[发明专利]安全无线网络中的动态认证

说明书

本申请为于2008年11月26日提交、申请号为200780019389.2、发明名称为“安全无线网络中的动态认证”的中国专利申请的分案申请。所述母案申请的国际申请日为2007年4月18日，国际申请号为PCT/US2007/009503。

相关申请的交叉引用

本申请要求于2006年4月24日提交的题为“Mechanisms and Apparatus to Provide Pre-Shared Key Authentication with Dynamic Secret on Wireless Networks”的美国临时专利申请60/794,625以及于2006年5月2日提交的题为“Mechanisms and Apparatus for Automatic Wireless Connection Based on Provisioned Configuration”的美国临时专利申请60/796,845的优先权。这两个申请的公开通过引用合并到此。

技术领域

本发明总体涉及信息网络安全性。更具体地说，本发明涉及用于安全无线网络的用户友好的低维护性认证。

背景技术

很多专业组织已经提议了用于无线网络的各种用户认证和安全性措施。这些专业组织包括电气和电子工程师协会（IEEE）802.11工作组、Wi-Fi联盟、互联网工程任务组（IETF）。实现这些提议通常很复杂、难以维护，并且需要那些实现具体提议的人的高级技术知识。因此，因为很多商业组织（例如小型公司和中型公司）缺少专家和/或全职专业技术支持，所以他们无法部署这样的措施。

在早期的无线网络（例如IEEE802.11或Wi-Fi）中，通过有线等效保密（WEP）系统来实现安全性。部署WEP系统仅需要网络管理员在接入点或接入设备处定义WEP密钥集。任意用户可以通过拥有在该用户的客户机站（例如膝上型设备或移动设备）中手动配置的相同WEP密钥集来访问WEP安全无线网络。将使用共享WEP密钥集通过定义的加密算法来对客户机站与接入点之间的无线数据通信进行加密。

尽管WEP可以防止偶发的入侵者访问无线网络，但是WEP不可能抵挡更严重的安全性攻击。例如，通过使用公共可用的软件可以很容易地发现WEP密钥。此外，由于所有用户共享相同密钥，因此WEP不能保护网络用户免受彼此的攻击。因为基于WEP的安全性系统中的这些缺陷，所以发展出了替代的安全性措施。这些新的措施通常需要无线网络用户首先以某种方式被认证，然后导出密钥集并用于无线业务加密。这些已提议的认证措施通常可以被分为两组：可扩展认证协议（EAP）和预共享密钥（PSK）。

EAP组的安全性措施通常采用IEEE802.1x标准，其使用可扩展认证协议。基于EAP的安全性系统使得能够在认证服务器与其用户之间进行相互认证。认证服务器可以驻留在接入点、基站或外部设备中。通常，认证服务器提供推导出的成对主密钥，以在接入点与用户客户机站之间进行共享。成对主密钥可以用于导出密钥集，密钥集可以用于数据加密。

实现基于EAP或IEEE802.1x的安全性系统的主要障碍在于它们的复杂性。部署这样的系统需要高级技术专家以及对用户进行持续技术支持。例如，很多基于EAP的系统需要将安全性证书安装到认证服务器。根据基于EAP的系统的确切需求，客户机站可能还需要被授权确立证书更新，和/或在可被批准访问无线网络之前预装安全性证书。

与之对照，PSK安全性系统是基于在客户机站与接入点两者之间共享的并且在客户机站与接入点上存储的密码的。该密码可以是例如长比特流（例如过关短语、口令、十六进制串等等）。由客户机站和接入点用于对彼此进行认证的密码也可以用于生成加密密钥集。

基于PSK的系统的主要缺点在于，必须将密码手动输入到客户机站，并且由所有客户机站共享该密码。一旦共享的密码被未授权的人员获知，则危及整个网络的安全性。这可能在需要向临时雇员提供网络访问或具有高流动性的劳动力的组织中产生问题。为了维护基于PSK的系统的安全性，只要知道密码的人离开组织或者不再被授权访问网络，都必须改变所有客户机站上的密码。

虽然很多措施可用于确保无线网络安全，但实现这些措施中的任意一项都可能很复杂、困难，和/或需要大量维护。因此，本领域需要改进的方法和系统，其为无线网络提供对用户友好的并且容易维护的安全性，而不需要高级技术专家和持续技术支持。

发明内容