專利名稱:一種擴(kuò)展無(wú)線局域網(wǎng)鑒別協(xié)議的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種中心認(rèn)證的對(duì)等無(wú)線局域網(wǎng)的實(shí)現(xiàn)方法,特別是指一種在IEEE802.11和IEEE802.11i(電氣和電子工程師協(xié)會(huì)、即Institute of Electrical and ElectronicsEngineers,簡(jiǎn)稱IEEE、發(fā)布的IEEE802.11和IEEE802.11i無(wú)線局域網(wǎng)協(xié)議)協(xié)議支持功能的基礎(chǔ)上,客戶站點(diǎn)之間通過(guò)接入點(diǎn)及認(rèn)證服務(wù)器的幫助而完成認(rèn)證和連接的方法,屬于無(wú)線通信技術(shù)和互聯(lián)網(wǎng)技術(shù)領(lǐng)域。
背景技術(shù):
1、無(wú)線局域網(wǎng)這里的無(wú)線局域網(wǎng)(WLAN或Wireless Local Area Network)指的是基于IEEE802.11協(xié)議系列的無(wú)線網(wǎng)絡(luò)。無(wú)線局域網(wǎng)通過(guò)無(wú)線信號(hào)傳輸數(shù)據(jù),擺脫了對(duì)有線的限制。無(wú)線局域網(wǎng)(infrastructure,即基礎(chǔ)設(shè)施模式)用接入點(diǎn)AP(Access Point)充當(dāng)中心站來(lái)覆蓋某一區(qū)域,以無(wú)線方式連接、控制區(qū)域內(nèi)的移動(dòng)終端MT(Mobile Terminal),包括筆記本電腦、桌面電腦、掌上設(shè)備,以構(gòu)成局域網(wǎng),并充當(dāng)局域網(wǎng)與外界聯(lián)系的門戶(Portal)。這就是說(shuō),移動(dòng)終端只與接入點(diǎn)連接;移動(dòng)終端與外部網(wǎng)絡(luò)的通信,以及移動(dòng)終端之間的通信,均通過(guò)接入點(diǎn)完成。
2、無(wú)線局域網(wǎng)WEP安全標(biāo)準(zhǔn)現(xiàn)有IEEE802.11無(wú)線局域網(wǎng)采用WEP(Wired Equivalent Privacy)鑒別加密機(jī)制來(lái)保證無(wú)線局域網(wǎng)安全。WEP要求所有連接到同一接入點(diǎn)的移動(dòng)終端都共享同一密鑰;接入點(diǎn)用此密鑰對(duì)每個(gè)移動(dòng)終端進(jìn)行鑒別,并使用此密鑰和RC4加密算法對(duì)接入點(diǎn)與移動(dòng)終端的數(shù)據(jù)通信進(jìn)行加密。在加密過(guò)程中,RC4真正采用的密鑰由一個(gè)固定部分和一個(gè)可變部分組成固定部分即為上述共享密鑰;可變部分稱為初始化矢量,在通信過(guò)程中按一定規(guī)律變化。
WEP機(jī)制有諸多安全問(wèn)題。例如,WEP要求所有連接到同一接入點(diǎn)的移動(dòng)終端都共享同一密鑰,這給機(jī)動(dòng)終端的密鑰管理帶來(lái)較大的麻煩,主要表現(xiàn)在,任何一個(gè)移動(dòng)終端對(duì)密鑰的泄漏都會(huì)影響到所有移動(dòng)終端。再例如,現(xiàn)在人們已經(jīng)發(fā)現(xiàn),WEP機(jī)制中的RC4加密算法本身有問(wèn)題,主要表現(xiàn)在,當(dāng)加密數(shù)據(jù)發(fā)送到一定的數(shù)量以后,竊聽(tīng)者便可逐步根據(jù)經(jīng)同意密鑰加密的數(shù)據(jù)計(jì)算出密鑰值,從而可以解密經(jīng)過(guò)加密的數(shù)據(jù)。
3、無(wú)線局域網(wǎng)WAPI安全標(biāo)準(zhǔn)中華人民共和國(guó)標(biāo)準(zhǔn)GB15629.11-2003中的無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)WAPI(WLANAuthentication and Privacy Infrastructure)協(xié)議定義了一個(gè)新的無(wú)線局域網(wǎng)中的移動(dòng)終端與接入點(diǎn)的認(rèn)證和數(shù)據(jù)加密功能。WAPI采用了比RC4具有更好安全性質(zhì)的鑒別和加密算法;另外,WAPI對(duì)不同的移動(dòng)終端將產(chǎn)生不同的加密密鑰,克服了WEP機(jī)制中的密鑰管理問(wèn)題。
從技術(shù)層面上說(shuō),WAPI要求每個(gè)移動(dòng)終端和接入點(diǎn)都帶有數(shù)字證書,并引入了與所有接入點(diǎn)(一般情況下通過(guò)有線)相連的鑒別服務(wù)器(AS或Authentication Server)負(fù)責(zé)數(shù)字證書的管理和鑒別。
在移動(dòng)終端和接入點(diǎn)之間,WAPI協(xié)議使用有如下六個(gè)域組成的專有“WAPI(以太)幀”進(jìn)行通信(鑒別協(xié)議類型號(hào),版本號(hào),鑒別分組類型,保留,數(shù)據(jù)長(zhǎng)度,數(shù)據(jù))其中◆鑒別協(xié)議類型號(hào)是WAPI以太幀專有分組號(hào)0x88B4;◆鑒別分組類型的含義如下■“0”表示(1.1)提到的“鑒別激活”類型,其以太幀稱為“WAPI幀/鑒別激活”;■“1”表示(1.2)提到的“接入鑒別請(qǐng)求”類型,其以太幀稱為“WAPI幀/接入鑒別請(qǐng)求”;■“2”表示(1.3)提到的“接入鑒別響應(yīng)”類型,其以太幀稱為“WAPI幀/接入鑒別響應(yīng)”;■“3”表示(1.6)提到的“密鑰協(xié)商請(qǐng)求”類型,其以太幀稱為“WAPI幀/密鑰協(xié)商請(qǐng)求”;■“4”表示(1.7)提到的“密鑰協(xié)商響應(yīng)”類型,其以太幀稱為“WAPI幀/密鑰協(xié)商響應(yīng)”。
在接入點(diǎn)和鑒別服務(wù)器之間,WAPI協(xié)議在UDP端口上使用由如下五個(gè)域組成的“WAPI報(bào)文”進(jìn)行通信(版本號(hào),鑒別報(bào)文類型,保留,數(shù)據(jù)長(zhǎng)度,數(shù)據(jù))其中鑒別報(bào)文類型的含義如下
■“5”表示(1.4)提到的“證書鑒別請(qǐng)求”類型,其報(bào)文稱為“WAPI報(bào)文/證書鑒別請(qǐng)求”;■“6”表示(1.5)提到的“證書鑒別響應(yīng)”類型,其報(bào)文稱為“WAPI報(bào)文/證書鑒別響應(yīng)”。
圖1顯示了WAPI定義的當(dāng)某移動(dòng)終端MT1試圖接入至接入點(diǎn)AP1時(shí),MT1與AP1在一鑒別服務(wù)器AS1的幫助下進(jìn)行雙向身份認(rèn)證的5步驟。這些步驟的解釋如下(1.1)鑒別激活當(dāng)MT1按IEEE802.11協(xié)議關(guān)聯(lián)或重新關(guān)聯(lián)至AP1時(shí),由AP1向MT1發(fā)送“WAPI幀/鑒別激活”,以啟動(dòng)整個(gè)鑒別過(guò)程;(1.2)接入鑒別請(qǐng)求在收到AP1的鑒別激活后,MT1向AP1發(fā)出“WAPI幀/接入鑒別請(qǐng)求”,此幀包括MT1證書以及MT1的當(dāng)前系統(tǒng)時(shí)間作為接入鑒別請(qǐng)求時(shí)間;(1.3)證書鑒別請(qǐng)求在收到MT1的接入鑒別請(qǐng)求后,AP1首先記錄發(fā)送來(lái)的接入鑒別請(qǐng)求時(shí)間,然后向AS1發(fā)出“WAPI報(bào)文/證書鑒別請(qǐng)求”;此請(qǐng)求帶有MT1證書、接入鑒別請(qǐng)求時(shí)間、AP1證書以及用AP1的私鑰對(duì)它們的簽名等;(1.4)證書鑒別響應(yīng)在收到AP1的證書鑒別請(qǐng)求后,AS1驗(yàn)證AP1的簽名和AP1證書的有效性;若不正確,則鑒別過(guò)程失敗;否則進(jìn)一步驗(yàn)證MT1證書。驗(yàn)證完畢后,AS1將MT1證書鑒別結(jié)果信息、AP1證書鑒別結(jié)果信息和用AS1私鑰對(duì)它們的簽名等一起構(gòu)成“WAPI報(bào)文/證書鑒別響應(yīng)”發(fā)回給AP1;(1.5)接入鑒別響應(yīng)AP1對(duì)AS1返回的證書鑒別響應(yīng)進(jìn)行簽名驗(yàn)證,得到MT1證書的鑒別結(jié)果,根據(jù)此結(jié)果對(duì)MT1進(jìn)行接入控制。AP1將收到的證書鑒別響應(yīng)重包裝成“WAPI幀/接入鑒別響應(yīng)”送至MT1。MT1驗(yàn)證AS1簽名后,得到AP1證書的鑒別結(jié)果,根據(jù)該鑒別結(jié)果決定是否接入該AP1。
4、基于節(jié)點(diǎn)共享密鑰的“四路鑒別協(xié)議”圖2展示了一種對(duì)任意兩個(gè)帶有共享密鑰SK2(Shared Key)的節(jié)點(diǎn)A2和B2進(jìn)行相互鑒別和產(chǎn)生會(huì)話加密密鑰協(xié)議。這里,節(jié)點(diǎn)A2可以是接入點(diǎn)而節(jié)點(diǎn)B2是移動(dòng)終端,或A2可以是移動(dòng)終端而節(jié)點(diǎn)B2是接入點(diǎn)。節(jié)點(diǎn)共享的密鑰可以由手工輸入或其他方式產(chǎn)生,并且可以是接入點(diǎn)與每個(gè)移動(dòng)終端的倆倆共享的密鑰或接入點(diǎn)與多個(gè)移動(dòng)終端所共享的密鑰。(WEP協(xié)議所用的密鑰就是一種接入點(diǎn)與所有移動(dòng)終端所共享的密鑰,但WEP協(xié)議直接用共享密鑰作為會(huì)話加密密鑰。)圖2協(xié)議的具體步驟如下(2.1)“四路啟動(dòng)”A2產(chǎn)生一個(gè)隨機(jī)數(shù)ANonce2,并將此“四路啟動(dòng)”信息發(fā)出;
(2.2)“四路請(qǐng)求”B2在收到A2發(fā)來(lái)的“四路啟動(dòng)”后產(chǎn)生另一隨機(jī)數(shù)BNonce2,并從ANonce2、BNonce2和共享密鑰SK2產(chǎn)生出一個(gè)會(huì)話密鑰K2;另外,B2還計(jì)算出一個(gè)基于ANonce2、BNonce2和SK2和的消息認(rèn)證碼MAC21(Message AuthenticationCode),最后將BNonce2和MAC21隨“四路請(qǐng)求”信息發(fā)送給A2;(2.3)“四路應(yīng)答”A2在收到B2發(fā)來(lái)的“四路請(qǐng)求”后也計(jì)算出一個(gè)基于ANonce2、BNonce2和SK2的消息認(rèn)證碼MAC22;如果MAC21和MAC22相同,則A2也從ANonce2、BNonce2和SK2中產(chǎn)生出同一會(huì)話密鑰K2;(如果MAC21和MAC22不同,鑒別過(guò)程將失??;但圖2沒(méi)有表示出這種情況;)A2還將計(jì)算出基于SK2和MAC21的消息認(rèn)證碼MAC23,并將MAC23隨“四路應(yīng)答”信息發(fā)送給B2;(2.4)“四路成功”B2在收到A2發(fā)來(lái)的“四路應(yīng)答”后也計(jì)算出一個(gè)基于SK2和MAC21的消息認(rèn)證碼MAC24,如果MAC23和MAC24相同,B2則向A2發(fā)送“四路成功”信息。(如果MAC23和MAC24不同,B2則向A2發(fā)送四路失??;但圖2沒(méi)有表示出這種情況;)5、EAP協(xié)議EAP(Extensible Authentication Protocol)協(xié)議定義了一種鏈路層的鑒別方法的支持框架。說(shuō)EAP是一個(gè)框架,而不是具體鑒別方法,是因?yàn)樗粚?shí)現(xiàn)了基本的、鑒別過(guò)程所需要的鑒別數(shù)據(jù)請(qǐng)求和應(yīng)答以及鑒別結(jié)果的數(shù)據(jù)格式和傳輸機(jī)制,而沒(méi)有定義具體的鑒別步驟;但EAP可用來(lái)傳載具體的鑒別步驟。支持EAP的鑒別系統(tǒng)可具有較強(qiáng)的可擴(kuò)展性是因?yàn)樵谶@樣的鑒別系統(tǒng)中EAP框架可以較容易地被替換成EAP所傳載的具體的鑒別方法。
具體說(shuō)來(lái),如圖3所示,當(dāng)請(qǐng)求鑒別設(shè)備PR3(Peer)與一個(gè)執(zhí)行鑒別設(shè)備AU3(Authenticator)建立鏈路連接以后,EAP將執(zhí)行一個(gè)由AU3發(fā)出的EAP請(qǐng)求和PR3返回的EAP應(yīng)答的系列,直到AU3發(fā)出EAP成功或EAP失敗。這些步驟具體如下(3.1)AU3向PR3發(fā)出對(duì)鑒別數(shù)據(jù)的EAP請(qǐng)求(EAP-Request);請(qǐng)求可具有不同類型;(3.2)PR3則根據(jù)請(qǐng)求的類型返回帶有鑒別數(shù)據(jù)的EAP應(yīng)答(EAP-Response)。
(3.3)在收到帶有鑒別數(shù)據(jù)的應(yīng)答后,AU3將進(jìn)行鑒別運(yùn)算并根據(jù)運(yùn)算結(jié)果執(zhí)行如下幾種操作a)如果鑒別成功,AU3則向PR2發(fā)出EAP成功(EAP-Success);b)如果鑒別失敗,AU3則向PR2發(fā)出EAP失敗(EAP-Failure);c)如果AU3還需要進(jìn)一步的鑒別數(shù)據(jù),本過(guò)程執(zhí)行轉(zhuǎn)向步驟(3.1)。
EAP請(qǐng)求和應(yīng)答報(bào)文帶有如下五個(gè)域
(代碼,標(biāo)識(shí)符,長(zhǎng)度,類型,數(shù)據(jù))其中◆“代碼”值是1的時(shí)候表明報(bào)文是EAP請(qǐng)求,是2的時(shí)候表明是EAP應(yīng)答;◆“標(biāo)識(shí)符”值用來(lái)匹配EAP請(qǐng)求和應(yīng)答;重復(fù)發(fā)送的EAP請(qǐng)求必須使用同樣標(biāo)識(shí)符;◆“長(zhǎng)度”值是整個(gè)報(bào)文的長(zhǎng)度;◆“類型”值決定EAP請(qǐng)求和應(yīng)答的類型。原始EAP協(xié)議定義了一批初始類型;其它用到EAP的協(xié)議根據(jù)需要引入新類型。兩個(gè)初始類型如下■“EAP請(qǐng)求/身份”(EAP-Request/Identity)執(zhí)行鑒別設(shè)備用“EAP請(qǐng)求/身份”來(lái)詢問(wèn)請(qǐng)求鑒別設(shè)備身份數(shù)據(jù);■“EAP應(yīng)答/身份”(EAP-Response/Identity)請(qǐng)求鑒別設(shè)備用“EAP應(yīng)答/身份”裝載身份數(shù)據(jù)作為對(duì)“EAP請(qǐng)求/身份”的應(yīng)答;■“EAP應(yīng)答/否定”(EAP-Response/Nak)當(dāng)不支持某EAP請(qǐng)求時(shí),請(qǐng)求鑒別設(shè)備返回“EAP應(yīng)答/否定”作為應(yīng)答;◆“數(shù)據(jù)”字段值隨請(qǐng)求或應(yīng)答的類型變化而變化。
EAP成功和失敗報(bào)文帶有如下三個(gè)域(代碼,標(biāo)識(shí)符,長(zhǎng)度)其中◆“代碼”值是3的時(shí)候表明報(bào)文是EAP成功,是4的時(shí)候表明是EAP失敗;◆“標(biāo)識(shí)符”值用來(lái)將本EAP成功或失敗報(bào)文與前面最后一個(gè)EAP應(yīng)答匹配起來(lái);◆“長(zhǎng)度”值還是整個(gè)報(bào)文的長(zhǎng)度;無(wú)論什么樣的鑒別步驟的細(xì)節(jié),EAP系統(tǒng)只需要檢查EAP成功和失敗報(bào)文就可判斷鑒別結(jié)果。
6、EAP-SIM鑒別協(xié)議EAP-SIM協(xié)議是一個(gè)基于EAP框架和SIM卡的鑒別協(xié)議。
圖4展示了請(qǐng)求鑒別設(shè)備PR4與執(zhí)行鑒別設(shè)備AU4執(zhí)行EAP-SIM鑒別協(xié)議的一個(gè)(簡(jiǎn)化了的)流程。請(qǐng)求鑒別設(shè)備PR4帶有SIM卡,SIM卡帶的密碼記為Ki4。執(zhí)行鑒別設(shè)備AU4熟悉或可以從其它相連網(wǎng)絡(luò)設(shè)備中得到PR4的SIM卡密碼Ki4。
圖4的流程以AU4首先向PR4發(fā)出身份請(qǐng)求“EAP請(qǐng)求/身份”為開(kāi)始;PR4在收到身份請(qǐng)求后將其身份字符串隨“EAP應(yīng)答/身份”發(fā)回。
在收到“EAP應(yīng)答/身份”后,AU4向PR4發(fā)送“EAP請(qǐng)求/SIM/開(kāi)始”;這個(gè)請(qǐng)求帶有所有AU4所支持的SIM版本號(hào);在收到“EAP請(qǐng)求/SIM/開(kāi)始”后,PR4選擇一個(gè)支持的SIM版本號(hào),依要求(再次)提供其身份字符串,并產(chǎn)生一個(gè)新隨機(jī)數(shù)NONCE隨“EAP應(yīng)答/SIM/開(kāi)始”發(fā)回。
在收到“EAP應(yīng)答/SIM/開(kāi)始”后,AU4(從相應(yīng)服務(wù)器)得到新隨機(jī)數(shù)RAND,并根據(jù)NONCE和其他AU4和PR4共享信息算出一個(gè)消息認(rèn)證碼MAC41(Message Authentication Code),并將RAND和MAC41隨“EAP請(qǐng)求/SIM/挑戰(zhàn)”發(fā)往PR4;在收到“EAP請(qǐng)求/SIM/挑戰(zhàn)”后,PR4也根據(jù)NONCE和其他AU4和PR4共享的信息算出一個(gè)消息認(rèn)證碼MAC42;如果MAC41和MAC42相等,PR4則根據(jù)RAND、SIM卡密碼Ki4和其他AU4和PR4共享信息計(jì)算出另一個(gè)消息認(rèn)證碼MAC43,并將MAC43隨“EAP應(yīng)答/SIM/挑戰(zhàn)”送至AU4。
最后,在收到“EAP應(yīng)答/SIM/挑戰(zhàn)”后,AU4也根據(jù)RAND和他知道的關(guān)于PR4的SIM卡密碼Ki4,以及其它AU4和PR4共享的信息計(jì)算出一個(gè)消息認(rèn)證碼MAC44;如果MAC43和MAC44相等,AU4則發(fā)送“EAP成功”。
7、當(dāng)前WAPI設(shè)計(jì)的不足WAPI的不足之一如上表現(xiàn)在它定義的鑒別方法是由固定的步驟所組成,并且必須采用數(shù)字證書。這種固定的鑒別模式使WAPI在一些領(lǐng)域的實(shí)際應(yīng)用中變得很麻煩。例如個(gè)人用戶可能希望采用手工輸入密鑰的方法來(lái)進(jìn)行鑒別,而移動(dòng)通信運(yùn)營(yíng)商已習(xí)慣并長(zhǎng)期使用SIM(Subseriber Identification Module)卡來(lái)鑒別手機(jī)用戶;如果要使用數(shù)字證書,個(gè)人用戶則需要購(gòu)買和維護(hù)一個(gè)鑒別服務(wù)器,而移動(dòng)通信運(yùn)營(yíng)商必須要另外建立和維護(hù)一套鑒別機(jī)制,導(dǎo)致大大增加成本和影響經(jīng)濟(jì)效益。
發(fā)明內(nèi)容
本發(fā)明描述了一種擴(kuò)展無(wú)線局域網(wǎng)鑒別協(xié)議的方法,它是一種在IEEE802.11無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)WAPI中加入其它鑒別協(xié)議,特別是加入基于接入點(diǎn)和移動(dòng)終端共享密鑰的鑒別協(xié)議及加入基于EAP的鑒別協(xié)議的方法。本方法實(shí)現(xiàn)了一種對(duì)原有WAPI和新加入?yún)f(xié)議的選擇機(jī)制,允許帶有和不帶有新加入?yún)f(xié)議的接入點(diǎn)和移動(dòng)終端的相互鑒別,從而保證與原有WAPI協(xié)議兼容并提供了對(duì)已存WAPI接入點(diǎn)和移動(dòng)終端逐步升級(jí)的支持。
這種機(jī)制引入了一個(gè)狀態(tài)變量NAP(Newly Added Protocol),其可能值為C(losed)、F(orced)和S(elected)◆“C”的直觀意思是新加入?yún)f(xié)議是關(guān)閉的,所以必須使用原有WAPI;◆“F”的直觀意思是強(qiáng)制使用新加入?yún)f(xié)議;◆“S”的直觀意思是如下選擇使用原有WAPI或新加入?yún)f(xié)議■在另一方不支持或關(guān)閉新加入?yún)f(xié)議時(shí),使用原有WAPI;■在另一方強(qiáng)制使用新加入?yún)f(xié)議時(shí),使用新加入?yún)f(xié)議;■在另一方也是選擇的情況下,根據(jù)另一個(gè)狀態(tài)變量PRF(Preferable)的取值決定選擇協(xié)議如果取值是“N”(New),則選擇新加入?yún)f(xié)議;否則,選擇原有WAPI。
為實(shí)現(xiàn)在移動(dòng)終端和接入點(diǎn)之間的協(xié)議協(xié)商,以及新加入?yún)f(xié)議的數(shù)據(jù)傳輸,本方法還引入一個(gè)或多個(gè)新以太幀,或使用某些現(xiàn)存的以太幀(如WAPI幀),并在這些幀中區(qū)分若干個(gè)鑒別分組類型。為保持一般性,以下用“X幀”來(lái)統(tǒng)一表示這些新引入或現(xiàn)存的幀。這樣本方法用于實(shí)現(xiàn)協(xié)議協(xié)商的鑒別分組類型是◆“關(guān)閉”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/關(guān)閉”,◆“強(qiáng)制”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/強(qiáng)制”,◆“選擇”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/選擇”。
本方法根據(jù)新加入?yún)f(xié)議的不同而選用不同的用于實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)蔫b別分組類型。對(duì)“四路鑒別協(xié)議”來(lái)說(shuō),本方法選用鑒別分組類型如下◆“四路啟動(dòng)”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/四路啟動(dòng)”,◆“四路請(qǐng)求”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/四路請(qǐng)求”,◆“四路應(yīng)答”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/四路應(yīng)答”,◆“四路成功”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/四路成功”。
對(duì)“EAP協(xié)議”來(lái)說(shuō),本方法選用鑒別分組類型如下◆“EAP請(qǐng)求”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/EAP請(qǐng)求”,◆“EAP應(yīng)答”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/EAP應(yīng)答”,◆“EAP成功”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/EAP成功”,◆“EAP失敗”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/EAP失敗”。
本方法還可要求在用于接入點(diǎn)和鑒別服務(wù)器之間的WAPI報(bào)文中加入新的鑒別報(bào)文類型;這些鑒別報(bào)文類型的具體情況由具體擴(kuò)展協(xié)議決定。
為保持以后描述的一般性,本方法用“X幀/FST”來(lái)表示新加入?yún)f(xié)議開(kāi)始時(shí)、從接入點(diǎn)到移動(dòng)終端的以太幀。例如,對(duì)四路鑒別協(xié)議來(lái)說(shuō),“X幀/FST”代表“X幀/四路啟動(dòng)”;對(duì)EAP協(xié)議來(lái)說(shuō),“X幀/FST”代表“X幀/EAP請(qǐng)求”。
本方法定義了如圖5所示的,在與接入點(diǎn)AP5進(jìn)行協(xié)議協(xié)商時(shí),移動(dòng)終端MT5的狀態(tài)機(jī)。此狀態(tài)機(jī)的主導(dǎo)思想是除非MT5只支持原有WAPI而根本就不支持本發(fā)明所描述的擴(kuò)展,否則MT5總是先提出協(xié)議選擇的一方;這表現(xiàn)在MT5在沒(méi)有收到AP5的信息的條件下主動(dòng)根據(jù)其NAP表變量值發(fā)送協(xié)議協(xié)商信息。
雖然MT5發(fā)出協(xié)議選擇信息,但不能完全指望AP5會(huì)對(duì)其信息有所回答。首先,發(fā)出和回答的信息都有可能丟失;再者,AP5可能只支持原有WAPI而根本就不支持本發(fā)明方法;但在這種情況下,AP5可能會(huì)自己主動(dòng)發(fā)來(lái)“WAPI幀/鑒別激發(fā)”來(lái)啟動(dòng)鑒別過(guò)程。所以在收到AP5發(fā)來(lái)的信息后,MT5必須根據(jù)其NAP變量值再一次做出判斷,做出響應(yīng)。
圖5的步驟不包括移動(dòng)終端按照IEEE802.11對(duì)IEEE802.11控制幀和管理幀,以及按照中華人民共和國(guó)標(biāo)準(zhǔn)GB15629.11-2003對(duì)相應(yīng)控制幀和管理幀的處理。
具體說(shuō)來(lái),圖5的步驟按順序如下(5.1)MT5進(jìn)行與AP5關(guān)聯(lián)(Association),在完成關(guān)聯(lián)(所以進(jìn)入已關(guān)聯(lián)狀態(tài))后,轉(zhuǎn)向(5.2);(5.2)MT5進(jìn)入等待狀態(tài),如發(fā)生超時(shí)則轉(zhuǎn)向(5.3),如收到AP5發(fā)來(lái)的“WAPI幀”或“X幀”則轉(zhuǎn)向(5.4);(5.3)MT5根據(jù)變量NAP的當(dāng)前值執(zhí)行如下步驟之一(5.3.1)如果NAP值為“F”,MT5向AP5發(fā)送“X幀/強(qiáng)制”;(5.3.2)如果NAP值為“S”,MT5向AP5發(fā)送“X幀/優(yōu)化”;(5.3.3)如果NAP不是如上述兩種情況,MT5則向AP5發(fā)送非“X幀/強(qiáng)制”且非“X幀/優(yōu)化”的任意以太幀;在執(zhí)行完上述步驟之一后,MT5轉(zhuǎn)向執(zhí)行(5.2);(5.4)如MT4收到的信息不是“WAPI幀/鑒別激活”也不是“X幀/FST”時(shí),則轉(zhuǎn)向執(zhí)行(5.3);否則執(zhí)行如下步驟之一
(5.4.1)如果收到是“WAPI幀/鑒別激活”且NAP值為“C”或“S”時(shí),MT5則開(kāi)時(shí)執(zhí)行WAPI;(5.4.2)如果收到是“X幀/FST”且NAP的值為“S”或“F”時(shí),MT5則開(kāi)時(shí)執(zhí)行新加入?yún)f(xié)議;(5.4.3)如果收到的信息不是如上述兩種情況,MT5則報(bào)告失敗并與AP5解除關(guān)聯(lián)。
本方法還定義了如圖6所示的,在與移動(dòng)終端MT5進(jìn)行協(xié)議協(xié)商時(shí),接入點(diǎn)AP5的狀態(tài)機(jī)。這里的主導(dǎo)思想是AP5期望MT5先提出協(xié)議選擇,然后再根據(jù)協(xié)議選擇開(kāi)始執(zhí)行原有WAPI協(xié)議或新加入的協(xié)議。這里也考慮到了MT5只支持原有WAPI而根本就不支持本發(fā)明方法,所以無(wú)法提出協(xié)議選擇的情況。在這種情況下,AP5會(huì)發(fā)生超時(shí);這時(shí),如NAP值為“C”或“S”,AP5則開(kāi)始執(zhí)行WAPI協(xié)議。
圖6的步驟不包括移動(dòng)終端按照IEEE802.11對(duì)IEEE802.11控制幀和管理幀,以及按照中華人民共和國(guó)標(biāo)準(zhǔn)GB15629.11-2003對(duì)相應(yīng)控制幀和管理幀的處理。
具體說(shuō)來(lái),圖6的步驟按順序如下,注意執(zhí)行新加入?yún)f(xié)議的第一步是發(fā)送“X幀/FST”,而執(zhí)行WAPI的第一步是發(fā)送“WAPI幀/鑒別激活”(6.1)AP5進(jìn)行與MT5的關(guān)聯(lián)(Association),在完成關(guān)聯(lián)(所以進(jìn)入已關(guān)聯(lián)狀態(tài))后,轉(zhuǎn)向(6.2);(6.2)AP5進(jìn)入等待狀態(tài),如發(fā)生超時(shí)則轉(zhuǎn)向(6.3),如收到MT5發(fā)來(lái)的“X幀”則轉(zhuǎn)向(6.4);(6.3)如果NAP值為“F”,AP5則報(bào)告失敗并與MT5解除關(guān)聯(lián);否則,AP5則開(kāi)始執(zhí)行WAPI;(6.4)如果收到是“X幀/強(qiáng)制”,AP5則執(zhí)行如下步驟,否則轉(zhuǎn)向(6.5)(6.4.1)如果NAP值為“S”或“F”,AP5則開(kāi)始執(zhí)行新加入?yún)f(xié)議;(6.4.2)否則,即如果NAP值為“C”,AP5則報(bào)告失敗并與MT5解除關(guān)聯(lián);(6.5)如果收到是“X幀/優(yōu)化”,AP5則執(zhí)行如下步驟,否則轉(zhuǎn)向(6.6)(6.5.1)如果NAP值為“S”或“F”,AP5執(zhí)行下列步驟;否則轉(zhuǎn)向(6.5.2);(6.5.1.1)如果NAP值為“S”,AP5執(zhí)行下列步驟;否則轉(zhuǎn)(6.5.1.2);(6.5.1.1.1)如PRF值為“N”,AP5開(kāi)始執(zhí)行新加入?yún)f(xié)議;(6.5.1.1.2)否則,AP5開(kāi)始執(zhí)行WAPI;
(6.5.1.2)這時(shí)NAP值為“F”,AP5開(kāi)始執(zhí)行新加入?yún)f(xié)議;(6.5.2)這時(shí)NAP值為“C”,AP5開(kāi)始執(zhí)行WAPI;(6.6)如果收到的是“X幀/關(guān)閉”且NAP值為“C”或“S”,AP5開(kāi)始執(zhí)行WAPI;否則,NAP值為“F”,這時(shí)AP5則報(bào)告失敗并與MT5解除關(guān)聯(lián)。
圖6中接入點(diǎn)的“超時(shí)”處理是為了處理移動(dòng)終端只支持WAPI而不支持本發(fā)明的方法的情況而設(shè)置的。所以接入點(diǎn)的超時(shí)必須設(shè)置得比移動(dòng)終端的超時(shí)長(zhǎng),從而使支持本發(fā)明方法的移動(dòng)終端能夠先超時(shí)并發(fā)出“X幀”以啟動(dòng)協(xié)議協(xié)商。
圖1是WAPI鑒別協(xié)議的一個(gè)執(zhí)行過(guò)程的示意圖;圖2是基于共享密鑰鑒別協(xié)議的一個(gè)執(zhí)行過(guò)程的示意圖;圖3是EAP協(xié)議的一個(gè)執(zhí)行過(guò)程的示意圖;圖4是EAP-SIM協(xié)議的一個(gè)執(zhí)行過(guò)程的示意圖;圖5是移動(dòng)終端進(jìn)行協(xié)議協(xié)商的狀態(tài)機(jī)的示意圖。
圖6是接入點(diǎn)進(jìn)行協(xié)議協(xié)商的狀態(tài)機(jī)的示意圖。
圖7是移動(dòng)終端MT7與接入點(diǎn)AP7進(jìn)行協(xié)議協(xié)商的一個(gè)過(guò)程的示意圖。
圖8是移動(dòng)終端MT8與接入點(diǎn)AP8進(jìn)行協(xié)議協(xié)商的一個(gè)過(guò)程的示意圖。
圖9是移動(dòng)終端MT9與接入點(diǎn)AP9進(jìn)行協(xié)議協(xié)商的一個(gè)過(guò)程的示意圖。
圖10是移動(dòng)終端MT10與接入點(diǎn)AP10進(jìn)行協(xié)議協(xié)商的一個(gè)過(guò)程的示意圖。
具體實(shí)施例方式
下面結(jié)合圖示談?wù)劚景l(fā)明的幾個(gè)實(shí)施例。
本方法定義了如圖5所示的,在與接入點(diǎn)AP5進(jìn)行協(xié)議協(xié)商時(shí),移動(dòng)終端MT5的狀態(tài)機(jī)。此狀態(tài)機(jī)的主導(dǎo)思想是除非MT5只支持原有WAPI而根本就不支持本發(fā)明所描述的擴(kuò)展,否則MT5總是先提出協(xié)議選擇的一方;這表現(xiàn)在MT5在沒(méi)有收到AP5的信息的條件下主動(dòng)根據(jù)其NAP表變量值發(fā)送協(xié)議協(xié)商信息。
雖然MT5發(fā)出協(xié)議選擇信息,但不能完全指望AP5會(huì)對(duì)其信息有所回答。首先,發(fā)出和回答的信息都有可能丟失;再者,AP5可能只支持原有WAPI而根本就不支持本發(fā)明方法;但在這種情況下,AP5可能會(huì)自己主動(dòng)發(fā)來(lái)“WAPI幀/鑒別激發(fā)”來(lái)啟動(dòng)鑒別過(guò)程。所以在收到AP5發(fā)來(lái)的信息后,MT5必須根據(jù)其NAP變量值再一次做出判斷,做出響應(yīng)。
圖5的步驟不包括移動(dòng)終端按照IEEE802.11對(duì)IEEE802.11控制幀和管理幀,以及按照中華人民共和國(guó)標(biāo)準(zhǔn)GB15629.11-2003對(duì)相應(yīng)控制幀和管理幀的處理。
具體說(shuō)來(lái),圖5的步驟按順序如下(5.5)MT5進(jìn)行與AP5關(guān)聯(lián)(Association),在完成關(guān)聯(lián)(所以進(jìn)入已關(guān)聯(lián)狀態(tài))后,轉(zhuǎn)向(5.2);(5.6)MT5進(jìn)入等待狀態(tài),如發(fā)生超時(shí)則轉(zhuǎn)向(5.3),如收到AP5發(fā)來(lái)的“WAPI幀”或“X幀”則轉(zhuǎn)向(5.4);(5.7)MT5根據(jù)變量NAP的當(dāng)前值執(zhí)行如下步驟之一(5.3.4)如果NAP值為“F”,MT5向AP5發(fā)送“X幀/強(qiáng)制”;(5.3.5)如果NAP值為“S”,MT5向AP5發(fā)送“X幀/優(yōu)化”;(5.3.6)如果NAP不是如上述兩種情況,MT5則向AP5發(fā)送非“X幀/強(qiáng)制”且非“X幀/優(yōu)化”的任意以太幀;在執(zhí)行完上述步驟之一后,MT5轉(zhuǎn)向執(zhí)行(5.2);(5.8)如MT4收到的信息不是“WAPI幀/鑒別激活”也不是“X幀/FST”時(shí),則轉(zhuǎn)向執(zhí)行(5.3);否則執(zhí)行如下步驟之一(5.4.4)如果收到是“WAPI幀/鑒別激活”且NAP值為“C”或“S”時(shí),MT5則開(kāi)時(shí)執(zhí)行WAPI;(5.4.5)如果收到是“X幀/FST”且NAP的值為“S”或“F”時(shí),MT5則開(kāi)時(shí)執(zhí)行新加入?yún)f(xié)議;(5.4.6)如果收到的信息不是如上述兩種情況,MT5則報(bào)告失敗并與AP5解除關(guān)聯(lián)。
本方法還定義了如圖6所示的,在與移動(dòng)終端MT5進(jìn)行協(xié)議協(xié)商時(shí),接入點(diǎn)AP5的狀態(tài)機(jī)。這里的主導(dǎo)思想是AP5期望MT5先提出協(xié)議選擇,然后再根據(jù)協(xié)議選擇開(kāi)始執(zhí)行原有WAPI協(xié)議或新加入的協(xié)議。這里也考慮到了MT5只支持原有WAPI而根本就不支持本發(fā)明方法,所以無(wú)法提出協(xié)議選擇的情況。在這種情況下,AP5會(huì)發(fā)生超時(shí);這時(shí),如NAP值為“C”或“S”,AP5則開(kāi)始執(zhí)行WAPI協(xié)議。
圖6的步驟不包括移動(dòng)終端按照IEEE802.11對(duì)IEEE802.11控制幀和管理幀,以及按照中華人民共和國(guó)標(biāo)準(zhǔn)GB15629.11-2003對(duì)相應(yīng)控制幀和管理幀的處理。
具體說(shuō)來(lái),圖6的步驟按順序如下,注意執(zhí)行新加入?yún)f(xié)議的第一步是發(fā)送“X幀/FST”,而執(zhí)行WAPI的第一步是發(fā)送“WAPI幀/鑒別激活”(6.7)AP5進(jìn)行與MT5的關(guān)聯(lián)(Association),在完成關(guān)聯(lián)(所以進(jìn)入已關(guān)聯(lián)狀態(tài))后,轉(zhuǎn)向(6.2);(6.8)AP5進(jìn)入等待狀態(tài),如發(fā)生超時(shí)則轉(zhuǎn)向(6.3),如收到MT5發(fā)來(lái)的“X幀”則轉(zhuǎn)向(6.4);(6.9)如果NAP值為“F”,AP5則報(bào)告失敗并與MT5解除關(guān)聯(lián);否則,AP5則開(kāi)始執(zhí)行WAPI。
(6.10)如果收到是“X幀/強(qiáng)制”,AP5則執(zhí)行如下步驟,否則轉(zhuǎn)向(6.5)(6.4.3)如果NAP值為“S”或“F”,AP5則開(kāi)始執(zhí)行新加入?yún)f(xié)議;(6.4.4)否則,即如果NAP值為“C”,AP5則報(bào)告失敗并與MT5解除關(guān)聯(lián);(6.11)如果收到是“X幀/優(yōu)化”,AP5則執(zhí)行如下步驟,否則轉(zhuǎn)向(6.6)(6.5.3)如果NAP值為“S”或“F”,AP5執(zhí)行下列步驟;否則轉(zhuǎn)向(6.5.2);(6.5.1.3)如果NAP值為“S”,AP5執(zhí)行下列步驟;否則轉(zhuǎn)(6.5.1.2);(6.5.1.1.1)如PRF值為“N”,AP5開(kāi)始執(zhí)行新加入?yún)f(xié)議;(6.5.1.1.2)否則,AP5開(kāi)始執(zhí)行WAPI;(6.5.1.4)這時(shí)NAP值為“F”,AP5開(kāi)始執(zhí)行新加入?yún)f(xié)議;(6.5.4)這時(shí)NAP值為“C”,AP5開(kāi)始執(zhí)行WAPI;(6.12)如果收到的是“X幀/關(guān)閉”且NAP值為“C”或“S”,AP5開(kāi)始執(zhí)行WAPI;否則,NAP值為“F”,這時(shí)AP5則報(bào)告失敗并與MT5解除關(guān)聯(lián)。
圖6中接入點(diǎn)的“超時(shí)”處理是為了處理移動(dòng)終端只支持WAPI而不支持本發(fā)明的方法的情況而設(shè)置的。所以接入點(diǎn)的超時(shí)必須設(shè)置得比移動(dòng)終端的超時(shí)長(zhǎng),從而使支持本發(fā)明方法的移動(dòng)終端能夠先超時(shí)并發(fā)出“X幀”以啟動(dòng)協(xié)議協(xié)商。
圖7顯示了移動(dòng)終端MT7與接入點(diǎn)AP7進(jìn)行協(xié)議協(xié)商的一個(gè)過(guò)程。這里,MT7只支持原有WAPI而不支持本發(fā)明方法,而AP7支持本發(fā)明方法,AP7的NAP變量值為“S”,和AP7的PRF變量值為“N”。這里,MT7的WAPI選擇了等待AP7啟動(dòng)WAPI。所以,根據(jù)圖6接入點(diǎn)進(jìn)行協(xié)議協(xié)商的狀態(tài)機(jī)的描述,AP7在發(fā)生超以后開(kāi)始執(zhí)行WAPI。MT7只支持原有WAPI,所以正好按原有WAPI執(zhí)行。
圖8顯示了另外的移動(dòng)終端MT8與接入點(diǎn)AP8進(jìn)行協(xié)議協(xié)商的一個(gè)過(guò)程。這里,MT8支持本發(fā)明方法,其NAP變量值為“S”,而AP8只支持原有WAPI而不支持本發(fā)明方法。所以,根據(jù)圖5移動(dòng)終端進(jìn)行協(xié)議協(xié)商的狀態(tài)機(jī)的描述,MT8在發(fā)生超時(shí)以后向AP8發(fā)送“X幀/優(yōu)化”。根據(jù)WAPI,AP8將丟棄“X幀/優(yōu)化”,并且將發(fā)生超時(shí)。在將發(fā)生超時(shí)以后,AP8開(kāi)始執(zhí)行WAPI,即發(fā)出“WAPI幀/鑒別激活”。根據(jù)圖5,MT8在收到“WAPI幀/鑒別激活”且其NAP變量值為“S”時(shí),開(kāi)始執(zhí)行WAPI。
圖9顯示了再另外的移動(dòng)終端MT9與接入點(diǎn)AP9進(jìn)行協(xié)議協(xié)商的一個(gè)過(guò)程。這里,MT9和AP9都支持本發(fā)明方法,但MT9的NAP變量值為“S”,而AP9的NAP變量值為“F”。根據(jù)圖5和圖6移動(dòng)終端和接入點(diǎn)進(jìn)行協(xié)議協(xié)商的狀態(tài)機(jī)的描述,如MT9先發(fā)生超時(shí),則在其超時(shí)以后向AP9發(fā)送“X幀/優(yōu)化”。AP8在收到信息后將判斷收到的不是“X幀/強(qiáng)制”而是“X幀/優(yōu)化”,并且判斷NAP值為“F”,所以開(kāi)始執(zhí)行新加入?yún)f(xié)議,即發(fā)出“X幀/FST”。MT9在收到“X幀/FST”且其NAP值為“S”時(shí),也開(kāi)始執(zhí)行新加入?yún)f(xié)議。
圖10顯示了另外的移動(dòng)終端MT10與接入點(diǎn)AP10進(jìn)行協(xié)議協(xié)商的一個(gè)過(guò)程。這里,MT10和AP10都支持本發(fā)明方法,它們的NAP變量值均為“S”,且AP10的PRF變量值為“N”。根據(jù)圖5和圖6移動(dòng)終端和接入點(diǎn)進(jìn)行協(xié)議協(xié)商的狀態(tài)機(jī)的描述,如AP10先發(fā)生超時(shí),則AP10會(huì)選擇WAPI。但本發(fā)明的方法要求接入點(diǎn)的超時(shí)比移動(dòng)終端的超時(shí)長(zhǎng)。這樣,MT10將發(fā)送“X幀/優(yōu)化”。AP10在收到信息后將判斷收到的不是“X幀/強(qiáng)制”而是“X幀/優(yōu)化”,并且判斷其自己的NAP值為“S”,且PRF值為“N”。所以開(kāi)始執(zhí)行新加入?yún)f(xié)議。
最后,本發(fā)明方法的實(shí)施情況概括如下◆在移動(dòng)終端和接入點(diǎn)一方支持本發(fā)明方法而另一方不支持時(shí),雙方則只選擇WAPI協(xié)議或報(bào)告鑒別失敗;圖7,8所示的是兩個(gè)例子。
◆在移動(dòng)終端和接入點(diǎn)雙方都支持本發(fā)明方法,并且都設(shè)置選擇使用協(xié)議(即雙方NAP變量值均為“S”)時(shí),雙方協(xié)商決定是使用WAPI還是新加入?yún)f(xié)議;圖9,10所示的是兩個(gè)例子。
◆在移動(dòng)終端和接入點(diǎn)都雙方都支持本發(fā)明方法,并且■在其中一方強(qiáng)制使用WAPI(即NAP變量值為“C”)的情況下,雙方則只選擇WAPI或報(bào)告鑒別失??;■在其中一方強(qiáng)制使用新加入?yún)f(xié)議(即NAP變量值為“F”)的情況下,雙方則只選擇新加入?yún)f(xié)議或報(bào)告鑒別失敗。
權(quán)利要求
1.一種擴(kuò)展無(wú)線局域網(wǎng)鑒別協(xié)議的方法,它是一種在IEEE802.11無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)WAPI中加入其它鑒別協(xié)議,特別是一種加入基于接入點(diǎn)和移動(dòng)終端共享密鑰的鑒別協(xié)議及加入基于EAP的鑒別協(xié)議的方法,以及在原有WAPI和新加入?yún)f(xié)議之間的選擇機(jī)制。
2.按照權(quán)力要求1所述的方法,其中該方法接入點(diǎn)和移動(dòng)終端都可能分別帶有本發(fā)明所描述的擴(kuò)展功能或只帶有原有WAPI功能而不帶有本發(fā)明所描述的擴(kuò)展功能,接入點(diǎn)和移動(dòng)終端都可能分別強(qiáng)制使用原有WAPI或新加入的協(xié)議,或進(jìn)行協(xié)商,在都帶有新加入?yún)f(xié)議時(shí)選擇WAPI或新加入?yún)f(xié)議,在任一方不帶有新加入?yún)f(xié)議時(shí)使用原有WAPI,在原有WAPI規(guī)定的鑒別數(shù)據(jù)類型之外加入新數(shù)據(jù)類型或在此鑒別數(shù)據(jù)類型中加入新分組類型,用來(lái)裝載協(xié)議協(xié)商信息和新加入?yún)f(xié)議的數(shù)據(jù)。
3.按照權(quán)力要求1所述的方法,在與接入點(diǎn)AP5進(jìn)行協(xié)議協(xié)商時(shí),移動(dòng)終端MT5的狀態(tài)機(jī),其特征在于首先引入一個(gè)狀態(tài)變量NAP(Newly Added Protocol),其可能值為C(losed)、F(orced)和S(elected)◆“C”的直觀意思是新加入?yún)f(xié)議是關(guān)閉的,所以必須使用原有WAPI;◆“F”的直觀意思是強(qiáng)制使用新加入?yún)f(xié)議;◆“S”的直觀意思是如下選擇使用原有WAPI或新加入?yún)f(xié)議■在另一方不支持或關(guān)閉新加入?yún)f(xié)議時(shí),使用原有WAPI;■在另一方強(qiáng)制使用新加入?yún)f(xié)議時(shí),使用新加入?yún)f(xié)議;■在另一方也是選擇的情況下,根據(jù)另一個(gè)狀態(tài)變量PRF(Preferable)的取值決定選擇協(xié)議如果取值是“N”(New),則選擇新加入?yún)f(xié)議;否則,選擇原有WAPI;其次,為實(shí)現(xiàn)在移動(dòng)終端和接入點(diǎn)之間的協(xié)議協(xié)商,以及新加入?yún)f(xié)議的數(shù)據(jù)傳輸,本方法還引入一個(gè)或多個(gè)新以太幀,或使用某些現(xiàn)存的以太幀(如WAPI幀),并在這些幀中區(qū)分若干個(gè)鑒別分組類型;為保持一般性,以下用“X幀”來(lái)統(tǒng)一表示這些新引入或現(xiàn)存的幀;這樣本方法用于實(shí)現(xiàn)協(xié)議協(xié)商的鑒別分組類型是◆“關(guān)閉”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/關(guān)閉”,◆“強(qiáng)制”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/強(qiáng)制”,◆“選擇”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/選擇”;本方法的步驟如下(參見(jiàn)附圖5的流程),其中“X幀/FST”表示新加入?yún)f(xié)議開(kāi)始時(shí)、從接入點(diǎn)到移動(dòng)終端的以太幀(對(duì)四路鑒別協(xié)議來(lái)說(shuō),“X幀/FST”代表“X幀/四路啟動(dòng)”,對(duì)EAP協(xié)議來(lái)說(shuō),“X幀/FST”代表“X幀/EAP請(qǐng)求”)(5.1)MT5進(jìn)行與AP5關(guān)聯(lián)(Association),在完成關(guān)聯(lián)(所以進(jìn)入已關(guān)聯(lián)狀態(tài))后,則轉(zhuǎn)向(5.2);(5.2)MT5進(jìn)入等待狀態(tài),如發(fā)生超時(shí)則轉(zhuǎn)向(5.3),如收到AP5發(fā)來(lái)的“WAPI幀”或“X幀”則轉(zhuǎn)向(5.4);(5.3)MT5根據(jù)變量NAP的當(dāng)前值執(zhí)行如下三個(gè)步驟之一,完成之后,轉(zhuǎn)向執(zhí)行(5.2)(5.3.1)如果NAP值為“F”,MT5向AP5發(fā)送“X幀/強(qiáng)制”;(5.3.2)如果NAP值為“S”,MT5向AP5發(fā)送“X幀/優(yōu)化”;(5.3.3)如果NAP不是如上述兩種情況,MT5則向AP5發(fā)送非“X幀/強(qiáng)制”且非“X幀/優(yōu)化”的任意以太幀;(5.4)如MT4收到的信息不是“WAPI幀/鑒別激活”也不是“X幀/FST”時(shí),轉(zhuǎn)向執(zhí)行(5.3),否則執(zhí)行如下三個(gè)步驟之一(5.4.1)如果收到是“WAPI幀/鑒別激活”且NAP值為“C”或“S”時(shí),MT5則開(kāi)時(shí)執(zhí)行WAPI;(5.4.2)如果收到是“X幀/FST”且NAP的值為“S”或“F”時(shí),MT5則開(kāi)時(shí)執(zhí)行新加入?yún)f(xié)議;(5.4.3)如果收到的信息不是如上述兩種情況,MT5則報(bào)告失敗并與AP5解除關(guān)聯(lián)。
4.按照權(quán)力要求3的方法,其中根據(jù)新加入?yún)f(xié)議的不同而選用不同的用于實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)蔫b別分組類型,對(duì)“四路鑒別協(xié)議”來(lái)說(shuō),本方法選用鑒別分組類型如下◆“四路啟動(dòng)”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/四路啟動(dòng)”,◆“四路請(qǐng)求”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/四路請(qǐng)求”,◆“四路應(yīng)答”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/四路應(yīng)答”,◆“四路成功”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/四路成功”。
5.按照權(quán)力要求3的方法,其中根據(jù)新加入?yún)f(xié)議的不同而選用不同的用于實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)蔫b別分組類型,對(duì)“EAP協(xié)議”來(lái)說(shuō),本方法選用鑒別分組類型如下◆“EAP請(qǐng)求”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/EAP請(qǐng)求”,◆“EAP應(yīng)答”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/EAP應(yīng)答”,◆“EAP成功”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/EAP成功”,◆“EAP失敗”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/EAP失敗”。
6.按照權(quán)力要求3的方法,其中本方法還可要求在用于接入點(diǎn)和鑒別服務(wù)器之間的WAPI報(bào)文中加入新的鑒別報(bào)文類型;這些鑒別報(bào)文類型的具體情況由具體擴(kuò)展協(xié)議決定。
7.按照權(quán)力要求3的方法,其中除非MT5只帶有原有WAPI功能而不帶有本發(fā)明所描述的擴(kuò)展的功能,MT5總是先提出協(xié)議選擇的一方;這表現(xiàn)在MT5在沒(méi)有收到AP5的信息的條件下主動(dòng)根據(jù)其NAP表變量值發(fā)送協(xié)議協(xié)商信息。
8.按照權(quán)力要求3的方法,其中雖然MT5發(fā)出協(xié)議選擇信息,但不能完全指望AP5會(huì)對(duì)其信息有所回答,首先,發(fā)出和回答的信息都有可能丟失;再者,AP5可能只支持原有WAPI而根本就不支持本發(fā)明方法;但在這種情況下,AP5可能會(huì)自己主動(dòng)發(fā)來(lái)“WAPI幀/鑒別激發(fā)”來(lái)啟動(dòng)鑒別過(guò)程,所以在收到AP5發(fā)來(lái)的信息后,MT5必須根據(jù)其NAP變量值再一次做出判斷,做出響應(yīng)。
9.按照權(quán)力要求2的方法,其中不包括移動(dòng)終端按照IEEE802.11對(duì)IEEE802.11控制幀和管理幀,以及按照中華人民共和國(guó)標(biāo)準(zhǔn)GB15629.11-2003對(duì)相應(yīng)控制幀和管理幀的處理。
10.按照權(quán)力要求2的方法,其中狀態(tài)機(jī)的描述包括了所有的,在已知狀態(tài)變量NAP永遠(yuǎn)只取某固定值的情況下,通過(guò)省掉對(duì)這些狀態(tài)變量的判斷和無(wú)用的分支而產(chǎn)生的,更簡(jiǎn)單的狀態(tài)機(jī)。
11.按照權(quán)力要求1所述的方法,在與移動(dòng)終端MT5進(jìn)行協(xié)議協(xié)商時(shí)接入點(diǎn)AP5的狀態(tài)機(jī),特征如下首先引入一個(gè)狀態(tài)變量NAP(Newly Added Protocol),其可能值為C(losed)、F(orced)和S(elected)◆“C”的直觀意思是新加入?yún)f(xié)議是關(guān)閉的,所以必須使用原有WAPI;◆“F”的直觀意思是強(qiáng)制使用新加入?yún)f(xié)議;◆“S”的直觀意思是如下選擇使用原有WAPI或新加入?yún)f(xié)議■在另一方不支持或關(guān)閉新加入?yún)f(xié)議時(shí),使用原有WAPI;■在另一方強(qiáng)制使用新加入?yún)f(xié)議時(shí),使用新加入?yún)f(xié)議;■在另一方也是選擇的情況下,根據(jù)另一個(gè)狀態(tài)變量PRF(Preferable)的取值決定選擇協(xié)議如果取值是“N”(New),則選擇新加入?yún)f(xié)議;否則,選擇原有WAPI;其次,為實(shí)現(xiàn)在移動(dòng)終端和接入點(diǎn)之間的協(xié)議協(xié)商,以及新加入?yún)f(xié)議的數(shù)據(jù)傳輸,本方法還引入一個(gè)或多個(gè)新以太幀,或使用某些現(xiàn)存的以太幀(如WAPI幀),并在這些幀中區(qū)分若干個(gè)鑒別分組類型。為保持一般性,以下用“X幀”來(lái)統(tǒng)一表示這些新引入或現(xiàn)存的幀,這樣本方法用于實(shí)現(xiàn)協(xié)議協(xié)商的鑒別分組類型是◆“關(guān)閉”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/關(guān)閉”,◆“強(qiáng)制”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/強(qiáng)制”,◆“選擇”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/選擇”;本方法的步驟如下(參見(jiàn)附圖6的流程),其中“X幀/FST”表示新加入?yún)f(xié)議開(kāi)始時(shí)、從接入點(diǎn)到移動(dòng)終端的以太幀,對(duì)四路鑒別協(xié)議來(lái)說(shuō),“X幀/FST”代表“X幀/四路啟動(dòng)”,對(duì)EAP協(xié)議來(lái)說(shuō),“X幀/FST”代表“X幀/EAP請(qǐng)求”(6.1)AP5進(jìn)行與MT5的關(guān)聯(lián)(Association),在完成關(guān)聯(lián)(所以進(jìn)入已關(guān)聯(lián)狀態(tài))后,轉(zhuǎn)向(6.2);(6.2)AP5進(jìn)入等待狀態(tài),如發(fā)生超時(shí)則轉(zhuǎn)向(6.3),如收到MT5發(fā)來(lái)的“X幀”則轉(zhuǎn)向(6.4);(6.3)如果NAP值為“F”,AP5則報(bào)告失敗并與MT5解除關(guān)聯(lián);否則,AP5則開(kāi)始執(zhí)行WAPI;(6.4)如果收到是“X幀/強(qiáng)制”,AP5則執(zhí)行如下二個(gè)步驟,否則轉(zhuǎn)向(6.5)(6.4.1)如果NAP值為“S”或“F”,AP5則開(kāi)始執(zhí)行新加入?yún)f(xié)議;(6.4.2)否則,即如果NAP值為“C”,AP5則報(bào)告失敗并與MT5解除關(guān)聯(lián);(6.5)如果收到是“X幀/優(yōu)化”,AP5則執(zhí)行步驟(6.5.1),否則轉(zhuǎn)向(6.6)(6.5.1)如果NAP值為“S”或“F”,AP5執(zhí)行步驟(6.5.1.1);否則轉(zhuǎn)向(6.5.2);(6.5.1.1)如果NAP值為“S”,AP5執(zhí)行下列二個(gè)步驟之一;否則轉(zhuǎn)(6.5.1.2);(6.5.1.1.1)如PRF值為“N”,AP5開(kāi)始執(zhí)行新加入?yún)f(xié)議;(6.5.1.1.2)否則,AP5開(kāi)始執(zhí)行WAPI;(6.5.1.2)這時(shí)NAP值為“F”,AP5開(kāi)始執(zhí)行新加入?yún)f(xié)議;(6.5.2)這時(shí)NAP值為“C”,AP5開(kāi)始執(zhí)行WAPI;(6.6)如果收到的是“X幀/關(guān)閉”且NAP值為“C”或“S”,AP5開(kāi)始執(zhí)行WAPI;否則,NAP值為“F”,這時(shí)AP5則報(bào)告失敗并與MT5解除關(guān)聯(lián)。
12.按照權(quán)力要求11的方法,其中根據(jù)新加入?yún)f(xié)議的不同而選用不同的用于實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)蔫b別分組類型,對(duì)“四路鑒別協(xié)議”來(lái)說(shuō),本方法選用鑒別分組類型如下◆“四路啟動(dòng)”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/四路啟動(dòng)”,◆“四路請(qǐng)求”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/四路請(qǐng)求”,◆“四路應(yīng)答”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/四路應(yīng)答”,◆“四路成功”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/四路成功”。
13.按照權(quán)力要求11的方法,其中根據(jù)新加入?yún)f(xié)議的不同而選用不同的用于實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)蔫b別分組類型,對(duì)“EAP協(xié)議”來(lái)說(shuō),本方法選用鑒別分組類型如下◆“EAP請(qǐng)求”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/EAP請(qǐng)求”,◆“EAP應(yīng)答”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/EAP應(yīng)答”,◆“EAP成功”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/EAP成功”,◆“EAP失敗”鑒別分組類型,相應(yīng)的以太幀稱為“X幀/EAP失敗”。
14.按照權(quán)力要求11的方法,其中本方法還可要求在用于接入點(diǎn)和鑒別服務(wù)器之間的WAPI報(bào)文中加入新的鑒別報(bào)文類型;這些鑒別報(bào)文類型的具體情況由具體擴(kuò)展協(xié)議決定。
15.按照權(quán)力要求11所述的方法,其中AP5期望MT5先提出協(xié)議選擇,然后再根據(jù)協(xié)議選擇開(kāi)始執(zhí)行原有WAPI協(xié)議或新加入的協(xié)議,考慮到當(dāng)MT5因只帶有原有WAPI功能而不帶有本發(fā)明所描述的擴(kuò)展功能而無(wú)法提出協(xié)議選擇的情況下,AP5會(huì)發(fā)生超時(shí),這時(shí),如NAP值為“C”或“S”,AP5則開(kāi)始執(zhí)行WAPI協(xié)議,其中執(zhí)行WAPI的第一步是發(fā)送“WAPI幀/鑒別激活”。
16.按照權(quán)力要求11所述的方法,其中接入點(diǎn)的“超時(shí)”處理是為了處理移動(dòng)終端只帶有WAPI功能而不帶有本發(fā)明所描述的擴(kuò)展功能而無(wú)法提出協(xié)議選擇的情況而設(shè)置的,所以接入點(diǎn)的超時(shí)必須設(shè)置得比移動(dòng)終端的超時(shí)長(zhǎng),從而使支持本發(fā)明方法的移動(dòng)終端能夠先超時(shí)并發(fā)出“X幀”以啟動(dòng)協(xié)議協(xié)商。
17.按照權(quán)力要求11所述的方法,其中不包括移動(dòng)終端按照IEEE802.11對(duì)IEEE802.11控制幀和管理幀,以及按照中華人民共和國(guó)標(biāo)準(zhǔn)GB15629.11-2003對(duì)相應(yīng)控制幀和管理幀的處理。
18.按照權(quán)力要求11的方法,其中狀態(tài)機(jī)的描述包括了所有的,在已知狀態(tài)變量NAP或PRF永遠(yuǎn)只取某固定值的情況下,通過(guò)省掉對(duì)這些狀態(tài)變量的判斷和無(wú)用的分支而產(chǎn)生的,更簡(jiǎn)單的狀態(tài)機(jī)。
全文摘要
一種在IEEE802.11無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)WAPI(WLAN Authenticationand Privacy Infrastructure)中加入其它鑒別協(xié)議,特別是加入基于接入點(diǎn)和移動(dòng)終端共享密鑰的鑒別協(xié)議及加入基于EAP (Extensible Authentication Protocol)鑒別協(xié)議的方法。本方法實(shí)現(xiàn)了一種在原有WAPI中加入新加協(xié)議及在原有WAPI和新加入?yún)f(xié)議之間的選擇機(jī)制,允許帶有和不帶有新加入?yún)f(xié)議的接入點(diǎn)和移動(dòng)終端選擇協(xié)議進(jìn)行相互鑒別,保證與原有WAPI協(xié)議兼容。本方法可用來(lái)對(duì)對(duì)已帶有WAPI的接入點(diǎn)和移動(dòng)終端進(jìn)行逐步升級(jí)。在本方法中,鑒別過(guò)程可設(shè)置為強(qiáng)制使用原有WAPI或強(qiáng)制使用新加入?yún)f(xié)議,也可設(shè)置為接入點(diǎn)和移動(dòng)終端協(xié)商協(xié)議使用,在都支持新加入?yún)f(xié)議時(shí)選擇使用WAPI或新加入?yún)f(xié)議,在一方不支持新加入?yún)f(xié)議時(shí)使用原有WAPI。本方法在原有WAPI規(guī)定的鑒別數(shù)據(jù)類型之外加入新數(shù)據(jù)類型或在此鑒別數(shù)據(jù)類型中加入新分組類型,用來(lái)裝載協(xié)議協(xié)商信息和新加入?yún)f(xié)議的數(shù)據(jù)。
文檔編號(hào)H04L9/00GK1671136SQ20041000345
公開(kāi)日2005年9月21日 申請(qǐng)日期2004年3月16日 優(yōu)先權(quán)日2004年3月16日
發(fā)明者錢振宇 申請(qǐng)人:神州億品科技(北京)有限公司