,所述AP与无线终端建立关联时,在认证以及关联过程中进行PTK协商和GTK的颁发,而经过认证和关联之后,省略四次密钥握手过程直接进入数据报文传输过程。以上过程通过PMKID的判断确定重关联请求报文的内容,并通过PTK的计算来实现关联,解决了802.11r不能和现有的802.11提供的RSNA兼容以及802.11r的快速关联过程中必须使用第一次关联过程中的信息的问题,同时AP和无线终端之间能够直接跳过四次密钥协商过程,缩短链路建立时间,尤其在漫游的情况下,为上层应用提供了更好的链路层服务。进一步地,AP和无线终端之间能够直接略过四次密钥协商过程,减少了四次握手失败的可能,这在无线环境恶劣的情况下,能够减少或避免上层应用的对底层链路的失败处理,减少上层应用中断。
进一步地,在AP与无线终端进行密钥协商的过程中,可能会存在AP或无线终端不支持跳过四次密钥握手的过程,或者在双方都支持的跳过四次密钥握手,但是由于PMK的老化而不能跳过四次密钥握手的过程,具体情形如下:
情形一:当所述AP或无线终端不支持跳过四次密钥握手的过程时,则所述AP启动正常的四次密钥握手过程。如图2所示,在正常的关联请求完成之后,由AP发起四次密钥握手过程。例如:
在所述步骤103中,若所述第二个认证报文中没有携带所述第一EAPOL-KEY帧,则启动正常的四次密钥握手,即在关联请求完成之后由所述AP向客户端发起四次密钥握手;具体地,如果认证报文中没有携带所述第一EAPOL-KEY帧,则表明是AP不支持跳过四次密钥握手的过程,此时无线终端无法计算得到PTK所需要的AP随机数ANonce,因此,也就不能在关联请求阶段完成PTK的协商。
情形二:AP和无线终端双方都支持的跳过四次密钥握手,但是由于PMK的老化而不能跳过四次密钥握手的过程,如图3所示,当跳过四次密钥握手失败时,在完成关联请求之后,重新建立PMKSA,并PMKSA建立完成之后由AP发起正常的四次密钥握手,例如:
在所述步骤103中,若保存在所述无线终端上的关于所述AP的各个PMKID中没有和所述第一EAPOL-KEY帧中的PMKID相等的PMKID,则需要重新建立PMKSA,并且由AP向无线终端发起四次密钥握手;具体地,若保存在所述无线终端上的关于所述AP的各个PMKID中没有和所述第一EAPOL-KEY帧中的PMKID相等的PMKID,则表示保存的PMK已经发生老化,需要重新建立PMKSA才能完成PTK的建立,但是PKMSA的建立是在四次密钥握手过程中建立的,所以不能实现跳跃四次密钥握手的过程。
通过以上两种情形可以得出:本发明提供的密钥协商方法即使在跳过四次密钥握手失败的情况下,AP和无线终端之间仍然能够在认证请求完成之后,进行正常的四次密钥握手过程,仍然能够使AP和无线终端时间建立连接。
本发明同时提供一种无线网络密钥协商的装置,应用于AP,如图4示,所述装置包括:
第一接收单元401,用于接收到无线终端发送的第一个认证报文后,检查AP本地是否保存有所述无线终端的PMKSA;
第一发送单元402,用于向所述无线终端回应第二个认证报文,若所述AP本地保存有所述PMKSA,则在所述第二个认证报文中携带第一EAPOL-KEY帧,以便所述无线终端根据所述第一EAPOL-KEY帧向AP发送关联请求报文,其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID,其他内容与四次密钥握手过程中的第一报文中的帧相同;
第二接收单元403,用于接收到所述无线终端发送的关联请求报文,并检查所述关联请求报文中是否携带PMKID和第二EAPOL-KEY帧,如果有则将所述PMKID和所述第二EAPOL-KEY帧保存在本地,其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及MIC,其他内容与四次密钥过程中的第二个报文中的帧相同。
第一处理单元404,利用本地保存的密钥PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算临时密钥PTK,并检查所述第二EAPOL-KEY帧的MIC是否正确,若检查成功,则表示建立PTKSA成功。
第二发送单元405,用于返回关联响应报文,若与无线终端建立了所述PTKSA,则在所述关联响应报文中携带第三EAPOL-KEY帧,以便所述无线终端向AP传输数据报文,其中所述第三EAPOL-KEY帧携带MIC以及GTK,其他内容与四次密钥握手过程中第三个报文中的帧相同;
进一步地,当所述装置或无线终端不支持跳过四次密钥握手的过程时,则所述装置与无线终端间启动正常的四次密钥握手过程。
进一步地,当所述装置和无线终端双方都支持跳过四次密钥握手,当所述AP跳过四次密钥握手失败时,在所述无线终端完成与所述装置的关联请求之后,重新建立PMKSA,并PMKSA建立完成之后由所述装置发起正常的四次密钥握手。
本发明还提供一种无线网络密钥协商的装置,应用于无线终端,请进一步参考图4,所述装置包括:
第三发送单元407,用于向AP发送第一个认证报文,以便所述AP根据所述第一个认证报文回应第二个认证报文。
第三接收单元408,用于接收所述AP回应的所述第二个认证报文,若认证成功则判断所述第二个认证报文中是否携带第一EAPOL-KEY帧,其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID,其他内容与四次密钥握手过程中的第一个报文中的相同。
第二处理单元409,用于若所述第二个认证报文中携带了所述第一EAPOL-KEY帧,将所述第一EAPOL-KEY帧保存在本地,并将所述第一EAPOL-KEY帧中的PMKID和保存在本地的所述AP的各个PMKID比较;若发现有与所述第一EAPOL-KEY帧中的PMKID相等的PMKID,则生成所述无线终端的随机数SNonce,并利用本地存储的PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算出临时密钥PTK,并进行MIC校验。
第四发送单元410,用于向AP发送关联请求报文,并在所述关联请求报文中携带所述相等的PMKID和第二EAPOL-KEY帧,以便AP根据所述关联请求报文返回相应的关联响应报文,其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及MIC,其他内容与四次密钥握手过程中的第二个报文中的帧相同。
第四接收单元411,用于接收AP端返回的关联响应报文,若在所述关联响应报文中携带第三EAPOL-KEY帧,则向AP传输数据报文,其中所述第三EAPOL-KEY帧携带MIC以及GTK,其他内容与四次密钥握手过程中的第三个报文中的帧相同。
进一步地,当所述装置或AP不支持跳过四次密钥握手的过程时,则所述装置与AP间启动正常的四次密钥握手过程。
进一步地,所述装置和AP双方都支持跳过四次密钥握手,当所述装置与AP间跳过四次密钥握手失败时,在所述装置终端完成与AP的关联请求之后,重新建立PMKSA,并PMKSA建立完成之后由所述AP发起正常的四次密钥握手。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种无线网络密钥协商的方法,应用于AP,其特征在于,所述方法包括:
接收到无线终端发送的第一个认证报文后,检查AP本地是否保存有所述无线终端的PMKSA;
向所述无线终端回应第二个认证报文,若所述AP本地保存有所述PMKSA,则在所述第二个认证报文中携带第一EAPOL-KEY帧,以便所述无线终端根据所述第一EAPOL-KEY帧向AP发送关联请求报文,其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID;
接收到所述无线终端发送的关联请求报文后,检查所述关联请求报文中是否携带PMKID和第二EAPOL-KEY帧,如果有则将所述PMKID和所述第二EAPOL-KEY帧保存在本地,其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及MIC;
利用本地保存的密钥PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算临时密钥PTK,并检查所述第二EAPOL-KEY帧的MIC是否正确,若检查成功,则表示建立PTKSA成功;
返回关联响应报文,若与无线终端建立了所述PTKSA,则在所述关联响应报文中携带第三EAPOL-KEY帧,以便所述无线终端向AP传输数据报文,其中所述第三EAPOL-KEY帧携带MIC以及GTK。
2.如权利要求1所述的方法,其特征在于,当所述AP或无线终端不支持跳过四次密钥握手的过程时,则所述AP启动正常的四次密钥握手过程。
3.如权利要求1所述的方法,其特征在于,AP和无线终端双方都支持跳过四次密钥握手,当所述AP跳过四次密钥握手失败时,在所述无线终端完成AP的关联请求之后,重新建立PMKSA,并PMKSA建立完成之后由所述AP发起正常的四次密钥握手。
4.一种无线网络密钥协商的方法,应用于无线终端,其特征在于,所述方法包括:
向AP发送第一个认证报文,以便所述AP根据所述第一个认证报文回应第二个认证报文;
接收所述AP回应的所述第二个认证报文,若认证成功则判断所述第二个认证报文中是否携带第一EAPOL-KEY帧,其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID;
若所述第二个认证报文中携带了所述第一EAPOL-KEY帧,将所述第一EAPOL-KEY帧保存在本地,并将所述第一EAPOL-KEY帧中的PMKID和保存在本地的所述AP的各个PMKID比较;若发现有与所述第一EAPOL-KEY帧中的PMKID相等的PMKID,则生成所述无线终端的随机数SNonce,并利用本地存储的PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算出临时密钥PTK,并进行MIC校验;
向AP发送关联请求报文,并在所述关联请求报文中携带所述相等的PMKID和第二EAPOL-KEY帧,以便AP根据所述关联请求报文返回相应的关联响应报文,其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及MIC;
接收AP端返回的关联响应报文,若在所述关联响应报文中携带第三EAPOL-KEY帧,则向AP传输数据报文,其中所述第三EAPOL-KEY帧携带MIC以及GTK。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
当所述AP或无线终端不支持跳过四次密钥握手的过程时,则所述无线终端和AP间启动正常的四次密钥握手过程。
6.如权利要求4所述的方法,其特征在于,AP和无线终端双方都支持的跳过四次密钥握手,当所述无线终端与AP跳过四次密钥握手失败时,所述无线终端完成AP的关联请求之后,重新建立PMKSA,并PMKSA建立完成之后由所述AP发起正常的四次密钥握手。
7.一种无线网络密钥协商的装置,应用于AP,其特征在于,所述装置包括:
第一接收单元,用于接收到无线终端发送的第一个认证报文后,检查AP本地是否保存有所述无线终端的PMKSA;
第一发送单元,用于向所述无线终端回应第二个认证报文,若所述AP本地保存有所述PMKSA,则在所述第二个认证报文中携带第一EAPOL-KEY帧,以便所述无线终端根据所述第一EAPOL-KEY帧向AP发送关联请求报文,其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID;
第二接收单元,用于接收到所述无线终端发送的关联请求报文后,检查所述关联请求报文中是否携带PMKID和第二EAPOL-KEY帧,如果有则将所述PMKID和所述第二EAPOL-KEY帧保存在本地,其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及MIC;
第一处理单元,利用本地保存的密钥PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算临时密钥PTK,并检查所述第二EAPOL-KEY帧的MIC是否正确,若检查成功,则表示建立PTKSA成功;
第二发送单元,用于返回关联响应报文,若与无线终端建立了所述PTKSA,则在所述关联响应报文中携带第三EAPOL-KEY帧,以便所述无线终端向AP传输数据报文,其中所述第三EAPOL-KEY帧携带MIC以及GTK。
8.如权利要求7所述的装置,其特征在于,当所述装置或无线终端不支持跳过四次密钥握手的过程时,则所述装置与无线终端间启动正常的四次密钥握手过程。
9.如权利要求7所述的装置,其特征在于,所述装置和无线终端双方都支持跳过四次密钥握手,当所述装置与无线终端跳过四次密钥握手失败时,在所述无线终端完成与所述装置的关联请求之后,重新建立PMKSA,并PMKSA建立完成之后由所述装置发起正常的四次密钥握手。
10.一种无线网络密钥协商的装置,应用于无线终端,其特征在于,所述装置包括:
第三发送单元,用于向AP发送第一个认证报文,以便所述AP根据所述第一个认证报文回应第二个认证报文;
第三接收单元,用于接收所述AP回应的所述第二个认证报文,若认证成功则判断所述第二个认证报文中是否携带第一EAPOL-KEY帧,其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID;
第二处理单元,用于若所述第二个认证报文中携带了所述第一EAPOL-KEY帧,将所述第一EAPOL-KEY帧保存在本地,并将所述第一EAPOL-KEY帧中的PMKID和保存在本地的所述AP的各个PMKID比较;若发现有与所述第一EAPOL-KEY帧中的PMKID相等的PMKID,则生成所述无线终端的随机数SNonce,并利用本地存储的PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址,计算出临时密钥PTK,并进行MIC校验;
第四发送单元,用于向AP发送关联请求报文,并在所述关联请求报文中携带所述相等的PMKID和第二EAPOL-KEY帧,以便AP根据所述关联请求报文返回相应的关联响应报文,其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及MIC;
第四接收单元,用于接收AP端返回的关联响应报文,若在所述关联响应报文中携带第三EAPOL-KEY帧,则向AP传输数据报文,其中所述第三EAPOL-KEY帧携带MIC以及GTK。
11.如权利要求10所述的装置,其特征在于,当所述装置或AP不支持跳过四次密钥握手的过程时,则所述装置与AP间启动正常的四次密钥握手过程。
12.如权利要求10所述的装置,其特征在于,所述装置和AP双方都支持跳过四次密钥握手,当所述装置与AP间跳过四次密钥握手失败时,在所述装置完成与AP的关联请求之后,重新建立PMKSA,并PMKSA建立完成之后由所述AP发起正常的四次密钥握手。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210560648.5A CN103888941B (zh) | 2012-12-20 | 2012-12-20 | 一种无线网络密钥协商的方法及装置 |
| US14/648,166 US9445273B2 (en) | 2012-12-20 | 2013-12-18 | Establishing WLAN association |
| PCT/CN2013/089790 WO2014094615A1 (en) | 2012-12-20 | 2013-12-18 | Establishing wlan association |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210560648.5A CN103888941B (zh) | 2012-12-20 | 2012-12-20 | 一种无线网络密钥协商的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103888941A true CN103888941A (zh) | 2014-06-25 |
| CN103888941B CN103888941B (zh) | 2018-03-06 |
Family
ID=50957625
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210560648.5A Active CN103888941B (zh) | 2012-12-20 | 2012-12-20 | 一种无线网络密钥协商的方法及装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9445273B2 (zh) |
| CN (1) | CN103888941B (zh) |
| WO (1) | WO2014094615A1 (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270752A (zh) * | 2014-09-30 | 2015-01-07 | 杭州华三通信技术有限公司 | 无线网络中的密钥协商方法及装置 |
| CN104486759A (zh) * | 2014-12-15 | 2015-04-01 | 北京极科极客科技有限公司 | 一种无障碍接入无线网络的方法 |
| CN106412883A (zh) * | 2016-11-10 | 2017-02-15 | 杭州华三通信技术有限公司 | 一种接入无线网络的方法及装置 |
| CN106941405A (zh) * | 2017-04-28 | 2017-07-11 | 北京星网锐捷网络技术有限公司 | 一种在无线局域网中终端认证的方法和装置 |
| CN107040509A (zh) * | 2016-11-23 | 2017-08-11 | 杭州迪普科技股份有限公司 | 一种报文发送方法及装置 |
| CN107690138A (zh) * | 2016-08-05 | 2018-02-13 | 华为技术有限公司 | 一种快速漫游方法、装置、系统、接入点和移动站 |
| CN108012269A (zh) * | 2017-12-08 | 2018-05-08 | 新华三技术有限公司 | 一种无线接入方法、装置及设备 |
| CN111328066A (zh) * | 2018-12-14 | 2020-06-23 | 中国电信股份有限公司 | 异构无线网络快速漫游方法和系统、主和从接入点设备 |
| US20200359349A1 (en) * | 2019-04-29 | 2020-11-12 | Sonicwall Inc. | Establishing simultaneous mesh node connections |
| CN113141674A (zh) * | 2021-04-08 | 2021-07-20 | 成都极米科技股份有限公司 | 多链路系统中链路配置方法、设备、系统及存储介质 |
| WO2021147660A1 (zh) * | 2020-01-21 | 2021-07-29 | 华为技术有限公司 | 一种数据传输方法及设备 |
| WO2021196047A1 (zh) * | 2020-03-31 | 2021-10-07 | 华为技术有限公司 | 密钥处理方法和装置 |
| WO2023093277A1 (zh) * | 2021-11-23 | 2023-06-01 | 华为技术有限公司 | 一种漫游方法及系统 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102014018867A1 (de) | 2014-12-16 | 2016-06-16 | Giesecke & Devrient Gmbh | Einbringen einer Identität in ein Secure Element |
| US9775181B2 (en) * | 2015-06-25 | 2017-09-26 | Qualcomm Incorporated | Reducing re-association time for STA connected to AP |
| US10111095B2 (en) * | 2016-03-14 | 2018-10-23 | Verizon Patent And Licensing Inc. | Caching a pairwise master key for dropped wireless local area network (WLAN) connections to prevent re-authentication |
| US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
| WO2018016713A2 (ko) * | 2016-07-18 | 2018-01-25 | 엘지전자(주) | 무선 통신 시스템에서의 단말의 접속 식별자 보안 방법 및 이를 위한 장치 |
| US10613994B2 (en) * | 2017-03-29 | 2020-04-07 | Intel Corporation | Methods and apparatus to establish a connection between a supplicant and a secured network |
| CN108966363B (zh) * | 2018-08-17 | 2021-03-12 | 新华三技术有限公司 | 一种连接建立方法及装置 |
| WO2024011645A1 (zh) * | 2022-07-15 | 2024-01-18 | Oppo广东移动通信有限公司 | 密钥生成方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006074592A1 (fr) * | 2005-01-13 | 2006-07-20 | Huawei Technologies Co., Ltd. | Procede et dispositif de prise en charge de reseaux logiques multiples dans un reseau wlan |
| CN101047587A (zh) * | 2006-06-30 | 2007-10-03 | 华为技术有限公司 | 一种非无线局域网终端访问外部网络的系统及方法 |
| CN101626370A (zh) * | 2008-07-07 | 2010-01-13 | 华为技术有限公司 | 节点间密钥的分配方法、系统及设备 |
| CN101795463A (zh) * | 2010-02-09 | 2010-08-04 | 工业和信息化部电信传输研究所 | 无线局域网鉴别和保密基础结构协议分析方法和系统 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6418130B1 (en) | 1999-01-08 | 2002-07-09 | Telefonaktiebolaget L M Ericsson (Publ) | Reuse of security associations for improving hand-over performance |
| US7275157B2 (en) | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
| KR101101060B1 (ko) * | 2004-09-15 | 2011-12-29 | 노키아 인크 | 이동국 전이 방법 및 컴퓨터 판독가능 매체 |
| CN101155092B (zh) | 2006-09-29 | 2010-09-08 | 西安电子科技大学 | 一种无线局域网接入方法、设备及系统 |
| KR101556906B1 (ko) | 2008-12-29 | 2015-10-06 | 삼성전자주식회사 | 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법 |
| CN101998399A (zh) | 2009-08-12 | 2011-03-30 | 中兴通讯股份有限公司 | 一种实现终端快速切换的方法和系统 |
| US8839372B2 (en) | 2009-12-23 | 2014-09-16 | Marvell World Trade Ltd. | Station-to-station security associations in personal basic service sets |
| CN102404720B (zh) | 2010-09-19 | 2014-10-08 | 华为技术有限公司 | 无线局域网中密钥的发送方法及装置 |
| GB2495550A (en) * | 2011-10-14 | 2013-04-17 | Ubiquisys Ltd | An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces |
| US20130196708A1 (en) * | 2012-01-31 | 2013-08-01 | Partha Narasimhan | Propagation of Leveled Key to Neighborhood Network Devices |
| WO2014028691A1 (en) * | 2012-08-15 | 2014-02-20 | Interdigital Patent Holdings, Inc. | Enhancements to enable fast security setup |
-
2012
- 2012-12-20 CN CN201210560648.5A patent/CN103888941B/zh active Active
-
2013
- 2013-12-18 WO PCT/CN2013/089790 patent/WO2014094615A1/en active Application Filing
- 2013-12-18 US US14/648,166 patent/US9445273B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006074592A1 (fr) * | 2005-01-13 | 2006-07-20 | Huawei Technologies Co., Ltd. | Procede et dispositif de prise en charge de reseaux logiques multiples dans un reseau wlan |
| CN101047587A (zh) * | 2006-06-30 | 2007-10-03 | 华为技术有限公司 | 一种非无线局域网终端访问外部网络的系统及方法 |
| CN101626370A (zh) * | 2008-07-07 | 2010-01-13 | 华为技术有限公司 | 节点间密钥的分配方法、系统及设备 |
| CN101795463A (zh) * | 2010-02-09 | 2010-08-04 | 工业和信息化部电信传输研究所 | 无线局域网鉴别和保密基础结构协议分析方法和系统 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270752B (zh) * | 2014-09-30 | 2017-10-27 | 新华三技术有限公司 | 无线网络中的密钥协商方法及装置 |
| CN104270752A (zh) * | 2014-09-30 | 2015-01-07 | 杭州华三通信技术有限公司 | 无线网络中的密钥协商方法及装置 |
| CN104486759A (zh) * | 2014-12-15 | 2015-04-01 | 北京极科极客科技有限公司 | 一种无障碍接入无线网络的方法 |
| WO2016095413A1 (zh) * | 2014-12-15 | 2016-06-23 | 北京极科极客科技有限公司 | 一种无障碍接入无线网络的方法 |
| CN107690138B (zh) * | 2016-08-05 | 2020-08-14 | 华为技术有限公司 | 一种快速漫游方法、装置、系统、接入点和移动站 |
| CN107690138A (zh) * | 2016-08-05 | 2018-02-13 | 华为技术有限公司 | 一种快速漫游方法、装置、系统、接入点和移动站 |
| CN106412883A (zh) * | 2016-11-10 | 2017-02-15 | 杭州华三通信技术有限公司 | 一种接入无线网络的方法及装置 |
| CN106412883B (zh) * | 2016-11-10 | 2021-11-05 | 新华三技术有限公司 | 一种接入无线网络的方法及装置 |
| CN107040509A (zh) * | 2016-11-23 | 2017-08-11 | 杭州迪普科技股份有限公司 | 一种报文发送方法及装置 |
| CN107040509B (zh) * | 2016-11-23 | 2019-12-06 | 杭州迪普科技股份有限公司 | 一种报文发送方法及装置 |
| CN106941405A (zh) * | 2017-04-28 | 2017-07-11 | 北京星网锐捷网络技术有限公司 | 一种在无线局域网中终端认证的方法和装置 |
| CN108012269A (zh) * | 2017-12-08 | 2018-05-08 | 新华三技术有限公司 | 一种无线接入方法、装置及设备 |
| CN108012269B (zh) * | 2017-12-08 | 2021-03-02 | 新华三技术有限公司 | 一种无线接入方法、装置及设备 |
| CN111328066A (zh) * | 2018-12-14 | 2020-06-23 | 中国电信股份有限公司 | 异构无线网络快速漫游方法和系统、主和从接入点设备 |
| CN111328066B (zh) * | 2018-12-14 | 2023-09-01 | 中国电信股份有限公司 | 异构无线网络快速漫游方法和系统、主和从接入点设备 |
| US20200359349A1 (en) * | 2019-04-29 | 2020-11-12 | Sonicwall Inc. | Establishing simultaneous mesh node connections |
| WO2021147660A1 (zh) * | 2020-01-21 | 2021-07-29 | 华为技术有限公司 | 一种数据传输方法及设备 |
| WO2021196047A1 (zh) * | 2020-03-31 | 2021-10-07 | 华为技术有限公司 | 密钥处理方法和装置 |
| CN113141674A (zh) * | 2021-04-08 | 2021-07-20 | 成都极米科技股份有限公司 | 多链路系统中链路配置方法、设备、系统及存储介质 |
| WO2023093277A1 (zh) * | 2021-11-23 | 2023-06-01 | 华为技术有限公司 | 一种漫游方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9445273B2 (en) | 2016-09-13 |
| CN103888941B (zh) | 2018-03-06 |
| WO2014094615A1 (en) | 2014-06-26 |
| US20150334571A1 (en) | 2015-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103888941A (zh) | 一种无线网络密钥协商的方法及装置 | |
| US11228905B2 (en) | Security implementation method, related apparatus, and system | |
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| US10904753B2 (en) | Systems and methods for authentication | |
| JP2021193800A (ja) | 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成 | |
| KR101648158B1 (ko) | 동시적 재인증 및 접속 셋업을 이용하는 무선 통신 | |
| CN101406021B (zh) | 基于sim的认证 | |
| CN101401465B (zh) | 用于在移动网络中进行递归认证的方法和系统 | |
| US10798082B2 (en) | Network authentication triggering method and related device | |
| EP3065334A1 (en) | Key configuration method, system and apparatus | |
| JP2017535096A (ja) | 認証証明のセキュアプロビジョニング | |
| KR20180057665A (ko) | 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템 | |
| MX2009002507A (es) | Autentificacion de seguridad y gestion de claves dentro de una red de multisalto inalambrica basada en infraestructura. | |
| CN101785343B (zh) | 用于快速转换资源协商的方法、系统和装置 | |
| WO2009152749A1 (zh) | 一种绑定认证的方法、系统和装置 | |
| CN105553981A (zh) | 一种wlan网络快速认证和密钥协商方法 | |
| CN101820629A (zh) | 一种无线局域网中身份认证的方法、装置及系统 | |
| US11381973B2 (en) | Data transmission method, related device, and related system | |
| CN101895877A (zh) | 密钥协商方法、设备及系统 | |
| CN103391540A (zh) | 密钥信息生成方法及系统、终端设备、接入网设备 | |
| CN101247295A (zh) | 一种在无线局域网获得接入控制器信息的方法和装置 | |
| CN102970680A (zh) | 网络切换方法及装置 | |
| US20190149326A1 (en) | Key obtaining method and apparatus | |
| CN106304400B (zh) | 无线网络的ip地址分配方法和系统 | |
| CN103096317A (zh) | 一种基于共享加密数据的双向鉴权方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Development Zone, Zhejiang high tech park, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |