無線區域網安全接入控制方法

2023-06-05 20:40:01

專利名稱：無線區域網安全接入控制方法
技術領域：
本發明涉及基於IEEE 802.11標準無線區域網的增強型安全接入控制方法，尤其增強了無線區域網媒體接入控制(MAC)層的安全接入控制功能，屬於無線區域網安全技術領域。
背景技術：
無線區域網(Wireless Local Area Network，WLAN)是高速發展的現代無線通信技術在計算機網絡中的應用，它採用無線多址信道的有效方式支持計算機之間的通信，並為通信的移動化、個人化和多媒體應用提供了實現的手段。然而，無線區域網環境下的安全需求由於其數據傳輸媒介的開放性，將比有線環境下更為苛刻。無線區域網的服務區並沒有有效的界限，攻擊者可以很方便的進入服務區實施非法的攻擊，而不易被察覺；攻擊者不僅可以對數據幀實施竊聽、截取和篡改，甚至可以對管理幀和控制幀實施攻擊，以造成無線媒體資源被盜用或者整個網絡的癱瘓；合法用戶的越權使用也是來自無線區域網內部的隱患之一。IEEE 802.11標準是IEEE制定的無線區域網媒體接入控制(MAC)和物理層(PHY)規範，標準中在MAC層的管理協議部分制定了最基本的安全接入控制業務，以希望能提供與有線相同的安全性能。事實上，IEEE 802.11標準中由於考慮無線信道的效率問題，更多的寄希望於高層協議的認證功能，因此在鏈路級僅採用了簡化的安全接入控制方案，導致安全功能形同虛設，更使得本已脆弱的有線同等保密(Wired Equivalent Privacy，WEP)協議無法達到預期的數據保護作用。接入控制是數據保護的基礎，對於合法用戶的合法授權範圍內的數據保護才有意義，而針對無線媒體資源的接入控制保護更不是高層協議能夠完全實現的。現有標準的安全接入控制業務已無法滿足無線區域網應用環境下的安全需求。由此可見，無線區域網要稱之為安全的無線區域網，必須制定全新的安全接入控制業務方法，以符合無線區域網新應用條件下的安全需求。為增強現有標準的安全接入控制功能，IEEE 802.11工作組特別成立了任務組TGi，目的在於「增強當前802.11的媒體接入控制功能以改進無線區域網的安全性」。強安全網絡(Robust Security Network，RSN)是TGi提出的改進的安全無線區域網模型。目前，新標準的制定工作仍處於草案階段，2002年11月TGi發布了最新的草案版本Draft 3.0，在草案中設計了增強型安全接入控制方案和數據保護方案。草案採用IEEE 802.1x基於埠的網絡接入控制協議實現了安全接入控制方案，包括IEEE 802.1x認證協議和IEEE 802.1x密鑰管理協議。在無線終端網卡和接入點分別加入了802.1x的埠接入實體(PAE)模塊，並通過RADIUS認證伺服器實現認證。草案還規定了改進的數據保護方案，包括TKIP、AES-CCM和AES-OCB等。這些都增強了IEEE 802.11原有的安全性能。然而，在改進的過程中，為了與原有協議保持兼容，草案中仍保留了原協議的安全接入控制方案，但不關心其結果，而是在原有方案之後實現新的安全接入控制方案，這樣使得原有方案過程成為一種浪費。此外，由於受協議規定範圍的局限，草案試圖只規定無線網側，而不涉及分布系統的有線網側，這使得協議未從系統的整體結構出發進行設計，導致漫遊等功能的實現顯得累贅。

發明內容
1、技術問題本發明的目的是提出一種針對IEEE 802.11標準的無線區域網安全接入控制方法，此方法不僅兼容了TGi Draft 3.0中提出的增強型安全接入控制方案，而且結合IEEE 802.11標準的已有功能，使得對現有設備的改進更為方便，同時降低了新的安全接入控制方案對包括漫遊在內的原有無線區域網性能的影響。
2、技術方案本發明設計的無線區域網安全接入控制方法在功能上包括認證、密鑰管理和授權三部分。認證功能實現了終端工作站(STA)與接入點(AP)之間的相互認證，主要通過STA與認證伺服器(AS)的相互認證和AS與AP之間的信任關係來實現；密鑰管理功能指STA與AP之間基於認證的動態密鑰協商和密鑰分配；授權功能指AP對STA接入請求的響應，如果AP與STA之間建立安全關聯，則授權STA接入，否則拒絕STA的接入請求。方法中主要涉及無線區域網內的四種設備終端工作站STA、接入點AP、接入控制器(AC)和認證伺服器AS。STA是移動用戶終端設備，實現了用戶側的安全接入控制功能；AP是無線區域網接入服務的提供者，實現了安全接入控制的授權功能和密鑰管理功能；AS是認證伺服器設備，提供了伺服器側安全接入控制的認證功能；AC處於AP與AS之間，用於登記一次認證中AS對STA的認證結果以及STA與AP之間的安全關聯信息。
本發明的無線區域網安全接入控制方法特徵在於當未與任何AP建立安全關聯的STA進入某一AP服務範圍內，STA與AP建立連接並協商安全性能，隨後由STA向AP發送建立安全關聯的請求；由認證伺服器AS採用IEEE 802.1x認證協議對STA進行認證，如果認證失敗，AS通知AP拒絕STA的建立安全關聯的請求；如果認證成功，在STA與AS之間協商了對等主密鑰(PMK)，AS將PMK發送給接入控制器AC登記相應STA的關聯信息和PMK信息；由AC再將PMK發送給AP，STA和AP之間採用IEEE 802.1x密鑰管理協議根據PMK動態協商對等臨時密鑰(PTK)和分配組臨時密鑰(GTK)；如果密鑰協商完成，由AP通過發送成功建立安全關聯的應答消息授權STA的接入。當STA從已建立安全關聯的AP服務範圍內進入另一AP服務範圍，STA與新的AP建立連接並協商安全性能，隨後由STA向新的AP發送重新建立安全關聯的請求；新的AP請求AC更新相應STA的關聯信息並獲得相應的PMK信息；STA和新的AP之間採用IEEE 802.1x密鑰管理協議根據PMK動態協商新的PTK和分配新的GTK；如果密鑰協商完成，由新的AP通過發送成功建立安全關聯的應答消息授權STA的接入。
整個安全接入控制過程包括三個階段建立連接和安全性能協商、建立安全關聯以及重新建立安全關聯。
第一階段建立連接和安全性能協商。其特徵在於由STA廣播連接請求，所在區域的AP向STA發送連接應答消息，並在應答消息中聲明所支持的802.1x認證和所有數據保護方法；STA向建立連接的AP發送IEEE 802.11的開放系統認證請求消息；AP向建立連接的SFA發送IEEE 802.11的開放系統認證應答消息；通過IEEE 802.11開放系統認證，STA向AP發送建立安全關聯的請求，並在安全關聯請求消息中聲明支持802.1x認證和選定的數據保護方法。由此結束了建立連接和安全性能協商的階段。
具體步驟特徵如下
(1)STA廣播連接請求消息。在IEEE 802.11標準中規定了管理幀ProbeRequest消息用於廣播STA的連接請求。
(2)AP向STA發送連接應答消息。AP收到連接請求消息後，如果允許STA與之建立連接，則發送連接應答消息，並在消息中聲明RSN信息單元。IEEE 802.11標準中規定了管理幀Probe Response消息用於應答STA的Probe Request消息。RSN信息單元根據TGi草案的規定格式聲明AP所支持的802.1x認證和所有數據保護方法。
(3)STA向AP發送IEEE 802.11的開放系統認證請求消息。
(4)AP向STA發送IEEE 802.11的開放系統認證應答消息。為兼容IEEE802.11標準中原有的規定，增加了這兩條認證消息。原標準中支持開放系統認證和共享密鑰認證，在本發明的方法中強制為開放系統認證。
(5)STA向AP發送安全關聯請求消息。如果通過了IEEE 802.11開放系統認證，STA發送安全關聯請求消息，並在消息中聲明RSN信息單元。IEEE 802.11標準中規定了管理幀Association Request消息用於發送安全關聯請求。RSN信息單元根據TGi草案的規定格式聲明STA支持802.1x認證和根據AP所提供的數據保護方法中選定的數據保護方法。
第二階段建立安全關聯。其特徵在於AP收到STA的安全關聯請求後，向AC發送802.1x認證請求消息，請求AC採用802.1x認證協議，利用AS對STA進行認證，如果認證成功，將在AS和STA之間建立相互的信任關係，並建立對等主密鑰PMK，再根據由有線協議保證的AS、AC和AP之間的相互信任關係，實現了AP與STA之間的相互認證；AS將STA的PMK發送給AC，AC登記STA的關聯信息和PMK信息後，將PMK發送給AP；AP收到PMK後採用802.1x密鑰管理協議的四步握手協議，在STA與AP之間協商對等臨時密鑰PTK；AP再通過組密鑰分配協議分配組臨時密鑰GTK；如果以上802.1x認證和密鑰管理協議成功，AP向STA發送安全關聯成功應答消息，否則AP向STA發送安全關聯失敗應答消息。由此結束了建立安全關聯的階段。
具體步驟特徵如下
(6)AP向AC發送802.1x認證請求消息。AP採用IEEE 802.1x協議中規定的EAPOL-Start消息發起802.1x認證協議。
(7)STA、AC與AS實現802.1x認證協議過程。此時，STA為802.1x協議中的申請者Supplicant、AC為認證者Authenticator、AS為認證伺服器。AP轉發AC和STA之間的802.1x認證協議消息。IEEE802.1x標準規定了802.1x認證協議過程。如果802.1x認證失敗，(8′)AS向AC發送認證失敗消息。根據802.1x協議的規定，如果認證失敗，認證伺服器將向認證者發送認證失敗消息。
(9′)AC向AP發送認證失敗消息。802.1x協議規定的EAPOL-Logoff消息用於AC向AP發送認證失敗消息。
(10′)AP向STA發送安全關聯失敗應答消息。IEEE 802.11標準中規定了管理幀Association Response用於發送安全關聯應答消息。如果802.1x認證成功，(8)AS發送PMK到AC，AC登記STA的關聯信息和PMK信息。AS通過802.1x協議中EAP Accept消息向AC發送PMK。AC登記STA的PMK和關聯信息，其中關聯信息指當前與STA建立安全關聯的AP的信息。
(9)AC發送PMK到AP。AC通過AP與AC之間建立的安全隧道傳遞STA的PMK。AP與AC之間的安全隧道建立可以依賴與有線802.1x協議，此時AP為申請者、AC為認證者、AS為認證伺服器。
(10)AP與STA實現802.11x密鑰管理協議。TGi草案規定了AP和STA之間的802.1x密鑰管理協議，即四步握手協議，在STA與AP之間協商對等臨時密鑰PTK。
(11)AP與STA實現組密鑰分配協議。TGi草案規定了AP和STA之間的組密鑰分配協議，用於AP向STA分配組臨時密鑰GTK。
(12)AP向STA發送安全關聯應答消息。IEEE 802.11標準中規定了管理幀Association Response消息用於發送安全關聯應答。如果四步握手協議和組密鑰分配協議成功，AP向STA發送安全關聯成功應答消息授權STA的接入，否則發送安全關聯失敗應答消息拒絕STA的接入。
第三階段重新建立安全關聯。其特徵在於在漫遊情況下，當STA從已建立安全關聯的AP服務範圍內進入AP*的服務範圍內時，STA需要越區切換相關聯的接入點。STA與AP*通過第一階段的步驟建立連接並協商安全性能，所不同的是STA向AP*發送的安全關聯請求為重新建立安全關聯的請求；收到重新建立安全關聯請求的AP*請求AC更新相應STA的關聯信息，並獲得STA的PMK；STA和AP*之間採用802.1x密鑰管理協議動態協商PTK*和分配新的GTK*；如果密鑰協商完成，由AP*通過發送重新建立安全關聯的應答消息授權STA的接入。由此結束了STA與AP*重新建立安全關聯的階段。
具體步驟特徵如下(13)STA進入AP*服務範圍後完成步驟(1)～(4)，其中AP改變為AP*。
(14)STA向AP*發送重新建立安全關聯的請求消息。如果通過了IEEE802.11開放系統認證，STA發送安全關聯請求消息，並在消息中聲明RSN信息單元。IEEE 802.11標準中規定了管理幀ReassociationRequest消息用於發送重新建立安全關聯請求。RSN信息單元根據TGi草案的規定格式聲明STA支持802.1x認證和根據AP*所提供的數據保護方法中選定的數據保護方法。
(15)AP*向AC發送更新STA安全關聯信息的請求。AP*收到STA重新建立安全關聯請求消息後，請求AC將STA安全關聯信息更新為STA與AP*建立安全關聯。
(16)完成步驟(9)～(11)，其中AP改變為AP*，PTK、GTK變為PTK*、GTK*。
(17)AP*向STA發送重新建立安全關聯的應答消息。IEEE 802.11標準中規定了管理幀Reassociation Response消息用於發送重新建立安全關聯的應答。如果四步握手協議和組密鑰分配協議成功，AP*向STA發送重新建立安全關聯成功答消息授權STA的接入，否則發送重新建立安全關聯失敗應答消息拒絕STA的接入。
3、有益效果本發明與現有技術相比具有以下優點本發明在深入分析IEEE 802.11標準和草案的基礎上，不僅兼容了原有接入控制方案，而且利用了原方案的狀態轉移關係，使得新方案與原有方案有機得結合。本發明方案從實現整個無線區域網安全接入控制系統的角度出發，在有線網側加入了實現分布業務的接入控制器，不僅落實了原協議中對分布業務的規定，而且提供了更加簡潔的漫遊方案。利用接入控制器實現IEEE 802.1x的認證者模塊的功能，也在一定程度上降低了接入點的硬體複雜度。考慮到802.1x接入控制協議有增強的安全性，本發明方案採納了草案提出的此協議。
本發明中所述的三個階段構成了STA一次認證的安全接入控制方法。其中第一階段和第二階段完成了STA包括認證在內的首次接入的安全控制過程，而第三階段則完成了在STA已接入條件下漫遊的越區切換時接入的安全控制過程。通過AC的登記機制，第三階段AP直接從AC獲得PMK，而不必重新對STA進行不可預知時延的認證過程，從而使得STA漫遊的越區切換所造成的時延在可預知的範圍內，不至於對STA的通信質量造成大幅度的下降。特別指出的是STA可以在從AP切換到AP*之前完成第三階段，當與AP*建立安全關聯之後再斷開與AP的連接，保證越區時的無縫切換。
本發明中引入的AC與AP共同構成了接入控制系統，並在AC上軟體實現802.1x認證協議中認證者的角色，不僅降低了AP的硬體複雜度，而且為AP與AC建立安全隧道提供了基於IEEE 802.1x協議的解決方案。這一點真是本方法與TGi草案的最大不同之處。此外，充分利用IEEE 802.11協議中原有的關聯服務，提出將802.1x認證協議、四步握手協議和組密鑰分配協議歸入建立安全關聯的過程中，也是對TGi草案的改進。
此外，採用802.1x認證協議和802.1x密鑰管理的四步握手協議，增強了認證和密鑰管理的安全強度，實現了動態的密鑰分配，並且允許不修改現有標準MAC層的前提下引入更強的認證方案，即在MAC層之上IP層之下，也即邏輯鏈路控制(LLC)層實現協議，這樣不僅避免了對已有MAC層硬體技術做太大的改動，而且增強了認證和密鑰管理方案的靈活性和可擴展性，便於選擇更安全可靠的認證協議。
四

圖1為無線區域網安全接入控制方法實施例組網示意圖。
圖2為無線區域網安全接入控制方法實施例樹狀設備關係圖。其中有終端工作站STA、接入點AP、認證伺服器AS、接入控制器AC、基本服務集BSS、擴展服務集ESS。
圖3為無線區域網安全接入控制方法實施例第一、二階段消息流程圖。
圖4為無線區域網安全接入控制方法實施例第三階段消息流程圖。
五具體實施例方式
下面結合附圖所示實施例對本發明作進一步說明本發明的無線區域網安全接入控制方法特徵在於當未與任何AP建立安全關聯的STA進入某一AP服務範圍內，STA與AP建立連接並協商安全性能，隨後由STA向AP發送建立安全關聯的請求；由認證伺服器AS採用IEEE 802.1x認證協議對STA進行認證，如果認證失敗，AS通知AP拒絕STA的建立安全關聯的請求；如果認證成功，在STA與AS之間協商了對等主密鑰(PMK)，AS將PMK發送給接入控制器AC登記相應STA的關聯信息和PMK信息；由AC再將PMK發送給AP，STA和AP之間採用IEEE 802.1x密鑰管理協議根據PMK動態協商對等臨時密鑰(PTK)和分配組臨時密鑰(GTK)；如果密鑰協商完成，由AP通過發送成功建立安全關聯的應答消息授權STA的接入。當STA從已建立安全關聯的AP服務範圍內進入另一AP服務範圍，STA與新的AP建立連接並協商安全性能，隨後由STA向新的AP發送重新建立安全關聯的請求；新的AP請求AC更新相應STA的關聯信息並獲得相應的PMK信息；STA和新的AP之間採用IEEE 802.1x密鑰管理協議根據PMK動態協商新的PTK和分配新的GTK；如果密鑰協商完成，由新的AP通過發送成功建立安全關聯的應答消息授權STA的接入。
整個安全接入控制過程包括三個階段建立連接和安全性能協商、建立安全關聯以及重新建立安全關聯。
第一階段建立連接和安全性能協商。其特徵在於由STA廣播連接請求，所在區域的AP向STA發送連接應答消息，並在應答消息中聲明所支持的802.1x認證和所有數據保護方法；STA向建立連接的AP發送IEEE 802.11的開放系統認證請求消息；AP向建立連接的STA發送IEEE 802.11的開放系統認證應答消息；通過IEEE 802.11開放系統認證，STA向AP發送建立安全關聯的請求，並在安全關聯請求消息中聲明支持802.1x認證和選定的數據保護方法。由此結束了建立連接和安全性能協商的階段。
第二階段建立安全關聯。其特徵在於AP收到STA的安全關聯請求後，向AC發送802.1x認證請求消息，請求AC採用802.1x認證協議，利用AS對STA進行認證，如果認證成功，將在AS和STA之間建立相互的信任關係，並建立對等主密鑰PMK，再根據由有線協議保證的AS、AC和AP之間的相互信任關係，實現了AP與STA之間的相互認證；AS將STA的PMK發送給AC，AC登記STA的關聯信息和PMK信息後，將PMK發送給AP；AP收到PMK後採用802.1x密鑰管理協議的四步握手協議，在STA與AP之間協商對等臨時密鑰PTK；AP再通過組密鑰分配協議分配組臨時密鑰GTK；如果以上802.1x認證和密鑰管理協議成功，AP向STA發送安全關聯成功應答消息，否則AP向STA發送安全關聯失敗應答消息。由此結束了建立安全關聯的階段。
第三階段重新建立安全關聯。其特徵在於在漫遊情況下，當STA從已建立安全關聯的AP服務範圍內進入AP*的服務範圍內時，STA需要越區切換相關聯的接入點。STA與AP*通過第一階段的步驟建立連接並協商安全性能，所不同的是STA向AP*發送的安全關聯請求為重新建立安全關聯的請求；收到重新建立安全關聯請求的AP*請求AC更新相應STA的關聯信息，並獲得STA的PMK；STA和AP*之間採用802.1x密鑰管理協議動態協商PTK*和分配新的GTK*；如果密鑰協商完成，由AP*通過發送重新建立安全關聯的應答消息授權STA的接入。由此結束了STA與AP*重新建立安全關聯的階段。
本發明實施例涉及兩部分網絡，即STA與AP組成的無線區域網和AP、AC、AS以及網關組成的接入網。AP作為無線區域網與接入網的接口，承擔著橋接的作用，因此可以實現對STA的鏈路級接入控制功能。AC作為接入網與網際網路的接口，承擔著網絡級的接入控制功能，但在本發明中主要用於實現802.1x認證協議的認證者以及登記STA的安全關聯信息與PMK的功能，實現了IEEE802.11標準中的分布和關聯服務。AS作為認證伺服器可以是接入網內的本地認證伺服器或處於網際網路內的遠程認證伺服器，一般採用RADIUS協議或Diameter協議。因此，STA、AP、AC和AS構成了樹狀的設備關係圖。
圖3和圖4展示了實施例三個階段的消息流程，實現了本發明的安全接入控制方法。下面逐一介紹消息流程中對應的協議消息(1)連接請求IEEE 802.11 Probe Request；(2)連接應答+RSN信息單元IEEE 802.11 Probe Response+RSNIE；(3)802.11開放系統認證(請求)IEEE 802.11 Open Authentication(Request)；(4)802.11開放系統認證(應答)IEEE 802.11 Open Authentication(Response)；(5)安全關聯請求+RSN信息單元IEEE 802.11 AssociationRequest+RSN IE；(6)802.1x請求IEEE 802.1x EAPOL-Start；(7)802.1x認證協議IEEE 802.1x/EAP；(8)802.1x失敗應答IEEE 802.1xEAPOL-Logoff；(9)802.1x密鑰管理協議TGi Draft 3.0 4-way handshake；(10)802.1x組密鑰分配協議TGi Draft 3.0 Group Key delivery；(11)安全關聯應答(成功)IEEE 802.11 Association Response(Success)；(12)安全關聯應答(失敗)IEEE 802.11 Association Response(Failure)；(13)重新建立安全關聯請求+RSN信息單元IEEE 802.11Reassociation Request+RSN IE；
(14)重新建立安全關聯應答(成功)IEEE 802.11 Association Response(Success)；(15)重新建立安全關聯應答(失敗)IEEE 802.11 Association Response(Failure)。
權利要求
1.一種無線區域網安全接入控制方法，其特徵在於當未與任何AP建立安全關聯的STA進入某一AP服務範圍內，STA與AP建立連接並協商安全性能，隨後由STA向AP發送建立安全關聯的請求；由認證伺服器AS採用IEEE 802.1x認證協議對STA進行認證，如果認證失敗，AS通知AP拒絕STA的建立安全關聯的請求；如果認證成功，在STA與AS之間協商了對等主密鑰PMK，AS將PMK發送給接入控制器AC登記相應STA的關聯信息和PMK信息；由AC再將PMK發送給AP，STA和AP之間採用IEEE 802.1x密鑰管理協議根據PMK動態協商對等臨時密鑰PTK和分配組臨時密鑰GTK；如果密鑰協商完成，由AP通過發送成功建立安全關聯的應答消息授權STA的接入，當STA從已建立安全關聯的AP服務範圍內進入另一AP服務範圍，STA與新的AP建立連接並協商安全性能，隨後由STA向新的AP發送重新建立安全關聯的請求；新的AP請求AC更新相應STA的關聯信息並獲得相應的PMK信息；STA和新的AP之間採用IEEE 802.1x密鑰管理協議根據PMK動態協商新的PTK和分配新的GTK；如果密鑰協商完成，由新的AP通過發送成功建立安全關聯的應答消息授權STA的接入，整個安全接入控制過程包括三個階段建立連接和安全性能協商、建立安全關聯以及重新建立安全關聯。
2.根據權利要求1所述的無線區域網安全接入控制方法，其特徵在於第一階段即建立連接和安全性能協商階段，由STA廣播連接請求，所在區域的AP向STA發送連接應答消息，並在應答消息中聲明所支持的802.1x認證和所有數據保護方法；STA向建立連接的AP發送IEEE 802.11的開放系統認證請求消息；AP向建立連接的STA發送IEEE 802.11的開放系統認證應答消息；通過IEEE802.11開放系統認證，STA向AP發送建立安全關聯的請求，並在安全關聯請求消息中聲明支持802.1x認證和選定的數據保護方法，由此結束了建立連接和安全性能協商的階段。
3.根據權利要求1所述的無線區域網安全接入控制方法，其特徵在於第二階段即建立安全關聯階段，AP收到STA的安全關聯請求後，向AC發送802.1x認證請求消息，請求AC採用802.1x認證協議，利用AS對STA進行認證，如果認證成功，將在AS和STA之間建立相互的信任關係，並建立對等主密鑰PMK，再根據由有線協議保證的AS、AC和AP之間的相互信任關係，實現了AP與STA之間的相互認證；AS將STA的PMK發送給AC，AC登記STA的關聯信息和PMK信息後，將PMK發送給AP；AP收到PMK後採用802.1x密鑰管理協議的四步握手協議，在STA與AP之間協商對等臨時密鑰PTK；AP再通過組密鑰分配協議分配組臨時密鑰GTK；如果以上802.1x認證和密鑰管理協議成功，AP向STA發送安全關聯成功應答消息，否則AP向STA發送安全關聯失敗應答消息，由此結束了建立安全關聯的階段。
4.根據權利要求1所述的無線區域網安全接入控制方法，其特徵在於第三階段重新建立安全關聯階段，在漫遊情況下，當STA從已建立安全關聯的AP服務範圍內進入AP*的服務範圍，STA需要越區切換相關聯的接入點，STA與AP*通過第一階段的步驟建立連接並協商安全性能，所不同的是STA向AP*發送的安全關聯請求為重新建立安全關聯的請求；收到重新建立安全關聯請求的AP*請求AC更新相應STA的關聯信息，並獲得STA的PMK；STA和AP*之間採用802.1x密鑰管理協議動態協商PTK*和分配新的GTK*；如果密鑰協商完成，由AP*通過發送重新建立安全關聯的應答消息授權STA的接入，由此結束了STA與AP*重新建立安全關聯的階段。
全文摘要
無線區域網安全接入控制方法涉及基於IEEE802.11標準無線區域網的增強型安全接入控制方法，整個安全接入控制過程包括三個階段建立連接和安全性能協商，由STA廣播連接請求，所在區域的AP向STA發送連接應答消息，並在應答消息中聲明所支持的802.1x認證和所有數據保護方法；建立安全關聯，AP收到STA的安全關聯請求後，向AC發送802.1x認證請求消息，請求AC採用802.1x認證協議，利用AS對STA進行認證；重新建立安全關聯，在漫遊情況下，當STA從已建立安全關聯的AP服務範圍內進入AP
文檔編號H04L9/32GK1455556SQ0311347
公開日2003年11月12日 申請日期2003年5月14日 優先權日2003年5月14日
發明者曹秀英, 沈平, 鄭曉蕾, 王璐, 耿嘉, 李楓 申請人:東南大學