專利名稱:Wlan接入網(wǎng)絡中傳遞成對主密鑰的方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及到無線通信技術領域�����,特別涉及到ー種WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法和系統(tǒng)����。
背景技術:
隨著互聯(lián)網(wǎng)應用和智能終端的快速發(fā)展���,WLAN應用已經非常普遍�,很多公共場所被部署�����,用戶可以通過手機����、電腦等各種終端設備,隨時隨地訪問互聯(lián)網(wǎng)進行網(wǎng)上辦公����、娛樂等活動。通過無線局域網(wǎng)接入網(wǎng)絡已是用戶訪問網(wǎng)絡資源最重要的手段之一。為了加強無線設備空口數(shù)據(jù)傳輸?shù)陌踩?���,IEEE 802.1X和IEEE802.1li定義了8021X+EAP接入認證方式和EAPOL-Key密鑰協(xié)商機制。WLAN采用4_Way Handshake的密鑰協(xié)商機制���,促使無線服務端和接入客戶端協(xié)商產生密鑰PTK和GTK,產生的密鑰用于無線設備之間空口數(shù)據(jù)的加解密�,保護無線網(wǎng)絡的可靠和安全。而在進行EAPOL-Key密鑰協(xié)商前����,無線接入客戶端和無線服務端需要有相同的成對主密鑰PMK (pairwise master key),使用802.1X+EAP接入認證方式,接入客戶端可以在鑒權認證的過程獲取PMK�,而無線設備服務端是從AAA服務器發(fā)送的鑒權成功的授權信息中獲取PMK。PMK是進行EAPOL-Key密鑰協(xié)商的密鑰素材����,是進行EAPOL-Key密鑰協(xié)商的基礎。現(xiàn)在實際組網(wǎng)部署中����,無線用戶STA的接入密鑰協(xié)商點和接入認證點往往不是ー個設備,通常采用BNG設備作為接入認證點�����,AP作為接入密鑰協(xié)商點。接入客戶端STA通過802.1X認證過程的MSK獲取PMK���,BNG可以從AAA服務器的授權信息中獲取PMK�����,但AP卻無法直接從AAA鑒權成功的授權信息中獲取PMK�����。這樣�����,就需要解決PMK在BNG和AP之間的傳遞接ロ的問題�,而如果由BNG代理AP來與STA進行密鑰協(xié)商���,并通過特定隧道或特定協(xié)議接ロ傳遞PTK和GTK給AP�����,就會給BNG設備帶來不必要的負擔?���,F(xiàn)有技術中,在AC和BNG融合的設備上����,通過擴展CAPWAP消息元素傳遞PMK或PTK/GTK給AP,但是這種方法對于AC和BNG分離的場景���,則需要在AC和BNG間建立專用的接ロ(特定隧道接ロ或擴展某些協(xié)議)來傳遞PMK,而這個接ロ目前并非標準化接ロ�����,因而會導致兼容性差、互操作性差等問題��。
發(fā)明內容
本發(fā)明的主要目的為提供ー種WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法和系統(tǒng)�,旨在避免因接入認證點傳遞成對主密鑰給密鑰協(xié)商認證點造成的組網(wǎng)兼容性差和接ロ復雜等問題。本發(fā)明提供ー種WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法�,包括:接入密鑰協(xié)商點接收接入客戶端發(fā)送的接入認證報文,在所述接入認證報文中擴展通告信息�,并將擴展后的所述接入認證報文發(fā)送至接入認證點;接入認證點獲取接入客戶端的身份信息��,向認證服務端發(fā)送攜帯所述接入客戶端的身份信息的接入請求報文�����;在接收到認證服務端根據(jù)所述接入請求報文返回的鑒權成功報文后,從其中獲取成對主密鑰���,并根據(jù)之前獲悉的所述通告信息對所述成對主密鑰進行加密�,將加密后所得到的密文封裝在所述鑒權成功報文中發(fā)送至所述接入密鑰協(xié)商點��;接入密鑰協(xié)商點解密所述鑒權成功報文�����,獲取所述成對主密鑰��,并重組不包含所述成對主密鑰的鑒權成功報文發(fā)送至接入客戶端��。優(yōu)選地����,所述通告信息至少包括所述接入密鑰協(xié)商點的公鑰和用于對成對主密鑰進行加密的加密算法;所述公鑰和加密算法可以本地配置��,也可通過網(wǎng)絡管理系統(tǒng)配置����。優(yōu)選地��,所述接入認證點獲取接入客戶端的身份信息���,向認證服務端發(fā)送攜帯所述接入客戶端的身份信息的接入請求報文;在接收到認證服務端根據(jù)所述接入請求報文返回的鑒權成功報文后�,從其中獲取成對主密鑰,井根據(jù)之前獲悉的所述通告信息對所述成對主密鑰進行加密��,將加密后所形成的密文封裝在所述鑒權成功報文中發(fā)送至所述接入密鑰協(xié)商點包括:接入認證點處理所述接入認證報文��,保存其中的通告信息�,并發(fā)送用于索取接入客戶端的身份信息的身份信息索取報文至接入密鑰協(xié)商點,供接入密鑰協(xié)商點將該身份信息索取報文轉發(fā)至接入客戶端��;接收接入密鑰協(xié)商點轉發(fā)的接入客戶端回應的身份信息應答報文�,將所述身份信息應答報文封裝在用于向認證服務端請求接入WLAN的接入請求報文中��,將該接入請求報文發(fā)送至認證服務端���;接收到認證服務端返回的鑒權成功報文后�����,從授權信息中獲取成對主密鑰�,并通過之前所保存的所述通告信息中的加密算法和公鑰對所述成對主密鑰進行加密,將加密后所得到的密文封裝在所述鑒權成功報文中轉發(fā)至接入密鑰協(xié)商點��,供其將報文轉發(fā)給接入客戶端���,告知其認證通過����。優(yōu)選地����,所述接入密鑰協(xié)商點解密所述鑒權成功報文,獲取所述成對主密鑰����,并重組不包含所述成對主密鑰的鑒權成功報文發(fā)送至接入客戶端包括:接入密鑰協(xié)商點根據(jù)所述通告信息解密接收到的所述鑒權成功報文,獲取其中攜帶的所述成對主密鑰����;將所述成對主密鑰從所述鑒權成功報文拆除,重組ー不包含所述成對主密鑰的鑒權成功報文�����,并將重組的所述鑒權成功報文發(fā)送至接入客戶端�;并根據(jù)所述成對主密鑰,與所述接入客戶端進行密鑰協(xié)商�。優(yōu)選地��,在執(zhí)行所述重組不包含所述成對主密鑰的鑒權成功報文發(fā)送至接入客戶端之后��,還包括:接入客戶端接收所述不包含所述成對主密鑰的鑒權成功報文��,發(fā)送IP地址請求報文�����,以獲取IP地址����。本發(fā)明還提供ー種WLAN接入網(wǎng)絡中傳遞成對主密鑰的系統(tǒng),包括接入客戶端�����、認證服務端����、接入密鑰協(xié)商點和接入認證點���,其中����,所述接入密鑰協(xié)商點,用于接收接入客戶端發(fā)送的接入認證報文���,在所述接入認證報文中擴展通告信息�����,并將擴展后的所述接入認證報文發(fā)送至接入認證點����;還用于解密接入認證點發(fā)送的鑒權成功報文�,獲取所述成對主密鑰,并重組不包含所述成對主密鑰的鑒權成功報文發(fā)送至接入客戶端���;所述接入認證點�����,用于獲取接入客戶端的身份信息�,向認證服務端發(fā)送攜帯所述接入客戶端的身份信息的接入請求報文��;在接收到認證服務端根據(jù)所述接入請求報文返回的鑒權成功報文后�,從其中獲取成對主密鑰�����,井根據(jù)所述通告信息對所述成對主密鑰進行加密�,將加密后所得到的密文封裝在所述鑒權成功報文中發(fā)送至所述接入密鑰協(xié)商點�����;所述接入客戶端��,用于發(fā)送接入認證報文至所述接入密鑰協(xié)商點���,并接收所述不包含所述成對主密鑰的鑒權成功報文�����,發(fā)送IP地址請求報文�����,以獲取IP地址�;所述認證服務端�����,用于根據(jù)所述接入認證點發(fā)送的接入請求報文���,判斷所述接入客戶端是否通過認證��,若是��,則返回授權信息攜帯成對主密鑰的鑒權成功報文至所述接入認證點��。優(yōu)選地�����,所述接入認證點具體用于:處理所述接入認證報文���,保存其中的通告信息,并發(fā)送用于索取接入客戶端的身份信息的身份信息索取報文至接入密鑰協(xié)商點�,供接入密鑰協(xié)商點將該身份信息索取報文轉發(fā)至接入客戶端;接收接入密鑰協(xié)商點轉發(fā)的接入客戶端回應的身份信息應答報文����,將所述身份信息應答報文封裝在用于向認證服務端請求接入WLAN的接入請求報文中,將該接入請求報文發(fā)送至認證服務端�����;接收到認證服務端返回的鑒權成功報文后,從授權信息中獲取成對主密鑰�����,并通過之前所保存的所述通告信息中的加密算法和公鑰對所述成對主密鑰進行加密��,將加密后所得到的密文封裝在所述鑒權成功報文中轉發(fā)至接入密鑰協(xié)商點�����,供其將報文轉發(fā)給接入客戶端����,告知其認證通過。優(yōu)選地���,所述接入密鑰協(xié)商點具體用于:根據(jù)所述通告信息解密接收到的所述鑒權成功報文�����,獲取其中攜帯的所述成對主密鑰���;將所述成對主密鑰從所述鑒權成功報文拆除,重組ー不包含所述成對主密鑰的鑒權成功報文,并將重組的所述鑒權成功報文發(fā)送至接入客戶端���;并根據(jù)所述成對主密鑰,與所述接入客戶端進行密鑰協(xié)商。本發(fā)明通過接入密鑰協(xié)商點接收接入客戶端發(fā)送的接入認證報文�,在接入認證報文中擴展通告信息,并將擴展后的接入認證報文發(fā)送至接入認證點��;接入認證點獲取接入客戶端的身份信息�����,向認證服務端發(fā)送攜帯接入客戶端的身份信息的接入請求報文����;并在接收到鑒權成功報文后,從其中獲取成對主密鑰��,并根據(jù)通告信息對成對主密鑰進行加密�,將加密后得到的密文封裝在鑒權成功報文中發(fā)送至接入密鑰協(xié)商點;接入密鑰協(xié)商點解密鑒權成功報文����,獲取成對主密鑰,并重組不包含成對主密鑰的鑒權成功報文發(fā)送至接入客戶端����。通過對接入認證報文進行擴展���,以及對鑒權成功報文進行擴展,從而實現(xiàn)傳遞成對主密鑰給接入認證點和接入密鑰協(xié)商點��,由于無需在接入密鑰協(xié)商點和接入認證點之間建立專用的接ロ���,從而避免了因接入認證點傳遞成對主密鑰給接入密鑰協(xié)商點造成的組網(wǎng)兼容性差和接ロ復雜等問題�。
圖1為本發(fā)明WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法一實施例的流程示意圖���;圖2為本發(fā)明WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法中接入認證點向認證服務端發(fā)送接入請求報文的流程示意圖�;圖3為本發(fā)明WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法中接入密鑰協(xié)商點獲取成對主密鑰的流程示意圖���;圖4為本發(fā)明WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法另ー實施例的流程示意圖��;圖5為本發(fā)明WLAN接入網(wǎng)絡中傳遞成對主密鑰的系統(tǒng)ー實施例的結構示意圖�����。本發(fā)明目的的實現(xiàn)���、功能特點及優(yōu)點將結合實施例�����,參照附圖做進ー步說明�����。
具體實施例方式應當理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明����,并不用于限定本發(fā)明。本發(fā)明提供ー種WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法���。通過對接入認證報文進行擴展���,以及對鑒權成功報文進行擴展,實現(xiàn)從接入認證點傳遞成對主密鑰給密鑰協(xié)商認證點�����,而無需在接入密鑰協(xié)商點和接入認證點之間建立專用的接ロ來傳遞��。參照圖1�����,圖1為本發(fā)明WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法一實施例的流程示意圖。本實施例所提供的WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法���,包括:步驟S10�����,接入密鑰協(xié)商點接收接入客戶端發(fā)送的接入認證報文�,在接入認證報文中擴展通告信息�,并將擴展后的接入認證報文發(fā)送至接入認證點;本實施例中���,接入客戶端與認證服務端之間的鑒權協(xié)議可以為EAP鑒權協(xié)議���,該EAP鑒權協(xié)議可以包括EAP-PEAP、EAP-S頂��、EAP-AKA����、EAP-TLS、EAP-1TLS等協(xié)議�����;而接入認證點與認證服務端之間的認證協(xié)議可以是Radius協(xié)議或Diameter協(xié)議;接入密鑰協(xié)商點可以為AP設備或AC設備��,接入認證點可以為BNG設備�。在接入客戶端通過WLAN接入網(wǎng)絡吋,首先與位于其附近的接入密鑰協(xié)商點關聯(lián)�����,關聯(lián)成功后�,接入客戶端會向該接入密鑰協(xié)商點發(fā)送用于對自身身份進行認證的接入認證報文�����,本實施例中����,該接入認證報文可以為EAPOL-Start報文。而接入密鑰協(xié)商點接收到該接入認證報文后��,對其進行擴展��,即在EAPOL-Start報文中擴展通告信息���,該通告信息可以包括接入密鑰協(xié)商點的公鑰和用于對成對主密鑰進行加密的加密算法等信息�,這些信息所需要的公鑰和加密算法可以本地配置,也可通過網(wǎng)絡管理系統(tǒng)配置����。對接入認證報文進行擴展后,將其發(fā)送至接入認證點����。步驟S20,接入認證點獲取接入客戶端的身份信息���,向認證服務端發(fā)送攜帯接入客戶端的身份信息的接入請求報文����;在接收到認證服務端根據(jù)接入請求報文返回的鑒權成功報文后�����,從其中獲取成對主密鑰�,并根據(jù)之前獲悉的通告信息對成對主密鑰進行加密,將加密后所得到的密文封裝在鑒權成功報文中發(fā)送至接入密鑰協(xié)商點�;接入認證點接收到進行擴展后的接入認證報文后,獲取接入客戶端的身份信息����,并在得到接入客戶端的身份信息后�,將接入客戶端的身份信息封裝至接入認證點發(fā)送至認證服務端以請求接入的接入請求報文中發(fā)送至認證服務端��,本實施例中����,該接入請求報文可以為Radius協(xié)議的Access-Request報文。而認證服務端在接收到接入請求報文后,會與接入客戶端協(xié)商具體的鑒權方式�����,并最終判斷該接入客戶端是否可以通過認證���。在接入客戶端認證成功后,認證服務端會返回鑒權成功報文至接入認證點���,本實施例中�����,該鑒權成功報文可以為Radius協(xié)議的Access-Acc^pt報文�,該報文的屬性中包含EAP-SUCCESS報文�。而接入認證點接收到鑒權成功報文后�,從該鑒權成功報文的授權屬性中獲取成對主密鑰��,然后�,根據(jù)通告信息中的加密算法對成對主密鑰進行加密,將加密后所形成的密文封裝在鑒權成功報文(EAP-SUCCESS報文)中����,并將該鑒權成功報文發(fā)送至接入密鑰協(xié)商點。步驟S30�,接入密鑰協(xié)商點解密鑒權成功報文,獲取成對主密鑰�,并重組不包含成對主密鑰的鑒權成功報文發(fā)送至接入客戶端。
接入密鑰協(xié)商點根據(jù)相同的加密算法解密所接收到的鑒權成功報文����,從而獲取成對主密鑰,并且對鑒權成功報文進行重組����,即重組ー個不包含成對主密鑰的鑒權成功報文,并將重組后的鑒權成功報文發(fā)送至接入客戶端�。本發(fā)明實施例,通過接入密鑰協(xié)商點接收接入客戶端發(fā)送的接入認證報文����,在接入認證報文中擴展通告信息��,并將擴展后的接入認證報文發(fā)送至接入認證點�;接入認證點獲取接入客戶端的身份信息�����,向認證服務端發(fā)送攜帯接入客戶端的身份信息的接入請求報文��;并在接收到鑒權成功報文后����,從其中獲取成對主密鑰,井根據(jù)通告信息對成對主密鑰進行加密�����,將加密后得到的密文封裝在鑒權成功報文中發(fā)送至接入密鑰協(xié)商點�����;接入密鑰協(xié)商點解密鑒權成功報文���,獲取成對主密鑰,并重組不包含成對主密鑰的鑒權成功報文發(fā)送至接入客戶端。通過對接入認證報文進行擴展�����,以及對鑒權成功報文進行擴展��,從而實現(xiàn)從接入認證點傳遞成對主密鑰給接入密鑰協(xié)商點�,由于無需在接入密鑰協(xié)商點和接入認證點之間建立專用的接ロ,從而避免了因接入認證點傳遞成對主密鑰給接入密鑰協(xié)商點造成的組網(wǎng)兼容性差和接ロ復雜等問題�����。參照圖2��,圖2為本發(fā)明WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法中接入認證點向認證服務端發(fā)送接入請求報文的流程示意圖����。在上述實施例中,步驟S20包括:步驟S201���,接入認證點處理接入認證報文���,保存其中的通告信息,并發(fā)送用于索取接入客戶端的身份信息的身份信息索取報文至接入密鑰協(xié)商點�����,供接入密鑰協(xié)商點將該身份信息索取報文轉發(fā)至接入客戶端;接入認證點接收到接入密鑰協(xié)商點轉發(fā)的接入客戶端所發(fā)送的接入認證報文后��,首先保存其中的包括接入密鑰協(xié)商點的公鑰和用于對成對主密鑰進行加密的加密算法等信息的通告信息�。然后,向接入密鑰協(xié)商點發(fā)送用于索取接入客戶端的身份信息的身份信息索取報文�,本實施例中,該身份信息索取報文可以為EAPoL/Eap-Request/Identity報文���,以供接入密鑰協(xié)商點將該身份信息索取報文轉發(fā)至接入客戶端��。步驟S202����,接收接入密鑰協(xié)商點轉發(fā)的接入客戶端回應的身份信息應答報文���,將身份信息應答報文封裝在用于向認證服務端請求接入WLAN的接入請求報文中�����,將該接入請求報文發(fā)送至認證服務端�;在接入客戶端接收到身份信息索取報文后�,會回應攜帶自身身份信息的身份信息應答報文至接入密鑰協(xié)商點,而接入密鑰協(xié)商點則將身份信息應答報文轉發(fā)至接入認證點��。而接入認證點將接收到的身份信息應答報文封裝在用于向認證服務端請求接入WLAN的接入請求報文中��,然后����,將該接入請求報文發(fā)送至認證服務端,以請求接入�����。步驟S203��,接收到認證服務端返回的鑒權成功報文后����,從授權信息中獲取成對主密鑰,并通過之前所保存的通告信息中的加密算法和公鑰對成對主密鑰進行加密�,將加密后所得到的密文封裝在鑒權成功報文中轉發(fā)至接入密鑰協(xié)商點,供其將報文轉發(fā)給接入客戶端�,告知其認證通過。接入認證點接收到認證服務端所返回的鑒權成功報文后���,從該鑒權成功報文的授權信息中獲取成對主密鑰�,然后,通過之前所保存的通告信息中的加密算法對成對主密鑰進行加密��,將加密后所得到的密文封裝在鑒權成功報文中��,并將該鑒權成功報文發(fā)送至接入密鑰協(xié)商點���,供其在收到鑒權成功報文后����,將鑒權成功報文轉發(fā)至接入客戶端��,以告知接入客戶端認證通過��。接入認證點處理接收到的接入認證報文��,保存其中的通告信息�����,并發(fā)送身份信息索取報文至接入密鑰協(xié)商點����,而在接收到接入密鑰協(xié)商點轉發(fā)的接入客戶端回應的身份信息應答報文后,將身份信息應答報文封裝在用于向認證服務端請求接入WLAN的接入請求報文中���,將該接入請求報文發(fā)送至認證服務端�����;并且���,在接收到認證服務端所返回的鑒權成功報文后,對其中的成對主密鑰進行加密���,將得到的密文封裝在鑒權成功報文中發(fā)送至接入密鑰協(xié)商點��。從而通過對接入請求報文進行擴展��,為避免因傳遞成對主密鑰給接入認證點造成的組網(wǎng)兼容性差和接ロ復雜等問題提供了基礎�。參照圖3�����,圖3為本發(fā)明WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法中接入密鑰協(xié)商點獲取成對主密鑰的流程示意圖����。在上述實施例中,步驟S30包括:步驟S31����,接入密鑰協(xié)商點根據(jù)通告信息解密接收到的鑒權成功報文�����,獲取其中攜帶的成對主密鑰�����;步驟S32���,將成對主密鑰從鑒權成功報文拆除,重組ー不包含成對主密鑰的鑒權成功報文�����,并將重組的鑒權成功報文發(fā)送至接入客戶端���;并根據(jù)成對主密鑰����,與接入客戶端進行密鑰協(xié)商����。接入密鑰協(xié)商點在接收到接入認證點發(fā)送的包括加密后的成對主密鑰的鑒權成功報文后,根據(jù)通告信息中與加密該成對主密鑰同樣的加密算法解密接收到的鑒權成功報文����,獲取其中攜帯的成對主密鑰���;然后���,根據(jù)所獲取的成對主密鑰����,與接入客戶端進行密鑰協(xié)商。然后���,對鑒權成功報文進行重組�����,即將成對主密鑰從鑒權成功報文中拆除�,形成ー不包含成對主密鑰的鑒權成功報文����,將該重組后的鑒權成功報文發(fā)送至接入客戶端,以通知接入客戶端接入認證成功���,可以進行WLAN的接入���。接入密鑰協(xié)商點根據(jù)通告信息解密接收到的鑒權成功報文��,獲取其中攜帯的成對主密鑰�,并根據(jù)成對主密鑰���,與接入客戶端進行密鑰協(xié)商����;然后,將成對主密鑰從鑒權成功報文拆除��,重組ー不包含成對主密鑰的鑒權成功報文發(fā)送至接入客戶端��,這樣���,接入密鑰協(xié)商點便可以通過對鑒權成功報文所進行的擴展獲取到成對主密鑰�,從而進ー步為避免因傳遞成對主密鑰給接入認證點造成的組網(wǎng)兼容性差和接ロ復雜等問題提供了基礎�����。參照圖4,圖4為本發(fā)明WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法另ー實施例的流程不意圖����。基于本發(fā)明WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法ー實施例�����,在執(zhí)行步驟S30之后��,該方法還包括:步驟S40���,接入客戶端接收不包含成對主密鑰的鑒權成功報文,發(fā)送IP請求報文����,以獲取IP地址。
在接入客戶端接收到接入密鑰協(xié)商點所發(fā)送的不包含成對主密鑰的鑒權成功報文后����,開始進行WLAN的接入,即向WLAN側的服務器發(fā)送IP請求報文��,以請求獲取接入網(wǎng)絡的IP地址�����,從而根據(jù)獲取到的IP地址完成網(wǎng)絡接入。在接入客戶端接收到接入密鑰協(xié)商點所發(fā)送的不包含成對主密鑰的鑒權成功報文后���,發(fā)送IP請求報文��,以根據(jù)獲取到的IP地址完成網(wǎng)絡接入�,從而更進ー步通過對接入認證報文和鑒權成功報文所進行的擴展����,為用戶接入WLAN網(wǎng)絡提供了較大的方便。以下以三種組網(wǎng)方式作為本發(fā)明的三個實施方式�����,來說明本發(fā)明WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法的方案�,在該三個實施方式中,接入客戶端STA與認證服務端AAA服務器之間的鑒權協(xié)議為EAP鑒權協(xié)議�,而接入認證點BNG與認證服務端AAA服務器之間的認證協(xié)議為Radius協(xié)議;接入密鑰協(xié)商點為AP設備�,接入認證點為BNG設備。一����、實施方式一:胖AP部署場景����,AP進行本地轉發(fā)��。AP處于STA和BNG的之間�,此組網(wǎng)場景下,不需要AC參與����。具體實現(xiàn)方法如下:步驟1:接入客戶端STA關聯(lián)AP后,發(fā)起EAPol-Start報文觸發(fā)EAP鑒權�。步驟2:AP 收到 STA 的 EAPol-Start 報文后,在 EAPol-Start 報文中擴展 EAPoL V3版本支持的通告信息��,即通過TLV選項攜帯AP的公鑰和加密算法等信息�����,將擴展后的報文發(fā)送至BNG�����。步驟3 =BNG處理EAPol-Start報文�����,保存STA和AP的關聯(lián)關系以及AP的公鑰和加密算法等信息����,通過發(fā)送EAPol/Eap-Req/Identity報文,向STA索要身份信息��。步驟4:AP轉發(fā)EAPol/Eap-Req/Identity報文給接入客戶端STA�����。步驟5 =STA對EAPol/Eap-Req/Identity報文做出回應���,發(fā)送身份信息響應報文EAPo1/Eap-Res/Identity 至 AP����。步驟6:AP 轉發(fā) EAPol/Eap/Res/Identity 報文至 BNG�����。步驟7 =BNG 將 EAPol/Eap/Res/Identity 報文封裝在 RADIUS 協(xié)議的Access-Request中�,發(fā)送給AAA服務器。步驟8 =AAA服務器和STA協(xié)商具體的鑒權方式���,并最終判斷STA是否可以通過認證����。步驟9 =AAA服務器根據(jù)判斷結果發(fā)送鑒權成功的EAP-SUCCESS報文或鑒權失敗的EAP-FAILURE報文,并將EAP-SUCCESS報文或EAP-FAILURE報文封裝在RADIUS協(xié)議的Access-Accept/Reject 報文中��,發(fā)送至 BNG���。步驟10:如果BNG收到Access-Accept報文���,則解析AAA服務器下發(fā)的授權屬性密鑰素材相關字段(例如MS_MPPE_RCV_KEY)獲得成對主密鑰PMK,并用和AP約定的加密算法和密鑰對其進行加密��,將PMK封裝到EAP-SUCCESS報文的尾部���。而如果BNG收到Access-Reject報文����,則通過AP下發(fā)EAP-FAILURE報文給STA��,供STA重新觸發(fā)鑒權流程���。步驟11:BNG把封裝后的EAP-SUCCESS報文發(fā)送給AP。在EAP-Success報文最后增加加密的PmkData字段����,EAPol報文中的Length和EAP報文中的Length都要增加PMK密文的長度pmk_len��。步驟12:AP從經過擴展的EAP-SUCCESS報文中用和BNG約定的加密算法和本地私鑰解密獲得PMK���,并把PMK從EAP0L-SUCCESS拆除,重組ー個EAP-SUCCESS發(fā)送至STA���。重組EAP-Success報文時�����,也需要還原原來的EAPol的Length和EAP中的Length,減去PMK密文的長度�����。至此����,STA和AP分別獲取PMK���。步驟13:AP發(fā)送重組后的EAP-SUCCESS報文給STA�����。STA在收到鑒權成功的消息后�,開始DHCP流程以獲取IP地址。ニ�����、實施方式ニ:瘦AP部署場景��,AP進行集中轉發(fā)�����。無線接入控制器AC和BNG可以采用融合的方式�,也可以采用分離的組合模式,不管在AC分離的組網(wǎng)下���,還是AC和BNG融合的組網(wǎng)下�����,EAP-SUCCES攜帶的PMK���,都可以在AP側進行解析出PMK。本實施方式采用AC和BNG分離的組網(wǎng)模式。AP通過發(fā)現(xiàn)AC請求/響應���、AP加入AC請求/響應、AP狀態(tài)變更請求/響應��、配置更新請求/響應等步驟完成AP的上線�,和AC之間建立起CAPWAP控制隧道。步驟1:接入客戶端STA和AP建立關聯(lián)后�����,發(fā)起EAPol-Start報文觸發(fā)EAP鑒權���。步驟2:AP接收到STA發(fā)送的EAPol-Start報文后��,在EAPo1-Start報文中擴展EAPoL V3版本支持的通告信息���,即通過TLV選項攜帯AP的公鑰和加密算法等信息,將擴展后的EAPol-Start報文通過和AC之間的CAPWAP數(shù)據(jù)隧道發(fā)送EAPol-Start報文至AC����。步驟3:AC解析通過CAPWAP隧道收到的EAPol-Start報文,并把EAPol-Start報文通過ニ層網(wǎng)絡轉發(fā)至BNG�。步驟4 =BNG處理EAPol-Start報文,保存STA和AP的關聯(lián)關系以及AP的公鑰和加密算法等信息,通過發(fā)送EAPol/Eap-Req/Identity報文給AC��,向STA索要身份信息�。步驟5:AC 通過 CAPWA 隧道發(fā)送 EAPol/Eap-Req/Identity 報文至 AP。步驟6:AP 轉發(fā) EAPol/Eap- Req /Identity 報文至 STA��。步驟7:STA對EAPol/Eap-Req/Identity報文做出回應���,發(fā)送身份信息響應報文EAPo1/Eap-Res/Identity 至 AP�。步驟8:AP 通過 CAPWAP 隧道傳輸 EAPol/Eap-Res/Identity 報文至 AC����。步驟9:AC 轉發(fā)收到的 EAPol/Eap-Res/Identity 報文至 BNG。步驟10 =BNG 把 EPol/Eap-Res/Identity 報文封裝在 RADIUS 協(xié)議的Access-Request報文中�,發(fā)送至AAA服務器。步驟11:AAA服務器和STA協(xié)商具體的鑒權方式��,并最終判斷STA是否可以通過認證��。根據(jù)判斷結果發(fā)送鑒權成功的EAP-SUCCESS報文或鑒權失敗的EAP-FAILURE報文����,并將 EAP-SUCCESS 報文或 EAP-FAILURE 報文封裝在 RADIUS 協(xié)議的 Access-Acc印t/Re ject 報文中,發(fā)送至BNG����。步驟12:如果BNG收到Access-Accept報文�,則解析AAA服務器下發(fā)的授權屬性密鑰素材相關字段(例如MS_MPPE_RCV_KEY)獲得成對主密鑰PMK��,并用和AP約定的加密算法和密鑰對其進行加密�,將PMK封裝到EAP-SUCCESS報文的尾部���。而如果BNG收到Access-Reject報文�����,則通過AP下發(fā)EAP-FAILURE報文給STA���,供STA重新觸發(fā)鑒權流程。步驟13 =BNG把封裝后的EAP-SUCCESS報文發(fā)送給AC���。在EAP-Success報文最后增加加密的PmkData字段���,EAPol報文中的Length和EAP報文中的Length都要增加PMK密文的長度pmk_len。步驟14:由AC通過CAPWAP隧道傳輸擴展的EAP-Success報文至AP�����。步驟15:AP從經過擴展的EAP-SUCCESS報文中用和BNG約定的加密算法和本地私鑰解密獲得PMK,并把PMK從EAPOL-SUCCESS拆除�����,重組ー個EAP-SUCCESS發(fā)送至STA�。重組EAP-Success報文時,也需要還原原來的EAPol的Length和EAP中的Length,減去PMK密文的長度�。至此,STA和AP分別獲取PMK����。步驟16:AP發(fā)送重組后的EAP-SUCCESS報文給STA。STA在收到鑒權成功的消息后���,開始DHCP流程以獲取IP地址�����。在AC和BNG分離式組網(wǎng)環(huán)境下�����,AC也可以代理AP以相同的方式從BNG獲得STA的PMK���,然后通過CAPWAP隧道協(xié)議中的消息元素下發(fā)PMK給AP��。三���、實施方式三:瘦AP部署場景,AP本地轉發(fā)模式����。本實施方式采用AC和BNG分離的組網(wǎng)模式,AC�����、AP��、BNG三者通過SW相連���。AP通過發(fā)現(xiàn)AC請求/響應、AP加入AC請求/響應��、AP狀態(tài)變更請求/響應�����、配置更新請求/響應等步驟完成AP的上線�����,和AC之間建立起CAPWAP控制隧道。步驟1:接入客戶端STA和AP建立關聯(lián)后���,發(fā)起EAPol-Start報文觸發(fā)EAP鑒權�。步驟2:AP接收到STA發(fā)送的EAPol-Start報文后���,在EAPol-Start報文中擴展EAPoL V3版本支持的通告信息��,即通過TLV選項攜帯AP的公鑰和加密算法等信息��,將擴展后的EAPol-Start報文發(fā)送至BNG�����。步驟3:BNG處理所接收到的EAPol-Start報文���,保存STA和AP的關聯(lián)關系以及AP的公鑰和加密算法等信息,通過發(fā)送EAPol/Eap-Req/Identity報文給AC�,向STA索要身份信息。步驟6:AP 轉發(fā) EAPol/Eap- Req /Identity 報文至 STA���。步驟7:STA對EAPol/Eap-Req/Identity報文做出回應�,發(fā)送身份信息響應報文EAPol/Eap-Res/Identity 至 AP。步驟8:AP 轉發(fā)收到的 EAPol/Eap-Res/Identity 報文至 BNG��。步驟9 =BNG 把 EPol/Eap-Res/Identity 報文封裝在 RADIUS 協(xié)議的Access-Request報文中����,發(fā)送至AAA服務器。步驟10:AAA服務器和STA協(xié)商具體的鑒權方式�,并最終判斷STA是否可以通過認證。根據(jù)判斷結果發(fā)送鑒權成功的EAP-SUCCESS報文或鑒權失敗的EAP-FAILURE報文���,并將 EAP-SUCCESS 報文或 EAP-FAILURE 報文封裝在 RADIUS 協(xié)議的 Access-Acc印t/Re ject 報文中����,發(fā)送至BNG���。步驟11:如果BNG收到Access-Accept報文,則解析AAA服務器下發(fā)的授權屬性密鑰素材相關字段(例如MS_MPPE_RCV_KEY)獲得成對主密鑰PMK���,并用和AP約定的加密算法和密鑰對其進行加密����,將PMK封裝到EAP-SUCCESS報文的尾部�����。而如果BNG收到Access-Reject報文,則通過AP下發(fā)EAP-FAILURE報文給STA�,供STA重新觸發(fā)鑒權流程。步驟12 =BNG把封裝后的EAP-SUCCESS報文發(fā)送給AP����。在EAP-Success報文最后增加加密的PmkData字段,EAPol報文中的Length和EAP報文中的Length都要增加PMK密文的長度pmk_len����。步驟13:AP從經過擴展的EAP-SUCCESS報文中用和BNG約定的加密算法和本地私鑰解密獲得PMK,并把PMK從EAPOL-SUCCESS拆除��,重組ー個EAP-SUCCESS發(fā)送至STA����。重組EAP-Success報文時,也需要還原原來的EAPol的Length和EAP中的Length,減去PMK密文的長度�����。至此����,STA和AP分別獲取PMK�。步驟14:AP發(fā)送重組后的EAP-SUCCESS報文給STA�。STA在收到鑒權成功的消息后,開始DHCP流程以獲取IP地址����。本發(fā)明還提供ー種WLAN接入網(wǎng)絡中傳遞成對主密鑰的系統(tǒng)。參照圖5���,圖5為本發(fā)明WLAN接入網(wǎng)絡中傳遞成對主密鑰的系統(tǒng)ー實施例的結構示意圖����。本實施例所提供的WLAN接入網(wǎng)絡中傳遞成對主密鑰的系統(tǒng)�����,包括接入客戶端100�����、認證服務端200��、接入密鑰協(xié)商點300和接入認證點400��,其中���,接入密鑰協(xié)商點300�����,用于接收接入客戶端發(fā)送的接入認證報文�����,在接入認證報文中擴展通告信息��,并將擴展后的接入認證報文發(fā)送至接入認證點���;還用于解密接入認證點發(fā)送的鑒權成功報文,獲取成對主密鑰,并重組不包含成對主密鑰的鑒權成功報文發(fā)送至接入客戶端��;接入認證點400��,用于獲取接入客戶端的身份信息���,向認證服務端發(fā)送攜帯接入客戶端的身份信息的接入請求報文�;在接收到認證服務端根據(jù)接入請求報文返回的鑒權成功報文后����,從其中獲取成對主密鑰��,并根據(jù)之前獲悉的通告信息對成對主密鑰進行加密����,將加密后所得到的密文封裝在鑒權成功報文中發(fā)送至接入密鑰協(xié)商點��;接入客戶端100�,用于發(fā)送接入認證報文至接入密鑰協(xié)商點,并接收不包含成對主密鑰的鑒權成功報文����,發(fā)送IP請求報文,以獲取IP地址��;認證服務端200��,用于根據(jù)接入認證點發(fā)送的接入請求報文��,判斷接入客戶端是否通過認證����,若是�,則返回鑒權成功報文至接入認證點。本實施例中,接入客戶端100與認證服務端200之間的鑒權協(xié)議可以為EAP鑒權協(xié)議��,該 EAP 鑒權協(xié)議可以包括 EAP-PEAP�、EAP-SIM, EAP-AKA, EAP-TLS, EAP-TTLS 等協(xié)議;而接入認證點400與認證服務端200之間的認證協(xié)議可以是Radius協(xié)議或Diameter協(xié)議���;接入密鑰協(xié)商點300可以為AP設備�����,接入認證點400可以為BNG設備����。在接入客戶端100通過WLAN接入網(wǎng)絡時���,首先與位于其附近的接入密鑰協(xié)商點300關聯(lián)�����,關聯(lián)成功后�,接入客戶端100會向該接入密鑰協(xié)商點300發(fā)送用于對自身身份進行認證的接入認證報文,本實施例中��,該接入認證報文可以為EAPOL-Start報文����。而接入密鑰協(xié)商點300接收到該接入認證報文后�����,對其進行擴展�,即在EAPOL-Start報文中擴展EAP鑒權協(xié)議所支持的通告信息����,該通告信息可以包括接入密鑰協(xié)商點的公鑰和用于對成對主密鑰進行加密的加密算法等信息,其中�����,公鑰和加密算法可以本地配置��,也可通過網(wǎng)絡管理系統(tǒng)配置�����。對接入認證報文進行擴展后�����,將其發(fā)送至接入認證點400���。接入認證點400接收到進行擴展后的接入認證報文后�����,獲取接入客戶端100的身份信息���,并在得到接入客戶端100的身份信息后,將接入客戶端100的身份信息封裝至發(fā)送至認證服務端200以請求接入的接入請求報文中發(fā)送至認證服務端200���,本實施例中�,該接入請求報文可以為Radius協(xié)議的Access-Request報文�。而認證服務端200在接收到接入請求報文后,會與接入客戶端100協(xié)商具體的鑒權方式�����,并最終判斷該接入客戶端100是否可以通過認證��。在接入客戶端100認證成功后����,認證服務端200會返回鑒權成功報文至接入認證點400,本實施例中�,該鑒權成功報文可以為EAP-SUCCESS報文��。而接入認證點400接收到鑒權成功報文后���,從該鑒權成功報文中獲取成對主密鑰,然后��,根據(jù)通告信息中的加密算法對成對主密鑰進行加密�����,將所得到的密文封裝在鑒權成功報文中�����,并將該鑒權成功報文發(fā)送至接入密鑰協(xié)商點300����。接入密鑰協(xié)商點300根據(jù)相同的加密算法解密所接收到的鑒權成功報文,從而獲取成對主密鑰�����,并且對鑒權成功報文進行重組����,即重組ー個不包含成對主密鑰的鑒權成功報文���,并將重組后的鑒權成功報文發(fā)送至接入客戶端100。在接入客戶端100接收到接入密鑰協(xié)商點300所發(fā)送的不包含成對主密鑰的鑒權成功報文后���,開始進行WLAN的接入�,即向WLAN側的服務器發(fā)送IP地址獲取報文����,以請求獲取接入網(wǎng)絡的IP地址���,從而根據(jù)獲取到的IP地址完成網(wǎng)絡接入����。本發(fā)明實施例�����,通過接入密鑰協(xié)商點接收接入客戶端發(fā)送的接入認證報文����,在接入認證報文中擴展通告信息,并將擴展后的接入認證報文發(fā)送至接入認證點��;接入認證點獲取接入客戶端的身份信息,向認證服務端發(fā)送攜帯接入客戶端的身份信息的接入請求報文�����;并在接收到鑒權成功報文后����,從其中獲取成對主密鑰,井根據(jù)通告信息對成對主密鑰進行加密�����,將加密后的成對主密鑰封裝在鑒權成功報文中發(fā)送至接入密鑰協(xié)商點�����;接入密鑰協(xié)商點解密鑒權成功報文��,獲取成對主密鑰�,并重組不包含成對主密鑰的鑒權成功報文發(fā)送至接入客戶端。通過對接入認證報文進行擴展�,以及對鑒權成功報文進行擴展,從而實現(xiàn)傳遞成對主密鑰給接入認證點和接入密鑰協(xié)商點����,由于無需在接入密鑰協(xié)商點和接入認證點之間建立專用的接ロ����,從而避免了因接入認證點傳遞成對主密鑰給接入密鑰協(xié)商點造成的組網(wǎng)兼容性差和接ロ復雜等問題���。在上述實施例中�,接入認證點400具體用于:處理接入認證報文��,保存其中的通告信息�����,并發(fā)送用于索取接入客戶端的身份信息的身份信息索取報文至接入密鑰協(xié)商點��,供接入密鑰協(xié)商點將該身份信息索取報文轉發(fā)至接入客戶端�����;接收接入密鑰協(xié)商點轉發(fā)的接入客戶端回應的身份信息應答報文���,將身份信息應答報文封裝在用于向認證服務端請求接入WLAN的接入請求報文中,將該接入請求報文發(fā)送至認證服務端�;接收到認證服務端返回的鑒權成功報文后,從授權信息中獲取成對主密鑰��,并通過之前所保存的通告信息中的加密算法和公鑰對成對主密鑰進行加密,將加密后所得到的密文封裝在鑒權成功報文中轉發(fā)至接入密鑰協(xié)商點����,供其將報文轉發(fā)給接入客戶端,告知其認證通過����。接入認證點400接收到接入密鑰協(xié)商點300轉發(fā)的接入客戶端100所發(fā)送的接入認證報文后,首先保存其中的包括接入密鑰協(xié)商點的公鑰和用于對成對主密鑰進行加密的加密算法等信息的通告信息�。然后,向接入密鑰協(xié)商點300發(fā)送用于索取接入客戶端100的身份信息的身份信息索取報文��,本實施例中����,該身份信息索取報文可以為EAPol/Eap-Req/Identity報文,以供接入密鑰協(xié)商點300將該身份信息索取報文轉發(fā)至接入客戶端100�。在接入客戶端100接收到身份信息索取報文后,會回應攜帶自身身份信息的身份信息應答報文至接入密鑰協(xié)商點300���,而接入密鑰協(xié)商點300則將身份信息應答報文轉發(fā)至接入認證點400����。而接入認證點400將接收到的身份信息應答報文封裝在用于向認證服務端200請求接入WLAN的接入請求報文中,然后�,將該接入請求報文發(fā)送至認證服務端200,以請求接入���。
接收到認證服務端200所返回的鑒權成功報文后�����,從該鑒權成功報文的授權信息中獲取成對主密鑰�����,然后��,通過之前所保存的通告信息中的加密算法對成對主密鑰進行加密����,將加密后所得到的密文封裝在鑒權成功報文中�,并將該鑒權成功報文發(fā)送至接入密鑰協(xié)商點300����,供其在收到鑒權成功報文后,將鑒權成功報文轉發(fā)至接入客戶端100�,以告知接入客戶端100認證通過。接入認證點處理接收到的接入認證報文,保存其中的通告信息���,并發(fā)送身份信息索取報文至接入密鑰協(xié)商點����,而在接收到接入密鑰協(xié)商點轉發(fā)的接入客戶端回應的身份信息應答報文后�����,將身份信息應答報文封裝在用于向認證服務端請求接入WLAN的接入請求報文中��,將該接入請求報文發(fā)送至認證服務端���;并且���,在接收到認證服務端所返回的鑒權成功報文后,對其中的成對主密鑰進行加密�����,將得到的密文封裝在鑒權成功報文中發(fā)送至接入密鑰協(xié)商點�����。從而通過對接入請求報文進行擴展,為避免因接入認證點傳遞成對主密鑰給接入密鑰協(xié)商點造成的組網(wǎng)兼容性差和接ロ復雜等問題提供了基礎���。在上述實施例中����,接入密鑰協(xié)商點300具體用于:根據(jù)通告信息解密接收到的鑒權成功報文��,獲取其中攜帯的成對主密鑰���;將成對主密鑰從鑒權成功報文拆除���,重組ー不包含成對主密鑰的鑒權成功報文,并將重組的鑒權成功報文發(fā)送至接入客戶端��;并根據(jù)成對主密鑰�����,與客戶端進行密鑰協(xié)商�。接入密鑰協(xié)商點300在接收到接入認證點400發(fā)送的包括加密后的成對主密鑰的鑒權成功報文后����,根據(jù)通告信息中與加密該成對主密鑰同樣的加密算法解密接收到的鑒權成功報文,獲取其中攜帯的成對主密鑰;然后����,根據(jù)所獲取的成對主密鑰,與接入客戶端100進行密鑰協(xié)商���。然后��,對鑒權成功報文進行重組�����,即將成對主密鑰從鑒權成功報文中拆除�����,形成ー不包含成對主密鑰的鑒權成功報文���,將該重組后的鑒權成功報文發(fā)送至接入客戶端100,以通知接入客戶端100接入認證成功���,可以進行WLAN的接入��。接入密鑰協(xié)商點根據(jù)通告信息解密接收到的鑒權成功報文�,獲取其中攜帯的成對主密鑰,并根據(jù)成對主密鑰����,與接入客戶端進行密鑰協(xié)商;然后,將成對主密鑰從鑒權成功報文拆除�����,重組ー不包含成對主密鑰的鑒權成功報文發(fā)送至接入客戶端���,這樣�,接入密鑰協(xié)商點便可以通過對鑒權成功報文所進行的擴展獲取到成對主密鑰��,從而進ー步為避免因接入認證點傳遞成對主密鑰給密鑰協(xié)商認證點造成的組網(wǎng)兼容性差和接ロ復雜等問題提供了基礎��。以上所述僅為本發(fā)明的優(yōu)選實施例�����,并非因此限制本發(fā)明的專利范圍��,凡是利用本發(fā)明說明書及附圖內容所作的等效結構或等效流程變換�,或直接或間接運用在其他相關的技術領域,均同理包括在本發(fā)明的專利保護范圍�����。
權利要求
1.ー種WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法���,其特征在于�����,包括: 接入密鑰協(xié)商點接收接入客戶端發(fā)送的接入認證報文���,在所述接入認證報文中擴展通告信息,并將擴展后的所述接入認證報文發(fā)送至接入認證點����; 接入認證點獲取接入客戶端的身份信息,向認證服務端發(fā)送攜帯所述接入客戶端的身份信息的接入請求報文���;在接收到認證服務端根據(jù)所述接入請求報文返回的鑒權成功報文后��,從其中獲取成對主密鑰�����,井根據(jù)之前獲悉的所述通告信息對所述成對主密鑰進行加密�,將加密后所得到的密文封裝在所述鑒權成功報文中發(fā)送至所述接入密鑰協(xié)商點; 接入密鑰協(xié)商點解密所述鑒權成功報文��,獲取所述成對主密鑰��,并重組不包含所述成對主密鑰的鑒權成功報文發(fā)送至接入客戶端�����。
2.根據(jù)權利要求1所述的方法���,其特征在于�,所述通告信息至少包括所述接入密鑰協(xié)商點的公鑰和用于對成對主密鑰進行加密的加密算法��;所述公鑰和加密算法可以本地配置�,也可通過網(wǎng)絡管理系統(tǒng)配置。
3.根據(jù)權利要求2所述的方法����,其特征在干,所述接入認證點獲取接入客戶端的身份信息�����,向認證服務端發(fā)送攜帯所述接入客戶端的身份信息的接入請求報文;在接收到認證服務端根據(jù)所述接入請求報文返回的鑒權成功報文后����,從其中獲取成對主密鑰,并根據(jù)之前獲悉的所述通告信息對所述成對主密鑰進行加密�,將加密后所形成的密文封裝在所述鑒權成功報文中發(fā)送至所述接入密鑰協(xié)商點包括: 接入認證點處理所述接入認證報文���,保存其中的通告信息�����,并發(fā)送用于索取接入客戶端的身份信息的身份信息索取報文至接入密鑰協(xié)商點�����,供接入密鑰協(xié)商點將該身份信息索取報文轉發(fā)至接入客戶端���; 接收接入密鑰協(xié)商點轉發(fā)的接入客戶端回應的身份信息應答報文,將所述身份信息應答報文封裝在用于向認證服務端請求接入WLAN的接入請求報文中�����,將該接入請求報文發(fā)送至認證服務端�����; 接收到認證服務端返回的鑒權成功報文后,從授權信息中獲取成對主密鑰����,并通過之前所保存的所述通告信息中的加密算法和公鑰對所述成對主密鑰進行加密,將加密后所得到的密文封裝在所述鑒權成功報文中轉發(fā)至接入密鑰協(xié)商點���,供其將報文轉發(fā)給接入客戶端�����,告知其認證通過����。
4.根據(jù)權利要求2所述的方法�����,其特征在于�����,所述接入密鑰協(xié)商點解密所述鑒權成功報文����,獲取所述成對主密鑰�����,并重組不包含所述成對主密鑰的鑒權成功報文發(fā)送至接入客戶端包括: 接入密鑰協(xié)商點根據(jù)所述通告信息解密接收到的所述鑒權成功報文�����,獲取其中攜帯的所述成對主密鑰; 將所述成對主密鑰從所述鑒權成功報文拆除���,重組ー不包含所述成對主密鑰的鑒權成功報文�,并將重組的所述鑒權成功報文發(fā)送至接入客戶端���;并根據(jù)所述成對主密鑰�����,與所述接入客戶端進行密鑰協(xié)商����。
5.根據(jù)權利要求1 至4中任一項所述的方法��,其特征在于,在執(zhí)行所述重組不包含所述成對主密鑰的鑒權成功報文發(fā)送至接入客戶端之后�,還包括: 接入客戶端接收所述不包含所述成對主密鑰的鑒權成功報文,發(fā)送IP地址請求報文����,以獲取IP地址。
6.ー種WLAN接入網(wǎng)絡中傳遞成對主密鑰的系統(tǒng)���,包括接入客戶端��、認證服務端�����、接入密鑰協(xié)商點和接入認證點����,其特征在于�,其中, 所述接入密鑰協(xié)商點�,用于接收接入客戶端發(fā)送的接入認證報文,在所述接入認證報文中擴展通告信息��,并將擴展后的所述接入認證報文發(fā)送至接入認證點�;還用于解密接入認證點發(fā)送的鑒權成功報文���,獲取所述成對主密鑰,并重組不包含所述成對主密鑰的鑒權成功報文發(fā)送至接入客戶端�; 所述接入認證點,用于獲取接入客戶端的身份信息��,向認證服務端發(fā)送攜帯所述接入客戶端的身份信息的接入請求報文���;在接收到認證服務端根據(jù)所述接入請求報文返回的鑒權成功報文后����,從其中獲取成對主密鑰����,井根據(jù)所述通告信息對所述成對主密鑰進行加密�����,將加密后所得到的密文封裝在所述鑒權成功報文中發(fā)送至所述接入密鑰協(xié)商點����; 所述接入客戶端,用于發(fā)送接入認證報文至所述接入密鑰協(xié)商點�����,并接收所述不包含所述成對主密鑰的鑒權成功報文,發(fā)送IP地址請求報文�,以獲取IP地址; 所述認證服務端����,用于根據(jù)所述接入認證點發(fā)送的接入請求報文,判斷所述接入客戶端是否通過認證�����,若是���,則返回授權信息攜帯成對主密鑰的鑒權成功報文至所述接入認證點���。
7.根據(jù)權利要求6所述的系統(tǒng),其特征在于��,所述接入認證點具體用于: 處理所述接入認證報文���,保存其中的通告信息����,并發(fā)送用于索取接入客戶端的身份信息的身份信息索取報文至接入密鑰協(xié)商點,供接入密鑰協(xié)商點將該身份信息索取報文轉發(fā)至接入客戶端����; 接收接入密鑰協(xié)商點轉發(fā)的接入客戶端回應的身份信息應答報文,將所述身份信息應答報文封裝在用于向認證服務端請求接入WLAN的接入請求報文中�,將該接入請求報文發(fā)送至認證服務端;接收到認證服務端返回的鑒權成功報文后����,從授權信息中獲取成對主密鑰,并通過之前所保存的所述通告信息中的加密算法和公鑰對所述成對主密鑰進行加密��,將加密后所得到的密文封裝在所述鑒權成功報文中轉發(fā)至接入密鑰協(xié)商點����,供其將報文轉發(fā)給接入客戶端,告知其認證通過���。
8.根據(jù)權利要求6所述的系統(tǒng),其特征在于��,所述接入密鑰協(xié)商點具體用于: 根據(jù)所述通告信息解密接收到的所述鑒權成功報文�����,獲取其中攜帯的所述成對主密鑰; 將所述成對主密鑰從所述鑒權成功報文拆除����,重組ー不包含所述成對主密鑰的鑒權成功報文,并將重組的所述鑒權成功報文發(fā)送至接入客戶端����;并根據(jù)所述成對主密鑰,與所述接入客戶端進行密鑰協(xié)商����。
全文摘要
本發(fā)明公開了一種WLAN接入網(wǎng)絡中傳遞成對主密鑰的方法,包括接入密鑰協(xié)商點接收接入客戶端發(fā)送的接入認證報文����,在接入認證報文中擴展通告信息,并將擴展后的接入認證報文發(fā)送至接入認證點���;接入認證點向認證服務端發(fā)送攜帶接入客戶端的身份信息的接入請求報文���;在接收到鑒權成功報文后從其中獲取成對主密鑰,并根據(jù)通告信息對成對主密鑰進行加密��,將所得到的密文封裝在鑒權成功報文中發(fā)送至接入密鑰協(xié)商點����;接入密鑰協(xié)商點獲取成對主密鑰���,并重組不包含成對主密鑰的鑒權成功報文發(fā)送至接入客戶端。本發(fā)明還提供了相應的系統(tǒng)�����。采用本發(fā)明所公開的方案�,避免了因接入認證點傳遞成對主密鑰給接入密鑰協(xié)商點造成的組網(wǎng)兼容性差和接口復雜等問題。
文檔編號H04W12/06GK103139770SQ201310037538
公開日2013年6月5日 申請日期2013年1月30日 優(yōu)先權日2013年1月30日
發(fā)明者梁乾燈, 石磊, 范亮 申請人:中興通訊股份有限公司