[发明专利]一种无线网络密钥协商的方法及装置

权利要求书

1.一种无线网络密钥协商的方法，应用于AP，其特征在于，所述方法包括：

接收到无线终端发送的第一个认证报文后，检查AP本地是否保存有所述无线终端的PMKSA；

向所述无线终端回应第二个认证报文，若所述AP本地保存有所述PMKSA，则在所述第二个认证报文中携带第一局域网上的可扩展认证协议EAPOL-密钥KEY帧，以便所述无线终端根据所述第一EAPOL-KEY帧向AP发送关联请求报文，其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID；

接收到所述无线终端发送的关联请求报文后，检查所述关联请求报文中是否携带PMKID和第二EAPOL-KEY帧，如果有则将所述PMKID和所述第二EAPOL-KEY帧保存在本地，其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及消息完整性校验码MIC；

利用本地保存的密钥PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址，计算临时密钥PTK，并检查所述第二EAPOL-KEY帧的MIC是否正确，若检查成功，则表示建立PTKSA成功；

返回关联响应报文，若与无线终端建立了所述PTKSA，则在所述关联响应报文中携带第三EAPOL-KEY帧，以便所述无线终端向AP传输数据报文，其中所述第三EAPOL-KEY帧携带MIC以及GTK。

2.如权利要求1所述的方法，其特征在于，当所述AP或无线终端不支持跳过四次密钥握手的过程时，则所述AP启动正常的四次密钥握手过程。

3.如权利要求1所述的方法，其特征在于，AP和无线终端双方都支持跳过四次密钥握手，当所述AP跳过四次密钥握手失败时，在所述无线终端完成AP的关联请求之后，重新建立PMKSA，并PMKSA建立完成之后由所述AP发起正常的四次密钥握手。

4.一种无线网络密钥协商的方法，应用于无线终端，其特征在于，所述方法包括：

向AP发送第一个认证报文，以便所述AP根据所述第一个认证报文回应第二个认证报文；

接收所述AP回应的所述第二个认证报文，若认证成功则判断所述第二个认证报文中是否携带第一局域网上的可扩展认证协议EAPOL-密钥KEY帧，其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID；

若所述第二个认证报文中携带了所述第一EAPOL-KEY帧，将所述第一EAPOL-KEY帧保存在本地，并将所述第一EAPOL-KEY帧中的PMKID和保存在本地的所述AP的各个PMKID比较；若发现有与所述第一EAPOL-KEY帧中的PMKID相等的PMKID，则生成所述无线终端的随机数SNonce，并利用本地存储的PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址，计算出临时密钥PTK，并进行消息完整性校验码MIC校验；

向AP发送关联请求报文，并在所述关联请求报文中携带所述相等的PMKID和第二EAPOL-KEY帧，以便AP根据所述关联请求报文返回相应的关联响应报文，其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及MIC；

接收AP端返回的关联响应报文，若在所述关联响应报文中携带第三EAPOL-KEY帧，则向AP传输数据报文，其中所述第三EAPOL-KEY帧携带MIC以及GTK。

5.如权利要求4所述的方法，其特征在于，所述方法还包括：

当所述AP或无线终端不支持跳过四次密钥握手的过程时，则所述无线终端和AP间启动正常的四次密钥握手过程。

6.如权利要求4所述的方法，其特征在于，AP和无线终端双方都支持的跳过四次密钥握手，当所述无线终端与AP跳过四次密钥握手失败时，所述无线终端完成AP的关联请求之后，重新建立PMKSA，并PMKSA建立完成之后由所述AP发起正常的四次密钥握手。