CN1681239B - 在无线局域网系统中支持多种安全机制的方法 - Google Patents
在无线局域网系统中支持多种安全机制的方法 Download PDFInfo
- Publication number
- CN1681239B CN1681239B CN 200410034424 CN200410034424A CN1681239B CN 1681239 B CN1681239 B CN 1681239B CN 200410034424 CN200410034424 CN 200410034424 CN 200410034424 A CN200410034424 A CN 200410034424A CN 1681239 B CN1681239 B CN 1681239B
- Authority
- CN
- China
- Prior art keywords
- sta
- type
- wai
- security
- wpi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 230000007246 mechanism Effects 0.000 title claims abstract description 45
- 230000004913 activation Effects 0.000 claims abstract description 11
- 230000003068 static effect Effects 0.000 claims description 17
- 230000003213 activating effect Effects 0.000 claims description 7
- 238000007726 management method Methods 0.000 description 82
- 230000005540 biological transmission Effects 0.000 description 5
- 238000012850 discrimination method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种使无线局域网系统同时支持多种安全机制的方法,以解决非WAI鉴别类型无法与WPI加密类型配合的问题。该方法为:AP和STA之间在建立关联期间或在WAI鉴别激活期间完成安全机制的协商,AP和STA按选择的鉴别类型和密钥管理类型进行相应的鉴别流程和密钥管理流程,并采用所选择的WPI加密类型对数据加密。
Description
技术领域
本无线局域网技术,尤其涉及一种在无线局域网系统中支持多种安全机制的方法。
背景技术
无线局域网鉴别与保密基础结构(WLAN Authentication and PrivacyInfrastructure,WAPI)机制由无线局域网鉴别基础结构(WLAN AuthenticationInfrastructure,WAI)和无线保密基础结构(WLAN Privacy Infrastructure,WPI)组成,是国标15629.11《信息技术 系统间远程通信和信息交换局域网和城域网特定要求 第11部分:无线局域网媒体访问(MAC)和物理(PHY)层规范》提出的WLAN安全体系。
WAPI中采用的数据加密算法定义在WPI中。WPI采用对称加密算法对MAC服务数据单元(MSDU)进行加密和解密。
WAPI中定义了WAI进行身份鉴别和STA、AP之间的密钥协商。WAI采用公共密钥基础,STA和AP之间使用数字证书进行身份鉴别。STA和AP之间的相互鉴别由第三方鉴别服务单元(ASU)完成。ASU为每一个客户(包括STA和AP)颁发公钥数字证书,并为使用该证书的客户提供公钥合法性的证明。ASU的数字签名确保证书不被伪造或篡改。ASU负责管理所有参与网上信息交换的各方所需的数字证书(包括产生、颁发、吊销更新等),是实现电子信息安全交换的核心。
STA接入览别的过程如图1所示:
1、该鉴别建立在关联过程之上。在鉴别过程中,STA和AP之间采用的协议ID定义为0x88B4,为新的协议标准;AP和ASU之间采用用户数据报协议 (UDP)进行通讯。
2、当STA关联和重新关联至AP时,必须进行相互身份鉴别。若鉴别成功,则AP允许STA接入,否则解除其关联。整个鉴别过程包括证书鉴别与会话密钥协商。
3、在证书鉴别过程中,需要将SAT和AP的证书一起发送给ASU,由ASU对AP和STA签名和证书的有效性进行验证,并将证书鉴别结果信息(包括AP证书鉴别结果信息和STA证书鉴别结果信息)和ASU对它们的签名过程证书鉴别响应发回给AP;AP对ASU返回的证书鉴别响应进行签名验证,得到STA证书的签名结果,根据此结果对STA进行接入控制。AP将收到的证书鉴别响应回送至STA,STA验证ASU的签名后,得到AP证书的鉴别结果,根据该鉴别结果决定是否接入AP。
4、STA和AP之间的密钥协商请求可以由任意一方发起,另一方响应。发送密钥请求的一方产生一串随机数,利用对方的公钥加密后发出,并包含请求方所有的被选会话算法信息;对方收到后先进行会话算法协商,若协商通过,用本地的私钥解密协商数据,得到随机数据;然后再产生一串随机数据,利用请求方的公钥加密后,在发送给请求方。密钥协商成功后,STA和AP将自己与对方分别产生的随机数据进行模2和运算生产会话密钥,利用协商的会话算法对通讯数据进行加、解密。
5、在STA接入过程中使用的签名算法为用于WLAN的椭圆曲线密码(WCC)算法,包括:192位的椭圆曲线算法、224位的椭圆曲线算法和256位的椭圆曲线算法。
WLAN中国安全标准WAPI只能使用WAI证书鉴别方法进行接入认证控制,无法给用户提供在使用其它接入认证控制方法的情况下使用基于中国数据加密算法,无法给用户提供WAI与其他非WPI规定的数据加密算法的配合,也无法支持802.11i终端和WAPI终端同时使用。
发明内容
本发明提供一种在无线局域网系统中支持多种安全机制的方法,以解决非WAI认证方式无法与WPI加密方式配合的问题。
为解决上述问题,本发明提供以下技术方案:
一种在无线局域网系统中支持多种安全机制的方法,所述无线局域网中包括终端站点(STA)、无线接入点(AP);该方法为:所述AP和STA之间在建立关联期间或在无线局域网鉴别基础结构(WAI)鉴别激活期间完成安全机制的协商,并按协商时选择的鉴别类型和密钥管理类型进行相应的鉴别流程和密钥管理流程,以及采用协商时所选择的无线保密基础结构(WPI)加密类型对数据加密
其中AP和STA之间在WAI鉴别激活期间完成安全机制的协商时包括:
AP通过WAI鉴别激活报文将安全参数发送到STA,STA根据本端的安全策略和AP发送来的安全参数,生成包含安全参数的WAI鉴别激活响应报文并发送到AP。
根据上述方法:
所述安全机制是指鉴别类型、密钥管理类型与加密类型的一种有效组合;
所支持的鉴别类型和密钥管理类型包括但不限于:WAI证书鉴别和WAI动态密钥管理,WAI证书鉴别和静态密钥管理,基于802.1X的EAP方法和802.1X动态密钥管理,基于802.1X的EAP方法和静态密钥管理,以及不鉴别和静态密钥管理。
所述AP和STA之间在建立关联期间完成安全机制的协商包括以下步骤:
AP根据其安全策略,通过信标帧和/或探询响应报文将表示所支持的鉴别类型、密钥管理类型和支持的WPI加密类型的安全参数发送到STA;
STA根据本端的安全策略和AP的安全参数,选择与AP共同支持的鉴别类型、密钥管理类型和WPI加密类型,并通过发送包含安全参数的关联请求关联到AP。
所述AP和STA之间在WAI鉴别激活期间完成安全机制的协商包括以下步骤:
AP通过WAI鉴别激活报文将表示所支持的鉴别类型、密钥管理类型和无线保密基础结构(WPI)加密类型的安全参数发送到STA;
STA根据本端的安全策略和收到所述安全参数,选择与AP共同支持的鉴别类型、密钥管理类型和WPI加密类型,并将包含安全参数的WAI鉴别激活响应报文发送到AP。
所述安全策略是指根据设备能力及应用要求,确定所述AP或STA所支持的安全机制及安全机制的优选原则,用户可以通过人机界面对所述AP或STA进行安全策略的配置。
当AP发送给STA的鉴别激活报文没有携带安全参数时,STA缺省认为AP支持WAI证书鉴别和WAI动态密钥管理,STA不发送鉴别激活响应报文。
当STA和AP之间在关联期间完成安全参数协商,如果协商的安全机制为WAI,AP发送给STA的WAI鉴别激活报文可以不携带安全参数或携带的安全参数与关联期间协商的安全机制一致。
采用本发明,用户可以灵活选择所支持的安全机制;本发明不仅能完全支持标准的WAPI及802.11i等安全机制,还能够将中国标准WAPI中的WAI认证
方式与WPI加密方式分开,支持诸如基于802.1X EAP方法与WPI加密方式的绑定应用等。
附图说明
图1为WAPI接入鉴别的流程图;
图2为STA与AP在关联建立前进行安全参数协商的流程图;
图3A、图3B为图2所示流程中安全参数协商不一致的例外流程图;
图4A为STA与AP通过鉴别激活进行安全参数协商的流程图;
图4B、图4C为图4A所示流程中安全参数协商不一致的例外流程图;
图5为本发明中WAPI认证和密钥协商流程图;
图6为采用EAP认证和WPI加密的业务流程图;
具体实施方式
本发明在无线局域网鉴别与保密基础结构(WLAN Authentication andPrivacy Infrastructure,WAPI)基础上增加STA和AP之间安全机制协商能力,该安全机制主要涉及鉴别方法、密钥管理方法和加密方法。对于本发明,AP必须无线保密基础结构(WPI)加密类型。
首先定义一种安全参数信息元素(IE),用以承载AP或STA设备在上述三个方面的支持能力。安全参数IE的定义可以采用但不局限于下面格式:
| 安全参数类型 (2个八位元) | 长度 (2个八位元) | 值1 (2个八位元) | …… | 值N (2个八位元) |
安全参数类型取值可采用以下约定或其他约定:
安全参数类型值=1,鉴别参数;
安全参数类型值=2,密钥管理参数;
安全参数类型值=3,加密参数。
其中,长度用于确定值的长度。
在鉴别参数中携带支持的所有鉴别方法种类,在密钥管理参数中携带支持的所有密钥管理参数的种类,在加密参数中携带支持的加密参数的种类。目前已知的鉴别方法类型有:WAI证书鉴别方法,基于802.1X的EAP等。可定义值=1时为WAI证书鉴别方法;值=2时为基于802.1X的EAP;值=0时为不鉴别;其他值保留。
目前已知的密钥管理类型有:WAI动态密钥管理,802.1X动态密钥管理,静态密钥管理等。可定义值=1时为WAI动态密钥管理;值=2时为802.1X动态密钥管理;值=3时为静态密钥管理;其他值保留。
目前已知的加密方法有:WPI(加密算法仅用于软件实现)、WPI(加密算法仅用于硬件实现)等;可定义值=1时为WPI(加密算法仅于软件实现),值=2时为WPI(加密算法仅用于硬件实现);其他值保留。
AP和STA的安全能力取决于设备本身支持能力及使用时的配置,AP和STA根据其安全能力可选择以下途径将其安全参数通知给对方:
1、在关联过程或关联过程之前完成安全参数协商
AP可通过信标报文、探询响应报文和关联响应报文携带安全参数给STA。
STA可通过探询请求报文、关联请求报文携带安全参数给AP。
2、在关联之后完成安全参数协商
AP通过鉴别激活报文携带安全参数给STA。
STA通过激活响应报文携带安全参数给AP,该激活响应报文为新增加的报文类型,用于向AP提供STA协商后确定的安全参数。
安全参数协商即是STA和AP其中的一方根据接收到的对方的安全参数及己方的安全能力的交集,选定一种鉴别类型、密钥管理类型、加密类型组合。当交集存在多种组合时,设备能根据一定的原则选择一种最佳组合。这种选择原则可能是基于性能考虑如优选WPI(加密算法仅用于硬件实现),或基于用户的优先级配置。STA和AP设备在配置时应考虑到支持的组合种类及不支持的或无意义的组合种类。
本发明增加的安全机制主要包括以下类型(但不限于这些类型):
| 安全机制类型 | 鉴别类型 | 密钥管理类型 | 加密类型 |
| 1 | WAI | WAI动态密钥管理 | WPI(加密算法仅用于软件实现) |
| 2 | WAI | WAI动态密钥管理 | WPI(加密算法仅用于硬件实现) |
| 3 | WAI | 静态密钥管理 | WPI(加密算法仅用于软件实现) |
| 4 | WAI | 静态密钥管理 | WPI(加密算法仅用于硬件实现) |
| 5 | 基于802.1X的EAP | 802.1X动态密钥管理 | WPI(加密算法仅用于软件实现) |
| 6 | 基于802.1X的EAP | 802.1X动态密钥管理 | WPI(加密算法仅用于硬件实现) |
| 7 | 基于802.1X的EAP | 静态密钥管理 | WPI(加密算法仅用于软件实现) |
| 8 | 基于802.1X的EAP | 静态密钥管理 | WPI(加密算法仅用于硬件实现) |
| 9 | 不鉴别 | 静态密钥管理 | WPI(加密算法仅用于软件实现) |
| 10 | 不鉴别 | 静态密钥管理 | WPI(加密算法仅用于硬件实现) |
参阅图2所示,AP通过信标帧和探询响应报文携带安全参数给STA的主要过程如下:
1、AP向STA发送携带有安全参数的信标帧,该安全参数表明AP所支持的鉴别类型、密钥管理类型和支持WPI加密类型。
2、STA向AP发送探询报文。
3、AP向STA返回携带有安全参数的探询响应报文,该安全参数表明AP所支持的鉴别类型、密钥管理类型和支持WPI加密类型。
4、STA根据本端的安全能力和所述安全参数,在本端支持WPI加密类型时选择与AP共同支持的鉴别类型、密钥管理类型和WPI加密类型,即协商出安全参数。
5、AP和STA按选择的鉴别类型和密钥管理类型进行相应的鉴别流程和密钥管理流程,并采用WPI加密方式对数据加密。
6、7、AP和STA之间进行开放系统认证。
8、9、STA向AP发送关联请求报文并由AP返回关联响应报文,其中携带协商后的安全参数。
以上过程完成后,若双方都支持相同的鉴别类型、密钥管理类型和WPI加密,AP和STA之间建立起物理链路,然后根据协商的认证方式,AP向STA发送鉴别激活报文,进入证书鉴别阶段。
在图2所示的流程中,当STA发现无法与AP协商出一致的安全参数时,STA则不再向AP发起关联请求,参阅图3A所示。
在图2所示的流程中,当AP发现本端不支持STA通过关联请求报文发送来的安全参数时,在返回关联响应时应将状态码设为失败,原因值为安全参数协商失败(在关联响应报文的原因值中增加“安全参数协商失败”值定义),参阅图3B所示。
STA通过探询请求报文、关联请求报文携带安全参数给AP主要过程如下:
1、STA向AP发送包含安全参数的探询报文,该安全参数表明AP所支持的鉴别类型、密钥管理类型和支持WPI加密类型。
2、AP根据本端的安全能力和所述安全参数选择与STA共同支持的鉴别类型、密钥管理类型并选择WPI加密类型,并向STA返回携带安全参数的探询请求响应报文;
3、STA向AP发送关联请求报文并由AP返回关联响应报文,其中携带协商后的安全参数。
4、AP和STA按选择的鉴别类型和密钥管理类型进行相应的鉴别流程和密钥管理流程,并采用所选择的WPI加密类型对数据加密。
以上过程完成后,若双方都支持相同的鉴别类型、密钥管理类型和WPI加密,AP和STA之间建立起物理链路,然后根据协商的认证方式,AP向STA发送鉴别激活报文,进入证书鉴别阶段。
当STA发现本端不支持AP通过探询响应报文发送来的安全参数时,STA则不再向AP发起关联请求。
参阅图4A所示,AP通过鉴别激活报文携带安全参数给STA的主要过程如下:
1、AP向STA发送包含安全参数的鉴别激活报文,该安全参数表明AP所支持的鉴别类型、密钥管理类型和支持WPI加密类型。
2、STA根据本端的安全能力和所述安全参数选择与AP共同支持的鉴别类型、密钥管理类型并选择WPI加密类型。
3、STA向AP返回携带协商后的安全参数的鉴别激活响应报文。
4、AP检查协商后的安全参数,如果支持这些安全参数,则按选择的鉴别类型和密钥管理类型进行相应的鉴别流程和密钥管理流程,并采用所选择的WPI加密类型对数据加密。
在图4A流程中,当STA无法与AP协商出一致的安全参数时,向AP发起解除关联报文,如图4B所示。当AP收到STA的鉴别激活响应发现不能支持STA选择的安全参数时,向STA发起解除关联报文,参阅图4C所示。
从上述可知,本发明在STA和AP之间能实现802.11i和WAPI所定义的认证和加密方式的动态绑定,即除了支持WAI证书鉴别和WPI加密类型绑定应用,也提供其他认证方式如基于802.1X EAP方法与WPI绑定应用的解决方案,以满足市场对多种认证方法的需求。同时也可以很容易提供WAI证书鉴别与其他加密算法绑定应用的方法,以解决因WPI出口限制而不能在国外推广WAPI的问题。
以下以WAI证书鉴别和WPI加密绑定、802.1X鉴别和WPI加密绑定为例对本发明进行一步说明。
对于在STA与AP建立关联过程中动态协商安全参数信元的编码格式,也可直接采用802.11i定义的RSN IE编码格式。通过对802.11i所定义的RSN IE进行扩充来实现STA和AP之间的认证和加密算法的动态协商。对于如何携带安全参数,并不局限于采用RSN IE。
在802.11i定义的RSN IE中增加WAI证书鉴别类型和WPI加密方式的定义;例如,在802.11i定义的RSN IE中增加WAPI鉴别和加密方式组织唯一标识(OUI)定义,如下表:(
对于WAI,Element ID为221,OUI为00:EO:FC(可定义为此OUI值,但不限于使用此值),当认证和密钥管理的取值为00:E0:FC:1,即使用WAI证书鉴别和WAI动态密钥管理。当认证和密钥管理的取值为00:E0:FC:2时,不使用任何认证,使用静态密钥管理机制产生加密密钥。
WPI加密类型取值为:
| OUI | 组类型 (Suite Type) | 含义 |
| 00:E0:FC | 1 | WPI(加密算法仅用于软件实现) |
| 00:E0:FC | 2 | WPI(加密算法仅用于硬件实现) |
对于WPI,Element ID为221,OUI为00:E0:FC(可定义为此OUI值,但不限于使用此值),加密机制的缺省值为00:E0:FC:1,即使用WPI所规定的基于软件实现的对称加密算法进行数据加密。
参阅图5所示,认证类型及密钥管理类型为WAI,加密类型为WPI加密类型,即WAI和WPI绑定的应用流程如下:
1、支持WAPI的AP在其向STA广播的信标帧中携带RSN IE,其中,认证方式支持WAI证书鉴别,密钥管理机制为WAI动态密钥管理机制,加密方式支持WPI加密类型。
2、STA向AP发送探询报文。
3、支持WAPI的AP在向STA发送的探询响应报文中携带RSN IE,其中,认证方式支持WAI证书鉴别,密钥管理机制为WAI动态密钥管理机制,加密方式支持WPI加密类型。
4、5、AP和STA之间进行开放系统认证。
6、STA向AP发送关联帧和重新关联帧,其中携带RSN IE,表明认证方式支持WAI证书鉴别,密钥管理机制为WAI动态密钥管理机制,加密方式支持WPI加密类型。
7、AP在其关联响应帧中携带RSN IE,其中,认证方式支持WAI证书鉴别,密钥管理机制为WAI动态密钥管理机制,加密方式支持WPI加密类型。
以上过程完成后,若双方都支持WAPI,AP和STA之间建立起物理链路,然后根据协商的认证方式,AP向STA发送鉴别激活报文,进入证书鉴别阶段。
当STA和AP支持RSN IE协商认证方式、密钥管理机制和加密机制后,可以灵活解决802.1X认证配合WPI加密的问题,如:认证方式为基于802.1X的EAP认证方法,密钥协商机制为基于802.1X的动态密钥管理机制,数据采用 WPI加密类型进行加密。
对于认证方式为基于802.1X的EAP认证方法,密钥协商机制为基于802.1X的动态密钥管理机制,数据采用WPI加密类型进行加密。当使用802.1X的EAPOL-KEY进行密钥协商时,建议采用802.11i的密钥体系,并在EAPOL-KEY报文中定义WPI加密类型相应的EAPOL-KEY报文加密和完整性校验方法。
EAPOL-KEY补充
其中Key Information字段定义如下:
增加Key Descriptor Version(bits 0-2)的定义,当取值为3时代表使用单播和组播密钥使用WPI加密类型。EAPOL-Key MIC使用HMAC-SHA256算法计算,并使用WPI加密类型规定的算法加密EAPOL-Key中的组播会话密钥(GTK)。当使用WPI加密时,key长度为32。
参阅图6所示,802.1X与WPI绑定的应用流程如下:
1、在物理连接建立阶段:STA和AP需要在RSN IE中指定自己支持基于802.1X的认证、使用基于802.1X的动态密钥管理、使用WPI进行单播和广播数据的加密;协商结果为使用基于802.1X的EAP认证和动态密钥管理,使用WPI加密类型进行加密。
2、在认证阶段:STA和AS之间使用EAP进行认证:包括,EAP-SIM、TTLS、PEAP等方式;在认证过程中,在认证服务器(AS)和STA之间协商出PMK。认证通过后,AS将PMK发送给AP;GMK由AP随机产生。
3、在密钥管理阶段:STA和AP之间通过802.1X协商出PTK和GTK,密钥协商成功后,STA和AP之间使用WPI进行数据加密。
在鉴别激活阶段实现安全参数协商时,AP通过鉴别激活报文携带其所支持的安全参数,STA通过鉴别激活响应报文将最终协商出的安全参数通知AP。当AP发送的鉴别激活保文没有携带安全参数时,STA不必回鉴别激活响应,按缺省的WAI证书鉴别流程处理。
鉴别激活响应报文是新增加的一种WAI报文类型。
STA和AP之间WAI报文格式如下:
| 版本号 | 报文类型 | 保留 | 数据长度 | 数据 |
八位元组数: 2 2 2 2 0~65535
其中,报文类型字段长度为2个八位元组,其值定义如下:
0:鉴别激活
1:接入鉴别请求
2:接入鉴别响应
3:密钥协商请求
4:密钥协商响应
7:组播密钥通告
8:组播密钥响应
为支持鉴别激活响应报文,增加一种报文类型“鉴别激活响应”,其报文类型值假设取值为10。
鉴别激活及鉴别激活响应报文数据子段携带安全参数。安全参数信元格式可以直接采用RSN IE格式,也可以采用如下TLV格式定义:
| 安全参数类型 (2个八位元) | 长度 (2个八位元) | 值1 (2个八位元) | …… | 值N (2个八位元) |
安全参数类型取值可采用以下约定或其他约定:
安全参数类型值=1,鉴别参数;
安全参数类型值=2,密钥管理参数;
安全参数类型值=3,加密参数。
其中,长度用于确定值的长度。
在鉴别参数中携带支持的所有鉴别方法种类,在密钥管理参数中携带支持的所有密钥管理参数的种类,在加密参数中携带支持的加密参数的种类。
目前已知的鉴别方法类型有:WAI证书鉴别方法,基于802.1X的EAP等。可定义值=1时为WAI证书鉴别方法;值=2时为基于802.1X的EAP;值=0时为不鉴别;其他值保留。
目前已知的密钥管理类型有:WAI动态密钥管理,802.1X动态密钥管理,静态密钥管理等。可定义值=1时为WAI动态密钥管理;值=2时为802.1X动态密钥管理;值=3时为静态密钥管理;其他值保留。
目前已知的加密方法有:WPI(加密算法仅用于软件实现)、WPI(加密算法仅用于硬件实现)等;可定义值=1时为WPI(加密算法仅于软件实现),值=2时为WPI(加密算法仅用于硬件实现);其他值保留。
从上可知:当认证类型为WAI证书鉴别和WAI动态密钥管理、加密类型为WPI加密类型时,后继过程完全遵循标准WAPI流程;当认证类型为基于802.1X的EAP方法与动态密钥管理、加密类型为WPI加密类型时,STA和AP后继过程为上述802.1X+WPI应用流程,因此,采用本发明,用户可以灵活选择所支持的认证方式和加密方式。
对于本发明,如果STA和AP除了支持WPI加密类型,还支持非WPI加密类型,则可能根据设置选择WAI鉴别类型和非WAI鉴别类型作为认证和密钥管理方式时,并选择非WPI加密方式,如允许选择802.11i加密方式中的TKIP、CCMP等。
Claims (7)
1.一种在无线局域网系统中支持多种安全机制的方法,所述无线局域网中包括终端站点STA、无线接入点AP;其特征在于,所述AP和STA之间在无线局域网鉴别基础结构WAI鉴别激活期间完成安全机制的协商,并按协商时选择的鉴别类型和密钥管理类型进行相应的鉴别流程和密钥管理流程,以及采用协商时所选择的无线保密基础结构WPI加密类型对数据加密;
其中AP和STA之间在WAI鉴别激活期间完成安全机制的协商包括:
AP通过WAI鉴别激活报文将安全参数发送到STA,STA根据本端的安全策略和AP发送来的安全参数,生成包含安全参数的WAI鉴别激活响应报文并发送到AP。
2.如权利要求1所述的方法,其特征在于,所述安全机制是指鉴别类型、密钥管理类型与加密类型的一种有效组合;所支持的鉴别类型和密钥管理类型包括但不限于:WAI证书鉴别和WAI动态密钥管理,WAI证书鉴别和静态密钥管理,基于802.1X的EAP方法和802.1X动态密钥管理,基于802.1X的EAP方法和静态密钥管理,以及不鉴别和静态密钥管理。
3.如权利要求1所述方法,其特征在于,所述AP和STA之间在WAI鉴别激活期间完成安全机制的协商时:
所述鉴别激活报文中的安全参数包括:表示所支持的鉴别类型、密钥管理类型和无线保密基础结构WPI加密类型;
所述鉴别激活响应报文中的安全参数包括:与AP共同支持的鉴别类型、密钥管理类型和WPI加密类型。
4.如权利要求3所述的方法,其特征在于,当STA根据本端安全策略,发现本端不支持WAI鉴别激活报文中所携带的安全参数时,将发送解除关联请求报文给AP,终止后续流程。
5.如权利要求4所述的方法,其特征在于,当AP根据本端安全策略,判 断本端不支持WAI鉴别激活响应报文中的安全参数时,将发送解除关联请求报文给STA,终止后续流程。
6.如权利要求4所述的方法,其特征在于,所述安全策略是指根据设备能力及应用要求 确定所述AP或STA所支持的安全机制及安全机制的优选原则,用户可以通过人机界面对所述AP或STA进行安全策略的配置。
7.如权利要求4所述方法,其特征在于,当AP发送给STA的WAI鉴别激活报文没有携带安全参数时,STA缺省认为AP支持WAI证书鉴别和WAI动态密钥管理,STA不发送WAI鉴别激活响应报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410034424 CN1681239B (zh) | 2004-04-08 | 2004-04-08 | 在无线局域网系统中支持多种安全机制的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410034424 CN1681239B (zh) | 2004-04-08 | 2004-04-08 | 在无线局域网系统中支持多种安全机制的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1681239A CN1681239A (zh) | 2005-10-12 |
| CN1681239B true CN1681239B (zh) | 2012-01-04 |
Family
ID=35067680
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200410034424 Expired - Lifetime CN1681239B (zh) | 2004-04-08 | 2004-04-08 | 在无线局域网系统中支持多种安全机制的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1681239B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1956443A (zh) * | 2005-10-24 | 2007-05-02 | 华为技术有限公司 | 一种ngn业务的加密方法 |
| CN101222386B (zh) * | 2007-01-11 | 2011-06-29 | 华硕电脑股份有限公司 | 建立无线局域网络联机的方法 |
| CN101465740B (zh) * | 2007-12-21 | 2011-11-23 | 北京中电华大电子设计有限责任公司 | 一种支持pci接口的wlan网卡芯片 |
| CN101272301B (zh) * | 2008-05-07 | 2011-02-02 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
| CN101478755B (zh) * | 2009-01-21 | 2011-05-11 | 中兴通讯股份有限公司 | 一种网络安全的http协商的方法及其相关装置 |
| CN101808317B (zh) * | 2009-02-18 | 2013-07-03 | 联想(北京)有限公司 | 一种实现无线局域网安全措施的计算机设备和方法 |
| CN101577904B (zh) | 2009-02-27 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 以分离mac模式实现会聚式wapi网络架构的方法 |
| CN101577905B (zh) | 2009-02-27 | 2011-06-01 | 西安西电捷通无线网络通信股份有限公司 | 一种以分离mac模式实现会聚式wapi网络架构的方法 |
| CN101577978B (zh) * | 2009-02-27 | 2011-02-16 | 西安西电捷通无线网络通信股份有限公司 | 一种以本地mac模式实现会聚式wapi网络架构的方法 |
| CN101600203B (zh) | 2009-06-30 | 2011-05-25 | 中兴通讯股份有限公司 | 一种安全服务的控制方法及无线局域网终端 |
| CN101815288A (zh) * | 2010-02-25 | 2010-08-25 | 苏州汉明科技有限公司 | 用户和无线接入点间通过e-card进行接入加密保护的方法 |
| CN101931952B (zh) * | 2010-08-25 | 2012-12-12 | 广州杰赛科技股份有限公司 | 一种无线城域网系统及其鉴别认证方法 |
| CN103987039B (zh) * | 2013-02-07 | 2017-11-28 | 华为终端有限公司 | Wps协商接入的处理方法和设备 |
| CN104219662B (zh) * | 2014-08-19 | 2019-05-07 | 新华三技术有限公司 | 一种Beacon帧的发送方法和设备 |
| CN106572112A (zh) * | 2016-11-09 | 2017-04-19 | 北京小米移动软件有限公司 | 访问控制方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1426200A (zh) * | 2002-11-06 | 2003-06-25 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入与无线链路的数据保密通信方法 |
| CN1455556A (zh) * | 2003-05-14 | 2003-11-12 | 东南大学 | 无线局域网安全接入控制方法 |
-
2004
- 2004-04-08 CN CN 200410034424 patent/CN1681239B/zh not_active Expired - Lifetime
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1426200A (zh) * | 2002-11-06 | 2003-06-25 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入与无线链路的数据保密通信方法 |
| CN1455556A (zh) * | 2003-05-14 | 2003-11-12 | 东南大学 | 无线局域网安全接入控制方法 |
Non-Patent Citations (1)
| Title |
|---|
| IEEE 802 Committee.Draft Supplement to STANDARD FOR Telecommunications and Information Exchange Between Systems-LAN/MAN Specific Requirements-Part 11: Wireless Medium Access Control(MAC) and physical layer(PHY) specifications: Specification for Enhanced Security,IEEE Std 802.11i/D3.0.Institute of Electrical and Electronics Engineers,Inc,2002,第13-22页、第78-80页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1681239A (zh) | 2005-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3410758B1 (en) | Wireless network connecting method and apparatus, and storage medium | |
| CN100581169C (zh) | 一种基于单播会话密钥的组播密钥分发方法及其更新方法 | |
| CN1681239B (zh) | 在无线局域网系统中支持多种安全机制的方法 | |
| JP4286224B2 (ja) | 無線ローカルエリアネットワーク(wlan)に用いられる安全な機密通信のための方法 | |
| CN102823280B (zh) | 认证密钥生成部署 | |
| US8000478B2 (en) | Key handshaking method and system for wireless local area networks | |
| CN100534037C (zh) | 一种适用于ibss网络的接入认证方法 | |
| CN1929371B (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN101159639B (zh) | 一种单向接入认证方法 | |
| CN100373843C (zh) | 一种无线局域网中密钥协商方法 | |
| CN101222331A (zh) | 一种认证服务器及网状网中双向认证的方法及系统 | |
| WO2013185735A2 (zh) | 一种加密实现方法及系统 | |
| CN110087240B (zh) | 基于wpa2-psk模式的无线网络安全数据传输方法及系统 | |
| CN101145900A (zh) | 组播方法和组播系统以及组播设备 | |
| JP2020533853A (ja) | デジタル証明書を管理するための方法および装置 | |
| CN101364865B (zh) | 一种无线城域网组播密钥管理方法 | |
| US20090196424A1 (en) | Method for security handling in a wireless access system supporting multicast broadcast services | |
| CN101296107B (zh) | 通信网络中基于身份标识加密技术的安全通信方法及装置 | |
| CN102487503B (zh) | 一种多级安全动态群组密钥管理方法 | |
| CN100484266C (zh) | 移动终端使用广播/组播业务内容的方法 | |
| CN101364909B (zh) | 无卡设备接入个人网络的方法、装置及系统 | |
| JPWO2019183032A5 (zh) | ||
| CN102196428B (zh) | 无卡设备接入个人网络的方法、装置及系统 | |
| CN1225871C (zh) | 一种无线局域网内加密密钥的分发方法 | |
| CN1929377B (zh) | 一种通信认证查询方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20120104 |