[发明专利]一种无线局域网接入方法及系统

说明书

技术领域

本发明涉及无线局域网领域，尤其涉及一种无线局域网接入方法及系统。

背景技术

无线局域网由一系列国际标准规范定义，其中安全部分定义了有线等效协议(Wired Equivalent Protocol，简称为WEP)、Wi-Fi网络安全存取(Wi-Fi(Wireless Fidelity，无线保真)Protected Access，简称为WPA)等安全机制，WEP本身存在安全隐患，WPA针对WEP的缺点做了改进，但WPA的核心部分临时密钥完整性协议(Temporal Key Integrity Protocol，简称为TKIP)引入了一种弥补其自身安全等级偏少的漏洞，即在消息完整性校验到出错帧时，认为是主动攻击，关闭无线局域网，这样便引入了拒绝服务攻击的可能。IEEE802.11i中新引入数据加密机制TKIP和计数器模式和密码块链消息身份验证代码协议(Counter Mode with Cipher Block Chaining Message，简称为CCMP)，这类安全机制由于向下兼容或部分包含WEP，所以也存在隐患。

发明内容

本发明要解决的技术问题是，提供一种安全、可靠的无线局域网接入方法及系统。

为了解决上述问题，本发明提供了一种无线局域网接入方法，包括：

移动站点生成用于ECDH交换的临时公钥px和临时私钥sx，并将px和移动站点的数字证书发送给无线局域网的网络侧设备；

所述网络侧设备使用所述数字证书对移动站点进行身份鉴别，身份鉴别通过后，生成用于ECDH交换的临时公钥py和临时私钥sy，使用sy和px进行ECDH计算生成密钥种子，并将临时公钥py发送给移动站点；

移动站点使用sx、py进行ECDH计算，生成与所述网络侧设备相同的密钥种子，并使用所述密钥种子与所述网络侧设备协商生成用于接入无线局域网的会话密钥。

进一步地，上述方法还可具有以下特点：

所述网络侧设备包括：接入点和鉴别服务器；

所述移动站点将所述px和移动站点的数字证书包含在接入鉴别请求中发送给所述接入点；所述接入点将所述接入鉴别请求中携带的信息包含在证书鉴别请求中发送给所述鉴别服务器；

接收到所述证书鉴别请求后，所述鉴别服务器完成所述身份鉴别、生成所述py和xy、和生成密钥种子的操作，并将所述py通过所述接入点发送给移动站点。

进一步地，上述方法还可具有以下特点：

所述接入鉴别请求和证书鉴别请求中包含所述移动站点的数字签名；所述鉴别服务器还使用所述数字签名进行所述身份鉴别操作。

进一步地，上述方法还可具有以下特点：

所述接入鉴别请求中包含所述移动站点的数字签名；所述接入点接收到所述接入鉴别请求后，还对所述数字签名进行验证，验证通过后发送所述证书鉴别请求。

进一步地，上述方法还可具有以下特点：

移动站点与网络侧设备采用如下方式协商生成所述会话密钥：

所述鉴别服务器生成所述密钥种子后，使用所述密钥种子生成基础密钥，并将所述基础密钥发送给所述接入点；

移动站点使用其生成的所述密钥种子生成与所述鉴别服务器相同的基础密钥，并与所述接入点使用所述基础密钥协商生成所述会话密钥。

进一步地，上述方法还可具有以下特点：

所述接入鉴别请求和所述证书鉴别请求中包含移动站点生成的随机数Randc；所述鉴别服务器将其生成的随机数Rands、所述密钥种子和Randc串接后进行SHA-256杂凑计算，得到所述基础密钥，并将Rands与所述py一起通过所述接入点发送给移动站点；

移动站点将所述Rands、密钥种子和Randc串接后进行SHA-256杂凑计算，得到所述基础密钥。

为了解决上述问题，本发明还提供了一种无线局域网接入系统，包括移动站点和网络侧设备，其特征在于，

所述移动站点用于生成ECDH交换的临时公钥px和临时私钥sx，并将px和所述移动站点的数字证书发送给所述网络侧设备；

所述网络侧设备用于使用所述数字证书对所述移动站点进行身份鉴别，身份鉴别通过后，生成ECDH交换的临时公钥py和临时私钥sy，使用sy和px进行ECDH计算生成密钥种子，并将临时公钥py发送给移动站点；

所述移动站点还用于使用sx、py进行ECDH计算，生成与所述网络侧设备相同的密钥种子，并使用所述密钥种子与所述网络侧设备协商生成用于接入无线局域网的会话密钥。