CN1484409A - 一种无线局域网内加密密钥的分发方法 - Google Patents
一种无线局域网内加密密钥的分发方法 Download PDFInfo
- Publication number
- CN1484409A CN1484409A CNA021370206A CN02137020A CN1484409A CN 1484409 A CN1484409 A CN 1484409A CN A021370206 A CNA021370206 A CN A021370206A CN 02137020 A CN02137020 A CN 02137020A CN 1484409 A CN1484409 A CN 1484409A
- Authority
- CN
- China
- Prior art keywords
- key
- algorithm
- certificate server
- local area
- wireless local
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000004422 calculation algorithm Methods 0.000 claims description 25
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000010200 validation analysis Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 description 9
- 238000007726 management method Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 238000009795 derivation Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提出了一种无线局域网内加密密钥的分发方法,该方法将密钥的分发和CHAP认证结合起来,利用认证服务器的用户名和密码管理功能,对密钥分发进行管理。用户可以在大范围内漫游而不影响动态密钥的分发,同时由于同一用户的不同会话使用不同的密钥,提高了安全性。采用该方法简化了密钥管理任务,降低了成本,特别适合大型无线局域网络。
Description
技术领域
本发明涉及无线局域网内接入站(AP)与移动终端之间的通信,特别涉及加密密钥的分发方法。
背景技术
无线局域网借助无线信道传输数据、话音和视频信号。相对于传统布线网络,无线局域网具有安装便捷、使用灵活、经济节约和易于扩展等优点,因而日益受到重视。
无线局域网的可覆盖区域称为服务集,一般分为基本服务集(BSS)12和扩展服务集(ESS)11,其中基本服务集(BSS)12指由无线局域网中各单元的无线收发机以及地理环境所确定的通信覆盖区域,常称为小区,范围一般较小,为了扩大无线局域网覆盖区域,通常采用如图1所示的方法,即通过接入站(AP)121经无线网关13将基本服务集(BSS)12与骨干网相连接,使多个基本服务集(BSS)12中的移动终端(MT)122经由接入站(AP)121和无线网关13与有线骨干网连接,从而构成扩展服务集11。其中骨干网通常是指有线局域网。
与有线传输相比,无线传输的保密性较差,因此需要一些额外的安全措施来保证接入站(AP)和各移动终端之间的通信安全,比如用户认证、信息加密等。无线局域网标准IEEE802.11采用有线对等加密(Wired Equivalent Privacy,WEP)技术对信息进行加密。WEP是一种对称加密技术,即加密通信双方使用相同的密钥进行加解密。在实际应用中,出于安全性的考虑,不同用户应该使用不同的密钥。通常密钥由网络管理者分配,并存储在通信双方即移动终端和接入站(AP)上。这种密钥管理方法存在很多弊端。比如,在这种密钥管理方式下,为了支持用户的漫游,既允许用户连接到不同的接入站(AP)上,每个接入站(AP)都应该存储所有用户的密钥。每次增加或修改某用户的密钥,网络管理者就要在所有的接入站(AP)上增加或修改该用户的密钥。随着网络规模的不断扩大,密钥管理任务将变得相当繁重,而且接入站(AP)的存储能力也可能达不到要求。因此,这种预共享密钥管理方式不适合于大型无线局域网络。
发明内容
本发明的目的在于提出一种无线局域网内动态密钥的分发方法,该方法将密钥的分发和CHAP(Challenge Handshake Authentication Protocol)认证过程结合起来,利用认证服务器的用户名和密码管理功能,对密钥分发进行管理。用户可以在大范围内漫游而不影响动态密钥的分发。接入站(AP)无需管理大量的用户密钥信息,处理任务简单,降低了成本。同时,该方法为不同用户和不同会话分发不同的密钥,安全性更高。
本发明需要认证服务器、无线网关和移动终端配合一起完成密钥的动态分配。移动终端存储用户名和密钥,或提供接口,可由用户输入用户名和密码。认证服务器支持CHAP认证协议,同时存储着用户名和密码。移动终端和认证服务器预先商定用于身份认证和密钥计算的算法S和F。
本发明是通过下面的方法实现的。
一种无线局域网内加密密钥的分发方法,其过程如图2所示,包括以下步骤:
认证服务器、无线网关和移动终端首先完成CHAP认证过程。
在通信双方链路建立完成后,无线网关随机产生提问信息,并传递给移动终端。
该移动终端根据CHAP协议,通过算法S计算出响应,并将该响应发回给该无线网关,同时该移动终端使用算法F计算出密钥K。其中算法S和算法F是一种单向散列算法,能保证仅由输出无法或者很难反推导出输入,即很难由响应推算出密码,也很难由密钥推算出密码。它们既可以用软件实现,也可以用硬件实现。单向散列函数S的输入参数由本次认证的标识符、密码和提问信息构成;单向散列函数F的输入参数包括用户名、密码和提问信息。
该无线网关收到该响应后,将用户名、提问信息和响应发送给认证服务器。
该认证服务器根据收到的信息以及存储的用户名、密码判断用户的合法性。首先认证服务器根据用户名得到用户密码,然后用同一算法S计算出验证值,并将该验证值和该响应进行比较,若相符则认证通过,否则断开连接,完成CHAP认证。在CHAP认证过程中,不需要通过通信链路传递密码,因此相对与密码认证协议(Password Authentication Protocol,PAP)安全性更高。
若用户认证成功,移动终端和认证服务器都得到了提问信息,双方可以根据提问信息以及用户名和密码用相同的算法计算出密钥。认证服务器使用该算法F计算出密钥K,并发送给加密终结点,从而完成密钥的分发,其中加密终结点可以是接入站也可以是无线网关。这样移动终端和加密终结点就拥有相同的密钥K。
为进一步提高安全性,认证服务器发送密钥K给加密终结点时,可以进行加密。认证服务器和加密终结点之间的加密方法和密钥分配方法可以有多种。比如使用预共享的密钥进行加密,或者使用上述移动终端和认证服务器之间分发密钥的方法获取密钥后进行加密。
加密双发得到分发的密钥后,可以在该密钥的保护下,进一步协商真正用于加密的密钥。
本发明的显著效果为:本发明的密钥为动态分发而非预共享,简化了密钥的管理任务,特别适合大型无线局域网络;正由于密钥为动态派生而非静态配置,使同一用户的不同会话也使用不同密钥,因此安全性得到了提高;也因为密钥由用户名和密码派生,所以加密不影响用户的漫游,用户可以在大范围内漫游而不影响动态密钥的分发;而且AP无需管理大量的用户密钥,简化了处理任务,降低了成本;同时利用CHAP认证过程中的提问信息来派生密钥,简化了密钥协商过程,容易实现。
附图说明
图1是无线局域网架构的示意图;
图2是密钥分发过程的示意图;
图3是实施例密钥分发过程的示意图。
具体实施方式
下面结合附图及实施例对本发明做进一步的详细描述。
本发明需要认证服务器、无线网关和移动终端配合一起完成密钥的动态分配。移动终端存储用户名和密钥,或提供接口,可由用户输入用户名和密码。认证服务器支持CHAP认证协议,同时存储着用户名和密码。
在密钥的分发过程中,移动终端和无线网关之间的通信协议可以有多种,比如PPPoE、PPP或802.1x。通信协议仅仅是信息承载的方式。同样,无线网关与认证服务器之间的通信协议也可以有多种,一般常用的是Radius协议。
加密在移动终端和加密终结点之间进行,加密终结点可以是接入站也可以是无线网关。即如果加密终结点是接入站(AP),则加密在移动终端和接入站(AP)之间进行;如果加密终结点是无线网关,则加密在移动终端和无线网关之间进行。
在本实施例中移动终端和无线网关之间通过802.1x协议通信,无线网关和认证服务器之间通过Radius协议通信,加密终结点为接入站(AP)。实施例的信息交互过程如图3所示,密钥分发的具体步骤如下:
1)移动终端发送EAP_开始报文给无线网关,请求接入。
2)无线网关发送EAP_请求/身份报文给接入站(AP),要求移动终端输入用户名。
3)移动终端接收用户输入,得到用户名和密码,并用EAP_响应/身份将用户名发送给无线网关。
4)无线网关随机产生一个16字节的提问信息,用EAP_请求/提问信息报文发送给移动终端。
5)移动终端利用MD5算法由本次认证的标识符、密码和提问信息计算响应,并用EAP_响应/提问信息报文发送给无线网关。同时利用MD5算法根据用户名、用户密码以及提问信息计算出用于加密的密钥K。其中MD5算法是一种单向散列算法,能保证仅由输出无法或者很难反推导出输入,即很难由响应推算出密码,也很难由密钥推算出密码。它可以用软件实现,也可以用硬件实现。
6)无线网关将用户名、提问信息以及响应用Radius-进入报文上传给Radius服务器。
7)该认证服务器根据收到的信息以及存储的用户名、密码判断用户的合法性。首先认证服务器根据用户名得到用户密码,然后利用MD5算法根据用户名、密码、提问信息计算得到响应,并和收到的响应比较。如果相同则认证成功,利用MD5算法,根据用户名、密码以及提问信息计算密钥K;如果不同则认证失败。
8)认证服务器发送Radius-接受报文给无线网关。报文中包含密钥K。
9)无线网关将密钥K发送给接入站(AP)。
这样接入站(AP)和移动终端就都得到了密钥K。
为进一步提高安全性,认证服务器发送密钥K给加密终结点时,可以进行加密。认证服务器和加密终结点之间的加密方法和密钥分配方法可以有多种。比如使用预共享的密钥进行加密,或者使用上述移动终端和认证服务器之间分发密钥的方法获取密钥后进行加密。
Claims (7)
1.一种无线局域网内加密密钥的分发方法,其特征在于,所述方法包含以下步骤:
a:通信双方链路建立完成后,所述无线网关随机产生提问信息,并传递给移动终端;
b:所述移动终端根据CHAP认证协议,通过算法S由本次认证的标识符、密码和提问信息计算出响应,并将所述响应发回给所述无线网关;
c:所述移动终端使用算法F计算出密钥K;
d:所述无线网关收到所述响应后,将用户名、提问和响应发送给认证服务器;
e:所述认证服务器首先根据用户名得到用户密码,然后用同一算法S计算出验证值;
f:所述认证服务器将所述验证值和所述响应进行比较,若相符则认证通过,否则断开连接;
g:用户认证成功后,认证服务器使用所述算法F计算出密钥K,并发送给加密终结点。
2.如权利要求1所述的一种无线局域网内加密密钥的分发方法,其进一步特征在于,用于身份认证的算法S和用于密钥计算的算法F是移动终端和认证服务器预先商定好的。
3.如权利要求1或2所述的一种无线局域网内加密密钥的分发方法,其进一步特征在于,所述算法S是一种单向散列算法,既可以用软件实现,也可以用硬件实现,单向散列函数S的输入参数由本次认证的标识符、密码和提问构成。
4.如权利要求1或2所述的一种无线局域网内加密密钥的分发方法,其进一步特征在于,所述算法F是一种单向散列算法,既可以用软件实现,也可以用硬件实现,单向散列函数F的输入参数包括用户名、密码和提问。
5.如权利要求1所述的一种无线局域网内加密密钥的分发方法,其进一步特征在于,所述加密终结点可以是接入站也可以是无线网关。
6.如权利要求1所述的一种无线局域网内加密密钥的分发方法,其进一步特征在于,所述认证服务器发送密钥K给加密终结点时可以进行加密。
7.如权利要求6所述的一种无线局域网内加密密钥的分发方法,其进一步特征在于,认证服务器和加密终结点之间的加密方法和密钥分配方法可以有多种,包括使用预共享的密钥进行加密,或者使用上述移动终端和认证服务器之间分发密钥的方法获取密钥后进行加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02137020 CN1225871C (zh) | 2002-09-17 | 2002-09-17 | 一种无线局域网内加密密钥的分发方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02137020 CN1225871C (zh) | 2002-09-17 | 2002-09-17 | 一种无线局域网内加密密钥的分发方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1484409A true CN1484409A (zh) | 2004-03-24 |
| CN1225871C CN1225871C (zh) | 2005-11-02 |
Family
ID=34146810
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02137020 Expired - Fee Related CN1225871C (zh) | 2002-09-17 | 2002-09-17 | 一种无线局域网内加密密钥的分发方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1225871C (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100466805C (zh) * | 2005-02-05 | 2009-03-04 | 华为技术有限公司 | 一种端到端加密语音通信的方法 |
| CN1909447B (zh) * | 2005-08-03 | 2010-04-28 | 盛大计算机(上海)有限公司 | 使用动态加密算法进行网络数据通讯的方法 |
| CN101431752B (zh) * | 2007-11-09 | 2010-09-15 | 北京华旗资讯数码科技有限公司 | 利用多算法实现无线局域网的保密通信方法 |
| CN101505222B (zh) * | 2005-12-19 | 2012-12-05 | 日本电信电话株式会社 | 终端识别方法、认证方法、认证系统、服务器、终端、无线基站、程序以及记录介质 |
| CN104080087A (zh) * | 2014-07-10 | 2014-10-01 | 浙江宇视科技有限公司 | 一种视频监控系统的无线接入方法及装置 |
| CN105282168A (zh) * | 2015-11-06 | 2016-01-27 | 盛趣信息技术(上海)有限公司 | 基于chap协议的数据交互方法及装置 |
| CN111711979A (zh) * | 2020-06-15 | 2020-09-25 | 北京自如信息科技有限公司 | 一种wifi模组配网方法、装置、系统及存储介质 |
-
2002
- 2002-09-17 CN CN 02137020 patent/CN1225871C/zh not_active Expired - Fee Related
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100466805C (zh) * | 2005-02-05 | 2009-03-04 | 华为技术有限公司 | 一种端到端加密语音通信的方法 |
| CN1909447B (zh) * | 2005-08-03 | 2010-04-28 | 盛大计算机(上海)有限公司 | 使用动态加密算法进行网络数据通讯的方法 |
| CN101505222B (zh) * | 2005-12-19 | 2012-12-05 | 日本电信电话株式会社 | 终端识别方法、认证方法、认证系统、服务器、终端、无线基站、程序以及记录介质 |
| CN101431752B (zh) * | 2007-11-09 | 2010-09-15 | 北京华旗资讯数码科技有限公司 | 利用多算法实现无线局域网的保密通信方法 |
| CN104080087A (zh) * | 2014-07-10 | 2014-10-01 | 浙江宇视科技有限公司 | 一种视频监控系统的无线接入方法及装置 |
| CN104080087B (zh) * | 2014-07-10 | 2017-12-15 | 浙江宇视科技有限公司 | 一种视频监控系统的无线接入方法及装置 |
| CN105282168A (zh) * | 2015-11-06 | 2016-01-27 | 盛趣信息技术(上海)有限公司 | 基于chap协议的数据交互方法及装置 |
| CN105282168B (zh) * | 2015-11-06 | 2019-02-05 | 盛趣信息技术(上海)有限公司 | 基于chap协议的数据交互方法及装置 |
| CN111711979A (zh) * | 2020-06-15 | 2020-09-25 | 北京自如信息科技有限公司 | 一种wifi模组配网方法、装置、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1225871C (zh) | 2005-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100832893B1 (ko) | 무선 근거리 통신망으로 이동 단말의 보안 접근 방법 및 무선 링크를 통한 보안 데이터 통신 방법 | |
| CN1268093C (zh) | 无线局域网加密密钥的分发方法 | |
| KR101438243B1 (ko) | Sim 기반 인증방법 | |
| CA2792490C (en) | Key generation in a communication system | |
| CN1293720C (zh) | 初始化无线设备间安全通信和对其专用配对的方法和装置 | |
| CN1148926C (zh) | 使代理主机参与保密通信的方法和系统以及密码系统 | |
| US7734280B2 (en) | Method and apparatus for authentication of mobile devices | |
| CN1929371B (zh) | 用户和外围设备协商共享密钥的方法 | |
| US20030084287A1 (en) | System and method for upper layer roaming authentication | |
| US20080226075A1 (en) | Restricted services for wireless stations | |
| CN1726483A (zh) | 通信系统中的认证 | |
| US20070269048A1 (en) | Key generation in a communication system | |
| CN1249587A (zh) | 双方认证和密钥协定的方法 | |
| CN101032107A (zh) | 移动单元在无线网络中快速漫游的方法和系统 | |
| JP2001524777A (ja) | データ接続の機密保護 | |
| CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| CN111866881A (zh) | 无线局域网认证方法与无线局域网连接方法 | |
| CN1725685A (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN1225871C (zh) | 一种无线局域网内加密密钥的分发方法 | |
| US20090136043A1 (en) | Method and apparatus for performing key management and key distribution in wireless networks | |
| JP4677784B2 (ja) | 集合型宅内ネットワークにおける認証方法及びシステム | |
| EP1517475A1 (en) | Smart card based encryption in Wi-Fi communication | |
| KR100527631B1 (ko) | Ad-hoc 네트워크의 단말기에서 사용자 인증 시스템및 그 방법 | |
| KR100527632B1 (ko) | Ad-hoc 네트워크의 게이트웨이에서 사용자 인증시스템 및 그 방법 | |
| US20060173981A1 (en) | Secure web browser based system administration for embedded platforms |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: HUAWEI DIGITAL TECHNOLOGY CO. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20081017 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20081017 Address after: No. 3, information road, Haidian District, Beijing Patentee after: Huawei Digit Technology Co., Ltd. Address before: Shenzhen province HUAWEI science and Technology Park Guangdong branch User Service Center Building Patentee before: Huawei Technologies Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 100085 Beijing, Haidian District on the road, No. 3 Patentee after: Beijing Huawei Digital Technology Co.,Ltd. Address before: 100085 Beijing, Haidian District on the road, No. 3 Patentee before: Huawei Digit Technology Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20051102 Termination date: 20200917 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |