本申請為于2008年11月26日提交、申請號為200780019389.2、發明名稱為“安全無線網絡中的動態認證”的中國專利申請的分案申請。所述母案申請的國際申請日為2007年4月18日，國際申請號為PCT/US2007/009503。

相關申請的交叉引用

本申請要求于2006年4月24日提交的題為“Mechanisms and Apparatus to Provide Pre-Shared Key Authentication with Dynamic Secret on Wireless Networks”的美國臨時專利申請60/794,625以及于2006年5月2日提交的題為“Mechanisms and Apparatus for Automatic Wireless Connection Based on Provisioned Configuration”的美國臨時專利申請60/796,845的優先權。這兩個申請的公開通過引用合并到此。

技術領域

本發明總體涉及信息網絡安全性。更具體地說，本發明涉及用于安全無線網絡的用戶友好的低維護性認證。

背景技術

很多專業組織已經提議了用于無線網絡的各種用戶認證和安全性措施。這些專業組織包括電氣和電子工程師協會（IEEE）802.11工作組、Wi-Fi聯盟、互聯網工程任務組（IETF）。實現這些提議通常很復雜、難以維護，并且需要那些實現具體提議的人的高級技術知識。因此，因為很多商業組織（例如小型公司和中型公司）缺少專家和/或全職專業技術支持，所以他們無法部署這樣的措施。

在早期的無線網絡（例如IEEE802.11或Wi-Fi）中，通過有線等效保密（WEP）系統來實現安全性。部署WEP系統僅需要網絡管理員在接入點或接入設備處定義WEP密鑰集。任意用戶可以通過擁有在該用戶的客戶機站（例如膝上型設備或移動設備）中手動配置的相同WEP密鑰集來訪問WEP安全無線網絡。將使用共享WEP密鑰集通過定義的加密算法來對客戶機站與接入點之間的無線數據通信進行加密。

盡管WEP可以防止偶發的入侵者訪問無線網絡，但是WEP不可能抵擋更嚴重的安全性攻擊。例如，通過使用公共可用的軟件可以很容易地發現WEP密鑰。此外，由于所有用戶共享相同密鑰，因此WEP不能保護網絡用戶免受彼此的攻擊。因為基于WEP的安全性系統中的這些缺陷，所以發展出了替代的安全性措施。這些新的措施通常需要無線網絡用戶首先以某種方式被認證，然后導出密鑰集并用于無線業務加密。這些已提議的認證措施通常可以被分為兩組：可擴展認證協議（EAP）和預共享密鑰（PSK）。

EAP組的安全性措施通常采用IEEE802.1x標準，其使用可擴展認證協議。基于EAP的安全性系統使得能夠在認證服務器與其用戶之間進行相互認證。認證服務器可以駐留在接入點、基站或外部設備中。通常，認證服務器提供推導出的成對主密鑰，以在接入點與用戶客戶機站之間進行共享。成對主密鑰可以用于導出密鑰集，密鑰集可以用于數據加密。

實現基于EAP或IEEE802.1x的安全性系統的主要障礙在于它們的復雜性。部署這樣的系統需要高級技術專家以及對用戶進行持續技術支持。例如，很多基于EAP的系統需要將安全性證書安裝到認證服務器。根據基于EAP的系統的確切需求，客戶機站可能還需要被授權確立證書更新，和/或在可被批準訪問無線網絡之前預裝安全性證書。

與之對照，PSK安全性系統是基于在客戶機站與接入點兩者之間共享的并且在客戶機站與接入點上存儲的密碼的。該密碼可以是例如長比特流（例如過關短語、口令、十六進制串等等）。由客戶機站和接入點用于對彼此進行認證的密碼也可以用于生成加密密鑰集。

基于PSK的系統的主要缺點在于，必須將密碼手動輸入到客戶機站，并且由所有客戶機站共享該密碼。一旦共享的密碼被未授權的人員獲知，則危及整個網絡的安全性。這可能在需要向臨時雇員提供網絡訪問或具有高流動性的勞動力的組織中產生問題。為了維護基于PSK的系統的安全性，只要知道密碼的人離開組織或者不再被授權訪問網絡，都必須改變所有客戶機站上的密碼。

雖然很多措施可用于確保無線網絡安全，但實現這些措施中的任意一項都可能很復雜、困難，和/或需要大量維護。因此，本領域需要改進的方法和系統，其為無線網絡提供對用戶友好的并且容易維護的安全性，而不需要高級技術專家和持續技術支持。

發明內容