一種針對(duì)wlan與5g融合組網(wǎng)應(yīng)用場(chǎng)景的高效初始接入認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及無(wú)線(xiàn)通信技術(shù)領(lǐng)域，涉及無(wú)線(xiàn)局域網(wǎng)安全認(rèn)證技術(shù)，具體是針對(duì)WLAN與5G融合組網(wǎng)應(yīng)用場(chǎng)景中原有認(rèn)證方法時(shí)延過(guò)大及用戶(hù)體驗(yàn)質(zhì)量差的問(wèn)題，提出一種適用于WLAN與5G融合組網(wǎng)應(yīng)用場(chǎng)景的高效初始接入認(rèn)證方法。
【背景技術(shù)】
[0002]移動(dòng)通信的5G時(shí)代將會(huì)是一個(gè)泛技術(shù)的時(shí)代，5G與其它先進(jìn)技術(shù)之間的融合將會(huì)成為一種必然趨勢(shì)。如何體現(xiàn)不同系統(tǒng)的優(yōu)勢(shì)將會(huì)是融合的核心所在，這需要它們能夠相互協(xié)作，使良好的工作效率和用戶(hù)體驗(yàn)?zāi)軌虻玫綕M(mǎn)足。WLAN (Wireless Local AreaNetworks，無(wú)線(xiàn)局域網(wǎng)絡(luò))可以作為運(yùn)營(yíng)商優(yōu)先選擇的異構(gòu)網(wǎng)絡(luò)來(lái)進(jìn)行部署。同時(shí)，WLAN還具有組網(wǎng)靈活、傳輸速率高、移動(dòng)性強(qiáng)、成本低廉等優(yōu)點(diǎn)。對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)，在熱點(diǎn)區(qū)域?qū)崿F(xiàn)WLAN與未來(lái)第五代移動(dòng)通信網(wǎng)絡(luò)(5G)融合組網(wǎng)將更有效地起到對(duì)現(xiàn)有蜂窩網(wǎng)分流的作用，同時(shí)可以大幅提尚用戶(hù)體驗(yàn)。
[0003]IEEE 802.11系列標(biāo)準(zhǔn)發(fā)展至今一直以提升吞吐量為主要演進(jìn)方向，目前802.llac/ad的單鏈路吞吐量的理論值已接近7Gbit/s。但是，隨著無(wú)線(xiàn)局域網(wǎng)功能的迅速增加，移動(dòng)設(shè)備和無(wú)線(xiàn)網(wǎng)絡(luò)的使用越來(lái)越廣泛，建立更有效的初始鏈路機(jī)制越來(lái)越重要，更快的接入認(rèn)證方法才能保障良好的服務(wù)質(zhì)量(QoS)，使得WLAN在實(shí)際組網(wǎng)環(huán)境中，特別是在大規(guī)模密集組網(wǎng)環(huán)境下發(fā)揮出最佳性能。
[0004]5G與WLAN融合組網(wǎng)的主要支撐類(lèi)業(yè)務(wù)將日益增長(zhǎng)，WLAN除了原有的校園、企業(yè)、車(chē)站等室內(nèi)環(huán)境應(yīng)用場(chǎng)景以外，還會(huì)增加密集街區(qū)、密集公寓樓、體育場(chǎng)、無(wú)線(xiàn)社區(qū)、公共交通工具等應(yīng)用場(chǎng)景，這些應(yīng)用場(chǎng)景特別是高移動(dòng)性的應(yīng)用場(chǎng)景對(duì)接入認(rèn)證的時(shí)延要求極高。而在某些情況下WLAN的認(rèn)證時(shí)延是相當(dāng)嚴(yán)重的，造成這種情況的主要原因是由于其接入?yún)f(xié)議流程過(guò)于繁瑣。為了適應(yīng)未來(lái)融合組網(wǎng)的應(yīng)用場(chǎng)景，需要提出更加高效的初始接入認(rèn)證協(xié)議，以提升用戶(hù)的體驗(yàn)，并使得運(yùn)營(yíng)商部署的WLAN網(wǎng)絡(luò)被充分利用。如何簡(jiǎn)化協(xié)議流程來(lái)改善WLAN認(rèn)證接入時(shí)延情況，以保證用戶(hù)QoS需求和認(rèn)證接入效率，仍是一個(gè)待解決的問(wèn)題。
[0005]在實(shí)現(xiàn)本發(fā)明的過(guò)程中，發(fā)明人發(fā)現(xiàn):
[0006]IEEE 802.1li作為WLAN中的安全協(xié)議標(biāo)準(zhǔn)，使用802.1x認(rèn)證和密鑰管理方式，增強(qiáng)了 WLAN中的數(shù)據(jù)加密和認(rèn)證性能，能充分滿(mǎn)足用戶(hù)的Qos需求并保證用戶(hù)認(rèn)證的安全性，在WLAN與5G融合組網(wǎng)應(yīng)用場(chǎng)景中是不可或缺的一部分，但由于其繁瑣的協(xié)議流程，會(huì)造成較長(zhǎng)的時(shí)延，無(wú)法滿(mǎn)足在高移動(dòng)應(yīng)用場(chǎng)景下對(duì)接入認(rèn)證的低時(shí)延要求。

【發(fā)明內(nèi)容】

[0007]有鑒于此，本發(fā)明的主要目的是提供一種適用于WLAN與5G融合組網(wǎng)應(yīng)用場(chǎng)景的高效初始接入認(rèn)證方法，用于解決在高移動(dòng)應(yīng)用場(chǎng)景下的種種弊端，以實(shí)現(xiàn)用戶(hù)與服務(wù)器間的高效協(xié)作認(rèn)證，通過(guò)本發(fā)明的接入認(rèn)證方法，既能滿(mǎn)足WLAN與5G融合場(chǎng)景下對(duì)接入認(rèn)證低時(shí)延的要求，又能保證用戶(hù)獲得超高質(zhì)量的用戶(hù)體驗(yàn)。
[0008]實(shí)現(xiàn)本發(fā)明目的的技術(shù)方案是這樣的:
[0009]一種WLAN與5G融合組網(wǎng)應(yīng)用場(chǎng)景的高效初始接入認(rèn)證方法，應(yīng)用于新型無(wú)線(xiàn)異構(gòu)網(wǎng)絡(luò)系統(tǒng)中，所述異構(gòu)網(wǎng)絡(luò)包括5G移動(dòng)通信網(wǎng)和WLAN無(wú)線(xiàn)通信網(wǎng)，本認(rèn)證方法總的交互過(guò)程是:移動(dòng)站STA獲取WLAN信息，STA向接入點(diǎn)AP發(fā)送第一認(rèn)證信息，AP向認(rèn)證服務(wù)器AS發(fā)送快速接入認(rèn)證請(qǐng)求消息，AS根據(jù)用戶(hù)ID進(jìn)行驗(yàn)證，如果AS認(rèn)證成功，AS將回復(fù)AP認(rèn)證響應(yīng)信息，AP產(chǎn)生自身隨機(jī)值并計(jì)算PTK。AP向STA發(fā)送第二認(rèn)證信息，STA計(jì)算其PMK和PTK，STA通過(guò)PTK對(duì)消息認(rèn)證碼MIC1進(jìn)行認(rèn)證，認(rèn)證成功后STA向AP發(fā)送第三認(rèn)證信息，AP對(duì)MIC2進(jìn)行認(rèn)證，若認(rèn)證成功AP向STA發(fā)送第四認(rèn)證信息，STA對(duì)MIC 3進(jìn)行認(rèn)證，最后STA解密并得到GTK和其他相關(guān)信息。
[0010]本方法具體包括以下步驟:
[0011]步驟I)通過(guò)主動(dòng)掃描，STA獲取WLAN信息包括身份基本服務(wù)設(shè)置，AS身份和網(wǎng)絡(luò)的安全性。
[0012]步驟2) STA 發(fā)送第一認(rèn)證消息{SNonce，User-1D, AS-1D，F(xiàn)，t}到 AP，t 為一個(gè)計(jì)數(shù)器，其初始值被設(shè)為1，STA每發(fā)送一次消息給計(jì)數(shù)器加I。
[0013]步驟3)AP向AS發(fā)送快速接入認(rèn)證請(qǐng)求消息{SNonce，User-1D, AS-1D, F，t}。
[0014]步驟4)接收到快速認(rèn)證請(qǐng)求消息時(shí)，AS會(huì)根據(jù)User-1D得到此時(shí)的t值并與接收到的值相比較。如果正確，STA與AS之間認(rèn)證成功，AS中的計(jì)數(shù)器t值增加I并把它設(shè)置為正確的t值。如果接收到的t值比AS中保存的t值小，STA認(rèn)證失敗并且AS中保存的t值不變；若接收到得t值較大，AS會(huì)根據(jù)接收到的t值和密匙k進(jìn)一步驗(yàn)證F。AS將計(jì)算出成對(duì)主密匙 PMK = h (k，“ New-PMK，，| |t| User-1D AS-1D), h 為哈希函數(shù)而 “New-PMK”為一個(gè)常量字符串。
[0015]步驟5) AS 回復(fù) AP 認(rèn)證響應(yīng)消息{SNonce，User-1D, AS-1D, E，t，PMK}，E = f{k，t SNonce AS-1D User-1D}o
[0016]步驟6)接收到消息5時(shí)，AP生成它的隨機(jī)值A(chǔ)Nonce并計(jì)算它的PTK。
[0017]步驟7)AP 發(fā)送第二認(rèn)證消息{ANonce，User-1D, AS-1D, E，t，MICj。
[0018]步驟8)接收到第二認(rèn)證消息時(shí)，STA將接收到的t值與正確的t值相比較，若正確，AS的驗(yàn)證成功，然后STA會(huì)計(jì)算PMK和PTK。
[0019]步驟9) STA發(fā)送第三次認(rèn)證消息{User-1D，SNonce, MIC2I。
[0020]步驟10)當(dāng)接收到第三次認(rèn)證消息時(shí)，AP將驗(yàn)證MIC2，若正確表明STA生產(chǎn)相同的PTK，并且AP與STA認(rèn)證成功。
[0021]步驟11) AP向STA發(fā)送第四次認(rèn)證消息{GTK，MIC3}，GTK通過(guò)PTK進(jìn)行加密，至此交互結(jié)束。
[0022]步驟10)中所說(shuō)的網(wǎng)絡(luò)端完成STA的驗(yàn)證，AP將設(shè)置派生PTK，AP在分布式系統(tǒng)中對(duì)STA進(jìn)行登記并完成接入過(guò)程。若祖(:2驗(yàn)證失敗或者是在規(guī)定時(shí)間內(nèi)第三次認(rèn)證消息并沒(méi)有被接收到，AP會(huì)刪除STA的相關(guān)認(rèn)證消息并解除驗(yàn)證。同時(shí)身份驗(yàn)證失敗的消息會(huì)被發(fā)送到AS，它同樣會(huì)刪除STA的相關(guān)認(rèn)證消息并對(duì)t值進(jìn)行重置。
[0023]步驟11)中所說(shuō)的接收到這條消息時(shí)，STA會(huì)對(duì)MIC3進(jìn)行驗(yàn)證，若正確STA將解密并獲得GTK與其它相關(guān)信息，同時(shí)STA上將設(shè)置PTK與GTK。
[0024]本發(fā)明實(shí)施例的技術(shù)方案至少具有以下優(yōu)點(diǎn):
[0025]首先，本發(fā)明所述高效接入認(rèn)證方法能很好地適應(yīng)未來(lái)5G與WLAN融合網(wǎng)絡(luò)在高移動(dòng)應(yīng)用場(chǎng)景下的需求，用更短的時(shí)間建立初始鏈路，用更少的消息交互實(shí)現(xiàn)STA和AP之間的認(rèn)證，并且和四步握手消息相互協(xié)作來(lái)實(shí)現(xiàn)STA和AP之間的認(rèn)證。
[0026]另外，本發(fā)明的中采用了一個(gè)不需要嚴(yán)格同步的離散計(jì)數(shù)值t，這種方法可以使STA與AS之間的接入認(rèn)證與四步握手協(xié)議相集成，同時(shí)不會(huì)帶來(lái)冗余的消息，通過(guò)減少信息的交互，花費(fèi)在選擇信道上的時(shí)間大大縮短，特別是當(dāng)WLAN網(wǎng)絡(luò)擁擠時(shí)，可以有效節(jié)約時(shí)間，提高效率，增強(qiáng)用戶(hù)體驗(yàn)質(zhì)量。
【附圖說(shuō)明】
[0027]圖1為本發(fā)明的WLAN與5G融合組網(wǎng)認(rèn)證系統(tǒng)示意圖；
[0028]圖2為本發(fā)明的IEEE802.lli/EAP認(rèn)證流與業(yè)務(wù)流示意圖；
[0029]圖3為本發(fā)明的協(xié)議執(zhí)行流程示意圖；
[0030]圖4為本發(fā)明的協(xié)議交互過(guò)程示意圖。
【具體實(shí)施方式】
[0031]下面結(jié)合附圖和實(shí)施例，對(duì)本發(fā)明的【具體實(shí)施方式】作進(jìn)一步詳細(xì)描述:
[0032]1.STA獲取WLAN身份基本服務(wù)設(shè)置信息，AS身份信息和網(wǎng)絡(luò)的安全信息。
[0033]發(fā)送消息前的準(zhǔn)備工作，把原有的信標(biāo)接入認(rèn)證、探測(cè)幀檢測(cè)消息集成在一起，同時(shí)進(jìn)行對(duì)基本服務(wù)設(shè)置信息、AS身份信息與網(wǎng)絡(luò)安全信息的獲取，完成AP安全性檢測(cè)工作。
[0034]2.STA 發(fā)送第一認(rèn)證消息{SNonce，User-1D，AS-1D，F(xiàn)，t}到 AP。
[0035]其中t為一個(gè)不需要嚴(yán)格同步的離散計(jì)數(shù)器，其初始值被設(shè)為I。STA每發(fā)送一次消息給計(jì)數(shù)器加1，t作為一個(gè)參考值，便于AS確認(rèn)認(rèn)證消息已發(fā)送完成，可進(jìn)行下一步認(rèn)證響應(yīng)。SNonce是STA的隨機(jī)生成值，User-1D是用戶(hù)的身份信息，AS-1D是AS的身份，F(xiàn)=f (k, t I SNonce I User-1D AS-1D)，f O是一個(gè)哈希函數(shù)，I I表示兩者之間的連接。F包含多條消息的關(guān)聯(lián)過(guò)程，把原有的關(guān)聯(lián)過(guò)程相結(jié)合，減少消息交互。
[0036]3.AP向AS發(fā)送快速接入認(rèn)證請(qǐng)求消息{SNonce，User-1D, AS-1D, F，t}。
[0037]直接向AS服務(wù)器發(fā)送快速接入認(rèn)證請(qǐng)求消息，該認(rèn)證消息中包含原有的802.11認(rèn)證請(qǐng)求與EAP認(rèn)證請(qǐng)求兩部分內(nèi)容，通過(guò)哈希函數(shù)F進(jìn)行整合，增加認(rèn)證消息發(fā)送的內(nèi)容，達(dá)到快速建立初始鏈路，快速接入認(rèn)證的目的。其中802.11認(rèn)證請(qǐng)求包含802.11認(rèn)證請(qǐng)求、802.11認(rèn)證響應(yīng)、SPA RSN IE,802.11連接響應(yīng)4條消息，EAP認(rèn)證請(qǐng)求包含EAPoL連接開(kāi)始、EAPoL請(qǐng)求、EAPoL響應(yīng)、交互認(rèn)證、EAPoL連接成功5條消息。
[0038]4.AS會(huì)根據(jù)快速認(rèn)證請(qǐng)求消息對(duì)接收到的t值進(jìn)行驗(yàn)證。
[0039]AS中同樣設(shè)置有計(jì)數(shù)器并且它的初始值也為1，接收到快速認(rèn)證請(qǐng)求消息時(shí)，AS會(huì)根據(jù)User-1D得到此時(shí)的t值并與接收到的值相比較。如果接收到的t值比AS中保存的t值小，STA認(rèn)證失敗并且AS中保存的t值不變；若接收到得t值較大，AS會(huì)根據(jù)接收到的t值和密匙k進(jìn)一步驗(yàn)證F。如果正確，STA與AS之間認(rèn)證成功，AS中的計(jì)數(shù)器t值增加I并把它設(shè)置為正確的t值。然后AS將計(jì)算出成對(duì)主密匙PMK = h(k，“New-PMK” I |t| User-1D | AS-1D)，h 為哈希函數(shù)而 “New-PMK” 為一個(gè)常量字符串。
[0040]5.AS 回復(fù) AP 認(rèn)證響應(yīng)消息{SNonce, User-1D, AS-1D，E，t，PMK}，E = f{k，t I SNonce I AS-1D User-1D}ο
[0041]同樣的，SNonce是STA的隨機(jī)生成值，User-1D是用戶(hù)的身份信息，AS-1D是AS的身份，f()是一個(gè)哈希函數(shù)，I I表示兩者之間的連接。通過(guò)AP認(rèn)證響應(yīng)消息表明AS接受認(rèn)證請(qǐng)求，便于AP接下來(lái)生成隨機(jī)值并計(jì)算PTK。整合了原有的認(rèn)證響應(yīng)消息，通過(guò)哈希函數(shù)進(jìn)行集成，減少消息交互次數(shù)。
[0042]6.接收到AS回復(fù)AP認(rèn)證響應(yīng)消息時(shí)，AP生成它的隨機(jī)值A(chǔ)Nonce并計(jì)算它的PTK。
[0043]PTK = X(PMK，“pke，，I |Min (AA，SPA) I |M