技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域，尤其涉及一種無線網(wǎng)絡(luò)密鑰協(xié)商的方法及裝置。

背景技術(shù)

WLAN(Wireless Local Area Network，無線局域網(wǎng))是以無線信道作為傳輸媒介的計(jì)算機(jī)局域網(wǎng)，是有線聯(lián)網(wǎng)方式的重要補(bǔ)充和延伸。WLAN網(wǎng)絡(luò)是基于空口媒介傳輸?shù)模瑸榱吮ＷC網(wǎng)絡(luò)的安全性，使用者一般都需要對報文傳輸過程進(jìn)行驗(yàn)證和加密。在802.11標(biāo)準(zhǔn)中，IEEE提供了RSNA(Robust Security Network Association，健壯安全網(wǎng)絡(luò)聯(lián)盟)安全架構(gòu)。在RSNA安全架構(gòu)下，無線終端和AP(Acess Point，無線接入點(diǎn))之間在通過802.1X之類的認(rèn)證或PSK(Pairwise Security Key,對稱安全密鑰)方式下，建立PMKSA安全聯(lián)盟(Pairwise Master Key Security Association，對稱主密鑰安全聯(lián)盟)。在此基礎(chǔ)上，無線終端和AP之間需要進(jìn)一步進(jìn)行四次密鑰握手過程，才能完成PTK密鑰(Pairwise Transient Key，對稱臨時密鑰)的協(xié)商,以及AP到無線終端的GTK(Group Temporal Key，組播臨時密鑰)頒發(fā)。

當(dāng)無線終端在ESS(Extended Service Set,擴(kuò)展服務(wù)集合)中漫游時，無線終端和新AP(無線終端將要關(guān)聯(lián)的AP)之間可以利用預(yù)認(rèn)證或緩存等方式預(yù)先建立了PMKSA，但仍需要通過四次密鑰握手交互才能協(xié)商出PTK以及GTK的頒發(fā)，然后和新AP進(jìn)行數(shù)據(jù)報文的傳輸。在實(shí)際運(yùn)用中，這個過程中的四次密鑰握手交互，同時也會給無線運(yùn)用帶來困擾，表現(xiàn)在：

四次密鑰握手交互過程花費(fèi)時間比較長，對手機(jī)類終端甚至達(dá)到了秒級別，會造成語音中斷時間過長；

四次密鑰握手交互，會造成無線終端來回切換信道，常常引起四次密鑰握手交互過程不能順利完成，引起鏈路中斷，從而給漫游帶來困難，這主要是因?yàn)椋翧P的工作信道和無線終端當(dāng)前連接的AP一般是不同的，無線終端需切換到新AP的信道上來關(guān)聯(lián)，但關(guān)聯(lián)之后在四次握文交互完成之前，無線終端如果有數(shù)據(jù)需要傳輸，常常會切換到當(dāng)前AP的信道上，造成不能接收新AP的交互報文，從而引起交互失敗。

現(xiàn)有技術(shù)中典型的解決方式為：802.11r，但是802.11r不能和現(xiàn)有的802.11(2007)提供的RSNA過程兼容，包括：密鑰計(jì)算過程；PMK聯(lián)盟的標(biāo)識方法，802.11以PMKID來標(biāo)識，而802.11r以PMKR0Name來標(biāo)識。此外，802.11r的快速關(guān)聯(lián)過程必須要用到第一次關(guān)聯(lián)過程中的信息，也就是說，無線終端要想在支持的802.11r漫游域中快速漫游，必須先進(jìn)行一次支持802.11r的首次關(guān)聯(lián)過程。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供一種無線網(wǎng)絡(luò)密鑰協(xié)商的方法和裝置，能夠直接省略四次密鑰握手交互過程而更快的傳輸數(shù)據(jù)報文。

為實(shí)現(xiàn)本發(fā)明目的，本發(fā)明實(shí)現(xiàn)方案具體如下：

一種無線網(wǎng)絡(luò)密鑰協(xié)商的方法，應(yīng)用于AP，所述方法包括：

接收到無線終端發(fā)送的第一個認(rèn)證報文后，檢查AP本地是否保存有所述無線終端的PMKSA；

向所述無線終端回應(yīng)第二個認(rèn)證報文，若所述AP本地保存有所述PMKSA，則在所述第二個認(rèn)證報文中攜帶第一(Extensible Authentication Protocol over LAN，局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議)EAPOL-密鑰KEY幀，以便所述無線終端根據(jù)所述第一EAPOL-KEY幀向AP發(fā)送關(guān)聯(lián)請求報文，其中所述第一EAPOL-KEY幀中攜帶AP隨機(jī)數(shù)ANonce以及PMKID；

接收到所述無線終端發(fā)送的關(guān)聯(lián)請求報文后，檢查所述關(guān)聯(lián)請求報文中是否攜帶PMKID和第二EAPOL-KEY幀，如果有則將所述PMKID和所述第二EAPOL-KEY幀保存在本地，其中所述第二EAPOL-KEY幀中攜帶無線終端隨機(jī)數(shù)SNonce以及MIC；

利用本地保存的密鑰PMK、AP隨機(jī)數(shù)ANonce、無線終端隨機(jī)數(shù)SNonce、AP的MAC地址、無線終端的MAC地址，計(jì)算臨時密鑰PTK，并檢查所述第二EAPOL-KEY幀的MIC是否正確，若檢查成功，則表示建立PTKSA成功；

返回關(guān)聯(lián)響應(yīng)報文，若與無線終端建立了所述PTKSA，則在所述關(guān)聯(lián)響應(yīng)報文中攜帶第三EAPOL-KEY幀，以便所述無線終端向AP傳輸數(shù)據(jù)報文，其中所述第三EAPOL-KEY幀攜帶MIC以及GTK。

本發(fā)明同時提供一種無線網(wǎng)絡(luò)密鑰協(xié)商的方法，應(yīng)用于無線終端，所述方法包括：