WO2010145138A1

WO2010145138A1 - 一种安全服务的控制方法及无线局域网终端

Info

Publication number: WO2010145138A1
Application number: PCT/CN2009/075648
Authority: WO
Inventors: 施元庆; 梁洁辉; 康望星
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-06-30
Filing date: 2009-12-16
Publication date: 2010-12-23
Also published as: CN101600203A; CN101600203B; US20120096263A1; EP2437531A1; EP2437531A4; US8724816B2; EP2437531B1

Abstract

一种安全服务的控制方法及无线局域网终端，该方法包括：无线局域网终端在创建互联网协议（IP）层和/或IP层以上的安全服务时，停止该终端与接入点之间的无线局域网保密基础结构（WPI）服务；所述WPI服务包括：对待发送的数据链路层报文进行加密、以及对接收到的数据链路层报文进行解密。所述WPI服务停止后，无线局域网终端在取消IP层和/或IP层以上的安全服务时，通过与无线局域网的接入点依序完成解除关联、关联、用户鉴别和密钥协商过程，并启用密钥协商过程协商得到的会话密钥来恢复所述 WPI服务。采用本发明能够节省终端的计算资源。

Description

安全各的控制方法及終端

木領域

本涉及安全各木，尤其涉及安全各的控制方法及終端。 5 背景木

力了解決 O/ C8802-11中的 P ( ed q vae vacy，有等隱私)安全存在的安全漏洞，中頒布了及其第修改羊，保密 (W eess oca Aea ewokA he ca o a d vacy as c ,0 WA )替代W P，以解決 ( eess oca J ea ewok, w A ) 的安全。

WA 由基石 ( W A A he ca o as c e， WA )和保密基石 (W A vacy as c e， P )組成。 W 了公升木，于5 ( TA，也可終端) 接 ( ccess o ， ) 同的互相身份 WP 管理委亦公室批准的于W A 的算法， AC ( edaAccessCo o，

)子的 ( AC ooco aa , AC 羊 ) □、。

W 中介紹的包括了 "休者休 ( A he ca o S pp ca E y A ) 休 ( he cao E y, A )和各休( he ca o Sevce y， A ) 其中休 (A )是者休在接各前提供操作的休休駐留在接或終端接是指任何介各

各的休，休駐留在各羊 (A he ca o Sevce ， A ) 各羊 (A ) 的基本功能包括用戶的管理和用戶身份的等，是于公升木的 WA 中重要的組成部分各羊在中的 WA 各。

上用戶力公升，它是WA 統休結中重要的林市。公升是用戶的身份，通私有可以唯

用戶的身份。

支持WA 功能的終端在完成WA 的，通空口，接有分組，終端支持WA 功能的接利用 WA 中出的羊和好的算法，完成各的 P 的和解。以 TCP/P (Ta s e Co o ooco/ e e ooco , 控制 / )分居模型考察終端的， 802.11 休控制上的 802．2 控制起成了， 1所示。

終端上的大多于 P分組， P 有己的安全各，各客戶可以利用 P 的安全各各或交互的用戶的客戶完成的和完整性。于接路上的，在各 P 或 P 以上 (例， )的安全保的前提下，再的密通常不能步增強並各教的安全性，且需要消耗大量的資源。內容

本所要解決的木是，克服現有木的不足，提供安全各的控制方法及終端，以便在已 P 或以上的安全保各的情況下終端的資源。

了解決上，本提供安全各的控制方法，方法包括

元域終端在 P 和/或 P 以上的安全各，停止

終端接魚同的 P 各

P 各包括吋待的、以及接的行解。

此外， P 各停止，終端在取消和/或 P 以上的安全各，通的接依序完成解除、、用戶和，得到的

P 各。

此外，下方式停止 P 各

終端的接解除，解除成功接操作

操作成功，終端接用戶

用戶完成接收到接的羊，終端向接返羊失敗。

此外， P 和/或以上的安全各的用力終端中唯使用通信的、或 P 和/或 P 以上的安全各的用以外，終端中所有使用的都已 P 和/或 P 以上的安全各，終端停止 W 各。

此外，終端的安全控制接收到終端的

的 P 和/或 P 以上的安全各的，執行停止W 各的操作

W 各停止，安全控制 P 和/或 P 以上的安全各的，和/或 P 以上的安全各。

本近提供終端，終端中置有

、 WA 和 1 終端中近置有安全控制其中

安全控制，于接收的 P 和/或 P 以上的安全各的，在接收到，停止終端的接魚同的 1 各

P 各包括吋待的、以及接收到的行解。

，安全控制，近于向 WA 停止 1 各的指示

WA ，于在接收到停止 1 各的指示，的接依序完成解除、和用戶，在接收到接的羊，向接返羊失敗，指示 P 停止，以停止接魚同的 P 各。

此，安全控制，近于在所 1 各停止，接收

的取消 P 和/或 P 以上的安全各的，在接收到，向所述WA 1 各的指示 WA ，于在接收到 1 各的指示，的接依序完成解除、和用戶，接行密，完成，將得到的

1 。

此，接收到和/或以上的安全各的，安全控制，近于 P 和/或 P 以上的安全各的的以外，終端中是否存在使用

通信且未 P 和/或 P 以上的安全各的，結果力不存在，才停止 P 各的指示。

此，接收到 P 和/或 P 以上的安全各的，安全控制，近于，停止 1 各的指示

WA ，近于在所 1 各停止，通所安全控制 W 各已停止

安全控制，近于在接收到通，的和/或 P 以上的安全各。此， WA，于向 1 指示 1 停止。

上，本明通在終端即將 P 或 P 以上的安全各終止 P 各，了終端和接的資源，有利于在終端中

要求較高的。說明

1 802.11 休控制 802．2 控制在TCP/P分居模型 2是本終端上的安全、控制其它休同的居次接口示意

3是本的安全各控制方法，在終端上停止W 各的方法流程

4是控制安全特性信息是否可以停止W 各的方法流程

5是本的安全各控制方法，在終端上 W 各的方法流程

6是控制安全特性信息是否需要 W 各的方法流程

7是本終端的示意

8是在本的元終端中，安全控制的接口的方法流程

9是在本的元終端中，安全控制的接口的方法流程。

休方式

由于在 P 和/或 P 以上的安全各，可以不要求

的的，以終端接上的資源，井有利于要求較高的用部署，本在支持 W 的元終端中 P 和/或 P 以上的安全各的 /取消，到 P 和/或 P 以上的安全各的，停止 P 各，到取消 P 和/或 P 以上的安全各的， P 各。

下面將結合和本。

2是本終端上的新增的安全和控制其它 / 休同的居次接口示意囤。 2中本直接相的 / 休包括座用， TCP/P ，安全、控制、 W 、 1 下面將結合 2 上和休。

用房于用戶提供各，包括于的各。 TCP/P 是 TCP/P 的休，可 P ec ( e e Pooco Sec y，安全) 各，向提供使用 P ec 各的接口此外，在本明中 P ec 各的和取消由控制控制完成，因此TCP/P 近控制提供和 P ec 各的接口。

安全提供了 WA 各 1 各接口 ( W 各接口 )，，以行教、、的操作 W 各接口休包括

WAJ的功能非功能接口

1的功能和生成功能接口

和終端用戶的存儲、和解析功能接口。控制提供 P ec 和取消接口，，以和 7 P ec 各此外，控制近于決定是否取消和 P 各此外，控制近向提供安全特性信息接口，以

行安全特性信息的

安全特性信息包括核座 / 是否依賴 W 提供的安全各，即 1 各是否已 P 或 P 以上的安全各且安全各可以取代W 提供的數安全各。

上 P 或 P 以上的安全各包括 P ec 各( 于 P 的安全各)、居安全各、居安全各等。

上 / 休的休功能以及連接 (消息/命令交互 )將在下文中。

3是本的安全各控制方法，在終端上停止 1 各的方法流程， 3所示，方法包括 301 終端的求劍 P ec 各，向

終端的控制 P ec 。

302 接收到 P ec ，控制。

303 控制前所有座的安全特性信息此 5 是否可以停止WP 各，果不可以停止 P 各，則執行步驟304, 否則執行步驟305 休的流程 4所示，策略包括

果 P ec 的前唯使用

通信的，則控制判定可以停止 P 各

果前有多使用通信，前 P ec 的用房外，其它均已 P 或 P 以上的安全各 ( 、等)， WA 提供的安全各，則控制判定可以停止 P 各

果前有多使用通信，前 P ec 的外，存在至少介依賴于WA 提供的居安全各，而沒有其它安全各，則控制判定不可以停止 P 各。

304 果控制判定不可以停止 P 各，則立即執行 P ec 各的操作，在 P ec 各建成功向返包含有成功信息的，可以 P ec 各行教，本流程。 20 305 果控制判定可以停止 P 各，則向安全 P 各停止，指示前路上不需要 P 各。

306 接收到 P 各停止，安全停止本終端接魚同的 P 各

休說，安全可以控制WA (例，向WAJ

25 WP 各停止指令) 下操作東停止 P 各 306a 終端的WA 接解除

306b 解除操作成功， W 接操作 306c 操作成功， WA 接于或共享的用戶

5 306d 完成用戶，接羊，向 WA 羊接收到， WA 向接返羊失敗

306e WA 指示 P 停止

例 : WA 可以向 P 介 (例， 0), W 10 接收到，不再的，也可以不再接收到的行解 ( 已接收到的已密的可以直接，向 (即接 ) )， P 各停止。然， WA 也可以向 P 介停止理的指示停止 P 各。

15 需要注意的是，于已完成用戶的終端，在終端的羊失敗，接允許終端接，允許接的受，且接不于算法的或操作。

306F WA 通安全 P 各已停止。

20 307 安全在停止 P 各，包含有成功信息的控制，通控制 P 各已停止。

308 控制 P 各停止成功，相的 P ec接口 P ec 各 P ec 各建成功，安全通 P ec 各已成功，可以 P ec 各行教，本流程 25 。 5是本的安全各控制方法，在終端上

各的方法流程， 5所示，方法包括

501 終端的 P ec 各或接收到

的 P ec 各的取消通，向控制 P ec 5 。

502 接收到 P ec取消，控制前各

的安全特性信息是否需要 P 各，果不需要 P 各，則特至步驟506 否則執行步驟503

上的休流程 6所示，策略包括

> 果前已 P 各，則不需要執行操作

果前 P ec取消的前唯使用通信的，則控制判定可以 P 各，是由果前有多使用通信，且除了 15 前 P ec取消的以外，其它均已 P 或 P 以上的安全各安全保，則控制判定 P 各，否則需要 P 各。

503 果控制判定需要 P 各，則向安全 P 各，指示前需要 P 各。

20 504 接收到 P 各，安全 P 各

休說，安全可以控制WA (例，向WA P 各指令) 下操作以 P 各

504a WA 接解除

504b 解除操作成功， W 接操作 25 504c 操作成功， WA 接于或共享的用戶

504d 完成用戶，接羊， WA 按照流程接完成羊的，其在接收到接的羊，需要向接返羊成功果需要，完成羊胡林， WA 近接按照流程完成

504e 成功完成羊和， WA 向 P 得到的羊和 WP 使用羊各和已接收到的，使用

已接收到的行解

需要注意的是，接此允許終端的，終端或終端接收到的 P 于算法的操作。

504 WA 通安全 P 各已。

505 WP 各成功，安全向控制包含有成功信息的，通控制 P 各已。

506 控制相夫的 P ec接口 P ec 各 ec 各取消成功，安全通 P ec 各已成功取消。

需要注意的是，控制也可以在接收到的 P ec取消，先執行 P ec 各的操作，然在執行是否需要 P 各等步驟。

本的基本原理，上近可以有多方式，例、在終端上，可以將安全和控制合井成介，安全控制。

二、在上中，由控制向提供 / P ec 各的接口，以便在接收到上各 /取消 P 的安全各，停止/ P 各的操作在本的其它中，控制也可以 TCP/P 的各

/取消 P 的安全各，的 TCP/P 的休和測方法不于本的，可以參考相吳文。

此，也可以直接 TCP/P 修，使TCP/P 接收到或的 P ec 各、 P ec 各相的，通控制，等待控制的步指示再。三、除了在的安全各和 P 的安全各可以 1 各外，任何 P 以上的安全各，例 (Sec e ocke aye , 安全套接 ) 各 T (Ta spo aye Sec y, 居安全) 各、 (Sec eShe ，安全外 ) 各， OC ( ocke sec y，接安全)等各並各 ( ) 行保，都可以用本的方法停止 1 各。

同，控制也可以相的功能休 (例，功能休、 T 功能休等) 的各功能休 /取消的安全各，的也可以直接各功能休的修，使各功能休在建立/取消安全各，通控制，等待控制的步指示再。

、除了本上的停止 1 各的方法外，也可以其它方式停止 P 各，例安全直接向W 停止各的指示， 1 在接收到指示，停止的

(但仍然需要接收到的 P 行解，或已密的 )，同在的 1 中添明文，以未

在神情況下，接需要支持相的功能，即 1 的是否，果未則不行解。此，接也可以不終端的，在 P 中增明文，以指示終端的 P 沒有。

7是本終端的示意，因 7中將 2 的安全和控制合井安全控制，省略了本沒有直接的各功能休 7 所示，終端中置有、安全控制、 WA 、 P 和安全各其中

安全控制于接收的 P 和/或 P 以上的安全各的，在接收到，向WA 停止 P 各的指示

WA 于在接收到停止 P 各的指示，的接交互，依序完成解除、和用戶，在接收到接的羊，向接返羊失敗，指示 P 停止，以停止接魚同的WP 各。

此，安全控制近在 P 各停止，接收的取消和/或以上的安全各的，在接收到，向 WA

P 各的指示

WA 在接收到 P 各的指示，接交互，依序完成解除、和用戶，接行密，完成，將得到的 P ，以 P 各。此外，上，安全控制近向提供安全特性信息接口，以行安全特性信息的安全特性信息包括核座 / 是否依賴WA 提供的安全各，即 WP 各是否在 P 或 P 以上的安全各且可以替代WA 提供的安全各。接收到 P 和/或 P 以上的安全各的，安全控制近的安全特性信息 P 和/或 P 以上的安全各的的用房以外，終端中是否存在使用

通信且未和/或 P 以上的安全各的，結果力不存在，才停止 P 各的指示。

7中的安全各可以是 P ec 各，相連，在安全各成功提供安全各 ( 、、、等)，安全控制相連，接收安全控制的 /取消安全各的連接指示，指示或取消安全各。

10 然，安全各也可以存在于其它功能休(例，因2中的TCP/P

) 中，而不以立功能的形式在終端中。的，休的方法可參考 3和 5的部分。下面將介紹本的安全控制向提供的 W 各接口，以及休的 15 。

8是在本的元終端中，安全控制的接口的方法流程， 8所示，方法包括 801 安全控制的W 各接口，安全控制

生成操作，將需要生成值的明文教 (例，用戶

20 等信息) 安全控制

802 安全控制將上明文教至WA ，指示WA 803 WA 生成明文教的 ( )，使用用戶的，非算法上，生成

25 804 WA 將生成的返安全控制 805 安全控制將返。

9是在本的元終端，安全控制的接口的方法流程 9所示，方法包括 901 安全控制的W 各接口，安全控制

操作，將需要臉的、明文和用戶 ( ) 安全控制

902 安全控制用戶本地或管理休的接口各的用戶，中提取的公

903 安全控制將和上需要臉的 WA ， WA 行解

904 WA 使用行解，得到的明文，將返安全控制

905 安全控制將WA 返的的明文

的明文比，果者相則表示名，否則表示 906 安全控制將結果返。

Claims

要求

1、安全各的控制方法，其特在于，方法包括停止終端接魚同的元保密 P 各

P 各包括吋待的數、以及接收的行解。

2、要求 1 的方法，其特在于， P 各停止，方法近包括元域終端在取消 P 和/或 P 以上的安全各，的接依序完成解除、、用戶和，得到的 P 各。

3、又要求 1 的方法，其特在于，停止 P 各包括

元域終端的接解除，解除成功接操作

操作成功，終端接用戶

用戶完成接收到接的羊，終端向接返羊失敗

終端和接停止者同的

。

4、又要求 1 的方法，其特在于，

P 和/或 P 以上的安全各的用力終端中唯使用通信的、或 P 和/或 P 以上的安全各的用以外，終端中所有使用通信的都已 P 和/或 P 以上的安全各，終端停止 P 各。

5、要求 1 的方法，其特在于，的 P 和/或 P 以上的安全各的，執行停止 1 各的操作

1 各停止，安全控制 P 和/或 P 以上的安全各的， P 和/或 P 以上的安全各。

6、終端，置有、

WA 和 1 特在于，終端中近置有安全控制，于接收的 P 和/或 P 以上的安全各的，在接收到，停止終端的接魚同的 1 各

P 各包括吋待的、以及接收到的行解。

7、要求6 的終端，其特在于，

安全控制，近于向 WA 停止 P 各的指示 WA ，于在接收到停止 1 各的指示，的接依序完成解除、和用戶，在接收到接的羊，向接返羊失敗，指示 P 停止，以停止接魚同的 P 各。

8、要求6或7 的終端，其特在于，

安全控制，近于在所 P 各停止，接收

的取消 P 和/或 P 以上的安全各的，在接收到，向 WA P 各的指示

WA ，于在接收到 P 各的指示，的接依序完成解除、和用戶，接行密，完成，將得到的

WP 。

9、要求7 的終端，其特在于，

接收到 P 和/或 P 以上的安全各的，安全控制，近于 P 和/或 P 以上的安全各的的以外，終端中是否存在使用

通信且未 P 和/或 P 以上的安全各的，結果力不存在，才所述停止 P 各的指示。

10、要求7所述的終端，其特在于，

接收到 P 和/或 P 以上的安全各的，安全控制，近于，停止 P 各的指示

WA ，近于在所 P 各停止，通所安全控制 P 各已停止

安全控制，近于在接收到通，的

P 和/或 P 以上的安全各。

11、要求7所述的終端，其特在于，

WA ，于向 P 指示 P 停止。