一种无线局域网中用于移动台切换的密钥协商方法.pdf

一种无线局域网中用于移动台切换的密钥协商方法
    【技术领域】

    本发明涉及无线局域网络通信技术，具体涉及一种无线局域网中用于移动台切换的密钥协商方法。

    背景技术

    随着无线局域网络通信技术的发展，用户需要安全、高效、无缝的无线通信解决方案。根据无线局域网安全增强协议草案(IEEE 802.11i Draft 3.0)规定，移动台在不同接入点间的切换包括移动台搜索新目标接入点和密钥协商两个过程。搜索新目标接入点指的是移动台搜索当前接入点的邻居接入点，从而确定下一个漫游目标接入点的过程；密钥协商指的是移动台和接入点之间在开始业务传输之前所必须进行的会话密钥协商，通过会话密钥协商产生会话密钥，来验证移动台和接入点彼此的真伪，从而保证无线局域网信息传输的安全性。密钥协商是无线局域网中安全增强的重要组成部分。

    密钥协商又可分为移动台首次接入网络时所进行的密钥协商和移动台在不同接入点切换过程中所进行的密钥协商。移动台首次接入网络时所进行的密钥协商为一次全新的、完整的身份认证和密钥协商的过程；移动台在不同接入点切换过程中所进行地密钥协商既可以是一次全新、完整的身份认证和密钥协商的过程，也可以按一定的预先协商主密钥协议，在移动台切换接入点的之前预先产生备用主密钥，完成耗时的产生主密钥的过程。

    移动台在漫游到新的接入点时可以采用与第一次接入网络相同的认证和密钥协商方式与新的接入点协商密钥，但是，这种方案将密钥协商的全部工作放在切换时完成，对切换速度影响很大。移动台在漫游到新的接入点的过程中采用预先协商主密钥的技术可以在移动台切换到新的接入点前完成耗时的产生主密钥过程，能在保证安全的前提下提高移动台切换速度，减小切换对服务连续性的影响，从而实现安全、高效、无缝的无线局域网络通信。目前，预先协商主密钥的方法主要有以下两种：

    第一种方法：移动台漫游到当前接入点和新接入点的重叠区时与新接入点预先协商主密钥。根据IEEE 802.11i协议所提出的使用预先认证的方案，移动台在发现新接入点后直接进行IEEE 802.1X-EAP认证产生备用主密钥，在移动台切换前完成耗时的认证和产生主密钥的过程，提高切换速度。但是这种方法存在一定局限性：首先，使用这种预先认证方法的前提是不同接入点的覆盖范围存在较大重叠，以保证移动台在切换前完成预先认证，但是覆盖范围重叠大浪费的无线资源就多，势必加大无线网络组建成本；另一方面，IEEE 802.11i协议定义的预先认证方案要求移动台漫游到新的接入点时和认证服务器重新进行双向认证，但是，在实际通信过程中这种重新双向认证并不是必须的。

    第二种方法：移动台漫游到新目标接入点前在当前接入点和新目标接入点间完成主密钥协商。在IEEE 802.11i协议的相关提案中，有人提出了在当前接入点和新接入点间预先协商主密钥的方法。根据这种方法，切换过程不再需要由认证服务器产生邻居接入点的主密钥并分发给邻居接入点，而是由移动台的当前接入点和与其相邻的其他接入点按照接入点互联协议(IAPP：Inter Access Point Protocol)协商备用主密钥。移动台在确定漫游目标接入点后用预先协商好的算法计算出对应目标接入点的备用主密钥，并验证与目标接入点已经产生的备用主密钥是否一致，一旦验证成功，则继续会话密钥协商，产生会话密钥，完成移动台在不同接入点间的切换过程。这种方法虽然能够解决快速切换对接入点覆盖范围的要求，但是不能提供完备的前向安全性，即如果当前接入点是伪造接入点，由于认证过程不经过认证服务器，因此将直接影响下一个新目标接入点主密钥的安全，不能保证移动台切换接入点过程的安全性；另外，由于认证过程不经过认证服务器，为了进一步保证当前接入点同其邻居接入点间协商备用主密钥的安全性，必须修改现有密钥的产生结构，增加了接入点间身份认证和密钥协商设计的复杂性。

    综上所述，目前虽然提出了上述的无线局域网中移动台切换的预先协商主密钥的实现方法，但是它们各自具有一定的缺陷，因此需要一种在保证安全的前提下提高移动台切换速度，减小切换对服务连续性的影响，从而实现安全、高效、无缝的无线局域网络通信的解决方案。

    【发明内容】

    针对以上情况，本发明的目的是提供一种新的无线局域网中用于移动台切换的密钥协商方法，使其既能保证移动台切换的安全性，又能提高移动台切换速度、减小切换延时。

    本发明的上述目的是通过如下的技术方案予以实现的：

    一种无线局域网中用于移动台切换的密钥协商方法，至少包括如下步骤：

    a.预先在移动台和认证服务器设置相同的认证计数信息和认证密钥信息；

    b.认证服务器为移动台当前接入点的邻居接入点计算认证计数信息和认证密钥信息，并将认证计数信息和认证密钥信息发送给邻居接入点；

    c.邻居接入点设置针对该移动台的认证计数信息，并使用接收的认证服务器认证计数信息更新接入点认证计数信息，等待移动台接入；

    d.移动台确定漫游目标接入点后，从目标接入点接收接入点认证计数信息和认证服务器认证密钥信息，并和自身按照同样规则产生的认证计数信息和认证密钥信息比较，如果一致则继续完成会话密钥协商；否则移动台和目标接入点之间通过认证服务器以IEEE 802.1X-EAP协议产生主密钥，继而完成会话密钥协商。

    在上述密钥协商方法中，认证计数信息是指用于记录每个移动台主密钥更新次数的主密钥更新计数器。

    在上述密钥协商方法中，认证计数信息的产生规则是：设置主密钥更新计数器的初始值为零，移动台漫游到一个新的接入点后，认证服务器和移动台自身的主密钥更新计数器的值加1。

    在上述密钥协商方法中，认证密钥信息的产生规则是：以种子密钥、算法描述符、当前主密钥、主密钥更新计数器、接入点的MAC地址和移动台的MAC地址为参数，通过伪随机数算法得到认证密钥信息。

    在上述密钥协商方法中，步骤b进一步包括：认证服务器在接收到移动台当前接入点发送的开始业务传输的通知后，开始对移动台当前接入点的邻居接入点计算认证计数信息和认证密钥信息。

    在上述密钥协商方法中，步骤b进一步包括：认证服务器通过查询接入点拓扑结构图确定移动台当前接入点的所有邻居接入点，并通知所有邻居接入点预先请求主密钥，在接收到邻居接入点的预先协商主密钥请求信息后，对于接收到请求的邻居接入点计算认证计数信息和认证密钥信息。

    在上述邻居接入点预先请求主密钥的方法中，进一步包括：邻居接入点在接收到认证服务器的通知信息后，判断自身是否支持预先协商主密钥，如果是，向认证服务器发送预先协商主密钥请求信息，并在接入点设置认证计数信息，否则不向认证服务器发送预先协商主密钥请求信息，也不在接入点设置认证计数信息。

    在上述密钥协商方法中，步骤d进一步包括：移动台在确定漫游目标接入点后，向目标接入点发送连接请求，目标接入点向移动台发送一个包含是否支持预先协商主密钥信息的连接响应，如果目标接入点支持预先协商主密钥，移动台接收接入点认证计数信息和认证服务器认证密钥信息，并和自身按照同样规则产生的认证计数信息和认证密钥信息进行比较；否则移动台和目标接入点之间直接通过IEEE 802.1X-EAP认证完成密钥协商。

    在上述密钥协商方法中，步骤d进一步包括：如果移动台和接入点的认证计数信息和认证密钥信息经过比较均一致则继续完成会话密钥协商，否则移动台和目标接入点之间通过认证服务器以IEEE 802.1X-EAP协议产生主密钥，继而完成会话密钥协商。

    在上述密钥协商方法中，进一步包括在认证服务器设置认证密钥信息生命周期定时器，如果认证密钥信息到达生命周期定时器的定时，认证服务器和移动台之间重新生成认证密钥信息，并重新执行步骤b至步骤d。

    在上述密钥协商方法中，进一步包括接入点在针对移动台更新认证计数信息的同时设置一个认证密钥信息生命周期定时器，如果所述认证密钥信息在生命周期中被引用，则认证密钥信息生命周期定时器重新开始计数；否则接入点删除针对该移动台所保存的认证密钥信息和其对应的认证计数信息。

    本发明由认证服务器预先分发主密钥，避免了现有方案一为实现快速切换对接入点覆盖范围的要求。使用预先分发的主密钥，也避免了漫游中进行耗时的IEEE 802.1X-EAP认证的需要，提高了漫游切换速度。使用认证计数信息，如：主密钥更新计数器，简化了主密钥同步判断步骤。同时，主密钥由认证服务器和移动台分别产生，能够提供完备的前向安全性。将认证计数信息和密钥生命周期结合，在一定程度上避免了接入点或者移动台遭受过期主密钥的攻击。因此，本发明不仅提高了切换的速度，而且保证了系统安全。

    【附图说明】

    图1是无线局域网网络组成结构示意图；

    图2是接入点覆盖分布图；

    图3是接入点拓扑结构示意图；

    图4是本发明密钥预先协商流程图。

    【具体实施方式】

    下面结合附图和具体实施方式对本发明进行更详细的说明。

    本发明无线局域网中预先协商主密钥的方法所涉及的网络组成结构如图1所示，在该网络组成结构示意图中，接入点(AP：Access Point)A、B、C、D、E为相互邻接的一组接入点，其中，接入点A为移动台(STA：Station)的当前接入点，接入点B、E为当前接入点A的邻居接入点，认证服务器(AS：Authentication Server)与各个接入点相连。图2所示为该组接入点对应的覆盖分布图。图3所示为该组接入点对应的拓扑结构示意图。各个接入点覆盖分布及接入点间相互连接的拓扑结构的信息保存在认证服务器中，每个接入点可以向认证服务器发出查询请求，来获知与本接入点相邻的全部接入点及其相关的地址信息。

    在本实施例中，为了实现安全的前提下提高移动台切换速度、减小切换延时的目的，引入认证计数信息，在本实施例中采用主密钥更新计数器(RKC：ReKey Counter)，完成主密钥预先协商。主密钥更新计数器记录了每个移动台认证密钥信息更新的次数，计数器初始值为0。在本实施例中采用主密钥作为认证密钥信息。在认证服务器中为每个移动台保存一个RKC计数器(RKCAS)，各个接入点为当前注册了主密钥的每个移动台保存一个RKC计数器(RKCAP)，移动台自身也有一个RKC计数器(RKCSTA)。主密钥更新计数器的主要作用是保证移动台和接入点协商会话密钥时主密钥的同步，同时在一定程度上可以防止恶意接入点使用失效的主密钥攻击移动台。

    本发明引入主密钥更新计数器来实现移动台切换的密钥预先协商的过程如图4所示，包括以下的步骤：

    步骤401：当前接入点A完成与移动台间的会话密钥协商，并通知认证服务器已经开始与移动台进行业务传输。

    步骤402：认证服务器收到通知后查询保存的接入点拓扑结构图，选择接入点A的邻居接入点B和E，并通知邻居接入点B和E可以预先请求主密钥。

    步骤403：邻居接入点B和E收到认证服务器的通知后，判断是否支持预先协商主密钥，如果支持就向认证服务器发出预先发送主密钥的请求，并在接入点设置主密钥更新计数器RKCAP，然后执行步骤404；如果某个邻居接入点不支持预先协商主密钥，对于该邻居接入点的处理转为执行步骤406。

    步骤404：如果收到邻居接入点发出的预先发送主密钥请求，认证服务器就对保存在认证服务器对应该移动台的主密钥更新计数器RKCAS加1，并按与移动台协商好的伪随机数产生算法分别计算出对应各个邻居接入点该移动台的备用主密钥PMKAP。认证服务器将对应各邻居接入点的备用主密钥PMKAP以及主密钥更新计数器RKCAS分别发送给各邻居接入点。如果认证服务器没有收到某个接入点的主密钥请求，则认为该接入点不支持预先分发主密钥，不为其产生主密钥。

    主密钥PMKAP的计算方法是按认证服务器与移动台协商好的伪随机数产生算法(PRF：Pseudo-Random Function)计算得出的。

    PMKAP＝PRF(MK，LABEL，PMK0||RKCAS||APmac||STAmac)

                                                  (1)

    如公式1所示，对应该移动台的某个接入点的备用主密钥PMKAP是以种子密钥MK、算法描述符LABEL、当前主密钥PMK0、主密钥更新计数器RKCAS、该目标接入点的MAC地址APmac和移动台的MAC地址STAmac为参数，经过伪随机数产生算法计算所得出的。其中，种子密钥MK(Master Key)为认证服务器和移动台所共享；算法描述符LABEL是描述算法用途的字符串；当前主密钥PMK0是保存在认证服务器上的当前接入点和移动台间主密钥；主密钥更新计数器RKCAS为保存在认证服务器上的对应该移动台的主密钥更新计数器；APmac为当前接入点的邻居接入点的MAC地址；移动台的MAC地址STAmac保存于认证服务器上。

    步骤405：各个邻居接入点收到认证服务器的预先发送主密钥请求响应消息后，记录下对应该移动台的备用主密钥PMKAP，并按认证服务器发来的对应该移动台的主密钥更新计数器RKCAS更新保存在邻居接入点的对应该移动台的主密钥更新计数器RKCAP，然后开始等待移动台接入。

    步骤406：移动台确定漫游目标接入点，自身保存的主密钥更新计数器RKCSTA加1，并按与认证服务器协商好的伪随机数产生算法计算出对应新漫游目标接入点的主密钥PMKSTA。

    主密钥PMKSTA的计算方法是按认证服务器与移动台协商好的伪随机数产生算法计算得出的。

    PMKSTA＝PRF(MK，LABEL，PMK0||RKCSTA||APmac||STAmac)

                                                     (2)

    如公式2所示，移动台计算出的对应该漫游目标接入点的主密钥PMKSTA是以种子密钥MK、算法描述符LABEL、当前主密钥PMK0、主密钥更新计数器RKCSTA、漫游目标接入点的MAC地址APmac和移动台的MAC地址STAmac为参数，经过伪随机数产生算法计算所得出的。其中，种子密钥MK(Master Key)为认证服务器和移动台所共享；算法描述符LABEL是描述算法用途的字符串；当前主密钥PMK0是保存在移动台上的当前接入点和移动台间主密钥；主密钥更新计数器RKCSTA为保存在移动台上的主密钥更新计数器；APmac为漫游目标接入点的MAC地址；STAmac为移动台的MAC地址。

    步骤407：移动台向新目标接入点发出连接请求，新目标接入点收到连接请求后发出连接响应。连接请求和连接响应中说明是否支持预先协商主密钥。如果新目标接入点支持预先分发主密钥，则执行步骤408；如果新目标接入点不支持预先协商主密钥就转到步骤412。

    步骤408：该目标接入点向移动台发出会话密钥协商的第一条消息，其中包括接入点记录的对应当前移动台的主密钥更新计数器RKCAP和认证服务器预先分发给该接入点的备用主密钥PMKAP。

    步骤409：移动台收到目标接入点发出的会话密钥协商第一条消息后，比较记录于新目标接入点的对应于该移动台的主密钥更新计数器RKCAP和记录于移动台的主密钥更新计数器RKCSTA是否相等，如果相等，则执行步骤410；如果比较的记录于新目标接入点的对应于该移动台的主密钥更新计数器RKCAP和记录于移动台的主密钥更新计数器RKCSTA不相等，则转到步骤412。

    步骤410：移动台继续会话密钥协商，比较移动台计算出的对应目标接入点的主密钥PMKSTA和认证服务器预先分发给该接入点的备用主密钥PMKAP是否相一致，如果相一致则执行步骤411，如果比较的移动台计算出的对应目标接入点的主密钥PMKSTA和认证服务器预先分发给该接入点的备用主密钥PMKAP不一致，则转到步骤412。

    步骤411：进一步会话密钥协商，产生会话密钥PTK，进而完成会话密钥协商，结束移动台切换接入点的密钥协商的全过程。

    步骤412：移动台和目标接入点之间通过认证服务器以IEEE802.1X-EAP协议产生主密钥。

    步骤413：进一步会话密钥协商，产生会话密钥PTK，进而完成会话密钥协商，结束移动台切换接入点的密钥协商的全过程。

    在移动台切换的密钥协商中，所有的密钥都会有一个生命周期以保证密钥的安全性和有效性，也就是说，在移动台切换接入点的过程中，新目标接入点的主密钥的产生都是以上一个接入点的主密钥为参数产生的，经过一定的周期，为了保证密钥协商的安全性和有效性，认证服务器需要同移动台之间按IEEE 802.1X-EAP认证协议进行全新的身份认证和密钥协商。为此，认证服务器设置了主密钥生命周期定时器，用来决定密钥的有效生命周期。当认证服务器的主密钥生命周期定时器确定移动台当前的主密钥已经达到其生命周期时，移动台需要更新主密钥，认证服务器和移动台按IEEE802.1X-EAP认证协议进行全新身份认证和密钥协商，分别计算出新的主密钥PMK’；并且分别更新保存在移动台的主密钥更新计数器RKCSTA和保存在认证服务器上的对应该移动台的主密钥更新计数器RKCAS；同时，认证服务器为各个邻居接入点更新预先分发的备用主密钥和保存在邻居接入点上的主密钥更新计数器RKCAP，也就是重新开始本发明的密钥协商过程。

    接入点在针对可能切换到该接入点的移动台设置了主密钥更新计数器后，为了优化接入点内部信息，对于一定时间内未切换到该接入点或者已经切换到该接入点一段时间的移动台，接入点可以删除针对该移动台设置的主密钥更新计数器。为此，接入点为每个备用主密钥设置了备用主密钥生命周期定时器，用来决定备用主密钥的生命周期。如果备用主密钥在生命周期中被引用，则备用主密钥生命周期定时器重新开始计数；如果在备用主密钥生命周期中该备用主密钥没有被引用，则接入点删除该备用主密钥和其对应的主密钥更新计数器。

    本发明由认证服务器预先分发主密钥，避免了现有方案一为实现快速切换对接入点覆盖范围的要求。使用预先分发的主密钥，也避免了漫游中进行耗时的IEEE 802.1X-EAP认证的需要，提高了漫游切换速度。使用主密钥更新计数器，简化了主密钥同步判断步骤。同时，主密钥由认证服务器和移动台分别产生，能够提供完备的前向安全性。将主密钥更新计数器和密钥生命周期结合，在一定程度上避免了接入点或者移动台遭受过期主密钥的攻击。因此，本发明不仅提高了切换的速度，而且保证了系统安全。

    当然，还可以根据需要通过扩展认证计数信息来进一步保证预先协商主密钥过程的安全性，总之，以上所述的以主密钥更新计数器作为认证计数信息的方法仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本领域的人在本发明所公开的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。