[发明专利]一种无线网络密钥协商的方法及装置

说明书

技术领域

本发明涉及数据通信领域，尤其涉及一种无线网络密钥协商的方法及装置。

背景技术

WLAN(Wireless Local Area Network，无线局域网)是以无线信道作为传输媒介的计算机局域网，是有线联网方式的重要补充和延伸。WLAN网络是基于空口媒介传输的，为了保证网络的安全性，使用者一般都需要对报文传输过程进行验证和加密。在802.11标准中，IEEE提供了RSNA(Robust Security Network Association，健壮安全网络联盟)安全架构。在RSNA安全架构下，无线终端和AP(Acess Point，无线接入点)之间在通过802.1X之类的认证或PSK(Pairwise Security Key,对称安全密钥)方式下，建立PMKSA安全联盟(Pairwise Master Key Security Association，对称主密钥安全联盟)。在此基础上，无线终端和AP之间需要进一步进行四次密钥握手过程，才能完成PTK密钥(Pairwise Transient Key，对称临时密钥)的协商,以及AP到无线终端的GTK(Group Temporal Key，组播临时密钥)颁发。

当无线终端在ESS(Extended Service Set,扩展服务集合)中漫游时，无线终端和新AP(无线终端将要关联的AP)之间可以利用预认证或缓存等方式预先建立了PMKSA，但仍需要通过四次密钥握手交互才能协商出PTK以及GTK的颁发，然后和新AP进行数据报文的传输。在实际运用中，这个过程中的四次密钥握手交互，同时也会给无线运用带来困扰，表现在：

四次密钥握手交互过程花费时间比较长，对手机类终端甚至达到了秒级别，会造成语音中断时间过长；

四次密钥握手交互，会造成无线终端来回切换信道，常常引起四次密钥握手交互过程不能顺利完成，引起链路中断，从而给漫游带来困难，这主要是因为，新AP的工作信道和无线终端当前连接的AP一般是不同的，无线终端需切换到新AP的信道上来关联，但关联之后在四次握文交互完成之前，无线终端如果有数据需要传输，常常会切换到当前AP的信道上，造成不能接收新AP的交互报文，从而引起交互失败。

现有技术中典型的解决方式为：802.11r，但是802.11r不能和现有的802.11(2007)提供的RSNA过程兼容，包括：密钥计算过程；PMK联盟的标识方法，802.11以PMKID来标识，而802.11r以PMKR0Name来标识。此外，802.11r的快速关联过程必须要用到第一次关联过程中的信息，也就是说，无线终端要想在支持的802.11r漫游域中快速漫游，必须先进行一次支持802.11r的首次关联过程。

发明内容

有鉴于此，本发明提供一种无线网络密钥协商的方法和装置，能够直接省略四次密钥握手交互过程而更快的传输数据报文。

为实现本发明目的，本发明实现方案具体如下：

一种无线网络密钥协商的方法，应用于AP，所述方法包括：

接收到无线终端发送的第一个认证报文后，检查AP本地是否保存有所述无线终端的PMKSA；

向所述无线终端回应第二个认证报文，若所述AP本地保存有所述PMKSA，则在所述第二个认证报文中携带第一(Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议)EAPOL-密钥KEY帧，以便所述无线终端根据所述第一EAPOL-KEY帧向AP发送关联请求报文，其中所述第一EAPOL-KEY帧中携带AP随机数ANonce以及PMKID；

接收到所述无线终端发送的关联请求报文后，检查所述关联请求报文中是否携带PMKID和第二EAPOL-KEY帧，如果有则将所述PMKID和所述第二EAPOL-KEY帧保存在本地，其中所述第二EAPOL-KEY帧中携带无线终端随机数SNonce以及MIC；

利用本地保存的密钥PMK、AP随机数ANonce、无线终端随机数SNonce、AP的MAC地址、无线终端的MAC地址，计算临时密钥PTK，并检查所述第二EAPOL-KEY帧的MIC是否正确，若检查成功，则表示建立PTKSA成功；

返回关联响应报文，若与无线终端建立了所述PTKSA，则在所述关联响应报文中携带第三EAPOL-KEY帧，以便所述无线终端向AP传输数据报文，其中所述第三EAPOL-KEY帧携带MIC以及GTK。

本发明同时提供一种无线网络密钥协商的方法，应用于无线终端，所述方法包括：