[发明专利]一种802.11i密钥管理方法

说明书

技术领域

本发明无线局域网接入领域，具体地说，本发明涉及一种802.11i密钥管理方法。

背景技术

由于IEEE802.11-1999中WEP已被业界证明存在重大的缺陷，而且并没有提供安全的认证机制。因此在2004年IEEE标准组提出IEEE802.11i标准，标准中提出了RSN以增强无线局域网接入的安全性。

RSN使用IEEE802.1X标准完成对STA的接入认证，并使用TKIP或CCMP加密算法对传输数据进行加密和完整性保护。由于IEEE802.1X认证信息是通过802.11的数据帧传送的，因此RSN在STA与AP完成关联后发生作用。对于支持RSN的STA接入过程可以分为以下几个阶段：安全能力协商阶段，IEEE802.1X认证阶段，密钥协商阶段，传输数据转发保护。在安全能力协商阶段中，STA完成AP的探测，与AP进行开放系统认证以及关联过程；在此阶段中双方通过在信标帧，探询帧，关联帧等管理帧中增加RSN IE(RSN信息元素)来确定并选择RSN中双方共同支持的认证、加密方式。在IEEE802.1X认证阶段，STA通过AP与AAA服务器进行双向认证，AP只对认证成功的STA进行数据转发；在密钥协商阶段，STA与AP协商出用于数据加密的密钥。最后在传输数据转发保护阶段，STA通过无线链路发送加密数据给AP，AP将其解密并转发给目的地址。

802.11i标准中STA的接入认证和密钥管理定义在AP实体上，这种网络结构在大规模布设无线网络时显现了它的不足：

STA也不可能根据支持话音之类的实时应用的需求执行快速切换；

如果某个接入点遭遇盗窃或破坏，安全将得不到保证。

由于无线接入点的数量较多，当运营商需要升级认证控制功能时，需要替换大量的接入点，不易于升级。

每个无线接入点都需要与AAA服务器建立连接并维持相互之间的安全的关联，这将增加AAA服务器的负担。

STA在发生二层切换时，在802.11i协商过程中需要花费大量的时间进行认证，因此不适合实时业务的开展。

另一方面，在IETF RFC4118中，根据IEEE802.11MAC功能实现的不同，将WLAN结构划分为本地MAC方式、分离MAC方式和远程MAC方式。其中，分离MAC方式是将MAC功能中的非实时部分实现在集中式设备上，而将和物理层联系比较紧密或实时性要求比较强的部分实现在AP上。控制了AP成本，利于开展话音业务和实现无线资源管理等高级管理功能。

为方便理解，下面列出本发明中出现的一些术语的中英文对照：

CCMP：Counter mode with CBC-MAC Protocol

PMK：Pairwise Master Key，对等主密钥

PMKID：Pairwise Master Key Identity，对等主密钥标识

AP：Access Point，接入点

STA：Station客户端

EAP：Extensible Authentication Protocol，可扩展认证协议

EAPOL：EAP Over LAN，局域网帧承载的EAP消息

RADIUS：Remote Authentication Dial-In User Service，远程用户拨号认证系统

TKIP：Temporal Key Integrity Protocol，瞬时密钥完整性协议

GRE：Generic Routing Encapsulation，通用路由封装协议

AAA：Authentication、Authorization、Accounting，认证、授权、计费

RSN：Robust Security Network，增强性安全网络

RSN IE：RSN Information Element，增强性安全网络信息元素

PTK：Pairwi se Transient Key成对瞬时密钥

发明内容

本发明的目的是利用802.11分离MAC技术，提出一种集中式的802.11i认证密钥管理方法。

为实现上述发明目的，本发明提供的802.11i密钥管理方法，基于采用802.11分离MAC方案的系统构架实现，包括如下步骤：

1)安全能力协商阶段:STA与集中式设备之间完成安全能力协商；

2)IEEE802.1X认证阶段：STA通过集中式设备与认证服务器进行消息交互，完成双向认证和主密钥的协商；