CN108012306A - 一种无线局域网漫游方法和装置 - Google Patents
一种无线局域网漫游方法和装置 Download PDFInfo
- Publication number
- CN108012306A CN108012306A CN201610978937.5A CN201610978937A CN108012306A CN 108012306 A CN108012306 A CN 108012306A CN 201610978937 A CN201610978937 A CN 201610978937A CN 108012306 A CN108012306 A CN 108012306A
- Authority
- CN
- China
- Prior art keywords
- wireless aps
- terminal
- variable
- layer key
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种无线局域网漫游方法和装置,涉及通信领域,能够解决STA无法跨MD进行快速漫游以及STA在MD内第一次接入的无线AP产生不必要的计算工作量的问题。其方法为:终端获取无线接入点AP的相关信息;终端根据无线AP的相关信息和第一层密钥获取第二层密钥,并向无线AP发送第二层密钥和终端的变量,使无线AP根据第二层密钥、终端的变量和无线AP的变量获取第三层密钥;终端接收无线AP的变量,并根据无线AP的变量、第二层密钥和终端的变量获取第三层密钥,以便终端根据第三层密钥接入无线AP。本发明实施例应用于STA进行局域网快速漫游的场景中。
Description
技术领域
本发明涉及通信领域,尤其涉及一种无线局域网漫游方法和装置。
背景技术
近几年来,无线局域网(Wireless Local Area Network,WLAN)技术经过快速的发展,其无线网络部署的规模越来越大,相应地无线局域网安全技术也在不断发展,使得无线终端的接入过程变得越来越复杂。采用高级安全策略的无线网络在漫游时有较大的时延,这会严重影响实时性要求较高的业务。因此,使用无线终端的用户希望在不牺牲安全性的前提下快速灵活地漫游于无线局域网中。
在无线局域网漫游方法中,电气和电子工程师学会(Institute of Electricaland Electronics Engineers,IEEE)802.11r提出的快速基本服务集(Basic Service Set,BSS)切换协议,对密钥结构和认证过程做了较大改动,提升了切换的安全性和切换速度。IEEE802.11r协议设计了三层密钥结构,使站点(Station,STA)能够在同一移动领域(Mobility Domain,MD)中的无线接入点(AP,Access Point)间进行快速切换,三层密钥分别为成对主密钥R0(Pairwise Master Key R0,PMK_R0)、成对主密钥R1(Pairwise MasterKey R1,PMK_R1)和成对临时密钥(Pairwise Transient Key,PTK)。具体地,PMK_R0为第一层密钥,PMK_R1为第二层密钥,PTK为第三层密钥。快速BSS切换的主要方法为:如图1所示,假设与STA相连的无线AP是与STA在MD1中第一次关联的无线AP,STA第一次与MD1内的无线AP关联时,第一次关联的无线AP利用认证获得的PMK_R0计算出不同的PMK_R1,并分发给MD1内其他的无线AP,其他无线AP可以是如图1中的无线AP1、无线AP2和无线AP3;当发生切换时,无线AP和STA直接利用PMK_R1协商出PTK和组临时密钥(Group Transient Key,GTK),缩短了切换时间。其中,密钥的分发是由STA第一次关联的无线AP上的密钥管理实体R0密钥持有者(Key Holder,KH)发起的,它会轮询MD内每个无线AP上的密钥管理实体,然后计算出PMK_R1存储在R1KH中。由于各个R1KH的身份标识(Identity,ID)在MD中是唯一的,因此对应于STA的所有的PMK_R1都是不同的,但都是由同一个PMK_R0推演而来。
可知,IEEE802.11r是同一MD内的无线AP之间的快速切换,因而密钥的分发也是在同一MD内进行的,无法做到跨MD进行密钥分发,进而使得STA无法跨MD进行快速漫游;而且STA第一次关联的无线AP上的R0KH进行密钥的分发时,需要轮询MD内每个无线AP上的R1KH,计算出PMK_R1后,分发给MD内所有其他的无线AP,由于STA可能不会移动到MD内某些无线AP覆盖范围内,所以STA第一次关联的无线AP可能会产生一些无效的PMK_R1,使得STA第一次关联的无线AP产生不必要的计算工作量。
发明内容
本发明实施例提供一种无线局域网漫游方法和装置,能够解决STA无法跨MD进行快速漫游以及STA在MD内第一次接入的无线AP产生不必要的计算工作量的问题。
一方面,本发明实施例提供一种无线局域网漫游方法,包括:终端获取无线接入点AP的相关信息;终端根据无线AP的相关信息和第一层密钥获取第二层密钥,并向无线AP发送第二层密钥和终端的变量,使无线AP根据第二层密钥、终端的变量和无线AP的变量获取第三层密钥;终端接收无线AP的变量,并根据无线AP的变量、第二层密钥和终端的变量获取第三层密钥,以便终端根据第三层密钥接入无线AP。这样一来,可以由终端获取所需的无线AP对应的第二层密钥,相比现有技术中由第一次关联的无线AP来获取同一MD内其他所有无线AP对应的第二层密钥,本发明可以解决STA在MD内第一次接入的无线AP产生不必要的计算工作量的问题,而且由终端计算所需的无线AP的第二层密钥,可以使终端不仅可以在同一MD内漫游,也可以在不同MD之间进行漫游,从而解决了终端无法跨MD进行快速漫游的问题。
在一种可能的设计中,无线AP的相关信息包括无线AP的媒体访问控制(MediaAccess Control,MAC)地址、接入网关的网际协议IP地址、MAC地址和前缀长度。这样一来,终端可以根据无线AP的MAC地址、MN的MAC地址和第一层密钥来获取第二层密钥。
在一种可能的设计中,终端根据无线AP的相关信息和第一层密钥获取第二层密钥,并向无线AP发送第二层密钥包括:终端根据无线AP的MAC地址、第一层密钥以及终端的MAC地址计算第二层密钥;终端向接入网关发送请求消息,请求消息包括第二层密钥和终端的变量,使接入网关将请求消息重新封装后发送给无线AP。这样一来,终端可以根据无线AP的MAC地址、第一层密钥以及终端的MAC地址计算第二层密钥,并通过接入网关将请求消息发送给无线AP。
在一种可能的设计中,终端接收无线AP的变量包括:终端接收接入网关将从无线AP接收到的消息重新封装后的响应消息,响应消息包括无线AP发送的无线AP的变量。这样一来,终端可以根据响应消息包括的无线AP的变量来计算第三层密钥,可以使终端根据第三层密钥接入无线AP。
另一方面,本发明实施例提供一种无线局域网漫游方法,包括:无线接入点AP接收终端发送的第二层密钥和终端的变量,并根据第二层密钥和终端的变量获取第三层密钥,第二层密钥是终端根据无线AP的相关信息和第一层密钥计算得到的;无线AP向终端发送无线AP的变量,使终端根据无线AP的变量、第二层密钥以及终端的变量获取第三层密钥,并根据第三层密钥接入无线AP。这样一来,无线接入点AP接收由终端发送的第二层密钥和终端的变量,也就是说无线AP接收到的第二层密钥和终端的变量是由终端获取并发送,相比现有技术中由终端第一次关联的无线AP来获取同一MD内其他所有无线AP对应的第二层密钥,并分发给同一MD内的其他无线AP,本发明可以解决STA在MD内第一次接入的无线AP产生不必要的计算工作量的问题;而且可以是任一MD内的无线AP接收终端发送的第二层密钥和终端的变量,并计算第三层密钥,以便终端可以接入任一MD内的无线AP,从而解决了终端无法跨MD进行快速漫游的问题。
在一种可能的设计中,无线AP的相关信息包括无线AP的媒体访问控制MAC地址、接入网关的网际协议IP地址、MAC地址和前缀长度。
在一种可能的设计中,无线接入点AP接收终端发送的第二层密钥和终端的变量包括:无线AP接收终端通过接入网关发送的第一报文,第一报文是接入网关将终端发送的请求消息重新封装后的报文,第一报文和请求消息均包括第二层密钥和终端的变量。
在一种可能的设计中,无线AP向终端发送无线AP的变量包括:无线AP向接入网关发送第二报文,使接入网关解析第二报文以得到无线AP的变量后,向终端发送响应消息,第二报文和响应消息均包括无线AP的变量。
再一方面,本发明实施例提供一种终端,包括:获取单元,用于获取无线接入点AP的相关信息;所述获取单元,还用于根据无线AP的相关信息和第一层密钥获取第二层密钥;发送单元,用于向无线AP发送第二层密钥和终端的变量,使无线AP根据第二层密钥、终端的变量和无线AP的变量获取第三层密钥;接收单元,用于接收无线AP的变量;获取单元,还用于根据无线AP的变量、第二层密钥和终端的变量获取第三层密钥,以便终端根据第三层密钥接入无线AP。
在一种可能的设计中,无线AP的相关信息包括无线AP的媒体访问控制MAC地址、接入网关的网际协议IP地址、MAC地址和前缀长度。
在一种可能的设计中,获取单元用于:根据无线AP的MAC地址、第一层密钥以及终端的MAC地址计算第二层密钥;发送单元,用于向接入网关发送请求消息,请求消息包括第二层密钥和终端的变量,使接入网关将请求消息重新封装后发送给无线AP。
在一种可能的设计中,接收单元还用于:接收接入网关将从无线AP接收到的消息重新封装后的响应消息,响应消息包括无线AP发送的无线AP的变量。
再一方面,本发明实施例提供一种无线接入点AP,包括:
接收单元,用于接收终端发送的第二层密钥和终端的变量;获取单元,用于根据第二层密钥和终端的变量获取第三层密钥,第二层密钥是终端根据无线AP的相关信息和第一层密钥计算得到的;发送单元,用于向终端发送无线AP的变量,使终端根据无线AP的变量、第二层密钥以及终端的变量获取第三层密钥,并根据第三层密钥接入无线AP。
在一种可能的设计中,无线AP的相关信息包括无线AP的媒体访问控制MAC地址、接入网关的网际协议IP地址、MAC地址和前缀长度。
在一种可能的设计中,接收单元还用于:接收终端通过接入网关发送的第一报文,第一报文是接入网关将终端发送的请求消息重新封装后的报文,第一报文和请求消息均包括第二层密钥和终端的变量。
在一种可能的设计中,发送单元还用于:向接入网关发送第二报文,使接入网关解析第二报文以得到无线AP的变量后,向终端发送响应消息,第二报文和响应消息均包括无线AP的变量。
再一方面,本发明实施例还提供一种通信系统,通信系统包括终端和无线AP,终端和无线AP的具体实现方式可以参见上述说明。
再一方面,本发明实施例提供了一种计算机存储介质,用于储存为上述终端所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
再一方面,本发明实施例提供了一种计算机存储介质,用于储存为上述无线AP所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
本发明实施例提供一种无线局域网漫游方法和装置,终端根据获取的无线AP的相关信息和第一层密钥获取第二层密钥,并发送给无线AP,使无线AP根据第二层密钥计算第三层密钥,以便终端根据第三层密钥接入无线AP从而实现快速漫游;本发明由终端来进行第二层密钥的计算和发送,只需要在漫游前针对待切换至的无线AP来计算第二层密钥,而现有技术中,需要由第一次关联的无线AP计算同一MD内所有的AP的第二层密钥,因此本发明解决了终端第一次接入的无线AP产生不必要的计算工作量的问题;而且现有技术中第一次关联的无线AP只能计算同一MD内的其他无线AP对应的第二层密钥,本发明中由终端计算待漫游的无线AP的第二层密钥,这样可以不限于同一MD内的无线AP,就可以使其他MD内的无线AP根据第二层密钥计算第三层密钥,以便终端根据第三层密钥接入无线AP从而实现快速漫游,因此本发明解决了终端无法跨MD进行快速漫游的问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种快速BSS切换的应用场景图;
图2为本发明实施例提供的一种终端的内部结构示意图;
图3为本发明实施例提供的一种无线AP的内部结构示意图;
图4为本发明实施例提供的一种快速漫游方法的信号流程图;
图5为本发明实施例提供的一种快速漫游方法的网络架构图;
图6为本发明实施例提供的一种消息头格式;
图7为本发明实施例提供的一种请求消息的消息体格式;
图8为本发明实施例提供的一种应答消息的消息体格式;
图9为本发明实施例提供的一种终端的结构示意图;
图10为本发明实施例提供的一种终端的结构示意图;
图11为本发明实施例提供的一种终端的结构示意图;
图12为本发明实施例提供的一种无线AP的结构示意图;
图13为本发明实施例提供的一种无线AP的结构示意图;
图14为本发明实施例提供的一种无线AP的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例可应用于终端从当前无线AP漫游至新无线AP的过程,也可应用于其他漫游或切换过程中,本申请不做限定。
本发明的系统架构可以包括STA、无线AP以及接入网关,无线AP可以包括切换前的链路中的原接入点(Previous Access Point,PAP)和切换后的链路中的新接入点(NewAccess Point,NAP),接入网关可以是接入路由器,可以包括切换前原链路中的原接入路由器(Previous Access Router,PAR)和切换后的链路中的新接入路由器(New AccessRouter,NAR)。本发明的漫游方法可以是STA与PAP连接时,通过NAR和/或PAR与NAP通信,使得STA可以从PAP快速切换到NAP,从而实现快速漫游。本发明中的STA采用ID/位置(Locator)分离架构,ID代表STA的标识,具有唯一性;Locator表示终端当前所在的位置,即网络协议(Internet Protocol,IP)地址,可以随着STA接入到不同的网络中发生变化。在本发明实施例中,STA可以是终端,终端可以是移动终端(Mobile Node,MN)、手机、智能终端、多媒体设备、流媒体设备、可穿戴设备、智能电表、智能水表等。
图2为本发明实施例中终端的一种内部结构示意图,在本发明中,终端可以包括处理模块201、通讯模块202、存储模块203。其中,处理模块201用于控制终端的各部分硬件装置和应用程序软件等;通讯模块202用于可使用LTE、wifi等通讯方式接受其它设备发送的指令,也可以将终端的数据发送给其它设备;存储模块203用于执行终端的软件程序的存储、数据的存储和软件的运行等。
图3为本发明实施例中无线AP的一种内部结构示意图,在本发明中,无线AP可以包括处理模块301、通讯模块302、存储模块303。其中,处理模块301用于控制无线AP的各部分硬件装置和应用程序软件等;通讯模块302用于可使用LTE、wifi等通讯方式接受其它设备发送的指令,也可以将无线AP的数据发送给其它设备;存储模块303用于执行无线AP的软件程序的存储、数据的存储和软件的运行等。
下面以终端进行快速漫游的过程为例对本发明实施例进行说明。本发明的基本思想是:终端获取无线AP的相关信息;终端根据无线AP的相关信息和第一层密钥获取第二层密钥,并向无线AP发送第二层密钥和终端的变量,使无线AP根据第二层密钥、终端的变量和无线AP的变量获取第三层密钥;终端接收无线AP的变量,并根据无线AP的变量、第二层密钥和终端的变量获取第三层密钥,以便终端根据第三层密钥接入无线AP。
本发明实施例提供一种无线局域网漫游方法,在本发明实施例中,上述无线AP可以理解为NAP,下面以无线AP为NAP,终端为MN进行说明,如图4所示,包括:
401、MN获取NAP的相关信息。
具体来说,如图5所示,图5为本发明提供的一种无线局域网快速漫游方法的架构图,包括验证、授权和记账(Authentication、Authorization、Accounting,AAA)服务器,鉴别位置映射系统(Identifier Locator Mapping System,ILMS)服务器,通信节点(Corresponding Node,CN),PAR,NAR1,NAR2,PAP,NAP1,NAP2以及MN;假设AAA服务器的IP地址为15::6;ILMS服务器的IP地址为15::7;CN的ID为2F00::2,IP地址为15::1;PAR的IP地址为10::1和15::2;NAR1的IP地址为11::1和15::3;NAR2的IP地址为12::1和15::4;MN的ID为2F00::1;当MN第一次接入PAP链路中,需要通过AAA服务器的认证,认证通过后,为MN配置IP地址为10::2,即配置Locator为10::2,然后把ID与Locator的映射关系更新到ILMS服务器中,以使得MN通过PAR与CN进行通信。
如图4所示,假设当MN与CN正在通信时,MN移动到PAP与NAP的覆盖的叠加区域,MN收到NAP的信号,可以是收到NAP发送的信标(beacon)信号;或者当MN与CN正在通信时,终端通过预测方法预测到即将进入NAP的覆盖范围;此时MN向PAR发送路由器请求代理通告(Router Solicitation for Proxy Advertisement,RtSolPr)消息请求NAP的相关信息,PAR收到RtSolPr消息后向MN发送代理路由器通告(Proxy Router Advertisement,PrRtAdr)消息,该PrRtAdr消息中携带有NAP的相关信息,MN通过PrRtAdr消息获得NAP的相关信息。NAP的相关信息可以包括NAP的MAC地址、NAP的接入网关NAR的IP地址、MAC地址和前缀长度等信息。
举例来说,如图5所示,假设MN与CN通信时移动到了PAP与NAP1的叠加区域,此时MN向PAR发送RtSolPr消息请求NAP1的相关信息,PAR收到RtSolPr消息后向MN发送PrRtAdr消息,该PrRtAdr消息中携带有NAP1的相关信息,MN通过PrRtAdr消息获得NAP1的相关信息,NAP1的相关信息可以包括NAP1的MAC地址、NAP1的接入网关NAR1的IP地址、MAC地址和前缀长度等信息。
402、MN根据NAP的相关信息和第一层密钥获取第二层密钥。
终端根据NAP的MAC地址、第一层密钥以及终端的MAC地址计算第二层密钥;其中,PMK_R0为第一层密钥,可以由主会话密钥(Master Senssion Key,MSK)或预共享密钥(Pre-Shared Key,PSK)推演而来,并且由PMK_R0密钥持有者保存,终端的PMK_R0的密钥持有者为S0KH,NAP的PMK_R0的密钥持有者为R0KH。PMK_R1为第二层密钥,由S0KH和R0KH共同推演而来的,并且由PMK_R1的密钥持有者保存,终端的PMK_R1的密钥持有者为S1KH,NAP的PMK_R1的密钥持有者为R1KH。
而后,MN向接入网关发送请求消息,请求消息包括PMK_R1和MN的变量,使接入网关将请求消息重新封装后发送给NAP,可以是重新封装为第一远程中继代理(Remote RequestBroker,RRB)报文,接入网关可以包括PAR和/或NAR,若包括PAR和NAR,可以如步骤403~405所示:
403、MN向PAR发送请求消息,请求消息包括第二层密钥和MN的变量。
MN通过网络层向PAR发送请求消息,请求消息包括PMK_R1,MN的变量及其他的相关信息。
其中,请求消息可以包括消息头和消息体,消息头的格式可以为移动头消息(Mobility Header Message),如图6所示,该消息头中的下一拓展头(Next Header)字段可以表示下一个拓展头的协议号,若无扩展头,则设置为IPPROTO_NONE(59);头长(HeaderLength)字段可以以8字节为单位,不包括前8个字节;消息处理类型(MH(MessageHandling)Type)字段用来定义具体的消息类型,请求消息的MH Type字段的值可以为5;保留(Reserved)字段为8比特位字段,初始值为0;校验和(Checksum)字段为16比特位无符号整数;报文数据(Message Data)字段为可变的数据域。
该请求消息的消息体的格式可以如图7所示,其中‘A’标记(flag)字段若为1则表示需要接入路由器回复应答消息;Reserved为保留字段,初始值为0;类型(Type)字段若为0则表示是由终端发送的数据包,若为1则表示是接入路由器发送的数据包;主机身份标识(Host Identifer)字段表示终端的主机标识;Locator互联网协议版本6(InternetProtocol Version 6,IPv6)地址(Address)字段表示IPv6地址;MAC Address字段表示目标AP的MAC地址,即NAP的MAC地址。
404、PAR验证MN的合法性,在MN合法时将修改后的请求消息发送给NAR。
PAR收到请求消息后验证MN的合法性,若验证MN合法,则修改请求消息的目的IP地址为NAR的IP地址,修改源IP地址为PAR的IP地址,然后将修改后的请求消息通过网络层发送给NAR。举例来说,如图5所示,假设MN准备切换至NAP1,则PAR收到请求消息后验证MN的合法性,若验证MN合法,则可以修改请求消息的目的IP地址为NAR1的IP地址,即将请求消息的目的IP地址由10::1修改为15::3;并修改源IP地址为PAR的IP地址,即将请求消息的源IP地址由10::2修改为15::2;然后将修改后的请求消息通过网络层发送给NAR1。假设MN准备切换至NAP2,则可以修改请求消息的目的IP地址为NAR1的IP地址,即将请求消息的目的IP地址由10::1修改为15::4;并修改源IP地址为PAR的IP地址,即将请求消息的源IP地址由10::2修改为15::2。
405、NAR验证PAR的合法性,在PAR合法时将修改后的请求消息重新封装后发送给NAP。
NAR收到请求消息后,通过源IP地址来验证PAR的合法性,若验证PAR合法,则可以把请求消息封装为RRB帧格式,即将请求消息封装为RRB报文,而后通过链路层发送给NAP。
一种可替换的方式为,MN通过网络层直接向NAR发送请求消息,NAR收到请求消息后,验证MN的合法性,若验证MN合法,则可以将请求消息封装为RRB帧格式后,即可以将请求消息封装为RRB报文后,通过链路层发送给NAP。
406、NAP根据重新封装后的请求消息以及NAP的变量计算第三层密钥。
重新封装后的请求消息可以为RRB报文,NAP收到RRB报文后,根据PMK_R1、MN的变量、NAP的变量等元素计算PTK。其中PTK由S1KH和R1KY共同推演而来,R0KH和R1KH为认证者端的结构,与之对应的S0KH和S1KH为客户端的结构。
407、NAP向NAR发送第二报文,第二报文包括NAP的变量。
第二报文可以是第二RRB报文,可以是NAP通过链路层将第二RRB报文发送给NAR。
408、NAR解析第二报文得到响应消息,响应消息包括NAP的变量,并将响应消息发送给PAR。
NAR接收到第二RRB报文后,把第二RRB报文中包括的NAP的变量封装到响应消息中,再将响应消息的源IP地址改为NAR的IP地址,目的IP地址改为PAR的IP地址,并将响应消息发送给PAR。
409、PAR验证NAP的合法性,并在NAR合法时向MN发送响应消息。
PAR收到响应消息后,通过源IP地址来验证NAR的合法性,若验证NAR合法,则修改响应消息的目的IP地址为MN的IP地址,源IP地址为PAR的IP地址,再将修改后的响应消息发送给MN。
其中,响应消息可以包括消息头和消息体,消息头的格式可以参考步骤403,其中,请求消息的MH Type字段的值为6。
该响应消息的消息体的格式可以如图8所示,其中,状态(Status)字段是16比特位的无符号整数,当Status字段为0时,表示消息无误;当Status字段为1时,表示接入网关不存在;当Status字段为2时,表示身份标识不存在;当Status字段为3时,表示MAC地址不存在;Type字段若为0则表示原接入路由器发送的包;若为1则表示新接入路由器发送的包;Host Identifer字段为终端的主机标识;Locator IPv6Address字段表示IPv6地址;MacAddress字段表示目标AP的MAC地址。
一种可替换的方式为,NAP向NAR发送包括NAP的变量的报文,可以是NAP向NAR发送包括NAP的变量的RRB报文,NAR接收到RRB报文后,把NAP的变量封装到响应消息中直接发送给MN。
410、MN根据无线AP的变量、第二层密钥和MN的变量获取第三层密钥。
MN收到响应消息后,根据PMK_R1、MN的变量及NAP的变量等元素计算PTK,以便MN根据PTK进行快速切换至NAP。
另外,假设MN在PAP的信号到达一定阈值后,即MN接收到PAP的信号弱到一定的阈值后,只需要两个报文交互,MN即可接入到NAP,具体可以是MN向NAP发送关联请求,NAP接收到关联请求后向MN发送关联响应,即可切换至NAP,从而实现快速漫游。
举例来说,如图5所示,假设MN准备切换到NAP1,那么MN向NAP1发送第二层密钥,当MN接收到PAP的信号弱到一定的阈值时,MN配置新的Locator地址为11::2,并切换至NAP1,由于PTK已经提前计算,只需要两个报文交互,MN即可接入到NAP1,然后MN向ILMS和CN更新ID与Locator的对应关系,更新完成后,MN与CN通过NAR1进行通信。若MN准备切换到NAP2,可以按照上述步骤进行即可。
本发明实施例提供一种无线局域网漫游方法和装置,MN根据获取的NAP的相关信息和第一层密钥获取第二层密钥,并发送给NAP,以便NAP根据第二层密钥计算第三层密钥,使得终端可以根据第三层密钥接入无线AP从而实现快速漫游;而现有技术是由第一次关联的无线AP计算处于同一MD内的其他无线AP对应的第二层密钥,并将第二层密钥分别分发给同一MD内的其他无线AP,以便于MN可以从PAP漫游到同一MD内的任一无线AP;本发明由MN来进行第二层密钥的计算和发送,只需要针对待漫游至的无线AP来计算第二层密钥,而现有技术中,第一次关联的无线AP需要计算同一MD内所有的AP的第二层密钥,因此本发明解决了MN第一次接入的无线AP产生不必要的计算工作量的问题;而且现有技术中第一次关联的无线AP只能计算同一MD内的其他无线AP对应的第二层密钥,本发明中由MN计算待漫游的无线AP的第二层密钥,这样可以不限于同一MD内的无线AP,就可以使其他MD内的无线AP根据第二层密钥计算第三层密钥,以便MN根据第三层密钥接入其他MD内的无线AP从而实现快速漫游,因此本发明解决了MN无法跨MD进行快速漫游的问题。
上述主要从终端和无线AP的角度对本发明实施例提供的方案进行了介绍。可以理解的是,终端和无线AP为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的算法步骤,本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本发明实施例可以根据上述方法示例对终端和无线AP进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本发明实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用对应各个功能划分各个功能模块的情况下,图9示出了上述实施例中所涉及的终端9的一种可能的结构示意图,包括:获取单元901、发送单元902和接收单元903。获取单元901用于支持终端执行图4中的过程401、402和410。发送单元902用于支持终端执行图4中的过程403。其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在采用集成的单元的情况下,图10示出了上述实施例中所涉及的终端的一种可能的结构示意图。终端10包括:处理模块1001和通信模块1002。处理模块1001用于对终端的动作进行控制管理,例如处理模块1001用于支持终端执行图4中的过程401、402和410,通信模块1002用于支持终端与其他网络实体的通信,例如向无线AP发送第二层密钥和终端的变量等。终端还可以包括存储模块1003,用于存储终端的程序代码和数据,例如用于存储本发明实施例中无线AP的相关信息的相关文件等。
其中,处理模块1001可以是处理器或控制器,例如可以是中央处理器(CentralProcessing Unit,CPU),通用处理器,数字信号处理器(Digital Signal Processor,DSP),专用集成电路(Application-Specific Integrated Circuit,ASIC),现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块1002可以是收发器、收发电路或通信接口等。存储模块1003可以是存储器。
当处理模块1001为处理器,通信模块1002为收发器,存储模块1003为存储器时,本发明实施例所涉及的终端可以为图11所示的终端。
参阅图11所示,该终端11包括:处理器1101、收发器1102、存储器1103以及总线1104。其中,收发器1102、处理器1101以及存储器1103通过总线1104相互连接;总线1104可以是外设部件互连标准(Peripheral Component Interconnect,PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在采用对应各个功能划分各个功能模块的情况下,图12示出了上述实施例中所涉及的无线AP12的一种可能的结构示意图,无线AP包括:接收单元1201、获取单元1202和发送单元1203。接收单元1201用于支持终端执行图4中的过程406。其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在采用集成的单元的情况下,图13示出了上述实施例中所涉及的无线AP的一种可能的结构示意图。无线AP13包括:处理模块1301和通信模块1302。处理模块1301用于对无线AP的动作进行控制管理,例如处理模块1301用于支持终端执行图4中的过程404。通信模块1302用于支持无线AP与其他网络实体的通信,例如向终端发送无线AP的变量等。无线AP还可以包括存储模块1303,用于存储无线AP的程序代码和数据,例如用于存储本发明实施例中RRB报文的相关文件等。
其中,处理模块1301可以是处理器或控制器,例如可以是中央处理器CPU,通用处理器,数字信号处理器DSP,专用集成电路ASIC,现场可编程门阵列FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块1302可以是收发器、收发电路或通信接口等。存储模块1303可以是存储器。
当处理模块1301为处理器,通信模块1302为收发器,存储模块1303为存储器时,本发明实施例所涉及的无线AP可以为图14所示的终端。
参阅图14所示,该无线AP14包括:处理器1401、收发器1402、存储器1403以及总线1404。其中,收发器1402、处理器1401以及存储器1403通过总线1404相互连接;总线1404可以是外设部件互连标准PCI总线或扩展工业标准结构EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图14中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
结合本发明公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(ReadOnly Memory,ROM)、可擦除可编程只读存储器(Erasable Programmable ROM,EPROM)、电可擦可编程只读存储器(Electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于核心网接口设备中。当然,处理器和存储介质也可以作为分立组件存在于核心网接口设备中。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (16)
1.一种无线局域网漫游方法,其特征在于,包括:
终端获取无线接入点AP的相关信息;
所述终端根据所述无线AP的相关信息和第一层密钥获取第二层密钥,并向所述无线AP发送所述第二层密钥和所述终端的变量,使所述无线AP根据所述第二层密钥、所述终端的变量和所述无线AP的变量获取第三层密钥;
所述终端接收所述无线AP的变量,并根据所述无线AP的变量、所述第二层密钥和所述终端的变量获取所述第三层密钥,以便所述终端根据所述第三层密钥接入所述无线AP。
2.根据权利要求1所述的方法,其特征在于,所述无线AP的相关信息包括所述无线AP的媒体访问控制MAC地址、接入网关的网际协议IP地址、MAC地址和前缀长度。
3.根据权利要求2所述的方法,其特征在于,所述终端根据所述无线AP的相关信息和第一层密钥获取第二层密钥,并向所述无线AP发送所述第二层密钥包括:
所述终端根据所述无线AP的MAC地址、所述第一层密钥以及所述终端的MAC地址计算所述第二层密钥;
所述终端向接入网关发送请求消息,所述请求消息包括所述第二层密钥和所述终端的变量,使所述接入网关将所述请求消息重新封装后发送给所述无线AP。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述终端接收所述无线AP的变量包括:
所述终端接收接入网关将从所述无线AP接收到的消息重新封装后的响应消息,所述响应消息包括所述无线AP发送的所述无线AP的变量。
5.一种无线局域网漫游方法,其特征在于,包括:
无线接入点AP接收终端发送的第二层密钥和终端的变量,并根据所述第二层密钥和所述终端的变量获取第三层密钥,所述第二层密钥是所述终端根据所述无线AP的相关信息和第一层密钥计算得到的;
所述无线AP向所述终端发送所述无线AP的变量,使所述终端根据所述无线AP的变量、所述第二层密钥以及所述终端的变量获取所述第三层密钥,并根据所述第三层密钥接入所述无线AP。
6.根据权利要求5所述的方法,其特征在于,所述无线AP的相关信息包括所述无线AP的媒体访问控制MAC地址、所述接入网关的网际协议IP地址、MAC地址和前缀长度。
7.根据权利要求5或6所述的方法,其特征在于,所述无线接入点AP接收终端发送的第二层密钥和终端的变量包括:
所述无线AP接收所述终端通过接入网关发送的第一报文,所述第一报文是所述接入网关将所述终端发送的请求消息重新封装后的报文,所述第一报文和所述请求消息均包括所述第二层密钥和所述终端的变量。
8.根据权利要求7所述的方法,其特征在于,所述无线AP向所述终端发送所述无线AP的变量包括:
所述无线AP向所述接入网关发送第二报文,使所述接入网关解析所述第二报文以得到所述无线AP的变量后,向所述终端发送响应消息,所述第二报文和所述响应消息均包括所述无线AP的变量。
9.一种终端,其特征在于,包括:
获取单元,用于获取无线接入点AP的相关信息;
所述获取单元,还用于根据所述无线AP的相关信息和第一层密钥获取第二层密钥;
发送单元,用于向所述无线AP发送所述第二层密钥和所述终端的变量,使所述无线AP根据所述第二层密钥、所述终端的变量和所述无线AP的变量获取第三层密钥;
接收单元,用于接收所述无线AP的变量;
所述获取单元,还用于根据所述无线AP的变量、所述第二层密钥和所述终端的变量获取所述第三层密钥,以便所述终端根据所述第三层密钥接入所述无线AP。
10.根据权利要求9所述的终端,其特征在于,所述无线AP的相关信息包括所述无线AP的媒体访问控制MAC地址、接入网关的网际协议IP地址、MAC地址和前缀长度。
11.根据权利要求10所述的终端,其特征在于,所述获取单元用于:
根据所述无线AP的MAC地址、所述第一层密钥以及所述终端的MAC地址计算所述第二层密钥;
所述发送单元,用于向所述接入网关发送请求消息,所述请求消息包括所述第二层密钥和所述终端的变量,使所述接入网关将所述请求消息重新封装后发送给所述无线AP。
12.根据权利要求9-11任一项所述的终端,其特征在于,所述接收单元用于:
接收接入网关将从所述无线AP接收到的消息重新封装后的响应消息,所述响应消息包括所述无线AP发送的所述无线AP的变量。
13.一种无线接入点AP,其特征在于,包括:
接收单元,用于接收终端发送的第二层密钥和终端的变量;
获取单元,用于根据所述第二层密钥和所述终端的变量获取第三层密钥,所述第二层密钥是所述终端根据所述无线AP的相关信息和第一层密钥计算得到的;
发送单元,用于向所述终端发送所述无线AP的变量,使所述终端根据所述无线AP的变量、所述第二层密钥以及所述终端的变量获取所述第三层密钥,并根据所述第三层密钥接入所述无线AP。
14.根据权利要求13所述的无线AP,其特征在于,所述无线AP的相关信息包括所述无线AP的媒体访问控制MAC地址、所述接入网关的网际协议IP地址、MAC地址和前缀长度。
15.根据权利要求12或13所述的无线AP,所述接收单元用于:
接收所述终端通过接入网关发送的第一报文,所述第一报文是所述接入网关将所述终端发送的请求消息重新封装后的报文,所述第一报文和所述请求消息均包括所述第二层密钥和所述终端的变量。
16.根据权利要求15所述的无线AP,其特征在于,所述发送单元用于:
向所述接入网关发送第二报文,使所述接入网关解析所述第二报文以得到所述无线AP的变量后,向所述终端发送响应消息,所述第二报文和所述响应消息均包括所述无线AP的变量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610978937.5A CN108012306A (zh) | 2016-10-31 | 2016-10-31 | 一种无线局域网漫游方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610978937.5A CN108012306A (zh) | 2016-10-31 | 2016-10-31 | 一种无线局域网漫游方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108012306A true CN108012306A (zh) | 2018-05-08 |
Family
ID=62048534
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610978937.5A Pending CN108012306A (zh) | 2016-10-31 | 2016-10-31 | 一种无线局域网漫游方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108012306A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111328066A (zh) * | 2018-12-14 | 2020-06-23 | 中国电信股份有限公司 | 异构无线网络快速漫游方法和系统、主和从接入点设备 |
-
2016
- 2016-10-31 CN CN201610978937.5A patent/CN108012306A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111328066A (zh) * | 2018-12-14 | 2020-06-23 | 中国电信股份有限公司 | 异构无线网络快速漫游方法和系统、主和从接入点设备 |
| CN111328066B (zh) * | 2018-12-14 | 2023-09-01 | 中国电信股份有限公司 | 异构无线网络快速漫游方法和系统、主和从接入点设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102461062B (zh) | 用于主动验证的系统和设备 | |
| CN103747499B (zh) | 用于针对有线和无线节点的公共控制协议的方法和设备 | |
| CN101848508B (zh) | 使用预认证、预配置和/或虚拟软切换的移动体系结构 | |
| JP4682250B2 (ja) | マルチホップ無線ネットワークにおける無線ルータ支援セキュリティハンドオフ(wrash) | |
| CN102318381B (zh) | 移动网络中基于安全网络的路由优化的方法 | |
| US7130286B2 (en) | System and method for resource authorizations during handovers | |
| CN101079891B (zh) | 基于无线局域网安全标准wapi的无线交换网络重认证方法 | |
| JP2003051818A (ja) | モバイルipネットワークにおけるipセキュリティ実行方法 | |
| WO2015096138A1 (zh) | 分流方法、用户设备、基站和接入点 | |
| JP5159878B2 (ja) | インターネットプロトコル認証とモビリティシグナリングとを結合するための方法と装置 | |
| US20110002465A1 (en) | Integrated handover authenticating method for next generation network (ngn) with wireless access technologies and mobile ip based mobility control | |
| CN107801187A (zh) | 加解密方法、装置及系统 | |
| WO2010130198A1 (zh) | 一种接入网的切换方法、系统和设备 | |
| Lai et al. | Achieving secure and seamless IP Communications for group-oriented software defined vehicular networks | |
| CN108012306A (zh) | 一种无线局域网漫游方法和装置 | |
| CN101478750A (zh) | 基于IPSec的快速切换与认证融合方法 | |
| CN102869000B (zh) | 一种分离机制移动性管理系统的认证授权方法 | |
| Shiyang | Compare of new security strategy with several others in WLAN | |
| Skarmeta et al. | Chapter Deploying ITS Scenarios Providing Security and Mobility Services Based on IEEE 802.11 p Technology | |
| Gondim et al. | DSMIP and PMIP for mobility management of heterogeneous access networks: Evaluation of authentication delay | |
| Wang et al. | NIMSA: Non-Interactive Multihoming Security Authentication Scheme for vehicular communications in Mobile Heterogeneous Networks | |
| EP4061038B1 (en) | Wireless network switching method and device | |
| Cheng et al. | Secure transparent Mobile IP for intelligent transportation systems | |
| Yao et al. | A Cross-Layer Design Scheme Based on Integrated Management Applied in Wireless Communication | |
| CN106162632A (zh) | 一种密钥传输方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180508 |
|
| WD01 | Invention patent application deemed withdrawn after publication |