專利名稱:基于無線局域網(wǎng)的無線網(wǎng)狀網(wǎng)絡(luò)接入安全認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種無線網(wǎng)絡(luò)技術(shù)領(lǐng)域的接入安全認(rèn)證方法�����,具體的說��,涉及的是 一種基于無線局域網(wǎng)的無線網(wǎng)狀網(wǎng)絡(luò)接入安全認(rèn)證方法��。
背景技術(shù):
無線Mesh網(wǎng)絡(luò)(無線網(wǎng)狀網(wǎng)絡(luò))是一種新興的無線接入技術(shù)�����。因其自組織��、 易擴(kuò)展���、低成本等特性廣泛應(yīng)用于市政管理�����、災(zāi)難救助��、安全監(jiān)控����、工業(yè)管理、醫(yī) 療急救等領(lǐng)域�。鑒于其主要應(yīng)用領(lǐng)域���,如何保證Mesh網(wǎng)絡(luò)的安全是該技術(shù)能否得 以成功應(yīng)用的關(guān)鍵問題之一�。
Mackifi是為Atheros (創(chuàng)銳訊通信公司)802.11無線網(wǎng)絡(luò)芯片所開發(fā)的系 統(tǒng)驅(qū)動程序��,主要用于操作系統(tǒng)與無線網(wǎng)卡間的功能交互���。其中的Net80211模塊 是一個(gè)802. 11協(xié)議棧���,實(shí)現(xiàn)了 IEEE 802. 11標(biāo)準(zhǔn)中定義的安全能力發(fā)現(xiàn)、空認(rèn)證 和關(guān)聯(lián)等過程�。構(gòu)建與IEEE 802. 11鏈路上的無線.Mesh網(wǎng)絡(luò)稱為WLAN-Mesh (基 于無線局域網(wǎng)的Mesh網(wǎng)絡(luò))。
接入認(rèn)證技術(shù)用于驗(yàn)證合法用戶身份�����,確定合法用戶許可權(quán)限并生成一套密鑰 體系用于保護(hù)網(wǎng)絡(luò)中傳輸數(shù)據(jù)的機(jī)密性和完整性。在WLAN的應(yīng)用中���,簡單的WEP (有線等效保護(hù)協(xié)議)機(jī)制已無法有效保證網(wǎng)絡(luò)上傳輸數(shù)據(jù)的安全性和接入用戶的 合法性�。因此IEEE (國際電氣電子工程師學(xué)會)標(biāo)準(zhǔn)化組織提出了 802. lli增補(bǔ) 方案用于完善WLAN (無線局域網(wǎng))的安全特性����。IEEE 802. lli標(biāo)準(zhǔn)為無線局域網(wǎng) 用戶提供了可靠的安全解決方案,其中提出了無線局域網(wǎng)新安全體系^"健壯安全 網(wǎng)絡(luò)RSN (Robust Security Network) �����。 RSN體系結(jié)構(gòu)分為兩大部分安全關(guān)聯(lián)管 理和數(shù)據(jù)加密機(jī)制�。其中RSN安全關(guān)聯(lián)管理機(jī)制包括RSN安全能力協(xié)商過程、 802. lx認(rèn)證過程和802. lx密鑰發(fā)布過程����。802. lli選擇了 IEEE 802. lx基于端 口的接入控制協(xié)議,實(shí)現(xiàn)了申請者(Supplicant)�����、認(rèn)證者(Authenticator)和認(rèn) 證服務(wù)器(AS)的接入控制模式��。RSN安全能力協(xié)商后進(jìn)行802. lx認(rèn)證�,認(rèn)證完
成后是802. lx的密鑰發(fā)布過程四次握手���,產(chǎn)生用于數(shù)據(jù)通信的密鑰。RSN數(shù)據(jù)加 密機(jī)制主要有TKIP (臨時(shí)密鑰完整性協(xié)議)和CCMP (計(jì)數(shù)器模式密碼塊鏈信息認(rèn) 證碼協(xié)議)��。
為了適應(yīng)Mesh網(wǎng)絡(luò)的特點(diǎn)����,IEEE專門提出了一個(gè)稱為Mesh安全關(guān)聯(lián)(MSA)
的安全方案。與802.11i方案相比��,MSA使用了新的密鑰體系��,并規(guī)定了一系列新 的認(rèn)證協(xié)議建立并運(yùn)用這一密鑰體系����。建立密鑰體系結(jié)構(gòu)的主要目的就是1)通 過細(xì)化MP (Mesh節(jié)點(diǎn))角色�,建立分支和層間隔離強(qiáng)化安全性。加入新的角色 MKD (Mesh Key Distributor, Mesh密鑰分發(fā)者)行使代理AS的部分功能��,MP與 MA (Mesh Authenticator�����, Mesh認(rèn)證者)禾B MKD與MA不同的分支間通信使用不用 的密鑰�。2)簡化認(rèn)證過程��。MP之間關(guān)聯(lián)后不需要每次都進(jìn)行802. lx驗(yàn)證�����。即通 過了一次初始認(rèn)證后的MP間可以直接關(guān)聯(lián)并進(jìn)行密鑰交換���,而不再需要與MKD或 SA進(jìn)行交互。MSA體系由數(shù)個(gè)不同的協(xié)議構(gòu)成����,其中主要部分就是MSA認(rèn)證機(jī)制
(MSA Authentication) 。 MSA認(rèn)證機(jī)制實(shí)現(xiàn)了 MP加入一個(gè)Mesh網(wǎng)絡(luò)時(shí)必要的身 份認(rèn)證和相關(guān)密鑰生成��。與802. lli類似�, 一個(gè)完整的MSA認(rèn)證過程大致可分為三 個(gè)階段由一對雙向的Peer Link Open/Confirm (對等鏈路請求/確認(rèn))消息構(gòu)成 的Peer Link Manag柳ent (對等鏈路管理)階段;可選的MSA初始認(rèn)證階段(EAP 擴(kuò)展認(rèn)證協(xié)議)���;MSA四次握手階段���。Hostapd和WPA Supplicant
(http:〃hostap.鄰itest.fi/)是廣泛使用的802. lli客戶端,分別實(shí)現(xiàn) 802. lli協(xié)議在AP (接入點(diǎn))端和STA (客戶機(jī))端的功能����。主要包括了 EAP認(rèn)證 框架��、4次握手和組握手交互和各種具體的密鑰算法等��。
經(jīng)對現(xiàn)有技術(shù)文獻(xiàn)的檢索發(fā)現(xiàn)��,在IEEE 802. 11任務(wù)組s公布的技術(shù)文檔
"Joint SEE-Mesh Wi-Mesh Proposal to 802. 11 TGs"中定義了一個(gè)Mesh節(jié)點(diǎn)相 互認(rèn)證的過程。該方案中僅簡單地使用兩個(gè)逆向的802. lli認(rèn)證過程為自組織的 Mesh節(jié)點(diǎn)進(jìn)行認(rèn)證����。其缺點(diǎn)也是明顯的首先這樣的認(rèn)證方式的消息數(shù)量是普通 802. lli協(xié)議的兩倍�����,實(shí)施起來必將極大地降低網(wǎng)絡(luò)性能�����,這對無線網(wǎng)絡(luò)是不可接 受的�。其次該方案并不能真正解決Mesh節(jié)點(diǎn)的自組織問題����,因?yàn)椴⒉皇撬蠱esh 節(jié)點(diǎn)都具有為其他節(jié)點(diǎn)提供認(rèn)證的功能,這樣的認(rèn)證方式很容易產(chǎn)生大量網(wǎng)絡(luò)開銷 后還是認(rèn)證失敗���。最后該文檔也沒給出實(shí)現(xiàn)細(xì)節(jié)�����,其具體實(shí)現(xiàn)可行性也值得懷疑�。
發(fā)明內(nèi)容
本發(fā)明的目的在于針對現(xiàn)有技術(shù)的不足,提供一種基于Madwifi的WLAN-Mesh 網(wǎng)絡(luò)接入安全認(rèn)證方法����,在滿足WLAN Mesh網(wǎng)絡(luò)的動態(tài)自組織等新特性的同時(shí), 為WLAN Mesh網(wǎng)絡(luò)提供不低于802. lli標(biāo)準(zhǔn)所要求的安全性能��。本發(fā)明通過在現(xiàn) 有802.11協(xié)議棧實(shí)現(xiàn)也即Madwifi中net80211模塊基礎(chǔ)上增加對等鏈路管理 (PLM)協(xié)議交互的支持��,以實(shí)現(xiàn)新的安全參數(shù)�����、預(yù)存儲密鑰和認(rèn)證角色的協(xié)商過 程��。同時(shí)通過兼容調(diào)用現(xiàn)有的802.1x協(xié)議客戶端���,實(shí)現(xiàn)用戶認(rèn)證和密鑰體系生成 過程����。
本發(fā)明是通過以下技術(shù)方案實(shí)現(xiàn)的,包括如下步驟
第一步��,在Madwifi驅(qū)動初始化的伺時(shí)初始化MSA相關(guān)參數(shù)��、數(shù)據(jù)結(jié)構(gòu)以及 PLM狀態(tài)機(jī)�����。
第二步�,在雙方完成802. 11開放認(rèn)證后,保存當(dāng)前802. 11狀態(tài)并由PLM狀 態(tài)機(jī)接管802. 11狀態(tài)機(jī)開始運(yùn)作�����,認(rèn)證雙方進(jìn)入"LISTEN"狀態(tài)����。
第三步,認(rèn)證雙方以同步或異步的方式向?qū)Ψ桨l(fā)送對等鏈路請求消息���。對于 新節(jié)點(diǎn)加入網(wǎng)絡(luò)這一場景��,則是新節(jié)點(diǎn)MP首先向具有認(rèn)證能力的Mesh節(jié)點(diǎn)MA發(fā) 送對等鏈路請求消息,MP的PLM狀態(tài)機(jī)進(jìn)入"OPN_SNT"狀態(tài)�。
第四步,MA收到MP發(fā)來的對等鏈路請求消息后驗(yàn)證其中攜帶的參數(shù)是否匹配 本地配置,通過后進(jìn)行密鑰選擇和角色選擇程序��。MA的PLM狀態(tài)機(jī)進(jìn)入 "OPN_RCVD"狀態(tài)����。
第五步,第四步所述流程完成后如果MA沒有發(fā)送過對等鏈路請求消息���,那么 則向MP發(fā)送一條對等鏈路請求消息���。接著發(fā)送一條對等鏈路確認(rèn)消息,該消息攜 帶了密鑰選擇和角色選擇程序的結(jié)果�。
第六步,MP先后對收到的對等鏈路請求消息和對等鏈路確認(rèn)消息進(jìn)行處理�, 并進(jìn)行密鑰選擇和角色選擇程序。MP的PLM狀態(tài)機(jī)根據(jù)消息到達(dá)次序進(jìn)入 "OPN—RCVD"或"CNF一RCVD"狀態(tài)�����。在確認(rèn)收到消息中攜帶的安全參數(shù)與本地配 置相匹配�,且攜帶的密鑰選擇和角色選擇程序的結(jié)果與本地進(jìn)行的密鑰選擇和角 色選擇程序的結(jié)果一致后,MP向MA發(fā)送一條對等鏈路確認(rèn)消息進(jìn)行最后的確認(rèn)���。
第七步��,在MP發(fā)送對等鏈路確認(rèn)消息后MP的PLM狀態(tài)機(jī)進(jìn)入"ESTAB"狀 態(tài)����,并生成一個(gè)內(nèi)部事件通知802. lx客戶端PLM過程結(jié)束。系統(tǒng)重新回到802.11 狀態(tài)機(jī)的管理�。802. lx客戶端將根據(jù)PLM階段交互確定的安全參數(shù)和認(rèn)證角色進(jìn) 行初始化。
第八步���,MA收到來自的MP的對等鏈路確認(rèn)消息驗(yàn)證其中的參數(shù)和密鑰選擇和 角色選擇程序的結(jié)果��。通過后其PLM狀態(tài)機(jī)進(jìn)入"ESTAB"狀態(tài)��,并生成一個(gè)內(nèi)部 事件通知802. lx客戶端PLM過程結(jié)束�。802. lx客戶端將根據(jù)PLM階段交互確定的 安全參數(shù)和認(rèn)證角色進(jìn)行初始化���。
第九步�����,認(rèn)證雙方的802. lx客戶端開始EAP協(xié)商過程�,如果成功則認(rèn)證雙方 將持有共享主密鑰MSK (主會話密鑰)���。
第十步��,認(rèn)證雙方開始四次握手交互�。如果成功則認(rèn)證雙方將持有共享會話 密鑰PTK (臨時(shí)會話密鑰)����。認(rèn)證過程結(jié)束。
本發(fā)明既滿足了 WLAN Mesh網(wǎng)絡(luò)的動態(tài)自組織等新特性的需求�,又為WLAN Mesh網(wǎng)絡(luò)提供了等同于802. lli標(biāo)準(zhǔn)要求的安全性能。本發(fā)明在廣泛使用于WLAN 設(shè)備的net80211協(xié)議?;A(chǔ)上進(jìn)行開發(fā),提供良好的兼容性���,便于在基于802. 11 鏈路建立的無線Mesh網(wǎng)絡(luò)中應(yīng)用����。本發(fā)明最大限度保留了 802. lli框架的使用��, 通過通用ioctl (輸入/輸出控制)機(jī)制與上層802. lx客戶端進(jìn)行交互���,不僅確保 了兼容性和靈活性���,而且易于實(shí)現(xiàn)。
圖1為MSA認(rèn)證過程示意圖�; 圖2為PLM狀態(tài)機(jī)狀態(tài)轉(zhuǎn)移圖�。
具體實(shí)施例方式
下面結(jié)合附圖對本發(fā)明的實(shí)施例作詳細(xì)說明本實(shí)施例在以本發(fā)明技術(shù)方案 為前提下進(jìn)行實(shí)施���,給出了詳細(xì)的實(shí)施方式和具體的操作過程�,但本發(fā)明的保護(hù) 范圍不限于下述的實(shí)施例��。
本實(shí)施例以新節(jié)點(diǎn)MP加入網(wǎng)絡(luò)與具有認(rèn)證能力的Mesh節(jié)點(diǎn)MA進(jìn)行認(rèn)證為
例
第一步���,在Mackifi驅(qū)動初始化的同時(shí)初始化MSA相關(guān)參數(shù)���、數(shù)據(jù)結(jié)構(gòu)以及
PLM狀態(tài)機(jī)。
MSA參數(shù)是對802. lli中RSN參數(shù)的擴(kuò)充�����,包括是否使用MSA功能�����、是否要求 EAP認(rèn)證���、支持的EAP方式等等��。大致可以分為由配置決定和協(xié)商中動態(tài)確定兩種 類型���。這里將根據(jù)配置文件初始化部分參數(shù)�。所述的PLM狀態(tài)機(jī)是用于控制對等 鏈路管理階段消息收發(fā)和重傳機(jī)制的有限狀態(tài)機(jī)��,見圖2,初始化時(shí)將PLM狀態(tài)機(jī) 置于"IDLE"狀態(tài)�。
第二步���,雙方照常進(jìn)行beacon-scan (信標(biāo)廣播/掃描)和802. 11認(rèn)證過程��。 見圖1中的安全能力發(fā)現(xiàn)和空認(rèn)證階段交互���。該階段中的消息交互仍由802. 11狀 態(tài)機(jī)進(jìn)行控制。
在雙方完成802. 11開放認(rèn)證后����,保存當(dāng)前802. 11狀態(tài)并由PLM狀態(tài)機(jī)接管 802.11狀態(tài)機(jī)開始運(yùn)作,認(rèn)證雙方進(jìn)入"LISTEN"狀態(tài)���。此時(shí)新節(jié)點(diǎn)MP的 802.11狀態(tài)機(jī)應(yīng)該停止在"AUTH"(接受認(rèn)證幀后進(jìn)入的狀態(tài))狀態(tài)�����,而MA的 802. 11狀態(tài)機(jī)應(yīng)該停止在"RUN"(狀態(tài)機(jī)最終狀態(tài))狀態(tài)��。
第三步���,開始對等鏈路管理(PLM)階段的交互���。在該階段認(rèn)證雙方以同步或 異步的方式向?qū)Ψ桨l(fā)送對等鏈路請求消息。對于新節(jié)點(diǎn)加入網(wǎng)絡(luò)這一場景����,則是 新節(jié)點(diǎn)MP首先向具有認(rèn)證能力的Mesh節(jié)點(diǎn)MA發(fā)送對等鏈路請求消息,MP的PLM 狀態(tài)機(jī)進(jìn)入"OPN—SNT"狀態(tài)�。
對等鏈路請求消息是一種Action管理幀(IEEE 802. 11標(biāo)準(zhǔn)定義的12種管理 幀之一)。它的幀內(nèi)容與關(guān)聯(lián)請求管理幀的主要區(qū)別就是新增加了兩個(gè)信息元素 (IE��, Information elements): MSA IE (Mesh安全管理信息元)和MSC IE (Mesh安全配置信息元)�����,用于攜帶MSA參數(shù)��。MP發(fā)送對等鏈路請求消息后進(jìn)入 "0PN_SNT"狀態(tài)��,并設(shè)置一個(gè)重試計(jì)時(shí)器R����, R過期表明對方?jīng)]有收到發(fā)出的對 等鏈路請求消息或者沒有做出正確的響應(yīng)��,這時(shí)MP將重發(fā)對等鏈路請求消息并重 新進(jìn)入"0PN_SNT"狀態(tài)�。當(dāng)重發(fā)次數(shù)超過MAXRETRY (最大重試常數(shù))后認(rèn)證失 敗��,MP進(jìn)入"HOLDING"狀態(tài)����。
第四步����,MA收到MP發(fā)來的對等鏈路請求消息后驗(yàn)證其中攜帶的參數(shù)是否匹配 本地配置,通過后進(jìn)行密鑰選擇和角色選擇程序�����。MA的PLM狀態(tài)機(jī)進(jìn)入 "0PN_RCVD"狀態(tài)����。MA主要判斷對方提出的算法和方法參數(shù)是否得到本地配置的
支持,如果支持則將消息中的IE保存下來以便后面使用�,否則直接丟棄收到的消 息。
密鑰選擇過程用于選擇認(rèn)證雙方前幾次認(rèn)證生成并保存的預(yù)存儲密鑰�,用以 跳過繁瑣的EAP認(rèn)證階段進(jìn)行快速預(yù)認(rèn)證。這一過程的結(jié)果與雙方保存的預(yù)存儲 密鑰和到認(rèn)證服務(wù)器AS的連接相關(guān)�����。角色選擇過程用于確定在接下來可能發(fā)生的 EAP認(rèn)證過程中誰作認(rèn)證者誰作申請者。這一過程的結(jié)果與雙方是否請求進(jìn)行EAP 認(rèn)證和到認(rèn)證服務(wù)器AS的連接相關(guān)���。
第五步���,步驟四所述流程完成后如果MA沒有發(fā)送過對等鏈路請求消息那么則 向MP發(fā)送一條對等鏈路請求消息,同時(shí)設(shè)置計(jì)時(shí)器R�。這里對等鏈路請求消息的 內(nèi)容和計(jì)時(shí)器R的用途都于步驟三中描述的類似。接著發(fā)送一條對等鏈路確認(rèn)消 息�����。
對等鏈路確認(rèn)消息也是Action管理幀�����,它的幀內(nèi)容與關(guān)聯(lián)響應(yīng)管理幀的主要 區(qū)別也在于新加入的MSA IE和MSC IE�����。該消息中的MSAIE攜帶了步驟四中密鑰選 擇和角色選擇程序的結(jié)果��。其他參數(shù)均不變。
第六步�����,MP先后對收到的對等鏈路請求消息和對等鏈路響應(yīng)消息進(jìn)行處理��, 并進(jìn)行如步驟四中所描述的密鑰選擇和角色選擇程序�。
如果按順序先收到對等鏈路請求消息,則MP的PLM狀態(tài)機(jī)進(jìn)入"0PN_RCVD" 狀態(tài)���,并進(jìn)行步驟四描述的處理過程�����。如果先收到對等鏈路確認(rèn)消息,那么MP的 PLM狀態(tài)機(jī)將進(jìn)入"CNF一RCVD"狀態(tài)���。這時(shí)MP將保存對等鏈路響應(yīng)消息中的參數(shù) 用于和對之后收到對等鏈路請求消息的處理結(jié)果相比較��。MP還需要刪除R計(jì)時(shí)器 并重新創(chuàng)建一個(gè)C計(jì)時(shí)器用于管理對等鏈路確認(rèn)消息的重傳����,如果在C計(jì)時(shí)器規(guī) 定的時(shí)間內(nèi)沒有收到對等鏈路請求消息那么認(rèn)證就要失敗����,MP將進(jìn)入"HOLDING" 狀態(tài)�����。在正確收到對等鏈路請求和對等鏈路確認(rèn)消息并確認(rèn)收到消息中攜帶的安 全參數(shù)與本地配置相匹配�,且攜帶的密鑰選擇和角色選擇程序的結(jié)果與本地進(jìn)行 的密鑰選擇和角色選擇程序的結(jié)果一致后��,MP向MA回復(fù)一條對等鏈路確認(rèn)消息進(jìn) 行最后的確認(rèn)�。
第七步,在MP發(fā)送對等鏈路確認(rèn)消息后MP的PLM狀態(tài)機(jī)進(jìn)入"ESTAB"狀 態(tài)�,刪除所有計(jì)時(shí)器并使用系統(tǒng)IOCTL機(jī)制生成一個(gè)內(nèi)部事件通知802. lx客戶端
PLM過程結(jié)束。之后MP重新回到802. 11狀態(tài)機(jī)的管理且由"AUTH"狀態(tài)轉(zhuǎn)移到 "RUN"狀態(tài)�����。802. lx客戶端將根據(jù)PLM階段交51確定的安全參數(shù)和認(rèn)證角色進(jìn)行 初始化����。
第八步,MA收到來自的MP的對等鏈路確認(rèn)消息驗(yàn)證其中的參數(shù)和密鑰選擇和 角色選擇程序的結(jié)果�。通過后其PLM狀態(tài)機(jī)進(jìn)入"ESTAB"狀態(tài),刪除所有計(jì)時(shí)器 并生成一個(gè)內(nèi)部事件通知802. lx客戶端PLM過程結(jié)束��。802. lx客戶端將根據(jù)PLM 階段交互確定的安全參數(shù)和認(rèn)證角色進(jìn)行初始化����。
第九步�,認(rèn)證雙方的802. lx客戶端(Hostapd/WPA S叩plicant)開始EAP協(xié) 商過程��。如圖1中802. lx/EAP認(rèn)證階段所示�����,該過程中將使用EAPOL (局域網(wǎng)上 的EAP)協(xié)議對EAP消息進(jìn)行封裝傳輸����。而在MA和MPP (Mesh網(wǎng)關(guān)節(jié)點(diǎn))間將使 用EAP消息傳輸協(xié)議封裝EAP消息在無線多跳線路上進(jìn)行傳輸。這個(gè)過程由EAPOL 狀態(tài)機(jī)進(jìn)行控制����。如果成功則認(rèn)證雙方將持有共享主密鑰MSK。
第十步����,認(rèn)證雙方開始四次握手交互����。如果成功則認(rèn)證雙方將持有共享會話 密鑰PTK。認(rèn)證過程結(jié)束��。
本實(shí)施例通過在現(xiàn)有802. 11協(xié)議棧實(shí)現(xiàn)基礎(chǔ)上增加對等鏈路管理協(xié)議交互的 支持,以實(shí)現(xiàn)新的安全參數(shù)�����、預(yù)存儲密鑰和認(rèn)證角色的協(xié)商過程�,同時(shí)通過兼容 調(diào)用現(xiàn)有的802. lx協(xié)議客戶端,實(shí)現(xiàn)用戶認(rèn)證和密鑰體系生成過程�,在滿足WLAN Mesh網(wǎng)絡(luò)的動態(tài)自組織等新特性的同時(shí),為WLAN Mesh網(wǎng)絡(luò)提供不低于802. lli 標(biāo)準(zhǔn)所要求的安全性能���。
權(quán)利要求
1. 一種基于Madwifi的WLAN-Mesh網(wǎng)絡(luò)接入安全認(rèn)證方法����,其特征在于包括如下步驟第一步���,在Madwifi驅(qū)動初始化的同時(shí)初始化MSA參數(shù)�、數(shù)據(jù)結(jié)構(gòu)以及PLM狀態(tài)機(jī)����;第二步,在雙方完成802.11開放認(rèn)證后�����,保存當(dāng)前802.11狀態(tài)并由PLM狀態(tài)機(jī)接管802.11狀態(tài)機(jī)開始運(yùn)作,認(rèn)證雙方進(jìn)入“LISTEN”狀態(tài)�����;第三步����,認(rèn)證雙方以同步或異步的方式向?qū)Ψ桨l(fā)送對等鏈路請求消息,對于新節(jié)點(diǎn)加入網(wǎng)絡(luò)這一場景�,則是新節(jié)點(diǎn)MP首先向?qū)Ψ焦?jié)點(diǎn)MA發(fā)送對等鏈路請求消息,MP的PLM狀態(tài)機(jī)進(jìn)入“OPN_SNT”狀態(tài)����;第四步,MA收到MP發(fā)來的對等鏈路請求消息后驗(yàn)證其中攜帶的參數(shù)是否匹配本地配置����,通過后進(jìn)行密鑰選擇和角色選擇程序,MA的PLM狀態(tài)機(jī)進(jìn)入“OPN_RCVD”狀態(tài)�;第五步,第四步所述流程完成后如果MA沒有發(fā)送過對等鏈路請求消息���,那么則向MP發(fā)送一條對等鏈路請求消息,接著發(fā)送一條對等鏈路確認(rèn)消息�,該消息攜帶了密鑰選擇和角色選擇程序的結(jié)果�;第六步��,MP先后對收到的對等鏈路請求消息和對等鏈路確認(rèn)消息進(jìn)行處理�,并進(jìn)行密鑰選擇和角色選擇程序,MP的PLM狀態(tài)機(jī)根據(jù)消息到達(dá)次序進(jìn)入“OPN_RCVD”或“CNF_RCVD”狀態(tài)��,在確認(rèn)收到消息中攜帶的安全參數(shù)與本地配置相匹配�����,且攜帶的密鑰選擇和角色選擇程序的結(jié)果與本地進(jìn)行的密鑰選擇和角色選擇程序的結(jié)果一致后��,MP向MA發(fā)送一條對等鏈路確認(rèn)消息進(jìn)行最后的確認(rèn)�����;第七步���,在MP發(fā)送對等鏈路確認(rèn)消息后MP的PLM狀態(tài)機(jī)進(jìn)入“ESTAB”狀態(tài)��,并生成一個(gè)內(nèi)部事件通知802.1x客戶端PLM過程結(jié)束����,系統(tǒng)重新回到802.11狀態(tài)機(jī)的管理�,802.1x客戶端將根據(jù)PLM階段交互確定的安全參數(shù)和認(rèn)證角色進(jìn)行初始化�����;第八步����,MA收到來自的MP的對等鏈路確認(rèn)消息驗(yàn)證其中的參數(shù)和密鑰選擇和角色選擇程序的結(jié)果����,通過后其PLM狀態(tài)機(jī)進(jìn)入“ESTAB”狀態(tài),并生成一個(gè)內(nèi)部事件通知802.1x客戶端PLM過程結(jié)束���,802.1x客戶端將根據(jù)PLM階段交互確定的安全參數(shù)和認(rèn)證角色進(jìn)行初始化����;第九步�����,認(rèn)證雙方的802.1x客戶端開始EAP協(xié)商過程�����,如果成功則認(rèn)證雙方將持有共享主密鑰MSK;第十步�����,認(rèn)證雙方開始四次握手交互��,如果成功則認(rèn)證雙方將持有共享會話密鑰PTK�,認(rèn)證過程結(jié)束�。
2. 根據(jù)權(quán)利要求1所述的基于Madwifi的WLAN-Mesh網(wǎng)絡(luò)接入安全認(rèn)證方 法,其特征是�����,步驟一中�����,所述的MSA參數(shù)是對802. lli中RSN參數(shù)的擴(kuò)充��,包 括是否使用MSA功能��、是否要求EAP認(rèn)證�����、支持的EAP方式,分為由配置決定和 協(xié)商中動態(tài)確定兩種類型����,這里將根據(jù)配置文件初始化部分參數(shù);所述的PLM狀 態(tài)機(jī)是用于控制對等鏈路管理階段消息收發(fā)和重傳機(jī)制的有限狀態(tài)機(jī)����,初始化時(shí) 將PLM狀態(tài)機(jī)置于IDLE狀態(tài)。
3. 根據(jù)權(quán)利要求1所述的基于Madwifi的WLAN-Mesh網(wǎng)絡(luò)接入安全認(rèn)證方 法��,其特征是�����,步驟二中�����,所述的認(rèn)證雙方進(jìn)入"LISTEN"狀態(tài)�����,此時(shí)新節(jié)點(diǎn)MP 的802. 11狀態(tài)機(jī)應(yīng)該停止在"AUTH"狀態(tài)�,而MA的802. 11狀態(tài)機(jī)應(yīng)該停止在"RUN"狀態(tài)。
4. 根據(jù)權(quán)利要求1所述的基于Madwifi的WLAN-Mesh網(wǎng)絡(luò)接入安全認(rèn)證方 法����,其特征是�,步驟三中,所述的對等鏈路請求消息是一種Action管理幀���,它的 幀內(nèi)容與關(guān)聯(lián)請求幀的主要區(qū)別就是新增加了兩個(gè)信息元素MSA IE和MSC IE�, 用于攜帶MSA參數(shù)���,MP發(fā)送對等鏈路請求消息后進(jìn)入"0PN_SNT"狀態(tài),并設(shè)置一 個(gè)重試計(jì)時(shí)器R, R過期表明對方?jīng)]有收到發(fā)出的對等鏈路請求消息或者沒有做出 正確的響應(yīng)�,這時(shí)MP將重發(fā)對等鏈路請求消息并重新進(jìn)入"0PN_SNT"狀態(tài),當(dāng) 重發(fā)次數(shù)超過最大重試常數(shù)MAXRETRY后認(rèn)證失敗���,MP進(jìn)入"HOLDING"狀態(tài)���。
5. 根據(jù)權(quán)利要求1所述的基于Madwifi的WLAN-Mesh網(wǎng)絡(luò)接入安全認(rèn)證方 法,其特征是�����,步驟四中�����,所述的密鑰選擇用于選擇認(rèn)證雙方前幾次認(rèn)證生成并 保存的預(yù)存儲密鑰,以跳過繁瑣的EAP認(rèn)證階段進(jìn)行快速預(yù)認(rèn)證���,這一過程的結(jié) 果與雙方保存的預(yù)存儲密鑰和到認(rèn)證服務(wù)器AS的連接相關(guān)��;角色選擇過程用于確 定在接下來可能發(fā)生的EAP認(rèn)證過程中誰作認(rèn)證者誰作請求者�����,這一過程的結(jié)果 與雙方是否請求進(jìn)行EAP認(rèn)證和到認(rèn)證服務(wù)器AS的連接相關(guān)���。
6. 根據(jù)權(quán)利要求1所述的基于Madwifi的WLAN-Mesh網(wǎng)絡(luò)接入安全認(rèn)證方 法,其特征是����,步驟五中,所述的對等鏈路確認(rèn)消息是Action管理幀�����,它的幀內(nèi) 容與關(guān)聯(lián)響應(yīng)幀的主要區(qū)別也在于新加入的MSAIE和MSCIE����,該消息中的MSAIE攜 帶了步驟四中密鑰選擇和角色選擇程序的結(jié)果,其他參數(shù)均不變����。
7. 根據(jù)權(quán)利要求1所述的基于Madwifi的WLAN-Mesh網(wǎng)絡(luò)接入安全認(rèn)證方 法�����,其特征是�����,步驟六中��,如果按順序先收到對等鏈路請求消息,則MP的PLM狀 態(tài)機(jī)進(jìn)入"0PN_RCVD"狀態(tài)����,并進(jìn)行步驟四描述的處理過程;如果先收到對等鏈 路確認(rèn)消息�����,那么MP的PLM狀態(tài)機(jī)將進(jìn)入"CNF_RCVD"狀態(tài)����,這時(shí)MP將保存對 等鏈路請求確認(rèn)消息中的參數(shù)用于和對之后收到對等鏈路請求消息的處理結(jié)果相 比較,MP還需要刪除R計(jì)時(shí)器并重新創(chuàng)建一個(gè)C計(jì)時(shí)器用于管理對等鏈路確認(rèn)消 息的重傳����,如果在C計(jì)時(shí)器規(guī)定的時(shí)間內(nèi)沒有收到對等鏈路請求消息那么認(rèn)證就 要失敗���,MP將進(jìn)入"HOLDING"狀態(tài),在正確收到對等鏈路請求和對等鏈路確認(rèn)消 息并確認(rèn)收到消息中攜帶的安全參數(shù)與本地配置相匹配���,且攜帶的密鑰選擇和角 色選擇程序的結(jié)果與本地進(jìn)行的密鑰選擇和角色選擇程序的結(jié)果一致后��,MP向MA 回復(fù)一條對等鏈路請求消息進(jìn)行最后的確認(rèn)����。
8. 根據(jù)權(quán)利要求1所述的基于Madwifi的WLAN-Mesh網(wǎng)絡(luò)接入安全認(rèn)證方 法���,其特征是����,步驟七�、八中,所述的在MP的PLM狀態(tài)機(jī)進(jìn)入"ESTAB"狀態(tài) 后���,MP刪除所有計(jì)時(shí)器并生成一個(gè)內(nèi)部事件通知802.1x客戶端PLM過程結(jié)束��,之 后MP和MA均重新回到802. 11狀態(tài)機(jī)的管理且分別由"AUTH"狀態(tài)和"RUN"狀 態(tài)轉(zhuǎn)移到"RUN"狀態(tài)��,802. lx客戶端將根據(jù)PLM階段交互確定的安全參數(shù)和認(rèn)證 角色進(jìn)行初始化�。
全文摘要
本發(fā)明公開一種無線網(wǎng)絡(luò)技術(shù)領(lǐng)域的基于無線局域網(wǎng)的無線網(wǎng)狀網(wǎng)絡(luò)接入安全認(rèn)證方法。本發(fā)明在認(rèn)證雙方完成802.11開放認(rèn)證后直接進(jìn)入用于交換安全參數(shù)的PLM過程�����,并由PLM狀態(tài)機(jī)接管802.11狀態(tài)機(jī)的運(yùn)作��。PLM過程由認(rèn)證雙方分別發(fā)送的一對對等鏈路請求/對等鏈路確認(rèn)消息組成���,交互協(xié)商802.11i/RSN安全參數(shù)和802.11s/MSA安全參數(shù)��,選擇用于預(yù)認(rèn)證的存儲密鑰����,并確定在后續(xù)EAP認(rèn)證階段各自擔(dān)當(dāng)?shù)慕巧?����。消息收發(fā)及重傳機(jī)制由PLM狀態(tài)機(jī)控制���,PLM過程結(jié)束后,重新由802.11狀態(tài)機(jī)控制����,并生成內(nèi)部事件調(diào)用IOCTL通知EAP客戶端準(zhǔn)備開始EAP認(rèn)證過程和4次握手交互�����。本發(fā)明滿足WLAN Mesh網(wǎng)絡(luò)的動態(tài)自組織等新特性��,安全性能可靠�����。
文檔編號H04L29/06GK101394281SQ20081020065
公開日2009年3月25日 申請日期2008年9月27日 優(yōu)先權(quán)日2008年9月27日
發(fā)明者越 吳, 平 易, 朱近丹, 李建華 申請人:上海交通大學(xué)