CN201409222Y - 无线局域网鉴别与保密基础结构终端的安全关联建立装置 - Google Patents
无线局域网鉴别与保密基础结构终端的安全关联建立装置 Download PDFInfo
- Publication number
- CN201409222Y CN201409222Y CN2009201527007U CN200920152700U CN201409222Y CN 201409222 Y CN201409222 Y CN 201409222Y CN 2009201527007 U CN2009201527007 U CN 2009201527007U CN 200920152700 U CN200920152700 U CN 200920152700U CN 201409222 Y CN201409222 Y CN 201409222Y
- Authority
- CN
- China
- Prior art keywords
- base key
- security association
- module
- bksa
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本实用新型提供了一种无线局域网鉴别与保密基础结构终端的安全关联建立装置,该装置包括缓存单元、基密钥安全关联协商单元和单播密钥协商单元,基密钥安全关联协商单元输出其生成的包含一个或多个基密钥安全关联对应的基密钥标识的关联或重新关联请求给通信对端;单播密钥协商单元从通信对端接收包含所述一个或多个基密钥标识中的一个基密钥标识的单播密钥协商请求分组,从缓存单元中提取所述基密钥标识对应的基密钥安全关联,输出单播密钥协商响应分组给通信对端,从通信对端接收单播密钥协商确认分组。本实用新型通过协商启用本地缓存的BKSA,避免了STA重新建立BKSA,降低了系统负担。
Description
技术领域
本实用新型涉及无线局域网(Wireless Local Area Networks,简称WLAN),尤其涉及一种无线局域网中WAPI(WLAN Authentication andPrivacy Infrastructure,无线局域网鉴别与保密基础结构)终端的安全关联建立装置。
背景技术
无线局域网作为宽带无线IP(Internet Protocol,因特网协议)网络的一种典型的实现形式,是指采用无线传输媒介的计算机局域网络,它能在难以布线的区域进行通信,是传统有线局域网的重要补充。无线局域网技术是计算机网络技术与无线通信技术相结合的产物,具有支持移动计算、架构灵活快捷、维护所需费用较低和可扩展性好等优点,为通信的移动化和个人化提供了手段。
随着全球信息化的逐步深入,网络安全的重要性越来越明显,因为信息丢失、缺损和泄漏所造成的损失额度之大远远超出了人们的预测,因此各国均将网络信息安全提升至国家安全战略的位置。
现有技术中的WAPI是一种提高无线局域网的安全性的机制。WAPI将基于三元对等鉴别的访问控制方法应用于无线局域网技术领域,以保障合法客户端通过合法接入点接入网络,并实现客户端和接入点间的保密通信。
WAPI由无线局域网鉴别基础结构(WLAN Authentication Infrastructure,WAI)和无线局域网保密基础结构(WLAN Privacy Infrastructure,WPI)两部分组成。
WAI是实现无线局域网中的身份鉴别和密钥管理的安全方案,用于完成STA(STAtion,无线站点)和AP(Access Point,接入点)之间、STA和STA之间的双向身份鉴别,并协商建立安全关联。WPI是用于实现无线局域网中数据传输保护的安全方案,包括使用WAI过程中协商出的各密钥进行数据加密、数据鉴别和重放保护等功能。
其中,WAPI中的安全关联包含:
在ESS中漫游的STA在关联后,执行证书鉴别过程或通过预共享密钥直接建立BKSA,如图1所示为通过证书鉴别过程建立BKSA的流程图,包括:
步骤101,STA发送关联请求给AP;
步骤102,AP发送关联响应给STA,STA和AP之间为已关联状态,
步骤103,进行证书鉴别过程,证书鉴别过程结束后,STA和AP建立BKSA并缓存该BKSA;
步骤104,进行单播密钥协商过程,基于BKSA建立USKSA。
其中,步骤103具体包括步骤103a-103e;
步骤103a,AP发送鉴别激活分组给STA;
步骤103b,STA发送接入鉴别请求分组给AP;
步骤103c,AP发送证书鉴别请求分组给ASU;
步骤103d,ASU发送证书鉴别响应分组给AP;
步骤103e,AP发送接入鉴别响应分组给STA。
BKSA用来创建USKSA,BKSA在其生存期内被缓存。当STA在多个AP之间进行切换时,每次都需要重新建立BKSA,增加了系统负担。
实用新型内容
本实用新型要解决的技术问题是提供一种无线局域网鉴别与保密基础结构终端的安全关联建立装置,当终端在多个AP之间进行切换时,不需要每次重新建立BKSA,降低系统负担。
为了解决上述技术问题,本实用新型提供了一种无线局域网鉴别与保密基础结构终端的安全关联建立装置,该装置包括缓存单元、基密钥安全关联协商单元和单播密钥协商单元,其中:
基密钥安全关联协商单元输出其生成的包含一个或多个基密钥安全关联对应的基密钥标识的关联或重新关联请求给通信对端;
单播密钥协商单元从通信对端接收包含所述一个或多个基密钥标识中的一个基密钥标识的单播密钥协商请求分组,从缓存单元中提取所述基密钥标识对应的基密钥安全关联,输出单播密钥协商响应分组给通信对端,从通信对端接收单播密钥协商确认分组。
进一步地,上述装置还可具有以下特点,所述基密钥安全关联协商单元包括生成模块和发送模块,其中:
所述生成模块,从缓存单元提取一个或多个基密钥安全关联对应的基密钥标识,输出其生成的包含一个或多个所述基密钥标识的关联或重新关联请求到发送模块;
发送模块,发送所述关联或重新关联请求至通信对端。
进一步地,上述装置还可具有以下特点,所述装置还包括基密钥安全关联建立单元,所述基密钥安全关联建立单元包括请求模块和建立模块,其中:
请求模块,接收通信对端输出的鉴别激活分组,输出其生成的接入鉴别请求分组给通信对端;
建立模块,接收通信对端输出的接入鉴别响应分组,输出其生成的基密钥安全关联至缓存单元。
进一步地,上述装置还可具有以下特点,所述基密钥安全关联协商单元还包括修改模块,所述修改模块,接收通信对端输出的包含通信对端启用的基密钥安全关联的基密钥标识及其延长后的生存期的关联响应或重新关联响应,从缓存单元中提取该基密钥标识对应的基密钥安全关联,修改其生存期后输出该基密钥安全关联至缓存单元。
进一步地,上述装置还可具有以下特点,所述单播密钥协商单元包括响应模块和确认模块,其中:
所述响应模块从通信对端接收包含所述一个或多个基密钥标识中的一个基密钥标识的单播密钥协商请求分组,从缓存单元中提取所述基密钥标识对应的基密钥安全关联,输出其产生的单播密钥协商响应分组到通信对端;
所述确认模块,接收通信对端输出的单播密钥协商确认分组。
本实用新型所述无线局域网鉴别与保密基础结构终端的安全关联建立装置,通过启用本地缓存的BKSA,避免了STA在多个AP之间进行切换时,重新建立BKSA,降低了系统负担。
附图说明
图1是现有建立BKSA的方法流程图;
图2是本实用新型在ESS中建立BKSA的方法流程图;
图3是本实用新型实施例一建立BKSA方法信令流程图;
图4是本实用新型实施例二建立BKSA方法信令流程图;
图5是本实用新型WAPI终端的安全关联建立装置框图。
具体实施方式
本实用新型的中心思想是,STA通过执行证书鉴别过程或使用预共享密钥建立BKSA后,可缓存与ESS中某个AP建立的BKSA,当STA移动到该AP,该AP和接入点缓存有相同且有效的BKSA时,AP启用该BKSA,跳过证书鉴别过程,直接和STA执行单播密钥协商过程。具体实现方式可以是,STA可以在关联/重新关联请求中的WAPI信息元素中包含一个或多个BKSA对应的BKID,若AP中有和BKID相对应且有效的BKSA,则可以跳过证书鉴别过程而直接进行单播密钥协商过程;如果AP中没有和BKID对应有效的BKSA,或STA在关联/重新关联请求中的WAPI信息元素中没有包含BKID,则STA和AP必须通过证书鉴别过程或使用预共享密钥建立BKSA。
为了更好地理解本实用新型,首先对本实用新型的工作原理和方法进行简要描述。
图2是本实用新型实施例在ESS中建立基密钥安全关联的方法流程图。在STA与某个AP已建立BKSA后,当STA移动到该AP时,其建立基密钥安全关联的方法如下:
步骤201,STA发送关联/重新关联请求给AP,该关联/重新关联请求中的WAPI信息元素中包含一个或多个BKSA对应的BKID;
步骤202,AP收到该关联/重新关联请求后,判断是否有和所述关联/重新关联请求中包含的BKID相对应且有效的BKSA,如果有,转步骤203,否则,AP转步骤204;
步骤203,AP确定双方缓存有相同且有效的BKSA,启用BKSA,发送关联/重新关联响应给STA,转步骤205;
步骤204,AP确定双方未缓存相同且有效的BKSA,发送关联/重新关联响应给STA,执行证书鉴别过程或使用预共享密钥建立BKSA,并缓存该BKSA;
步骤205,AP和STA进行单播密钥协商过程,具体包括:
205a,AP发送单播密钥协商请求分组给STA;
205b,STA发送单播密钥协商响应分组给AP;
205c,AP发送单播密钥协商确认分组给STA。
进一步地,在步骤203中,启用BKSA时,延长所述BKSA的生存期,避免STA刚刚连接到AP后,BKSA由于生存期到期被删除,在关联/重新关联响应的WAPI信息元素中携带BKID及其修改后的生存期,STA根据关联/重新关联响应中携带的BKID及其修改后的生存期,相应修改该BKID对应的BKSA的生存期。
图3是本实用新型实施例在ESS中建立基密钥安全关联的方法信令流程图。该实施例中,STA与某个AP已建立BKSA,当STA移动到该AP时,STA和AP处缓存有相同且有效的BKSA,其建立基密钥安全关联的方法如下:
步骤301,STA发送关联/重新关联请求给AP,该关联/重新关联请求中的WAPI信息元素中包含一个或多个BKSA对应的BKID;
步骤302,AP收到该关联/重新关联请求后,判断本地存在和所述关联/重新关联请求中包含的BKID相对应有效的BKSA;
步骤303,AP启用BKSA,发送关联/重新关联响应给STA;
步骤304,STA和AP之间使用所述BKSA进行单播密钥协商过程。
其中,步骤303中,AP启用BKSA时,还延长所述BKSA的生存期,在关联/重新关联响应中的WAPI信息元素中携带BKID及其修改后的生存期,STA根据关联/重新关联响应中携带的BKID及其修改后的生存期,相应修改本地对应的生存期。
图4是本实用新型实施例在ESS中建立基密钥安全关联的方法信令流程图。该实施例中,STA与某个AP已建立BKSA,当STA移动到该AP时,AP处无有效的BKSA,其建立基密钥安全关联的方法如下:
步骤401,STA发送关联/重新关联请求给AP,该关联/重新关联请求中的WAPI信息元素中包含一个或多个BKSA对应的BKID;
步骤402,AP收到该关联/重新关联请求后,判断本地不存在和所述关联/重新关联请求中携带的BKID相对应且有效的BKSA;
步骤403,AP发送关联/重新关联响应给STA;
步骤404,AP和STA执行证书鉴别过程,建立并缓存BKSA,具体包括:
步骤404a,AP发送鉴别激活分组给STA;
步骤404b,STA发送接入鉴别请求分组给AP;
步骤404c,AP发送证书鉴别请求分组给ASU;
步骤404d,ASU发送证书鉴别响应分组给AP;
步骤404e,AP发送接入鉴别响应分组给STA,STA建立并缓存BKSA。
步骤405,STA和AP之间使用步骤404中得到的BKSA进行单播密钥协商过程。
图5是本实用新型无线局域网鉴别与保密基础结构终端的安全关联建立装置框图,该安全关联建立装置包括缓存单元、基密钥安全关联协商单元、基密钥安全关联建立单元和单播密钥协商单元,其中:
所述基密钥安全关联协商单元,输出其生成的包含一个或多个基密钥安全关联对应的基密钥标识的关联或重新关联请求给通信对端;
进一步地,所述基密钥安全关联协商单元包括生成模块、发送模块和修改模块,其中:
所述生成模块,从缓存单元提取一个或多个基密钥安全关联对应的基密钥标识,输出其生成的包含一个或多个所述基密钥标识的关联或重新关联请求到发送模块;
所述发送模块,发送所述关联或重新关联请求至通信对端;
所述修改模块,接收通信对端输出的包含通信对端启用的基密钥安全关联的基密钥标识及其延长后的生存期的关联响应或重新关联响应,从缓存单元中提取该基密钥标识对应的基密钥安全关联,修改其生存期后输出该基密钥安全关联至缓存单元。
基密钥安全关联建立单元包括请求模块和建立模块,其中:
请求模块,接收通信对端输出的鉴别激活分组,输出其生成的接入鉴别请求分组给通信对端;
建立模块,接收通信对端输出的接入鉴别响应分组,输出其生成的基密钥安全关联至缓存单元。
单播密钥协商单元从通信对端接收包含所述一个或多个基密钥标识中的一个基密钥标识的单播密钥协商请求分组,从缓存单元中提取所述基密钥标识对应的基密钥安全关联,输出单播密钥协商响应分组给通信对端,从通信对端接收单播密钥协商确认分组。
进一步地,所述单播密钥协商单元包括响应模块和确认模块,其中:
所述响应模块从通信对端接收包含所述一个或多个基密钥标识中的一个基密钥标识的单播密钥协商请求分组,从缓存单元中提取所述基密钥标识对应的基密钥安全关联,输出其产生的单播密钥协商响应分组到通信对端;
所述确认模块,接收通信对端输出的单播密钥协商确认分组。
综上所述,本实用新型通过安全关联建立装置在和通信对端协商确定双方缓存有有效的BKSA时,启用该BKSA,直接进行单播密钥协商,避免了当STA在AP间切换时,每次都重新建立BKSA,还通过延长BKSA的生存期,避免STA刚连接到AP时,BKSA因为生存期到期而被删除。
Claims (5)
1、一种无线局域网鉴别与保密基础结构终端的安全关联建立装置,其特征在于,该装置包括缓存单元、基密钥安全关联协商单元和单播密钥协商单元,其中:
基密钥安全关联协商单元输出其生成的包含一个或多个基密钥安全关联对应的基密钥标识的关联或重新关联请求给通信对端;
单播密钥协商单元从通信对端接收包含所述一个或多个基密钥标识中的一个基密钥标识的单播密钥协商请求分组,从缓存单元中提取所述基密钥标识对应的基密钥安全关联,输出单播密钥协商响应分组给通信对端,从通信对端接收单播密钥协商确认分组。
2、如权利要求1所述的装置,其特征在于,所述基密钥安全关联协商单元包括生成模块和发送模块,其中:
所述生成模块,从缓存单元提取一个或多个基密钥安全关联对应的基密钥标识,输出其生成的包含一个或多个所述基密钥标识的关联或重新关联请求到发送模块;
发送模块,发送所述关联或重新关联请求至通信对端。
3、如权利要求2所述的装置,其特征在于,所述装置还包括基密钥安全关联建立单元,所述基密钥安全关联建立单元包括请求模块和建立模块,其中:
请求模块,接收通信对端输出的鉴别激活分组,输出其生成的接入鉴别请求分组给通信对端;
建立模块,接收通信对端输出的接入鉴别响应分组,输出其生成的基密钥安全关联至缓存单元。
4、如权利要求2所述的装置,其特征在于,所述基密钥安全关联协商单元还包括修改模块,所述修改模块,接收通信对端输出的包含通信对端启用的基密钥安全关联的基密钥标识及其延长后的生存期的关联响应或重新关联响应,从缓存单元中提取该基密钥标识对应的基密钥安全关联,修改其生存期后输出该基密钥安全关联至缓存单元。
5、如权利要求1所述的装置,其特征在于,所述单播密钥协商单元包括响应模块和确认模块,其中:
所述响应模块从通信对端接收包含所述一个或多个基密钥标识中的一个基密钥标识的单播密钥协商请求分组,从缓存单元中提取所述基密钥标识对应的基密钥安全关联,输出其产生的单播密钥协商响应分组到通信对端;
所述确认模块,接收通信对端输出的单播密钥协商确认分组。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009201527007U CN201409222Y (zh) | 2009-05-22 | 2009-05-22 | 无线局域网鉴别与保密基础结构终端的安全关联建立装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009201527007U CN201409222Y (zh) | 2009-05-22 | 2009-05-22 | 无线局域网鉴别与保密基础结构终端的安全关联建立装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201409222Y true CN201409222Y (zh) | 2010-02-17 |
Family
ID=41680169
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009201527007U Expired - Fee Related CN201409222Y (zh) | 2009-05-22 | 2009-05-22 | 无线局域网鉴别与保密基础结构终端的安全关联建立装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201409222Y (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103313242A (zh) * | 2012-03-16 | 2013-09-18 | 中兴通讯股份有限公司 | 密钥的验证方法及装置 |
| CN104066083A (zh) * | 2013-03-18 | 2014-09-24 | 华为终端有限公司 | 一种接入无线局域网的方法和装置 |
-
2009
- 2009-05-22 CN CN2009201527007U patent/CN201409222Y/zh not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103313242A (zh) * | 2012-03-16 | 2013-09-18 | 中兴通讯股份有限公司 | 密钥的验证方法及装置 |
| CN104066083A (zh) * | 2013-03-18 | 2014-09-24 | 华为终端有限公司 | 一种接入无线局域网的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101056177B (zh) | 基于无线局域网安全标准wapi的无线网状网重认证方法 | |
| CN101079891B (zh) | 基于无线局域网安全标准wapi的无线交换网络重认证方法 | |
| CN101998394B (zh) | 异质无线网络之间的快速鉴别 | |
| CN101697616B (zh) | 促进移动站的移动性 | |
| CN101557592B (zh) | 一种会聚式wlan中由ac完成wpi时的sta漫游切换方法及其系统 | |
| CN102883316A (zh) | 建立连接的方法、终端和接入点 | |
| CN101335621B (zh) | 一种802.11i密钥管理方法 | |
| CN101521580B (zh) | 无线局域网鉴别与保密基础结构单播密钥协商方法及系统 | |
| KR100523058B1 (ko) | 무선랜 시스템에서의 동적 그룹키 관리 장치 및 그 방법 | |
| CN100581125C (zh) | 一种适合无线个域网的接入方法 | |
| WO2011015060A1 (zh) | 一种可扩展的鉴权协议认证方法、基站及鉴权服务器 | |
| CN104883372B (zh) | 一种基于无线自组织网的防欺骗和抗攻击的数据传输方法 | |
| CN100563186C (zh) | 一种在无线接入网中建立安全通道的方法 | |
| CN100544253C (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN201409222Y (zh) | 无线局域网鉴别与保密基础结构终端的安全关联建立装置 | |
| CN101527907A (zh) | 无线局域网接入认证方法及无线局域网系统 | |
| CN101562811A (zh) | 一种会聚式wlan中由wtp完成wpi时的sta漫游切换方法及其系统 | |
| CN101425909B (zh) | 一种实现wapi系统终端零干预计费的方法 | |
| WO2003049486A3 (en) | Apparatus, and associated method, for facilitating authentication of a mobile station with a core network | |
| CN105848140B (zh) | 一种5g网络中能够实现通信监管的端到端安全建立方法 | |
| CN101527906A (zh) | 在扩展服务集中建立安全关联的方法和系统 | |
| CN109450627A (zh) | 一种将量子通信与无线通信相融合的移动设备通信网络及其通信方法 | |
| CN101540985B (zh) | 一种实现wapi系统终端零干预计费的方法 | |
| CN105554746B (zh) | 一种基于加密ssid的wifi局域网通信系统 | |
| CN101521884A (zh) | 一种自组网模式下安全关联建立方法及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: ZTE CO., LTD. Free format text: FORMER OWNER: LIU JIAN Effective date: 20100122 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20100122 Address after: Department of legal affairs, Zhongxing building, South hi tech Industrial Park, Nanshan District hi tech Industrial Park, Guangdong, Shenzhen 518057, China Patentee after: ZTE Corporation Address before: Beijing city Haidian District District Qinghe Baosheng Building 1, unit 7, room 503, zip code: 100192 Patentee before: Liu Jian |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100217 Termination date: 20140522 |