專利名稱:一種無線局域網中密鑰傳遞的方法、設備和系統的制作方法
技術領域:
本發明涉及網絡通信領域,尤其涉及一種無線局域網中密鑰傳遞的方法、設備和系統。
背景技術:
無線局域網(Wireless Local AreaNetwork,簡稱WLAN)是以無線信道作為傳輸媒介的局域網,是無線寬帶接入的一種手段。基于WLAN技術的網絡結構中通常包括站點 (STAtion,簡稱 STA)、接入點(Access Point,簡稱 AP)、接入控制器(Access Controller, 簡稱AC)等設備。其中,AP的作用是將STA與有線網絡連接起來,而AC通過無線接入點控制和配置(Control And Provisioning of Wireless Access Point,簡稱 CAPWAP)協議實現對AP的管理。現有的WLAN組網中,AC可以分為兩種類型一種是接入服務器,例如寬帶遠程接入服務器(Broadband Remote Access Server,簡稱BRAS)與AC分離,由接入服務器實現 STA的接入認證功能,AC實現AP的管理功能;另一種是AC作為一個功能模塊集成在接入服務器中,接入服務器同時實現STA的接入認證功能和AP的管理功能。STA接入WLAN網絡時,STA需要向接入服務器發起認證請求,接入服務器向認證、 授權和計費(Authentication,Authorization and Accounting,簡稱 AAA)服務器轉發該STA的認證請求。通常STA會采用全球移動通信系統用戶一致模塊的可擴展鑒定協議 (Extensible Authentication Protocol Method For Mobile Communications Subscriber Identity Modules,簡稱ΕΑΡ-SIM),或第三代移動通訊網絡的認證和密鑰協商機制的可擴展鑒定協議(Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement,簡稱 EAP-AKA)等認證方式,STA 和 AP 之間傳輸數據會采用無線保真(Wireless Fidelity,簡稱 Wi-Fi)保護訪問(Wi-Fi ProtectedAccess,簡稱WPA)或WPA2等進行加密。當該STA獲得AAA服務器授權,AAA服務器會給接入服務器返回認證響應,并且下發該STA的成對主密鑰(Pairwise Master Key,簡稱PMK),接入服務器再向該STA發送認證響應,以通知該STA認證成功。當接入服務器獲得STA的PMK之后,如果接入服務器與AC分離,接入服務器無法通過內部通信機制將該PMK發送給AC,AC或AP無法知曉何時根據該PMK與STA協商成對臨時密鑰(Pairwise Transient Key,簡稱PTK),從而導致STA與AP之間的無線鏈路無法加密。
發明內容
本發明實施例提供了一種無線局域網中密鑰傳遞的方法、設備和系統,以解決現有技術中接入服務器與AC或AP分離時,AC或AP無法獲取STA的主密鑰PMK,無法與STA 協商臨時密鑰,導致STA與AP之間的無線鏈路無法加密的問題。根據本發明的一個方面,本發明提供了一種無線局域網中密鑰傳遞的方法,包括獲取站點STA的成對主密鑰PMK ;獲取所述STA的注冊信息,所述注冊信息包括所述STA的媒體訪問控制MAC地址, 和,所述STA關聯的接入點AP或管理所述STA關聯的接入點AP的接入控制器AC的唯一標識;向所述AP或所述AC發送密鑰下發報文,所述密鑰下發報文中包含所述PMK和所述STA的MAC地址。根據本發明的第二方面,本發明提供了一種無線局域網中密鑰傳遞的方法,包括接收來自接入服務器的密鑰下發報文,所述密鑰下發報文中包含站點STA的媒體訪問控制MAC地址和所述STA的成對主密鑰PMK ;向所述接入服務器發送密鑰下發應答報文。根據本發明的第三方面,本發明提供了一種無線局域網中密鑰傳遞的第一網絡設備,包括第一獲取單元,第二獲取單元和發送器,其中所述第一獲取單元,用于獲取站點STA的成對主密鑰PMK ;所述第二獲取單元,用于獲取所述STA的注冊信息,所述注冊信息包括所述STA的媒體訪問控制MAC地址,和,所述STA關聯的接入點AP或管理所述STA關聯的接入點AP的接入控制器AC的唯一標識;所述發送器,用于向所述AP或所述AC發送密鑰下發報文,所述密鑰下發報文中包含所述PMK和所述STA的MAC地址。根據本發明的第四方面,本發明提供了一種無線局域網中密鑰傳遞的第二網絡設備,包括接收器和發送器,其中所述接收器,用于接收來自接入服務器的密鑰下發報文,所述密鑰下發報文中包含站點STA的媒體訪問控制MAC地址和所述STA的成對主密鑰PMK ;所述發送器,用于向所述接入服務器發送密鑰下發應答報文。根據本發明的第五方面,本發明提供了一種無線局域網中密鑰傳遞的系統,包括第一網絡設備和第二網絡設備。采用本發明提供的技術方案,通過接入服務器向AC或AP下發STA的PMK,使得AC 或AP可以根據該PMK與該STA協商PTK,從而對STA與AP之間的無線鏈路采用該PTK進行數據加密。
圖1是本發明實施例提供的一種無線局域網中密鑰傳遞的方法流程圖;圖2是本發明實施例提供的另一種無線局域網中密鑰傳遞的方法流程圖;圖3是本發明實施例提供的一種無線局域網中密鑰傳遞的信息交互示意圖;圖4是本發明實施例提供的另一種無線局域網中密鑰傳遞的信息交互示意圖;圖5是本發明實施例提供的又一種無線局域網中密鑰傳遞的信息交互示意圖;圖6、圖7是本發明實施例提供的一種無線局域網中密鑰傳遞的第一網絡設備框圖8是本發明實施例提供的一種無線局域網中密鑰傳遞的第二網絡設備框圖;圖9是本發明實施例提供的一種無線局域網中密鑰傳遞的系統框圖。
具體實施例方式參見圖1,是本發明實施例提供的一種無線局域網中密鑰傳遞的方法流程圖,所述方法包括101 接入服務器獲取站點STA的成對主密鑰PMK。所述接入服務器包括寬帶遠程接入服務器(Broadband Remote Access Server, 簡稱BRAS),全業務路由器(Service Router,簡稱SR)等。所述STA,包括手機(mobile telephone),計算機(computer),個人數字助理 (Personal Digital Assistant,簡稱 PDA)等。具體的,所述接入服務器接收來自所述STA的認證請求報文,所述認證請求報文中包含所述STA的媒體訪問控制(Media Access Control,簡稱MAC)地址;向認證、授權和計費(Authentication,Authorization and Accounting,簡稱 AAA)服務器轉發所述認證請求報文,以使所述AAA服務器對所述STA進行認證;接收來自所述AAA服務器的認證應答報文,所述認證應答報文中包含所述STA的成對主密鑰PMK,并向所述STA轉發所述認證應答報文。所述接入服務器根據所述認證應答報文獲取所述PMK。102 所述接入服務器獲取所述STA的注冊信息。當沒有部署AC時,或者AC不參與密鑰分發時,所述接入服務器可以從所述STA 關聯的接入點AP獲取所述STA的注冊信息,所述注冊信息包括所述STA的MAC地址和所述AP的唯一標識,例如MAC地址,網際協議(Internet Protocol,簡稱IP)地址或AP標識 (IDentif ier,簡稱 ID)等。當所述AC參與密鑰分發時,所述接入服務器也可以從管理所述STA關聯的接入點 AP的接入控制器AC獲取所述STA的注冊信息,所述注冊信息包括所述STA的MAC地址和所述AC的唯一標識,例如MAC地址,IP地址或AC ID等;所述注冊信息還可以包括所述AP的唯一標識。可選的,所述STA的注冊信息也可以手動配置在所述接入服務器上;所述接入服務器在需要時,從本地獲取所述STA的注冊信息。本領域普通技術人員可以理解,102可以在101之前或之后執行。103 所述接入服務器向所述AP或所述AC發送密鑰下發報文,所述密鑰下發報文中包含所述PMK和所述STA的MAC地址。當所述AC不參與密鑰分發時,所述接入服務器向所述AP發送密鑰下發報文。所述AP根據所述PMK與所述STA協商生成PTK。當所述AC參與密鑰分發時,所述接入服務器向所述AC發送密鑰下發報文。當所述AC參與密鑰協商時,所述AC與所述STA根據所述PMK協商生成PTK,并通過管理協議,例如CAPWAP協議向所述STA關聯的AP發送所述PTK。當所述AC不參與密鑰協商時,所述AC 向所述STA關聯的AP轉發所述密鑰下發報文;或者,通過管理協議,例如CAPWAP協議,向所述STA關聯的AP發送所述PMK和所述STA的MAC地址,以使所述AP根據所述PMK與所述STA協商生成PTK。所述AP對所述STA使能所述PTK,完成對所述STA和所述AP之間無線鏈路的加
滋
Γ t [ O如圖2所示,是本發明實施例提供的另一種無線局域網中密鑰傳遞的方法流程圖,所述方法包括201 接收來自接入服務器的密鑰下發報文,所述密鑰下發報文中包含站點STA的 MAC地址和所述STA的PMK。202 向所述接入服務器發送密鑰下發應答報文。具體可以是,STA關聯的AP或者管理STA關聯的AP的AC,接收來自接入服務器的密鑰下發報文,并向所述接入服務器發送密鑰下發應答報文;所述密鑰下發報文中包含 STA的MAC地址和所述STA的PMK。在201之前,STA關聯的AP或者管理STA關聯的AP的AC,向接入服務器發送所述 STA的注冊信息,所述注冊信息包括所述STA的MAC地址和本地唯一標識。當管理STA關聯的AP的AC參與密鑰分發時,所述AC向接入服務器發送所述STA 的注冊信息,所述注冊信息包括所述STA的MAC地址和所述AC的MAC地址,所述注冊信息還可以包括所述STA關聯的AP的MAC地址;所述AC接收來自接入服務器的密鑰下發報文。 當所述AC參與密鑰協商時,所述AC向所述接入服務器發送密鑰下發應答報文;所述AC可以與所述STA根據所述PMK協商生成PTK,并通過管理協議,例如CAPWAP協議向所述STA關聯的AP發送所述PTK。當所述AC不參與密鑰協商時,所述AC向所述STA關聯的AP轉發所述密鑰下發報文,以使所述AP可以與所述STA根據所述PMK協商生成PTK,并接收來自所述 AP的密鑰下發應答報文,再向所述接入服務器發送密鑰下發應答報文。當沒有部署AC時,或者管理STA關聯的AP的AC不參與密鑰分發時,STA關聯的 AP向接入服務器發送所述STA的注冊信息,所述注冊信息包括所述STA的MAC地址和所述 AP的MAC地址,所述AP接收來自接入服務器的密鑰下發報文。所述AP根據所述PMK與所述STA協商生成PTK。所述AP對所述STA使能所述PTK,完成對所述STA和所述AP之間無線鏈路的加
滋
Γ t [ O采用本發明實施例提供的技術方案,通過在接入服務器和AC或AP之間增加下發 STA主密鑰PMK的流程,使得AC或AP可以根據該PMK與STA協商PTK,實現對STA與AP之間無線鏈路的加密。如圖3所示,是本發明實施例提供的一種無線局域網中密鑰傳遞的信息交互示意圖。所述無線局域網中包括STA,AP, AC, BRAS和AAA服務器;AC參與密鑰的分發和協商。注冊階段301. STA與AP關聯。STA可以根據802. 11系列標準與AP關聯,并向AC 通過管理協議,例如CAPWAP協議注冊關聯信息,例如STA的MAC地址,STA關聯的AP的MAC 地址等信息。302. STA信息注冊。STA與AP關聯成功之后,AC向BRAS發送STA的注冊信息,包括STA的MAC地址,AC的MAC地址,AP的MAC地址等信息。認證和密鑰傳遞階段303. STA通過EAP進行接入認證。STA向BRAS發送EAP報文,進行接入認證。
304. BRAS收到該EAP報文,與AAA服務器交互,對所述STA進行認證。當認證成功,AAA服務器向BRAS返回認證成功,并攜帶該STA的PMK。305. BRAS收到攜帶PMK的認證成功報文后,向AC發送密鑰下發報文,所述密鑰下發報文中包含該STA的MAC地址和PMK等信息。306. AC收到該密鑰下發報文后,向BRAS回應密鑰下發應答報文。可選的,所述密鑰下發應答報文中包含該STA的MAC地址等信息,以進行確認。307. BRAS收到AC回應的密鑰下發應答報文后,向STA發送認證成功的EAP報文。 BRAS可以設定響應時限,當超過設定的時限,沒有收到AC的回應,則向AC重發密鑰下發報文,可以重復一定次數;如果重發后,收到回應,則認為發送成功,向STA發送認證成功的 EAP報文,繼續執行307 ;如果重發后,仍沒有收到回應,則認為發送失敗,BRAS可以當作認證失敗處理,向STA發送認證失敗的EAP報文,信息交互過程結束。后續客戶端可以重新發起認證。密鑰協商階段308. AC根據PMK與STA發起四次握手,協商生成PTK。309. AC通過管理協議,例如CAPWAP協議將PTK發送給AP。AP對STA使能PTK,從而和STA配合,完成STA和AP之間無線鏈路的加密。如圖4所示,是本發明實施例提供的另一種無線局域網中密鑰傳遞的信息交互示意圖。所述無線局域網中包括STA,AP,AC,BRAS和AAA服務器;AC參與密鑰的分發,但是不參與密鑰協商。注冊階段401-402,與圖3所示實施例中301-302相同,這里不再贅述。認證和密鑰傳遞階段403-405,與圖3所示實施例中303-305相同,這里不再贅述。406. AC收到該密鑰下發報文后,向AP轉發所述密鑰下發報文,AP向AC回應密鑰下發應答報文。同樣的,AC也可以通過管理協議,例如CAPWAP協議將STA的MAC地址和主密鑰PMK等信息發送給AP。407. AC收到AP回應的密鑰下發應答報文后,向BRAS回應密鑰下發應答報文。可選的,所述密鑰下發應答報文中包含該STA的MAC地址等信息,以進行確認。408.與圖3所示實施例中307相同,這里不再贅述。密鑰協商階段409. AP根據主密鑰PMK與STA發起四次握手,協商生成臨時密鑰 PTK。AP對STA使能臨時密鑰PTK,從而和STA配合,完成STA和AP之間無線鏈路的加
密O如圖5所示,是本發明實施例提供的又一種無線局域網中密鑰傳遞的信息交互示意圖。所述無線局域網中包括STA,AP, BRAS和AAA服務器。注冊階段501. STA向AP關聯。STA可以根據802. 11系列標準與AP關聯。502. STA和AP關聯成功,AP向BRAS發送STA的注冊信息,包括STA的MAC地址, AP的MAC地址等信息。認證和密鑰傳遞階段503-504.與圖3所示實施例中303-304相同,這里不再贅述。505. BRAS收到攜帶PMK的認證成功報文后,向AP發送密鑰下發報文,所述密鑰下發報文中包含該STA的MAC地址和PMK等信息。506. AP收到該密鑰下發報文后,向BRAS回應密鑰下發應答報文。可選的,所述密鑰下發應答報文中包含該STA的MAC地址等信息,以進行確認。507. BRAS收到AP回應的密鑰下發應答報文后,向STA發送認證成功的EAP報文。 BRAS可以設定響應時限,當超過設定的時限,沒有收到AP的回應,則向AP重發密鑰下發報文,可以重復一定次數;如果重發后,收到回應,則認為發送成功,向STA發送認證成功的 EAP報文,繼續執行508 ;如果重發后,仍沒有收到回應,則認為發送失敗,BRAS可以當作認證失敗處理,向STA發送認證失敗的EAP報文,信息交互過程結束。后續客戶端可以重新發起認證。密鑰協商階段508. AP根據主密鑰PMK與STA發起四次握手,協商生成臨時密鑰 PTK。AP對STA使能臨時密鑰PTK,從而和STA配合,完成STA和AP之間無線鏈路的加
滋
Γ t [ O參見圖6,是本發明實施例提供的一種無線局域網中密鑰傳遞的第一網絡設備框圖,用于實現本發明圖1所示的方法。所述第一網絡設備包括第一獲取單元601,第二獲取單元602和發送器603,其中所述第一獲取單元601,用于獲取站點STA的成對主密鑰PMK ;所述第二獲取單元602,用于獲取所述STA的注冊信息,所述注冊信息包括所述 STA的媒體訪問控制(MediaAccess Control,簡稱MAC)地址,和,所述STA關聯的接入點AP 或管理所述STA關聯的接入點AP的接入控制器AC的唯一標識;所述發送器603,用于向所述AP或所述AC發送密鑰下發報文,所述密鑰下發報文中包含所述PMK和所述STA的MAC地址。所述第二獲取單元602,具體用于從所述STA關聯的AP獲取所述STA的注冊信息, 所述注冊信息包括所述STA的MAC地址和所述AP的唯一標識;或者,從管理所述STA關聯的AP的AC獲取所述STA的注冊信息,所述注冊信息包括所述STA的MAC地址和所述AC的唯一標識。所述第一網絡設備包括寬帶遠程接入服務器(Broadband Remote Access Server,簡稱BRAS),全業務路由器(Service Router,簡稱SR)等。如圖7所示,所述第一網絡設備還可以包括接收器604。所述接收器604,用于接收來自所述STA的認證請求報文,所述認證請求報文中包含所述STA的MAC地址。所述發送器603,還用于向AAA服務器轉發所述認證請求報文,以使所述AAA服務器對所述STA進行認證;所述接收器604,還用于接收來自所述AAA服務器的認證應答報文,所述認證應答報文中包含所述STA的成對主密鑰PMK ;所述第一獲取單元601,具體用于根據所述認證應答報文,獲取所述PMK。所述接收器604,還用于接收來自所述STA關聯的AP或者管理所述STA關聯的AP 的AC發送的攜帶所述STA的注冊信息的報文。所述第二獲取單元602,具體用于根據所述接收器604接收的所述攜帶所述STA的注冊信息的報文,獲取所述STA的注冊信息。
參見圖8,是本發明實施例提供的一種無線局域網中密鑰傳遞的第二網絡設備框圖,用于實現本發明圖2所示的方法。所述第二網絡設備包括接收器801和發送器802,其中所述接收器801,用于接收來自接入服務器的密鑰下發報文,所述密鑰下發報文中包含站點STA的媒體訪問控制(Media Access Control,簡稱MAC)地址和所述STA的成對主密鑰PMK ;所述發送器802,用于向所述接入服務器發送密鑰下發應答報文。所述第二網絡設備可以是AP或者AC。具體的,所述AP是所述STA關聯的接入點; 所述AC是管理所述STA關聯的AP的接入控制器。所述發送器802,還用于向所述接入服務器發送所述STA的注冊信息,所述注冊信息包括所述STA的MAC地址和所述第二網絡設備的唯一標識。當所述第二網絡設備是AC時,如果所述AC不參與密鑰協商,所述發送器802,還用于向所述STA關聯的AP轉發所述密鑰下發報文;所述接收器801,還用于接收來自所述AP 的密鑰下發應答報文。如果所述AC參與密鑰協商,所述第二網絡設備還可以包括密鑰協商單元,用于根據所述接收器801收到的STA的MAC地址和PMK,與所述STA協商生成臨時密鑰PTK ;所述發送器802,還用于向AP發送所述PTK。當所述第二網絡設備是AP時,所述第二網絡設備還可以包括密鑰協商單元,用于根據所述接收器801收到的STA的MAC地址和PMK,與所述STA協商生成臨時密鑰PTK。參見圖9,是本發明實施例提供的一種無線局域網中密鑰傳遞的系統框圖,所述系統包括第一網絡設備901和第二網絡設備902。其中所述第一網絡設備901,用于獲取站點STA的成對主密鑰PMK和所述STA的注冊信息,向所述第二網絡設備902發送密鑰下發報文;所述注冊信息包括所述STA的MAC地址和所述第二網絡設備902的唯一標識;所述密鑰下發報文中包含所述PMK和所述STA的MAC 地址;所述第二網絡設備902,用于接收所述密鑰下發報文,并向所述第一網絡設備901 發送密鑰下發應答報文。所述第一網絡設備901可以是接入服務器,例如BRAS。所述第二網絡設備902可以是AP或者AC。具體的,所述AP是所述STA關聯的接入點;所述AC是管理所述STA關聯的AP的接入控制器。所述系統還可以包括所述STA。所述STA,用于向所述第一網絡設備901發送認證請求報文,所述認證請求報文中包含所述STA的MAC地址;所述第一網絡設備,還用于接收所述認證請求報文,向AAA服務器轉發所述認證請求報文,以使所述AAA服務器對所述STA進行認證;并接收來自所述AAA服務器的認證應答報文,向所述STA轉發所述認證應答報文,所述認證應答報文中包含所述STA的PMK。所述系統還可以包括所述AAA服務器。所述AAA服務器用于接收所述第一網絡設備901發送的所述認證請求報文,對所述STA進行認證,并向所述第一網絡設備901發送所述認證應答報文。當所述第二網絡設備901是AC時,如果所述AC不參與密鑰協商,所述第二網絡設備901還用于向所述STA關聯的AP轉發所述密鑰下發報文,并接收來自所述AP的密鑰下發應答報文;可選的,所述系統還可以包括所述AP。如果所述AC參與密鑰協商,所述第二網絡設備901還用于根據所述PMK,與所述STA協商生成臨時密鑰PTK,并向所述STA關聯的AP發送所述PTK。當所述第二網絡設備是AP時,所述第二網絡設備901還用于根據所述PMK,與所述 STA協商生成臨時密鑰PTK。采用本發明實施例提供的技術方案,通過在接入服務器和AC或AP之間增加下發 STA主密鑰PMK的流程,從而可以解決現有技術中接入服務器與AC或AP分離時,AC或AP 無法獲取STA的主密鑰PMK,無法與STA協商臨時密鑰PTK,導致STA與AP之間的無線鏈路無法加密的問題。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分步驟是可以通過程序來指令相關的硬件完成,所述的程序可以存儲于計算機可讀存儲介質中,所述存儲介質可以是R0M/RAM,磁盤或光盤等。以上所述,僅為本發明較佳的具體實施方式
,但本發明的保護范圍并不局限于此, 任何熟悉本技術領域的技術人員在本發明揭露的技術范圍內,可輕易想到的變化或替換, 都應涵蓋在本發明的保護范圍之內。
權利要求
1.一種無線局域網中密鑰傳遞的方法,其特征在于,包括 獲取站點STA的成對主密鑰PMK ;獲取所述STA的注冊信息,所述注冊信息包括所述STA的媒體訪問控制MAC地址,和, 所述STA關聯的接入點AP或管理所述STA關聯的接入點AP的接入控制器AC的唯一標識; 向所述AP或所述AC發送密鑰下發報文,所述密鑰下發報文中包含所述PMK和所述STA 的MAC地址。
2.根據權利要求1所述的方法,其特征在于,所述獲取STA的成對主密鑰PMK具體包括接收來自所述STA的認證請求報文,所述認證請求報文中包含所述STA的MAC地址; 向認證、授權和計費AAA服務器轉發所述認證請求報文,以使所述AAA服務器對所述 STA進行認證;接收來自所述AAA服務器的認證應答報文,所述認證應答報文中包含所述STA的成對主密鑰PMK ;向所述STA轉發所述認證應答報文。
3.根據權利要求1或2所述的方法,其特征在于,所述獲取所述STA的注冊信息具體包括從所述STA關聯的接入點AP獲取所述STA的注冊信息,所述注冊信息包括所述STA的 MAC地址和所述AP的唯一標識;或者,從管理所述STA關聯的接入點AP的接入控制器AC獲取所述STA的注冊信息,所述注冊信息包括所述STA的MAC地址和所述AC的唯一標識。
4.一種無線局域網中密鑰傳遞的方法,其特征在于,包括接收來自接入服務器的密鑰下發報文,所述密鑰下發報文中包含站點STA的媒體訪問控制MAC地址和所述STA的成對主密鑰PMK ; 向所述接入服務器發送密鑰下發應答報文。
5.根據權利要求4所述的方法,其特征在于,所述接收來自接入服務器的密鑰下發報文,具體為,接入控制器AC接收來自接入服務器的密鑰下發報文;相應地,在AC接收來自接入服務器的密鑰下發報文之后,所述方法還包括 向所述STA關聯的接入點AP轉發所述密鑰下發報文,并接收來自所述AP的密鑰下發應答報文。
6.根據權利要求4或5所述的方法,其特征在于,在接收來自接入服務器的密鑰下發報文之前,所述方法還包括向接入服務器發送所述STA的注冊信息,所述注冊信息包括所述STA的MAC地址和本地唯一標識。
7.一種無線局域網中密鑰傳遞的第一網絡設備,其特征在于,包括第一獲取單元,第二獲取單元和發送器所述第一獲取單元,用于獲取站點STA的成對主密鑰PMK ;所述第二獲取單元,用于獲取所述STA的注冊信息,所述注冊信息包括所述STA的媒體訪問控制MAC地址,和,所述STA關聯的接入點AP或管理所述STA關聯的接入點AP的接入控制器AC的唯一標識;所述發送器,用于向所述AP或所述AC發送密鑰下發報文,所述密鑰下發報文中包含所述PMK和所述STA的MAC地址。
8.根據權利要求7所述的設備,其特征在于,所述設備還包括接收器,用于接收來自所述STA的認證請求報文,所述認證請求報文中包含所述STA的 MAC地址;相應地,所述發送器,還用于向認證、授權和計費AAA服務器轉發所述認證請求報文,以使所述 AAA服務器對所述STA進行認證;所述接收器,還用于接收來自所述AAA服務器的認證應答報文,所述認證應答報文中包含所述STA的成對主密鑰PMK ;所述第一獲取單元,具體用于根據所述認證應答報文,獲取所述PMK ;所述發送器,還用于向所述STA轉發所述認證應答報文。
9.根據權利要求7或8所述的設備,其特征在于,所述第二獲取單元,具體用于,從所述STA關聯的接入點AP獲取所述STA的注冊信息,所述注冊信息包括所述STA的MAC地址和所述AP的唯一標識;或者,從管理所述STA關聯的接入點AP的接入控制器AC獲取所述STA的注冊信息,所述注冊信息包括所述STA的MAC地址和所述AC的唯一標識。
10.一種無線局域網中密鑰傳遞的第二網絡設備,其特征在于,包括接收器和發送器, 其中所述接收器,用于接收來自接入服務器的密鑰下發報文,所述密鑰下發報文中包含站點STA的媒體訪問控制MAC地址和所述STA的成對主密鑰PMK ;所述發送器,用于向所述接入服務器發送密鑰下發應答報文。
11.根據權利要求10所述的設備,其特征在于,所述發送器,還用于向所述STA關聯的接入點AP轉發所述密鑰下發報文;所述接收器,還用于接收來自所述AP的密鑰下發應答報文。
12.根據權利要求10或11所述的設備,其特征在于,所述發送器,還用于向所述接入服務器發送所述STA的注冊信息,所述注冊信息包括所述STA的MAC地址和所述第二網絡設備的唯一標識。
13.一種無線局域網中密鑰傳遞的系統,其特征在于,包括如權利要求7至9中任意一項所述的第一網絡設備和如權利要求10至12中任意一項所述的第二網絡設備。
14.根據權利要求13所述的系統,其特征在于,所述系統還包括站點STA;所述STA用于向所述第一網絡設備發送所述認證請求報文,并接收所述第一網絡設備發送的所述認證應答報文。
15.根據權利要求13或14所述的系統,其特征在于,所述系統還包括認證、授權和計費 AAA服務器;所述AAA服務器,用于接收所述第一網絡設備發送的所述認證請求報文,并向所述第一網絡設備發送所述認證應答報文。
全文摘要
本發明實施例公開了一種無線局域網中密鑰傳遞的方法、設備和系統。接入服務器獲取站點STA的成對主密鑰PMK和所述STA的注冊信息,向AP或AC發送密鑰下發報文,所述密鑰下發報文中包含所述PMK和所述STA的MAC地址。采用本發明實施例提供的技術方案,可以解決現有技術中AP或AC無法獲取STA的主密鑰PMK,無法與STA協商臨時密鑰,導致STA與AP之間的無線鏈路無法加密的問題。
文檔編號H04W28/18GK102333309SQ20111033132
公開日2012年1月25日 申請日期2011年10月27日 優先權日2011年10月27日
發明者李建, 王杰, 金濤 申請人:華為技術有限公司