[发明专利]无线局域网密钥安全分发方法

说明书

技术领域

本发明属于无线通信技术领域，涉及无线局域网的安全技术，具体地说是一种适用于无线环境下的密钥分发方法，用于对移动设备接入无线局域网时的密钥建立。

背景技术

无线局域网可以为用户提供极大的灵活性。然而，自无线局域网开始商业应用之后，安全问题就成为了限制其进一步发展的主要制约因素。目前IEEE 802.11无线局域网是采用基于有线等价保密WEP的方法进行无线终端的安全接入控制和无线链路上的数据保密。一般说来，安全接入控制采用认证的方法实现，数据保密采用加密、完整性等方法实现，但是数据保密需要通信方共享相同的密钥来进行加密等运算。由于基于有线等价保密WEP的无线局域网安全技术缺陷很大，目前提出了很多改进方法。其中基于公钥技术的协议有传输层安全协议TLS、受保护的可扩展身份验证协议PEAP、隧道传输层安全协议TTLS、和GB15629.11中使用的无线局域网认证基础设施协议WAI等。除了无线局域网认证基础设施协议WAI以外，其他都是封装在扩展认证协议EAP中。

1.传输层安全协议TLS协议

传输层安全协议TLS协议由RFC2716给出。认证服务器写客户端协商会话密钥，协议共两轮交互。双方使用公钥证书进行认证，后续的消息都是在公钥的保护下进行的，攻击者既无法得到消息的真正内容，也无法篡改消息，同时利用随机数保证新鲜性，防止重放攻击。由于该协议要求双方都具有公钥证书，因此在公钥基础设施没有广泛部署时，实践中操作起来比较困难；同时该协议执行效率较低，需要执行大量的公钥运算，对移动设施的计算能力要求较高。传输层安全协议TLS的流程图如图2所示。图中简要描述了客户端和认证服务器在建立安全连接之前协商协议选项的过程，该过程也被称为握手过程。这个过程包括协商安全参数(如密码算法和密钥长度)、密钥交换以及认证。该握手过程分完全握手和简化握手两种情况。客户端和认证服务器任何一方都可以随时终止连接。

2.受保护的可扩展身份验证协议PEAP协议

受保护的可扩展身份验证协议PEAP协议的认证过程分为两个阶段：第一阶段建立单向服务器认证的传输层安全协议TLS隧道：第二阶段在该隧道保护下，对移动节点进行认证。该协议具有较好的扩展性和适应性，对于不同的移动节点可以采用相应的认证方式，其详细描述参见文献

http://www.ietforg/inte:met-drafts/draft-josefssorr-pppext-eap-tls-eap-07.txt.Oct 20030

该协议消除了对移动节点公钥证书的要求，具有较好的扩展性，对于不同的移动节点可以采用适合的认证方式，具有很好的适应性。由于该协议的第一部分通过传输层安全协议TLS建立了安全信道，在此安全信道的保护下，完成了对移动节点的认证，移动节点的身份可以得到保密。但是该协议不具备前向保密性PFS和非密钥泄漏伪装N-KCI的安全性质，协议交互轮数要大于2轮。

3.隧道传输层安全协议TTLS协议

隧道传输层安全协议TTLS协议也是IETF的一个草案，它和受保护的可扩展身份验证协议PEAP协议非常相似，也是第一阶段建立服务器认证的传榆层安全协议TLS隧道，在该隧道保护下进行第二阶段对客户端的认证。该协议与受保护的可扩展身份验证协议PEAP协议的不同点在于第二阶段，隧道传输层安全协议TTLS使用传输层安全协议TLS隧道交换AVP的格式非常类似于RADIUS AVP的格式。这种一般的编码方式使隧道传输层安全协议TTLS可以进行各种方式的认证，而不仅限于EAP支持的认证方式，还支持其他方式，如CHAP、PAP、MS-CHAP、MS-CHAPv2。该协议流程和受保护的可扩展身份验证协议PEAP一样，该协议的不足也与受保护的可扩展身份验证协议PEAP协议相同。

4.无线局域网认证基础设施协议WAI协议