專利名稱:一種安全服務(wù)的控制方法及無(wú)線局域網(wǎng)終端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及一種安全服務(wù)的控制方法及無(wú)線局域網(wǎng) 終端��。
背景技術(shù):
為了解決無(wú)線局域網(wǎng)國(guó)際標(biāo)準(zhǔn)ISO/IEC 8802-11中定義的WEP ( Wired Equivalent Privacy,有線等效隱私)安全機(jī)制存在的安全漏洞,中國(guó)頒布了 無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)及其第一號(hào)修改單�,采用無(wú)線局域網(wǎng)認(rèn)證與保密基礎(chǔ)結(jié)
稱為WAPI)替代WEP ,以解決無(wú)線局域網(wǎng)(Wireless Local Area Network, 簡(jiǎn)稱為WLAN )的安全問題�。
WAPI由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WLAN Authentication Infrastructure, 簡(jiǎn)稱為WAI)和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WLAN Privacy Infrastructure,筒 稱為WPI)組成�����。WAI采用了公開密鑰加密技術(shù)�,用于無(wú)線站點(diǎn)(STA,也 可稱為終端)與接入點(diǎn)(Access Point,簡(jiǎn)稱為AP)之間的互相身份鑒別���; WPI采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的用于WLAN的對(duì)稱密碼算法實(shí) 現(xiàn)H據(jù)4呆護(hù)�����,對(duì)MAC ( Media Access Control,介質(zhì)訪問控制)子層的MPDU (MAC Protocol Data Unit, MAC協(xié)議數(shù)據(jù)單元)進(jìn)行加、解密處理�����。
WAPI規(guī)范中介紹的基礎(chǔ)結(jié)構(gòu)包括了三個(gè)功能實(shí)體鑒別請(qǐng)求者實(shí)體 (Authentication Supplicant Entity,簡(jiǎn)稱為ASUE )��、鑒別器實(shí)體(Authenticator Entity,筒稱為AE )和鑒別服務(wù)實(shí)體(Authentication Service Entity,簡(jiǎn)稱為 ASE);其中-.
鑒別請(qǐng)求者實(shí)體(ASUE )是在接入服務(wù)之前請(qǐng)求進(jìn)行鑒別操作的實(shí)體�����; 鑒別器實(shí)體(AE)是為鑒別請(qǐng)求者實(shí)體在接入服務(wù)之前提供鑒別操作的實(shí)體;該實(shí)體駐留在接入點(diǎn)或終端內(nèi)���;接入點(diǎn)是指任何一個(gè)具備站點(diǎn)功能�����, 通過無(wú)線網(wǎng)絡(luò)為與其關(guān)聯(lián)的終端提供訪問分布式服務(wù)的實(shí)體�����;
鑒別服務(wù)實(shí)體(ASE)是為鑒別器實(shí)體和鑒別請(qǐng)求者實(shí)體提供身份鑒別 服務(wù)的實(shí)體���,該實(shí)體駐留在鑒別服務(wù)單元(Authentication Service Unit,簡(jiǎn) 稱為ASU)中;鑒別服務(wù)單元(ASU)的基本功能包括對(duì)用戶證書的管理 和對(duì)用戶身份的鑒別等����,是基于公開密鑰密碼技術(shù)的WAI鑒別基礎(chǔ)結(jié)構(gòu)中 重要的組成部分;鑒別服務(wù)單元在網(wǎng)絡(luò)中對(duì)應(yīng)的節(jié)點(diǎn)為WAPI鑒別服務(wù)器����。
上述用戶證書為公開密鑰證書,它是WAI系統(tǒng)體系結(jié)構(gòu)中重要的環(huán)節(jié)。 公開密鑰證書是網(wǎng)絡(luò)用戶的數(shù)字身份憑證���,通過私有密鑰驗(yàn)證可以唯一地確 定網(wǎng)絡(luò)用戶的身份����。
支持WAPI功能的終端在完成WAI的鑒別后���,通過無(wú)線局域網(wǎng)空口鏈 路���,接入有線分組網(wǎng)絡(luò),隨后終端與支持WAPI功能的接入點(diǎn)利用WAI過 程中協(xié)商出的單播密鑰和協(xié)商好的對(duì)稱密碼算法�,完成對(duì)各自的MPDU的 力口密和解密。以TCP/IP (Transfer Control Protocol/Internet Protocol,傳輸控 制協(xié)議/互聯(lián)網(wǎng)協(xié)議)分層;f莫型考察終端側(cè)的網(wǎng)絡(luò)協(xié)議棧�����,802.11 d泉體訪問 控制與其上層的802.2邏輯鏈路控制一起構(gòu)成了數(shù)據(jù)鏈路層��,如圖l所示。
終端上的網(wǎng)絡(luò)應(yīng)用大多基于IP分組�,IP層有自己的安全服務(wù),各個(gè)網(wǎng) 絡(luò)應(yīng)用客戶端可以利用IP層的安全服務(wù)與其應(yīng)用服務(wù)器或與其交互的用戶 的客戶端完成對(duì)通訊數(shù)據(jù)的加密和完整性保護(hù)���。對(duì)于無(wú)線接入鏈路上傳輸?shù)?數(shù)據(jù)�,在具備IP層或IP層以上(例如,應(yīng)用層)的數(shù)據(jù)安全保護(hù)的前提下����, 再對(duì)數(shù)據(jù)鏈路層的MPDU報(bào)文進(jìn)行加密通常不能進(jìn)一步增強(qiáng)業(yè)務(wù)數(shù)據(jù)的安 全性�����,并且需要消耗大量的計(jì)算資源。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是�,克服現(xiàn)有技術(shù)的不足���,提供一種安全服 務(wù)的控制方法及無(wú)線局域網(wǎng)終端,以便在已啟用IP層或IP層以上的凝:據(jù)安 全保護(hù)服務(wù)的情況下節(jié)省終端的計(jì)算資源����。
為了解決上述問題,本發(fā)明提供一種安全服務(wù)的控制方法���,該方法包括IP層和/或IP層以上的安全服務(wù)時(shí)����,
停止該終端與接入點(diǎn)之間的無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI服務(wù)�����;
所述WPI服務(wù)包括對(duì)待發(fā)送的數(shù)據(jù)鏈路層報(bào)文進(jìn)行加密�����、以及對(duì)接 收到的數(shù)據(jù)鏈路層報(bào)文進(jìn)行解密�。
此外,所述WPI服務(wù)停止后���,無(wú)線局域網(wǎng)終端在取消IP層和/或IP層 以上的安全服務(wù)時(shí)�����,通過與無(wú)線局域網(wǎng)的接入點(diǎn)依序完成解除關(guān)聯(lián)��、關(guān)聯(lián)����、 用戶鑒別和密鑰協(xié)商過程��,并啟用密鑰協(xié)商過程協(xié)商得到的會(huì)話密鑰來(lái)恢復(fù) 所述WPI服務(wù)��。
此外�,采用如下方式停止所述WPI服務(wù)
無(wú)線局域網(wǎng)終端與無(wú)線局域網(wǎng)的接入點(diǎn)解除關(guān)聯(lián),解除關(guān)聯(lián)成功后與接 入點(diǎn)進(jìn)行關(guān)聯(lián)操作��;
關(guān)聯(lián)操作成功后���,無(wú)線局域網(wǎng)終端與接入點(diǎn)進(jìn)行用戶鑒別過程����;
用戶鑒別過程完成并接收到接入點(diǎn)發(fā)送的單播密鑰協(xié)商請(qǐng)求后�����,無(wú)線局 域網(wǎng)終端向接入點(diǎn)返回單播密鑰協(xié)商失敗響應(yīng)����;
無(wú)線局域網(wǎng)終端和接入點(diǎn)停止對(duì)兩者之間傳輸?shù)臄?shù)據(jù)鏈路層報(bào)文進(jìn)行 加解密處理。
此外��,僅當(dāng)創(chuàng)建所述IP層和/或IP層以上的安全服務(wù)的應(yīng)用為無(wú)線局域 網(wǎng)終端中唯一使用無(wú)線局域網(wǎng)通信的應(yīng)用��、或除創(chuàng)建所述IP層和/或IP層以 上的安全服務(wù)的應(yīng)用以外�����,無(wú)線局域網(wǎng)終端中所有使用無(wú)線局域網(wǎng)通信的應(yīng) 用都已啟用IP層和/或IP層以上的安全服務(wù)時(shí),無(wú)線局域網(wǎng)終端才停止所述 WPI服務(wù)���。
此外�����,無(wú)線局域網(wǎng)終端的安全控制才莫塊接收到無(wú)線局域網(wǎng)終端的應(yīng)用層 模塊發(fā)送的創(chuàng)建所述IP層和/或IP層以上的安全服務(wù)的請(qǐng)求時(shí)��,執(zhí)行所述停 止WPI服務(wù)的操作����;
所述WPI服務(wù)停止后�����,所述安全控制模塊根據(jù)所述創(chuàng)建IP層和/或IP 層以上的安全服務(wù)的請(qǐng)求����,為所述應(yīng)用層模塊創(chuàng)建并啟用IP層和/或IP層以 上的安全服務(wù)。本發(fā)明還提供一種無(wú)線局域網(wǎng)終端���,該終端中設(shè)置有應(yīng)用層^f莫塊����、無(wú) 線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI模塊和WPI模塊;該終端中還設(shè)置有安全控 制模塊���;其中
所述安全控制模塊用于接收所述應(yīng)用層模塊發(fā)送的創(chuàng)建IP層和/或IP層 以上的安全服務(wù)的請(qǐng)求,并在接收到該請(qǐng)求后�����,向所述WAI模塊發(fā)送停止 WPI服務(wù)的指示����;
所述WAI模塊用于在接收到所述停止WPI服務(wù)的指示后,與無(wú)線局域 網(wǎng)的接入點(diǎn)依序完成解除關(guān)聯(lián)��、關(guān)聯(lián)和用戶鑒別過程��,并在接收到所述接入 點(diǎn)發(fā)送的單播密鑰協(xié)商請(qǐng)求后�����,向所述接入點(diǎn)返回單播密鑰協(xié)商失敗響應(yīng)��, 并指示所述WPI模塊停止對(duì)數(shù)據(jù)鏈路層報(bào)文進(jìn)行加解密處理���,以停止與接 入點(diǎn)之間的WPI服務(wù)�����;
所述WPI服務(wù)包括對(duì)待發(fā)送的數(shù)據(jù)鏈路層報(bào)文進(jìn)行加密���、以及對(duì)接 收到的數(shù)據(jù)鏈路層報(bào)文進(jìn)行解密���。
此外,所述安全控制模塊還用于在所述WPI服務(wù)停止后����,接收所述應(yīng)
到所述請(qǐng)求后,向所述WAI模塊發(fā)送恢復(fù)WPI服務(wù)的指示����;
所述WAI模塊用于在接收到所述恢復(fù)WPI服務(wù)的指示后,與無(wú)線局域 網(wǎng)的接入點(diǎn)依序完成解除關(guān)聯(lián)�、關(guān)聯(lián)和用戶鑒別過程,并與所述接入點(diǎn)進(jìn)行 密鑰協(xié)商過程��,密鑰協(xié)商完成后�����,將協(xié)商得到的會(huì)話密鑰發(fā)送給所述WPI 模塊。
此外���,接收到所述創(chuàng)建IP層和/或IP層以上的安全服務(wù)的請(qǐng)求后���,所述 安全控制模塊還判斷除發(fā)送所述創(chuàng)建IP層和/或IP層以上的安全服務(wù)的請(qǐng)求 的應(yīng)用層模塊以外,該終端中是否存在使用無(wú)線局域網(wǎng)通信且未啟用IP層 和/或IP層以上的安全服務(wù)的應(yīng)用層模塊�����,僅當(dāng)判斷結(jié)果為不存在時(shí)�,才發(fā) 送所述停止WPI服務(wù)的指示�。
此外,接收到所述創(chuàng)建IP層和/或IP層以上的安全服務(wù)的請(qǐng)求后���,所述 安全控制模塊還緩存該請(qǐng)求�����,并發(fā)送所述停止WPI服務(wù)的指示�����;
所述WAI模塊還用于在所述WPI服務(wù)停止后�,通知所述安全控制模塊所述WPI服務(wù)已停止;
所述安全控制模塊接收到所述通知后�,根據(jù)所述緩存的請(qǐng)求為所述應(yīng)用 層模塊創(chuàng)建并啟用所述IP層和/或IP層以上的安全服務(wù)。
此外����,所述WAI模塊通過向所述WPI模塊發(fā)送空密鑰來(lái)指示所述WPI 模塊停止對(duì)數(shù)據(jù)鏈路層報(bào)文進(jìn)行加解密處理。
終止WPI服務(wù)����,節(jié)省了終端和接入點(diǎn)的計(jì)算資源,有利于在終端中運(yùn)行實(shí) 時(shí)性要求較高的應(yīng)用�����。
圖1為802.11 J泉體訪問控制與802.2邏輯《連路控制在TCP/IP分層沖莫型 中的位置示意圖2是本發(fā)明實(shí)施例無(wú)線局域網(wǎng)終端上的安全模塊���、控制模塊與其它 實(shí)體之間的層次與接口關(guān)系示意圖3是根據(jù)本發(fā)明的安全服務(wù)控制方法�����,在無(wú)線局域網(wǎng)終端上停止WPI 服務(wù)的方法流程圖4是控制模塊根據(jù)安全特性信息判斷是否可以停止WPI服務(wù)的方法 流程圖5是根據(jù)本發(fā)明的安全服務(wù)控制方法���,在無(wú)線局域網(wǎng)終端上恢復(fù)WPI 服務(wù)的方法流程圖6是控制模塊根據(jù)安全特性信息判斷是否需要恢復(fù)WPI服務(wù)的方法 流程圖7是本發(fā)明實(shí)施例無(wú)線局域網(wǎng)終端的結(jié)構(gòu)示意圖8是在本發(fā)明的無(wú)線局域網(wǎng)終端中,應(yīng)用層模塊通過調(diào)用安全控制模 塊的接口實(shí)現(xiàn)數(shù)字簽名的方法流程圖9是在本發(fā)明的無(wú)線局域網(wǎng)終端中,應(yīng)用層模塊通過調(diào)用安全控制模塊的接口實(shí)現(xiàn)數(shù)字簽名驗(yàn)證的方法流程圖��。
具體實(shí)施例方式
由于在啟用IP層和/或IP層以上的安全服務(wù)后�,可以不要求進(jìn)行數(shù)據(jù)鏈
路層的MPDU報(bào)文的加密,以節(jié)省終端與接入點(diǎn)上的計(jì)算資源�����,并有利于 實(shí)時(shí)性要求較高的應(yīng)用部署�,本發(fā)明在支持WAPI的無(wú)線局域網(wǎng)終端中對(duì)IP 層和/或IP層以上的安全服務(wù)的創(chuàng)建/取消請(qǐng)求進(jìn)行檢測(cè),當(dāng)檢測(cè)到創(chuàng)建IP 層和/或IP層以上的安全服務(wù)的請(qǐng)求時(shí)�����,停止WPI服務(wù)�����,當(dāng)檢測(cè)到取消IP 層和/或IP層以上的安全服務(wù)的請(qǐng)求時(shí)����,恢復(fù)WPI服務(wù)����。
下面將結(jié)合附圖和實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述。
圖2是本發(fā)明實(shí)施例無(wú)線局域網(wǎng)終端上的新增的安全模塊和控制模塊 與其它模塊/實(shí)體之間的層次與接口關(guān)系示意圖。圖2中與本發(fā)明直接相關(guān) 的模塊/實(shí)體包括應(yīng)用層��,TCP/IP層���,安全模塊���、控制模塊、WAI模塊�、 WPI模塊;下面將結(jié)合圖2對(duì)上述模塊和實(shí)體進(jìn)行簡(jiǎn)要描述�。
應(yīng)用層用于為用戶提供應(yīng)用服務(wù),包括基于無(wú)線局域網(wǎng)的應(yīng)用服務(wù)�;
TCP/IP層是實(shí)現(xiàn)TCP/IP協(xié)議的實(shí)體,并可為應(yīng)用層創(chuàng)建IPSec(Internet Protocol Security ��,互聯(lián)網(wǎng)協(xié)議安全)服務(wù)����,并向應(yīng)用層提供使用IPSec服務(wù) 的接口;此夕卜���,在本發(fā)明中IPSec服務(wù)的創(chuàng)建和取消由控制模塊來(lái)控制完成�, 因此TCP/IP層還為控制模塊提供創(chuàng)建和取消IPSec服務(wù)的接口 ����;
安全模塊為應(yīng)用層提供了 WAI鑒別服務(wù)與WPI數(shù)據(jù)保護(hù)服務(wù)接口 (統(tǒng) 稱為WAPI服務(wù)接口 )����,供應(yīng)用層調(diào)用���,以進(jìn)行數(shù)據(jù)加解密���、簽名、簽名驗(yàn) 證的操作��;WAPI服務(wù)接口具體包括
WAI的散列計(jì)算功能與非對(duì)稱密鑰加密解密功能接口 ���;
WPI的對(duì)稱密鑰加密解密功能和隨機(jī)數(shù)生成功能接口 ����;
聯(lián)系人和終端用戶的數(shù)字證書存儲(chǔ)�、獲取和解析功能接口 �����。
控制模塊為應(yīng)用層提供IPSec創(chuàng)建和取消接口 �����,供應(yīng)用層調(diào)用,以創(chuàng)建 和取消IPSec服務(wù)�;此外,控制模塊還用于決定是否取消和恢復(fù)WPI服務(wù)����;此外,控制4莫塊還向應(yīng)用層提供安全特性信息注冊(cè)接口�,以供應(yīng)用層進(jìn)
行安全特性信息的注冊(cè);
安全特征信息包括該應(yīng)用模塊/應(yīng)用是否依賴WAPI提供的數(shù)據(jù)安全 服務(wù)(即WPI服務(wù))��;是否已啟用IP層或IP層以上的安全服務(wù)并且該安全 服務(wù)可以取代WAPI提供的數(shù)據(jù)安全服務(wù)�。
上述IP層或IP層以上的安全服務(wù)包括IPSec服務(wù)(運(yùn)行于IP層的安 全服務(wù))、傳輸層安全服務(wù)���、應(yīng)用層安全服務(wù)等�����。
上述模塊/實(shí)體的具體功能以及連接關(guān)系(消息/命令交互關(guān)系)將在下 文中詳細(xì)描述����。
圖3是根據(jù)本發(fā)明的安全服務(wù)控制方法����,在無(wú)線局域網(wǎng)終端上停止WPI 服務(wù)的方法流程圖����,如圖3所示�,該方法包括
301:無(wú)線局域網(wǎng)終端的應(yīng)用層模塊請(qǐng)求創(chuàng)建IPSec服務(wù),向無(wú)線局域 網(wǎng)終端的控制模塊發(fā)送IPSec創(chuàng)建請(qǐng)求���;
302:接收到IPSec創(chuàng)建請(qǐng)求后���,控制模塊緩存該請(qǐng)求;
303:控制模塊根據(jù)當(dāng)前所有應(yīng)用層模塊所注冊(cè)的安全特性信息判斷此 時(shí)是否可以停止WPI服務(wù)����,如果不可以停止WPI服務(wù),則執(zhí)行步驟304, 否則執(zhí)行步驟305;具體的判斷流程如圖4所示��,判斷策略包括
>如果發(fā)起IPSec創(chuàng)建請(qǐng)求的應(yīng)用層模塊為當(dāng)前唯一使用無(wú)線局域網(wǎng) 進(jìn)行通信的應(yīng)用層模塊�����,則控制模塊判定可以停止WPI服務(wù)���;
>如果當(dāng)前有多個(gè)應(yīng)用層模塊使用無(wú)線局域網(wǎng)進(jìn)行通信���,除當(dāng)前發(fā)起 IPSec創(chuàng)建請(qǐng)求的應(yīng)用層模塊外,其它應(yīng)用層模塊均已啟用IP層或IP層以 上的安全服務(wù)(加密���、加擾等)�,無(wú)需WAPI提供數(shù)據(jù)鏈路層的安全服務(wù)���, 則控制模塊判定可以停止WPI服務(wù)��;
>如果當(dāng)前有多個(gè)應(yīng)用層模塊使用無(wú)線局域網(wǎng)進(jìn)行通信���,除當(dāng)前發(fā)起 IPSec創(chuàng)建請(qǐng)求的應(yīng)用層模塊之外,存在至少一個(gè)應(yīng)用層模塊依賴于WAPI 提供的數(shù)據(jù)鏈路層安全服務(wù)�,而沒有啟用其它安全服務(wù),則控制模塊判定不 可以停止WPI服務(wù)�。304:如果控制模塊判定不可以停止WPI服務(wù),則立即執(zhí)行IPSec服務(wù) 的創(chuàng)建操作���,并在IPSec服務(wù)創(chuàng)建成功后向應(yīng)用層模塊返回包含成功信息的 響應(yīng)�,應(yīng)用層模塊可以啟用IPSec服務(wù)進(jìn)行數(shù)據(jù)傳輸保護(hù)����,本流程結(jié)束�����;305:如果控制模塊判定可以停止WPI服務(wù)�����,則向安全模塊發(fā)起WPI 服務(wù)停止請(qǐng)求��,指示當(dāng)前無(wú)線鏈路上不需要WPI服務(wù)�;306:接收到WPI服務(wù)停止請(qǐng)求后����,安全模塊停止本終端與接入點(diǎn)之間 的WPI服務(wù);具體地說(shuō)�,安全模塊可以通過控制WAI模塊(例如,向WAI模塊發(fā)送 WPI服務(wù)停止指令)進(jìn)行如下操作來(lái)停止WPI服務(wù)306a:無(wú)線局域網(wǎng)終端的WAI模塊與接入點(diǎn)解除關(guān)聯(lián)���;306b:解除關(guān)聯(lián)操作成功后���,WAI模塊與接入點(diǎn)進(jìn)行關(guān)聯(lián)操作;306c:關(guān)聯(lián)操作成功后����,WAI才莫塊與接入點(diǎn)進(jìn)行基于證書或預(yù)共享密鑰 的用戶鑒別過程;306d:完成用戶鑒別過程后�����,接入點(diǎn)發(fā)起單播密鑰協(xié)商過程��,向WAI 模塊發(fā)送單播密鑰協(xié)商請(qǐng)求�����;接收到該請(qǐng)求后����,WAI模塊向接入點(diǎn)返回單 播密鑰協(xié)商失敗響應(yīng);306e: WAI模塊指示W(wǎng)PI模塊停止對(duì)MPDU進(jìn)行加解密處理�;例如WAI模塊可以向WPI模塊傳遞一個(gè)空密鑰值(例如,0) , WPI 才莫塊接收到空密鑰值后���,不再對(duì)其發(fā)送的MPDU進(jìn)行加密處理��,也可以不 再對(duì)其接收到的MPDU進(jìn)4亍解密處理(對(duì)已接收到的已加密的MPDU可以 直接丟棄����,并向發(fā)送端(即接入點(diǎn))報(bào)告數(shù)據(jù)錯(cuò)誤),WPI服務(wù)停止�����。當(dāng)然��, WAI模塊也可以向WPI才莫塊發(fā)送一個(gè)停止進(jìn)行加解密處理的指示來(lái)停止 WPI服務(wù)����。需要注意的是,對(duì)于已經(jīng)完成用戶鑒別過程的終端����,在與該終端的單播 密鑰協(xié)商過程失敗后,接入點(diǎn)允許該終端接入�,并允許其數(shù)據(jù)通過接入點(diǎn)的 受控端口傳輸,且接入點(diǎn)不對(duì)該受控端口進(jìn)行基于對(duì)稱密碼算法的加密或解 密操作�。306f: WAI模塊通知安全^^塊WPI服務(wù)已停止。307:安全模塊在停止WPI服務(wù)之后�,發(fā)送包含成功信息的響應(yīng)給控制 模塊,通知控制模塊WPI服務(wù)已停止���;308:控制模塊確認(rèn)WPI服務(wù)停止成功后���,調(diào)用相關(guān)的IPSec接口創(chuàng)建 IPSec服務(wù)�����;IPSec服務(wù)創(chuàng)建成功后���,安全模塊通知應(yīng)用層模塊IPSec服務(wù)已 經(jīng)成功創(chuàng)建�����,應(yīng)用層模塊可以啟用IPSec服務(wù)進(jìn)行數(shù)據(jù)傳輸保護(hù)����,本流程結(jié) 束。圖5是根據(jù)本發(fā)明的安全服務(wù)控制方法�,在無(wú)線局域網(wǎng)終端上恢復(fù)WPI 服務(wù)的方法流程圖,如圖5所示��,該方法包括501:無(wú)線局域網(wǎng)終端的應(yīng)用層模塊主動(dòng)取消IPSec服務(wù)或接收到網(wǎng)絡(luò) 對(duì)端發(fā)送的IPSec服務(wù)的取消通知時(shí)�����,應(yīng)用層模塊向控制模塊發(fā)送IPSec取 消請(qǐng)求����;502:接收到IPSec取消請(qǐng)求后,控制模塊根據(jù)當(dāng)前各應(yīng)用層模塊所注 冊(cè)的安全特性信息判斷是否需要恢復(fù)WPI服務(wù),如果不需要恢復(fù)WPI服務(wù)����, 則跳轉(zhuǎn)至步驟506;否則執(zhí)行步驟503;進(jìn)行上述判斷的具體流程如圖6所示,判斷策略包括>如果當(dāng)前已啟用WPI服務(wù)��,則不需要執(zhí)行恢復(fù)操作���;>如果當(dāng)前發(fā)起IPSec取消請(qǐng)求的應(yīng)用層模塊為當(dāng)前唯一使用無(wú)線局 域網(wǎng)進(jìn)行通信的應(yīng)用層模塊��,則控制模塊判定可以恢復(fù)WPI服務(wù)(這是由 于在這種情況下恢復(fù)WPI服務(wù)不會(huì)對(duì)應(yīng)用層模塊的通信造成影響)�;>如果當(dāng)前有多個(gè)應(yīng)用層模塊使用無(wú)線局域網(wǎng)進(jìn)行通信��,并且除了當(dāng) 前發(fā)起IPSec取消請(qǐng)求的應(yīng)用層模塊以外��,其它應(yīng)用層模塊均已啟用IP層 或IP層以上的安全服務(wù)進(jìn)行數(shù)據(jù)安全保護(hù)���,則控制模塊判定無(wú)需恢復(fù)WPI 服務(wù)����,否則需要恢復(fù)WPI服務(wù)���。503:如果控制模塊判定需要恢復(fù)WPI服務(wù)�,則向安全模塊發(fā)起WPI 服務(wù)恢復(fù)請(qǐng)求,指示當(dāng)前鏈路需要WPI服務(wù)��;504:接收到WPI服務(wù)恢復(fù)請(qǐng)求后���,安全模塊恢復(fù)WPI服務(wù)����;具體地說(shuō)���,安全模塊可以通過控制WAI模塊(例如,向WAI模塊發(fā)送 WPI服務(wù)恢復(fù)指令)進(jìn)行如下操作以恢復(fù)WPI服務(wù)504a: WAI模塊與接入點(diǎn)解除關(guān)聯(lián)���;504b:解除關(guān)聯(lián)操作成功后���,WAI模塊與接入點(diǎn)進(jìn)行關(guān)聯(lián)操作;504c:關(guān)聯(lián)操作成功后��,WAI模塊與接入點(diǎn)進(jìn)行基于證書或預(yù)共享密鑰 的用戶鑒別過程����;504d:完成用戶鑒別過程后,接入點(diǎn)發(fā)起單播密鑰協(xié)商過程�,WAI模 塊按照標(biāo)準(zhǔn)流程與接入點(diǎn)完成單播會(huì)話密鑰的協(xié)商(其中�����,在接收到接入點(diǎn) 發(fā)送的單播密鑰協(xié)商請(qǐng)求后�,需要向接入點(diǎn)返回單播密鑰協(xié)商成功響應(yīng))���; 如果需要�����,完成單播密鑰協(xié)商過程后���,WAI模塊還與接入點(diǎn)按照標(biāo)準(zhǔn)流程 完成組播密鑰協(xié)商過程;504e:成功完成單播密鑰協(xié)商過程和組播密鑰協(xié)商過程后�����,WAI;溪塊向 WPI模塊傳遞協(xié)商得到的單播會(huì)話密鑰和組播會(huì)話密鑰���;WPI模塊使用單播 會(huì)話密鑰對(duì)準(zhǔn)備發(fā)送和已接收到的MPDU進(jìn)行加解密處理�����,使用組播會(huì)話 密鑰對(duì)已接收到的MPDU進(jìn)行解密處理��;需要注意的是����,接入點(diǎn)此時(shí)允許該終端對(duì)應(yīng)的數(shù)據(jù)通過受控端口 ,并對(duì) 發(fā)送給該終端或從該終端接收到的MPDU進(jìn)行基于對(duì)稱密碼算法的加解密 操作����。504f: WAI模塊通知安全模塊WPI服務(wù)已恢復(fù)。505: WPI服務(wù)恢復(fù)成功后����,安全模塊向控制模塊發(fā)送包含成功信息的 響應(yīng);506:控制模塊調(diào)用相關(guān)的IPSec接口取消IPSec服務(wù)����;IPSec服務(wù)取消 成功后���,安全模塊通知應(yīng)用層模塊IPSec服務(wù)已經(jīng)成功取消�。需要注意的是�����,控制模塊也可以在接收到應(yīng)用層模塊發(fā)送的IPSec取消 請(qǐng)求后��,先執(zhí)行取消IPSec服務(wù)的"t喿作,然后在執(zhí)行判斷是否需要恢復(fù)WPI 服務(wù)等后續(xù)步驟�����。根據(jù)本發(fā)明的基本原理��,上述實(shí)施例還可以有多種變換方式���,例如( 一 )在無(wú)線局域網(wǎng)終端上�����,可以將安全模塊和控制模塊合并成一個(gè)模 塊���,稱為安全控制模塊。(二 )在上述實(shí)施例中���,由控制模塊向應(yīng)用層模塊提供創(chuàng)建/取消IPSec 服務(wù)請(qǐng)求的接口 ����,以便在接收到上述請(qǐng)求后獲知應(yīng)用層模塊準(zhǔn)備創(chuàng)建/取消 IP層的安全服務(wù)����,并執(zhí)行停止/恢復(fù)WPI服務(wù)的操作�;在本發(fā)明的其它實(shí)施 例中�,控制模塊也可以通過攔截并檢測(cè)TCP/IP模塊的協(xié)議報(bào)文來(lái)獲知各應(yīng) 用層模塊何時(shí)創(chuàng)建/取消IP層的安全服務(wù),并進(jìn)行后續(xù)的處理����;對(duì)TCP/IP 模塊的具體攔截和檢測(cè)方法不屬于本發(fā)明的范疇,可以參考相關(guān)文檔���。此外���,也可以直接對(duì)TCP/IP模塊進(jìn)行修改,使TCP/IP模塊接收到應(yīng)用 層模塊或網(wǎng)絡(luò)對(duì)端發(fā)送的與創(chuàng)建IPSec服務(wù)����、取消IPSec服務(wù)相關(guān)的協(xié)議報(bào) 文時(shí),通知控制模塊�,等待控制模塊的進(jìn)一步指示后再進(jìn)行后續(xù)處理���。(三) 除了在創(chuàng)建并啟用應(yīng)用層的安全服務(wù)和IP層的安全服務(wù)后可以 停止WPI服務(wù)外����,創(chuàng)建并啟用任何IP層以上的安全服務(wù)���,例如SSL ( Secure Socket Layer,安全套接字層協(xié)議)服務(wù)�����、TLS ( Transport Layer Security,傳 輸層安全)服務(wù)�、SSH( Secure Shell,安全外殼)服務(wù),SOCKS( socket security, 套接字安全)等服務(wù)對(duì)業(yè)務(wù)(應(yīng)用)數(shù)據(jù)進(jìn)行保護(hù)后�,都可以采用本發(fā)明的 方法停止WPI服務(wù)。同樣�,控制模塊也可以通過攔截并檢測(cè)相應(yīng)的功能實(shí)體(例如,SSL功 能實(shí)體����、TLS功能實(shí)體等)的協(xié)議報(bào)文來(lái)獲知各功能實(shí)體何時(shí)創(chuàng)建/取消對(duì) 應(yīng)的安全服務(wù),并進(jìn)行后續(xù)的處理��;也可以直接對(duì)各功能實(shí)體的代碼進(jìn)行修 改�,使各功能實(shí)體在建立/取消安全服務(wù)時(shí),通知控制模塊���,等待控制模塊 的進(jìn)一步指示后再進(jìn)行后續(xù)處理���。(四) 除了本發(fā)明上述實(shí)施例所描述的停止WPI服務(wù)的方法外,也可 以采用其它方式停止WPI服務(wù),例如安全模塊直接向WPI模塊發(fā)出停止 服務(wù)的指示,WPI模塊在接收到該指示后,停止對(duì)其發(fā)送的MPDU進(jìn)行加 密(但仍然需要對(duì)接收到的MPDU進(jìn)行解密�����,或丟棄已加密的MPDU ), 同時(shí)在MPDU的WPI頭中添加明文傳輸"標(biāo)識(shí),以標(biāo)識(shí)出該MPDU未進(jìn)4亍加 密�����;在這種情況下���,接入點(diǎn)需要支持相應(yīng)的功能����,即通過檢測(cè)WPI頭來(lái)判密則不對(duì)其進(jìn)行解密處理����。此后,文傳輸標(biāo)識(shí)����,以指示終端的wpi模塊該mpdu沒有進(jìn)行加密���。圖7是本發(fā)明實(shí)施例無(wú)線局域網(wǎng)終端的結(jié)構(gòu)示意圖����,圖7中將圖2所示 的安全模塊和控制模塊合并為安全控制模塊,并省略了與本發(fā)明沒有直接關(guān) 系的各功能實(shí)體����;如圖7所示,該終端中設(shè)置有應(yīng)用層模塊��、安全控制模 塊�、wai模塊、wpi模塊和安全服務(wù)模塊��;其中安全控制模塊用于接收應(yīng)用層模塊發(fā)送的創(chuàng)建ip層和/或ip層以上的安 全服務(wù)的請(qǐng)求�����,并在接收到該請(qǐng)求后�,向wai模塊發(fā)送停止wpi服務(wù)的指 示;wai模塊用于在接收到停止wpi服務(wù)的指示后��,與無(wú)線局域網(wǎng)的接入 點(diǎn)交互�,依序完成解除關(guān)聯(lián)、關(guān)聯(lián)和用戶鑒別過程����,并在接收到接入點(diǎn)發(fā)送 的單播密鑰協(xié)商請(qǐng)求后���,向接入點(diǎn)返回單播密鑰協(xié)商失敗響應(yīng),并指示wpi 才莫塊停止對(duì)數(shù)據(jù)《連路層才艮文進(jìn)行加解密處理�,以停止與4妄入點(diǎn)之間的wpi 服務(wù)。此外��,安全控制模塊還在wpi服務(wù)停止后��,接收應(yīng)用層模塊發(fā)送的取 消ip層和/或ip層以上的安全服務(wù)的請(qǐng)求���,并在接收到該請(qǐng)求后����,向wai 模塊發(fā)送恢復(fù)wpi服務(wù)的指示��;wai模塊在接收到所述恢復(fù)wpi服務(wù)的指示后����,與接入點(diǎn)交互,依序 完成解除關(guān)聯(lián)��、關(guān)聯(lián)和用戶鑒別過程��,并與接入點(diǎn)進(jìn)行密鑰協(xié)商過程,密鑰 協(xié)商完成后���,將協(xié)商得到的會(huì)話密鑰發(fā)送給wpi模塊,以恢復(fù)wpi服務(wù)�����。此外���,如上所述��,安全控制模塊還向應(yīng)用層;f莫塊提供安全特性信息注冊(cè) 接口��,以供應(yīng)用層進(jìn)行安全特性信息的注冊(cè)�����;安全特征信息包括該應(yīng)用模 塊/應(yīng)用是否依賴wapi提供的數(shù)據(jù)安全服務(wù)(即wpi服務(wù))��;是否存在ip接收到所述創(chuàng)建ip層和/或ip層以上的安全服務(wù)的請(qǐng)求后���,安全控制模 塊還根據(jù)注冊(cè)的安全特征信息判斷除發(fā)送所述創(chuàng)建ip層和/或ip層以上的安全服務(wù)的請(qǐng)求的應(yīng)用層模塊以外,該終端中是否存在使用無(wú)線局域網(wǎng)通信且 未啟用IP層和/或IP層以上的安全服務(wù)的應(yīng)用層模塊�����,僅當(dāng)判斷結(jié)果為不存 在時(shí),才發(fā)送所述停止WPI服務(wù)的指示�����。圖7中的安全服務(wù)模塊可以是IPSec服務(wù)模塊���,該模塊與應(yīng)用層模塊相 連��,在安全服務(wù)被成功創(chuàng)建后為應(yīng)用層模塊提供安全服務(wù)(加密���、解密、加 擾�、解擾等),與安全控制模塊相連����,接收安全控制模塊發(fā)送的創(chuàng)建/取消 安全服務(wù)的連接指示,并根據(jù)該指示為應(yīng)用層模塊創(chuàng)建或取消安全服務(wù)��。當(dāng)然��,安全服務(wù)模塊也可以存在于其它功能實(shí)體(例如��,圖2中的TCP/IP 層)中,而不以獨(dú)立功能模塊的形式設(shè)置在終端中�。以上為本發(fā)明的無(wú)線局域網(wǎng)終端中與安全服務(wù)的控制相關(guān)的功能模塊 的描述,具體的實(shí)現(xiàn)方法可參考對(duì)圖3和圖5的描述部分�。下面將介紹本發(fā) 明的安全控制模塊向應(yīng)用層提供的WAPI服務(wù)接口 ,以及具體的實(shí)現(xiàn)方法��。圖8是在本發(fā)明的無(wú)線局域網(wǎng)終端中�,應(yīng)用層;^莫塊通過調(diào)用安全控制沖莫 塊的接口實(shí)現(xiàn)數(shù)字簽名的方法流程圖����,如圖8所示,該方法包括801:應(yīng)用層調(diào)用安全控制模塊的WAPI服務(wù)接口�����,請(qǐng)求安全控制模塊 進(jìn)行簽名生成操作����,并將需要生成簽名值的明文數(shù)據(jù)(例如,用戶標(biāo)識(shí)符等 信息)發(fā)送給安全控制模塊���;802:安全控制模塊將上述明文數(shù)據(jù)輸出至WAI模塊����,指示W(wǎng)AI模塊 進(jìn)行簽名運(yùn)算;803: WAI模塊生成所述明文數(shù)據(jù)的散列值(哈希值)�,并使用用戶的 私鑰,采用非對(duì)稱加密算法對(duì)上述散列值進(jìn)行加密����,生成簽名值;804: WAI模塊將生成的簽名值返回給安全控制模塊���;805:安全控制模塊將簽名值返回給應(yīng)用層模塊��。圖9是在本發(fā)明的無(wú)線局域網(wǎng)終端中�����,應(yīng)用層模塊通過調(diào)用安全控制模 塊的接口實(shí)現(xiàn)數(shù)字簽名驗(yàn)證的方法流程圖���,如圖9所示,該方法包括901:應(yīng)用層調(diào)用安全控制模塊的WAPI服務(wù)接口�����,請(qǐng)求安全控制模塊 進(jìn)行簽名驗(yàn)證操作��,并將需要驗(yàn)證的簽名值、明文數(shù)據(jù)和用戶證書ID(標(biāo)識(shí)符)發(fā)送給安全控制模塊���;902:安全控制模塊根據(jù)用戶證書ID從本地獲取或通過證書管理體系的 網(wǎng)絡(luò)接口從證書服務(wù)器獲取對(duì)應(yīng)的用戶證書���,并從該證書中4是取對(duì)應(yīng)的/> 鑰;903:安全控制模塊將公鑰和上述需要驗(yàn)證的簽名值發(fā)送給WAI模塊�����, 請(qǐng)求WAI模塊對(duì)簽名值進(jìn)行解密����;904: WAI模塊使用所述公鑰對(duì)簽名值進(jìn)行解密�����,得到簽名值對(duì)應(yīng)的明 文���,并將其返回給安全控制模塊���;905:安全控制模塊將WAI模塊返回的簽名值對(duì)應(yīng)的明文與應(yīng)用層模塊 發(fā)送的明文數(shù)據(jù)進(jìn)行對(duì)比,如果兩者相同�,則表示簽名正確,否則表示簽名 錯(cuò)誤�;906:安全控制模塊將簽名驗(yàn)證結(jié)果返回給應(yīng)用層模塊�。
權(quán)利要求
1��、一種安全服務(wù)的控制方法���,其特征在于�,該方法包括無(wú)線局域網(wǎng)終端在創(chuàng)建互聯(lián)網(wǎng)協(xié)議IP層和/或IP層以上的安全服務(wù)時(shí)�����,停止該終端與接入點(diǎn)之間的無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI服務(wù)��;所述WPI服務(wù)包括對(duì)待發(fā)送的數(shù)據(jù)鏈路層報(bào)文進(jìn)行加密����、以及對(duì)接收到的數(shù)據(jù)鏈路層報(bào)文進(jìn)行解密。
2���、 如權(quán)利要求l所述的方法�����,其特征在于����,所述WPI服務(wù)停止后,無(wú)線局域網(wǎng)終端在取消IP層和/或IP層以上的 安全服務(wù)時(shí)�����,通過與無(wú)線局域網(wǎng)的接入點(diǎn)依序完成解除關(guān)聯(lián)����、關(guān)聯(lián)、用戶鑒 別和密鑰協(xié)商過程���,并啟用密鑰協(xié)商過程協(xié)商得到的會(huì)話密鑰來(lái)恢復(fù)所述 WPI服務(wù)����。
3����、 如;f又利要求1所述的方法��,其特征在于����, 采用如下方式停止所述WPI服務(wù)無(wú)線局域網(wǎng)終端與無(wú)線局域網(wǎng)的接入點(diǎn)解除關(guān)聯(lián),解除關(guān)聯(lián)成功后與接 入點(diǎn)進(jìn)行關(guān)聯(lián)操作;關(guān)聯(lián)操作成功后��,無(wú)線局域網(wǎng)終端與接入點(diǎn)進(jìn)行用戶鑒別過程��;用戶鑒別過程完成并接收到接入點(diǎn)發(fā)送的單播密鑰協(xié)商請(qǐng)求后�,無(wú)線局 域網(wǎng)終端向接入點(diǎn)返回單播密鑰協(xié)商失敗響應(yīng);無(wú)線局域網(wǎng)終端和接入點(diǎn)停止對(duì)兩者之間傳輸?shù)臄?shù)據(jù)鏈路層報(bào)文進(jìn)4亍 加解密處理��。
4����、 如權(quán)利要求l所述的方法,其特征在于��,僅當(dāng)創(chuàng)建所述IP層和/或IP層以上的安全服務(wù)的應(yīng)用為無(wú)線局域網(wǎng)終端 中唯一使用無(wú)線局域網(wǎng)通信的應(yīng)用�、或除創(chuàng)建所述IP層和/或IP層以上的安 全服務(wù)的應(yīng)用以外,無(wú)線局域網(wǎng)終端中所有使用無(wú)線局域網(wǎng)通信的應(yīng)用都已 啟用IP層和/或IP層以上的安全服務(wù)時(shí)��,無(wú)線局域網(wǎng)終端才停止所述WPI 服務(wù)�。
5、 如權(quán)利要求l所述的方法�����,其特征在于�,無(wú)線局域網(wǎng)終端的安全控制模塊接收到無(wú)線局域網(wǎng)終端的應(yīng)用層模塊 發(fā)送的創(chuàng)建所述IP層和/或IP層以上的安全服務(wù)的請(qǐng)求時(shí)�����,執(zhí)行所述停止WPI服務(wù)的操作�;所述WPI服務(wù)停止后����,所述安全控制模塊#4居所述創(chuàng)建IP層和/或IP層以上的安全服務(wù)的請(qǐng)求,為所述應(yīng)用層模塊創(chuàng)建并啟用IP層和/或IP層以 上的安全服務(wù)�。
6、 一種無(wú)線局域網(wǎng)終端�����,該終端中設(shè)置有應(yīng)用層模塊�、無(wú)線局域網(wǎng) 鑒別基礎(chǔ)結(jié)構(gòu)WAI模塊和WPI模塊;其特征在于�����,該終端中還設(shè)置有安 全控制才莫塊�;其中所述安全控制模塊用于接收所述應(yīng)用層模塊發(fā)送的創(chuàng)建IP層和/或IP層 以上的安全服務(wù)的請(qǐng)求����,并在接收到該請(qǐng)求后��,向所述WAI模塊發(fā)送停止 WPI服務(wù)的指示��;所述WAI模塊用于在接收到所述停止WPI服務(wù)的指示后�����,與無(wú)線局域 網(wǎng)的接入點(diǎn)依序完成解除關(guān)聯(lián)�、關(guān)聯(lián)和用戶鑒別過程�����,并在接收到所述接入 點(diǎn)發(fā)送的單播密鑰協(xié)商請(qǐng)求后�����,向所述接入點(diǎn)返回單播密鑰協(xié)商失敗響應(yīng)�����, 并指示所述WPI模塊停止對(duì)數(shù)據(jù)鏈路層報(bào)文進(jìn)行加解密處理�,以停止與接 入點(diǎn)之間的WPI服務(wù);所述WPI服務(wù)包括對(duì)待發(fā)送的數(shù)據(jù)鏈路層報(bào)文進(jìn)行加密��、以及對(duì)接 收到的數(shù)據(jù)鏈路層報(bào)文進(jìn)行解密�����。
7、 如權(quán)利要求6所述的終端�,其特征在于,所述安全控制模塊還用于在所述WPI服務(wù)停止后��,接收所述應(yīng)用層模 塊發(fā)送的取消所述IP層和/或IP層以上的安全服務(wù)的請(qǐng)求����,并在接收到所述 請(qǐng)求后,向所述WAI模塊發(fā)送恢復(fù)WPI服務(wù)的指示��;所述WAI模塊用于在接收到所述恢復(fù)WPI服務(wù)的指示后��,與無(wú)線局域 網(wǎng)的接入點(diǎn)依序完成解除關(guān)聯(lián)�����、關(guān)聯(lián)和用戶鑒別過程��,并與所述接入點(diǎn)進(jìn)行 密鑰協(xié)商過程���,密鑰協(xié)商完成后���,將協(xié)商得到的會(huì)話密鑰發(fā)送給所述WPI模塊。
8����、 如權(quán)利要求6所述的終端,其特征在于��,接收到所述創(chuàng)建IP層和/或IP層以上的安全服務(wù)的請(qǐng)求后���,所述安全控 制模塊還判斷除發(fā)送所述創(chuàng)建IP層和/或IP層以上的安全服務(wù)的請(qǐng)求的應(yīng)用 層模塊以外��,該終端中是否存在使用無(wú)線局域網(wǎng)通信且未啟用IP層和/或IP 層以上的安全服務(wù)的應(yīng)用層模塊�����,僅當(dāng)判斷結(jié)果為不存在時(shí)�����,才發(fā)送所述停 止WPI服務(wù)的指示��。
9�、 如權(quán)利要求6所述的終端�����,其特征在于,接收到所述創(chuàng)建IP層和/或IP層以上的安全服務(wù)的請(qǐng)求后�,所述安全控 制模塊還緩存該請(qǐng)求,并發(fā)送所述停止WPI服務(wù)的指示��;所述WAI模塊還用于在所述WPI服務(wù)停止后����,通知所述安全控制模塊 所述WPI服務(wù)已停止;所述安全控制模塊接收到所述通知后�,根據(jù)所述緩存的請(qǐng)求為所述應(yīng)用 層模塊創(chuàng)建并啟用所述IP層和/或IP層以上的安全服務(wù)。
10�、 如權(quán)利要求6所述的終端,其特征在于�,所述WAI模塊通過向所述WPI模塊發(fā)送空密鑰來(lái)指示所述WPI模塊停 止對(duì)數(shù)據(jù)鏈路層報(bào)文進(jìn)行加解密處理。
全文摘要
一種安全服務(wù)的控制方法及無(wú)線局域網(wǎng)終端�,該方法包括無(wú)線局域網(wǎng)終端在創(chuàng)建互聯(lián)網(wǎng)協(xié)議IP層和/或IP層以上的安全服務(wù)時(shí),停止該終端與接入點(diǎn)之間的無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI服務(wù)�����;所述WPI服務(wù)包括對(duì)待發(fā)送的數(shù)據(jù)鏈路層報(bào)文進(jìn)行加密��、以及對(duì)接收到的數(shù)據(jù)鏈路層報(bào)文進(jìn)行解密�����。所述WPI服務(wù)停止后,無(wú)線局域網(wǎng)終端在取消IP層和/或IP層以上的安全服務(wù)時(shí)����,通過與無(wú)線局域網(wǎng)的接入點(diǎn)依序完成解除關(guān)聯(lián)����、關(guān)聯(lián)、用戶鑒別和密鑰協(xié)商過程����,并啟用密鑰協(xié)商過程協(xié)商得到的會(huì)話密鑰來(lái)恢復(fù)所述WPI服務(wù)。
文檔編號(hào)H04W88/02GK101600203SQ20091015075
公開日2009年12月9日 申請(qǐng)日期2009年6月30日 優(yōu)先權(quán)日2009年6月30日
發(fā)明者康望星, 施元慶, 梁潔輝 申請(qǐng)人:中興通訊股份有限公司