技術領域

本發明涉及通信領域，具體而言，涉及一種密鑰驗證方法及裝置。

背景技術

IEEE?802.11是第一代無線局域網(Wireless?Local?Area?Networks，簡稱為WLAN)標準之一。該標準定義了物理層(Physical?Layer，簡稱為PHY)和媒體訪問控制層(Medium?Access?Control，簡稱為MAC)協議的規范，該規范允許無線局域網及無線設備制造商在一定范圍內建立互操作網絡設備。經過二十年的發展，IEEE?802.11?WLAN標準工作組發展完善了一系列標準家族，其中具有較大影響力以及應用較為廣泛的是802.11a，802.11b，802.11g，802.11n，802.11ac等標準。

與IEEE?802.11相對應的Wi-Fi聯盟是1999年成立的非營利性國際組織，用來檢驗以IEEE802.11規格為基礎的WLAN產品的互操作性。Wi-Fi聯盟成員的目標是通過產品的互操作性來提高使用者的經驗。

如圖1所示，一個IEEE?802.11網絡包括：工作站(Station，簡稱為STA)、無線接入點(Access?Point，AP)。其中，STA是任何具備IEEE?802.11的MAC層和PHY層接口的設備，通常由一臺PC機或筆記本計算機加上一塊無線網卡構成，此外無線的終端還可以是非計算機終端上的能提供無線連接的嵌入式設備(例如802.11手機)。AP可以看成是一個無線的Hub，用于提供STA和現有骨干網絡之間的橋接，該骨干網絡可以是有線的，也可以是無線的。一個AP和在其覆蓋范圍的一個或多個STA組成一個基本服務集(Basic?Service?Set，簡稱為BSS)。BSS通過基本服務集標識BSSID來進行唯一標識，BSSID即是AP的MAC地址。終端在一個BSS內可以互相通信。采用相同的服務集標識SSID的多個BSS形成的更大規模的虛擬BSS，則定義為擴展服務集(Extended?Service?Set，簡稱為ESS)。終端在同一ESS內可以通信并且可以在下屬的多個BSS間移動。在ESS內連接多個BSS的網絡以及有線網絡稱為分布式系統(Distribution?System，簡稱為DS)。DS可以采用無線或有線技術，通常采用以太網技術。

為了完成認證以及IP地址分配功能，WLAN網絡還包括認證服務器(Authentication?Server，簡稱為AS)和動態主機配置協議服務器(Dynamic?Host?Configuration?protocol?Server，簡稱為DHCP服務器)，如圖2所示。AS是為STA提供認證服務的實體，僅有通過認證的STA才能被授權接入802.11網絡。AS也可以嵌入在AP中。DHCP服務器則為STA分配IP地址。STA通過該WLAN網絡可以接入Internet。

如圖3所示為IEEE?802.11i所引入的安全的密鑰體系架構。其中，成對主密鑰(Pairwise?Master?Key，簡稱為PMK)是STA和AS在EAP認證過程中各自生成的密鑰，長度為256位。成對臨時密鑰(Pairwise?Transient?Key，簡稱為PTK)是STA和AP分別根據PMK，以及STA生成的隨機數SNonce和AP生成的隨機數ANonce，各自推導出的密鑰。PTK的低128位為密鑰確認密鑰(Key?Confirmation?Key，KCK)，中間128位為密鑰加密密鑰(Key?Encryption?Key，簡稱為KEK)，剩下的高位MSB為臨時密鑰(Temporal?Key，簡稱為TK)。其中，KCK用于為4次握手過程和組密鑰握手過程中的EAPOL-KEY(Extensible?Authentication?Protocol?OVER?LAN?KEY)消息提供數據源認證；KEK用于為4次握手和組密鑰握手的密鑰信息幀EAPOL-KEY消息提供機密性保護；TK用戶保護STA和AP之間的數據報文的傳輸。

此外，IEEE?802.11還定義了組臨時密鑰(Group?Temporal?Key，簡稱為GTK)。GTK是AP生成的一個隨機數，在組密鑰握手過程中，AP將GTK用KEK加密后，傳輸給STA。

圖4示出了STA初始接入IEEE?802.11網絡時安全建立的流程圖，具體步驟如下：

步驟1-2：通過AP廣播信標(Beacon)消息，或者STA向AP主動發送探測請求(Probe?Request)消息，AP向STA響應探測響應(Probe?Response)消息，告知STA關于AP的能力、參數和安全參數等信息。