背景技术
IEEE802.11无线局域网通过空气发送和接收数据,使得网络数据传输
摆脱了对有线的依赖。IEEE802.11无线局域网具有两种网络拓扑模式:即
基(础)设(施)(infrastructure)型和暂时(ad-hoc)型。
IEEE802.11基设无线局域网用一个(无线)接入点(Access Point,
简称AP)充当中心站来覆盖某一区域,并以无线方式连接、控制区域内的
客户站点(笔记本电脑、桌面电脑、掌上设备等)以构成局域网,同时还充
当局域网与外界联系的门户(Portal)。
IEEE802.11暂时无线局域网不需要任何接入点,任意两个客户站点均
可以各自直接建立无线连接并进行通信。由于不通过接入点,这种方式提高
了客户站点之间的通信速率。
IEEE802.11i协议(草稿)定义了无线局域网中连接节点之间的认证和
数据传输加密功能。在基设型无线局域网中,IEEE802.11i协议引入了一个
中心认证服务器的概念,要求每个接入点都与一个认证服务器相连接。客户
站点在与接入点连接时利用(与接入点相连的)认证服务器进行相互认证,
并在认证成功后,客户站点与接入点共同产生为将来加密无线通信内容所用
的密钥。参见图1,具体地,IEEE802.11i协议要求客户站点1执行如下简
要描述的认证加密步骤:
A、客户站点1先通过一个接入点2与认证服务器3进行相互认证,并
在认证成功后,产生一个共享的准密钥(Pairwise Master Key,简称PMK);
B、认证服务器3将与客户站点1共享的准密钥送至接入点2;
C、客户站点1与接入点2通过共享的PMK进行相互认证;
D、在相互认证成功以后,客户站点1与接入点2利用共享准密钥进一
步产生为加密无线通信内容所用的密钥。
在暂时无线局域网中,由于不存在接入点,所以也就不存在中心认证服
务器。为了进行相互认证,IEEE802.11i协议要求每个客户站点都带有自己
的认证服务器,或者任意两个客户站点都事先共享一个秘密信息;参见图2,
对于后者IEEE802.11i标准要求客户站点1和客户站点1’必须事先共享一
个PMK,之后采用一个与基设无线局域网相类似的认证与加密方法建立安全
连接,即:
A’、客户站点1和客户站点1’通过共享的PMK进行相互认证;
B’、在相互认证成功以后,客户站点1和客户站点1’利用共享的PMK
进一步产生为加密无线通信内容所用的密钥。
IEEE802.11i协议对暂时无线局域网的认证加密机制的设计存在着如
下的不足之处:
首先,每个客户站点都带有自己的认证服务器是一个显然不太实际的方
法;一方面,每个客户站点上的认证服务器的功能有限;另一方面,这些认
证服务器所带信息的更新也比较困难;再有就是不同企业的客户站点上的认
证服务器也很难采用同样或相互认可的设置。
从安全方面考虑,要求客户站点事先共享一个秘密信息也是一个比较麻
烦、且不安全的方法;输入共享秘密信息需要手工操作,短的信息保密性不
强,而长的信息不容易输入且容易出错;当网络中的客户站点比较多时,秘
密信息的更新也比较困难。
另外,由于IEEE802.11协议可利用频宽的限制和射频的干扰,在同一
空间里可同时工作的接入点是有限的(一般为3-4个)。在IEEE802.11通
信机制的影响下,每台接入点可以稳定支持的客户站点也是有限的(一般
30个);所以,在小范围面积内,无线局域网能支持的密集用户数是有限
制的。
具体实施方式
以下结合附图和具体的实施例对本发明作进一步的详细说明:
本发明的对等网络是基设和暂时无线局域网的结合和扩展。具体说来,
本发明是对基设无线局域网认证方式的扩展,用于实现客户站点之间的相互
认证和安全通信环境设置,并支持用暂时无线局域网通信方式建立客户站点
之间的安全通信。
像IEEE802.11i协议一样,本发明同样要求每个接入点与认证服务器
已存在某种安全通信连接。参见图3,本发明相互连接的客户站点1和客户
站点1’执行如下描述的认证加密步骤,以实现安全对等连接的目的:
步骤11:客户站点1和客户站点1’先通过与其各自连接的接入点2和
接入点2’与认证服务器3进行相互认证,并在认证成功后,产生一个共享
的PMK;在认证成功后,认证服务器3记录下客户站点1和客户站点1’的
站点标识、地址和相应接入点2和接入点2’的地址等信息;
步骤12:认证服务器3将与客户站点1和客户站点1’共享的PMK分别
送至与其建立连接的接入点2和接入点2’;
步骤13:客户站点1和客户站点1’分别与其建立连接的接入点2和接
入点2’通过共享的PMK进行相互认证。
到此时,每个客户站点到接入点之间都已有了一个可进行安全通信的通
道。
步骤21:如果客户站点1向接入点2提出与客户站点1’建立(中心认
证对等)连接的请求;
步骤22:如果接入点2是第一次收到这个请求;接入点2便向认证服
务器3转发这个请求;假设认证服务器没有收到客户站点1’对客户站点1
发出的请求;认证服务器3便在一规定的时间段内记录这个请求,并回应告
知接入点2它还没有收到客户站点1’的请求;接入点2将在规定的时间段
内记录这个回应;
步骤23:假设这时客户站点1’向接入点2’提出与客户站点1建立连
接的请求;
步骤24:如果接入点2’第一次收到这个请求,接入点2’便向认证服
务器3转发这个请求;这时,如果认证服务器还3记录着客户站点1对客户
站点1’的请求,认证服务器3便与客户站点1’共同产生一个对等准密钥
(Peer-to-Peer Master Key,简称:PPMK),然后,客户站点1’启动暂
时无线局域网通信方式;
步骤25:认证服务器3将新产生的PPMK告知接入点2;接入点2在规
定的时间段内记录这个PPMK;
步骤26:在客户站点1第一次向接入点2提出与客户站点1’建立连接
的请求以后,客户站点1将在规定的时间段内定时向接入点2询问回应情
况;当客户站点1再次向接入点2询问的时候,接入点2便返回新产生的
PPMK给客户站点1,之后,客户站点1启动暂时无线局域网通信方式。
此时,客户站点1和客户站点1’已同处于等型无线局域网通信方式,
并共享一个PPMK。
步骤31:客户站点1和客户站点1’通过共享的准密钥进行相互认证;
步骤32:如果认证成功,客户站点1和客户站点1’利用共享的PPMK
进一步产生为将来加密无线通信内容所用的密钥;否则,在超过规定时间段
后,客户站点1返回步骤2 1以前的状态,客户站点1’返回步骤23以前的
状态。
此后,客户站点1与客户站点1’则利用上述的PPMK再进行认证并产
生加密无线通信内容所用的密钥。
本发明的对等安全连接指的是客户站点之间通过接入点及认证服务器
的帮助而完成的认证和连接。本发明中,只有受同一个认证服务器管辖的客
户站点才能建立它们之间的对等安全连接;但这些客户站点不必连接到同一
个接入点上。
本发明的实现是由客户站点、接入点和认证服务器状态机相互协调而实
现的,其中,客户站点、接入点和认证服务器的状态机相关部分定义如下:
客户站点相关部分状态机:
1、开始,假设客户站点已带有一个对等安全连接标识名(Peer-to-Peer
Network ID,简称PPNID)和若干标有“未连接”标记的目标客户站点标
识名;
2、当客户站点处于某个接入点的覆盖范围内时,客户站点依照上述的
基设无线局域网认证方式与接入点及相连认证服务器进行IEEE802.11i认
证;如果认证失败,客户站点将所有目标客户站点的“未连接”标记改为“连
接失败”标记,并停止对等安全连接过程;
3、如果认证成功,客户站点将逐个对每个目标客户站点向与其连接的
接入点提出对等连接请求,请求中带有下列信息:对等安全连接标识名、目
标客户站点标识名、本客户站点MAC和IP地址;
4、客户站点在一个给定时间内等待接入对等对点连接请求的回答,如
果收到了针对某目标客户站点请求的回答,则将该目标客户站点的“未连接”
标记改成“请求成功”标记;如果在给定时间内没有收到针对某目标客户
站点请求的回答,则将此目标客户站点的“未连接”标记改为“连接失败”
标记;
5、在给定时间结束或所有目标客户站点都已标记为“请求成功”后,
如果有目标客户站点标记为“请求成功”,则启动客户站点的IEEE802.11暂
时无线局域网功能,选择一个射频频道,以上述连接名PPNID作为暂时无
线局域网中需要的BSSID(基本服务设备识别编码,Basic Service Set ID)
建立暂时无线局域网;
6、通过暂时无线局域网并使用IEEE802.11i的四路协商,与每个“请
求成功”目标客户站点协商,以达到下列目的:
证明本客户站点与目标客户站点共享同一个准密钥,从而达到互相认
证;
协商出两个客户站点都接受的数据加密和数据完整性测试的算法;
产生只有这两个站点知道的、用来对它们通信进行加密的密钥。
如果上述密钥协商成功,则将目标客户站点的“请求成功”标记改为“连
接成功”标记;如失败,则将目标客户站点的“请求成功”标记改为“连接
失败”标记。
任何标有“连接成功”对等安全连接都将一直存在,直到作为它基础
的IEEE802.11连接停止。
在对等安全连接停止后,相关客户站点将在一个给定时间内将它们共享
的加密密钥作为准密钥缓存起来,用于对等安全再连接。在这段给定时间内,
如果某相关客户站点想恢复对点安全连接,这个客户站点可以启动对等安全
再连接,即利用该缓存的准密钥,执行从上述步骤6开始的步骤;在这给
定时间结束之后,对等连接的两个站点将各自注销在以上步骤中产生的所有
系统状态,特别是各种密钥。
接入点相关部分状态机:
1、当客户站点向接入点提出认证请求时,接入点将依照基设无线局域
网认证方式执行客户站点与接入点和认证服务器的认证;
2、当认证成功并收到客户站点的对等安全连接请求时,接入点确认请
求中带有的的确是请求客户站点MAC地址;接入点将在请求中加入自己的
MAC和IP地址,并将修改过的请求转发给认证服务器;
3、当收到认证服务器对对等连接请求的回答时,接入点将回答转发给
请求客户站点。
认证服务器相关部分状态机:
1、当收到接入点转发的、客户站点的认证请求时,认证服务器以基设
无线局域网认证方式完成认证;其中,认证过程应保证客户站点的标识名没
有被其它客户站点采用过,否则认证失败;
2、当收到接入点转发的、某客户站点对某目标客户站点的、对等安全
连接的请求时,如果尚未成功完成经此接入点转发的、对请求客户站点的认
证,则认证服务器不理睬并消除这个请求;否则,记录下请求客户站点的标
识、MAC和IP地址、以及所经过接入点的MAC和IP地址。
3、如果目标客户站点在过去的某一给定时间内也已经提出了与当前请
求客户站点建立对等安全连接的请求,认证服务器则产生的一个新的PPMK,
并将此PPMK分别送至与请求客户站点和与目标客户站点相连接的接入点。
本发明可以用来实现即时无线局域网(Instant WLAN),即一种可为临
时活动(如会议、展览、演示等)而快速设置的无线局域网。即时无线局域
网采用的设备应是能即插(电源)即用,(几乎)不用设备设置,但方便性
决不影响到安全性。
在实际应用中,可以先确定客户站点的物理摆设地点并接通它们的电
源,然后,启动接入点和认证服务器。这时,在接入点覆盖范围内的客户站
点可先与接入点和认证服务器认证,然后与其他(所有可探测到的或事先指
定好的)客户站点相互认证,并建立对等安全连接。实际上,接入点和认证
服务器的作用只是安全认证。一般情况下,这种认证比用客户站点上静态认
证、信息进行认证的安全度要高的多。另外,在对等安全连接成功之后,可
以撤掉接入点和认证服务器。
如果为建立长距离无线信号接力传输而使用客户站点作为网桥,可用同
一接入点和认证服务器逐段进行客户站点认证,逐段建立对等安全连接。
由于IEEE802.11可利用频宽的限制和射频的干扰,在同一空间里可同
时工作的接入点是有限的(一般3-4个)。由于IEEE802.11通信机制的影
响,每台接入点可以稳定支持的客户站点也是有限的(一般30个)。所以,
在小范围面积内,无线局域网能支持的密集用户数是有限制的。但如果大部
分密集用户所需要的是它们之间的数据传输,则中心认证的对等网络可减少
用户对于接入点的依赖和给它造成的负担,从而可提高无线局域网可支持的
密集用户数。
最后应说明的是:以上实施例仅用以说明本发明而并非限制本发明所描
述的技术方案;因此,尽管本说明书参照上述的各个实施例对本发明已进行
了详细的说明,但是,本领域的普通技术人员应当理解,仍然可以对本发明
进行修改或者等同替换;而一切不脱离本发明的精神和范围的技术方案及其
改进,其均应涵盖在本发明的权利要求范围当中。