无线局域网安全接入控制方法

1、一种无线局域网安全接入控制方法，包括终端工作站与接入点建立连接过程、接入点 对终端工作站的认证过程和终端工作站与接入点建立关联过程，其特征在于：
(1)当未与任何接入点(AP)建立安全关联的终端工作站(STA)进入某一接入点(AP)服 务范围内，终端工作站(STA)与接入点(AP)建立连接并在连接请求与应答消息中 协商安全性能，为兼容IEEE 802.11协议，保留原协议中的安全认证过程；
(2)由终端工作站(STA)向接入点(AP)发送建立安全关联的请求，认证服务器(AS) 采用IEEE 802.1x认证协议对终端工作站(STA)进行认证，如果认证失败，认证 服务器(AS)通知接入点(AP)拒绝终端工作站(STA)的建立安全关联的请求；如 果认证成功，在终端工作站(STA)与认证服务器(AS)之间协商了对等主密钥 (PMK)，认证服务器(AS)将对等主密钥(PMK)发送给接入控制器(AC)登记 相应终端工作站(STA)的关联信息和对等主密钥(PMK)信息；
(3)由接入控制器(AC)再将对等主密钥(PMK)发送给接入点(AP)，终端工作站(STA) 和接入点(AP)之间采用“IEEE 802.1x”密钥管理协议根据对等主密钥(PMK)动 态协商对等临时密钥(PTK)和分配组临时密钥(GTE)；如果密钥协商完成，由 接入点(AP)通过发送成功建立安全关联的应答消息授权终端工作站(STA)的接 入；
(4)当终端工作站(STA)从已建立安全关联的接入点(AP)服务范围内进入另一接入点 (AP)服务范围，终端工作站(STA)与新的接入点(AP)建立连接并协商安全性能， 随后由终端工作站(STA)向新的接入点(AP)发送重新建立安全关联的请求；
(5)新的接入点(AP)请求接入控制器(AC)更新相应终端工作站(STA)的关联信息并 获得相应的对等主密钥(PMK)信息；终端工作站(STA)和新的接入点(AP)之间采 用“IEEE 802.1x”密钥管理协议根据对等主密钥(PMK)动态协商新的对等临时 密钥(PTK)和分配新的组临时密钥(GTK)；如果密钥协商完成，由新的接入点 (AP)通过发送成功建立安全关联的应答消息授权终端工作站(STA)的接入；
整个安全接入控制过程包括三个阶段：建立连接和安全性能协商、建立安全关联以及重 新建立安全关联。
2、根据权利要求1所述的无线局域网安全接入控制方法，其特征在于第一阶段即建立连 接和安全性能协商阶段，由终端工作站(STA)广播连接请求，所在区域的接入点(AP)向终端工 作站(STA)发送连接应答消息，并在应答消息中通过发送RSN信息单元声明所支持的 “802.1x”认证和所有数据保护方法；终端工作站(STA)向建立连接的接入点(AP)发送“IEEE 802.11”的开放系统认证请求消息；接入点(AP)向建立连接的终端工作站(STA)发送“IEEE 802.11”的开放系统认证应答消息；通过“IEEE 802.11”开放系统认证，终端工作站(STA) 向接入点(AP)发送建立安全关联的请求，并在安全关联请求消息中通过发送RSN信息单元 声明支持“802.1x”认证和选定的数据保护方法，由此结束了建立连接和安全性能协商的阶 段。
3、根据权利要求1所述的无线局域网安全接入控制方法，其特征在于第二阶段即建立安 全关联阶段，接入点(AP)收到终端工作站(STA)的安全关联请求后，向接入控制器(AC)发送 “802.1x”认证请求消息，请求接入控制器(AC)采用“802.1x”认证协议，利用接入控制 器(AC)对终端工作站(STA)进行认证，如果认证成功，将在接入控制器(AC)和终端工作站 (STA)之间建立相互的信任关系，并建立对等主密钥对等主密钥(PMK)，再根据由有线协议 保证的接入控制器(AC)、接入控制器(AC)和接入点(AP)之间的相互信任关系，实现了接 入点(AP)与终端工作站(STA)之间的相互认证；接入控制器(AC)将终端工作站(STA)的对等 主密钥(PMK)发送给接入控制器(AC)，接入控制器(AC)登记终端工作站(STA)的关联信 息和对等主密钥(PMK)信息后，将对等主密钥(PMK)发送给接入点(AP)；接入点(AP)收到 对等主密钥(PMK)后采用“802.1x”密钥管理协议的四步握手协议，在终端工作站(STA)与 接入点(AP)之间协商对等临时密钥(PTK)；接入点(AP)再通过组密钥分配协议分配组临时密 钥(GTK)；如果以上“802.1x”认证和密钥管理协议成功，接入点(AP)向终端工作站(STA) 发送安全关联成功应答消息，否则接入点(AP)向终端工作站(STA)发送安全关联失败应答消 息，由此结束了建立安全关联的阶段。
4、根据权利要求1所述的无线局域网安全接入控制方法，其特征在于第三阶段：重新建 立安全关联阶段，在漫游情况下，当终端工作站(STA)从已建立安全关联的接入点(AP)服务范 围内进入接入点(AP)*的服务范围，终端工作站(STA)需要越区切换相关联的接入点，终端工 作站(STA)与接入点(AP)*通过第一阶段的步骤建立连接并协商安全性能，所不同的是终端工 作站(STA)向接入点(AP)*发送的安全关联请求为重新建立安全关联的请求；收到重新建立安 全关联请求的接入点(AP)*请求接入控制器(AC)更新相应终端工作站(STA)的关联信息，并 获得终端工作站(STA)的对等主密钥(PMK)；终端工作站(STA)和接入点(AP)*之间采用 “802.1x”密钥管理协议动态协商对等临时密钥(PTK)*和分配新的组临时密钥(GTK)*； 如果密钥协商完成，由接入点(AP)*通过发送重新建立安全关联的应答消息授权终端工作站 (STA)的接入，由此结束了终端工作站(STA)与接入点(AP)*重新建立安全关联的阶段。

                        一、技术领域\n本发明涉及基于IEEE 802.11标准无线局域网的增强型安全接入控制方法， 尤其增强了无线局域网媒体接入控制(MAC)层的安全接入控制功能，属于无线 局域网安全技术领域。\n                        二、背景技术\n无线局域网(Wireless Local Area Network，WLAN)是高速发展的现代 无线通信技术在计算机网络中的应用，它采用无线多址信道的有效方式支持计算 机之间的通信，并为通信的移动化、个人化和多媒体应用提供了实现的手段。然 而，无线局域网环境下的安全需求由于其数据传输媒介的开放性，将比有线环境 下更为苛刻。无线局域网的服务区并没有有效的界限，攻击者可以很方便的进入 服务区实施非法的攻击，而不易被察觉；攻击者不仅可以对数据帧实施窃听、截 取和篡改，甚至可以对管理帧和控制帧实施攻击，以造成无线媒体资源被盗用或 者整个网络的瘫痪；合法用户的越权使用也是来自无线局域网内部的隐患之一。 IEEE 802.11标准是IEEE制定的无线局域网媒体接入控制(MAC)和物理层 (PHY)规范，标准中在MAC层的管理协议部分制定了最基本的安全接入控制 业务，以希望能提供与有线相同的安全性能。事实上，IEEE 802.11标准中由于 考虑无线信道的效率问题，更多的寄希望于高层协议的认证功能，因此在链路级 仅采用了简化的安全接入控制方案，导致安全功能形同虚设，更使得本已脆弱的 有线同等保密(Wired Equivalent Privacy，WEP)协议无法达到预期的数据 保护作用。接入控制是数据保护的基础，对于合法用户的合法授权范围内的数据 保护才有意义，而针对无线媒体资源的接入控制保护更不是高层协议能够完全实 现的。现有标准的安全接入控制业务已无法满足无线局域网应用环境下的安全需 求。由此可见，无线局域网要称之为安全的无线局域网，必须制定全新的安全接 入控制业务方法，以符合无线局域网新应用条件下的安全需求。为增强现有标准 的安全接入控制功能，IEEE 802.11工作组特别成立了任务组TGi，目的在于“增 强当前802.11的媒体接入控制功能以改进无线局域网的安全性”。强安全网络 (Robust Security Network，RSN)是TGi提出的改进的安全无线局域网模 型。目前，新标准的制定工作仍处于草案阶段，2002年11月TGi发布了最新 的草案版本Draft 3.0，在草案中设计了增强型安全接入控制方案和数据保护方 案。草案采用IEEE 802.1x基于端口的网络接入控制协议实现了安全接入控制方 案，包括IEEE 802.1x认证协议和IEEE 802.1x密钥管理协议。在无线终端网 卡和接入点分别加入了802.1x的端口接入实体(PAE)模块，并通过RADIUS 认证服务器实现认证。草案还规定了改进的数据保护方案，包括TKIP、AES-CCM 和AES-OCB等。这些都增强了IEEE 802.11原有的安全性能。然而，在改进 的过程中，为了与原有协议保持兼容，草案中仍保留了原协议的安全接入控制方 案，但不关心其结果，而是在原有方案之后实现新的安全接入控制方案，这样使 得原有方案过程成为一种浪费。此外，由于受协议规定范围的局限，草案试图只 规定无线网侧，而不涉及分布系统的有线网侧，这使得协议未从系统的整体结构 出发进行设计，导致漫游等功能的实现显得累赘。\n                        三、发明内容\n                        1、技术问题\n本发明的目的是提出一种针对IEEE 802.11标准的无线局域网安全接入控 制方法，此方法不仅兼容了TGi Draft 3.0中提出的增强型安全接入控制方案， 而且结合IEEE 802.11标准的已有功能，使得对现有设备的改进更为方便，同 时降低了新的安全接入控制方案对包括漫游在内的原有无线局域网性能的影响。\n                        2、技术方案\n本发明设计的无线局域网安全接入控制方法在功能上包括认证、密钥管理和 授权三部分。认证功能实现了终端工作站(STA)与接入点(AP)之间的相互认证， 主要通过STA与认证服务器(AS)的相互认证和AS与AP之间的信任关系来实 现；密钥管理功能指STA与AP之间基于认证的动态密钥协商和密钥分配；授权 功能指AP对STA接入请求的响应，如果AP与STA之间建立安全关联，则授权 STA接入，否则拒绝STA的接入请求。方法中主要涉及无线局域网内的四种设 备：终端工作站STA、接入点AP、接入控制器(AC)和认证服务器AS。STA是 移动用户终端设备，实现了用户侧的安全接入控制功能；AP是无线局域网接入服 务的提供者，实现了安全接入控制的授权功能和密钥管理功能；AS是认证服务器 设备，提供了服务器侧安全接入控制的认证功能；AC处于AP与AS之间，用于 登记一次认证中AS对STA的认证结果以及STA与AP之间的安全关联信息。\n本发明的无线局域网安全接入控制方法特征在于：当未与任何AP建立安全 关联的STA进入某一AP服务范围内，STA与AP建立连接并协商安全性能，随 后由STA向AP发送建立安全关联的请求；由认证服务器AS采用IEEE 802.1x 认证协议对STA进行认证，如果认证失败，AS通知AP拒绝STA的建立安全关 联的请求；如果认证成功，在STA与AS之间协商了对等主密钥(PMK)，AS将 PMK发送给接入控制器AC登记相应STA的关联信息和PMK信息；由AC再将 PMK发送给AP，STA和AP之间采用IEEE 802.1x密钥管理协议根据PMK动 态协商对等临时密钥(PTK)和分配组临时密钥(GTK)；如果密钥协商完成，由 AP通过发送成功建立安全关联的应答消息授权STA的接入。当STA从已建立安 全关联的AP服务范围内进入另一AP服务范围，STA与新的AP建立连接并协商 安全性能，随后由STA向新的AP发送重新建立安全关联的请求；新的AP请求 AC更新相应STA的关联信息并获得相应的PMK信息；STA和新的AP之间采 用IEEE 802.1x密钥管理协议根据PMK动态协商新的PTK和分配新的GTK； 如果密钥协商完成，由新的AP通过发送成功建立安全关联的应答消息授权STA 的接入。\n整个安全接入控制过程包括三个阶段：建立连接和安全性能协商、建立安全 关联以及重新建立安全关联。\n第一阶段：建立连接和安全性能协商。其特征在于：由STA广播连接请求， 所在区域的AP向STA发送连接应答消息，并在应答消息中声明所支持的802.1x 认证和所有数据保护方法；STA向建立连接的AP发送IEEE 802.11的开放系 统认证请求消息；AP向建立连接的STA发送IEEE 802.11的开放系统认证应 答消息；通过IEEE 802.11开放系统认证，STA向AP发送建立安全关联的请 求，并在安全关联请求消息中声明支持802.1x认证和选定的数据保护方法。由 此结束了建立连接和安全性能协商的阶段。\n具体步骤特征如下：\n(1)STA广播连接请求消息。在IEEE 802.11标准中规定了管理帧Probe Request消息用于广播STA的连接请求。\n(2)AP向STA发送连接应答消息。AP收到连接请求消息后，如果允许 STA与之建立连接，则发送连接应答消息，并在消息中声明RSN信息 单元。IEEE 802.11标准中规定了管理帧Probe Response消息用 于应答STA的Probe Request消息。RSN信息单元根据TGi草案的 规定格式声明AP所支持的802.1x认证和所有数据保护方法。\n(3)STA向AP发送IEEE 802.11的开放系统认证请求消息。\n(4)AP向STA发送IEEE 802.11的开放系统认证应答消息。为兼容IEEE 802.11标准中原有的规定，增加了这两条认证消息。原标准中支持开 放系统认证和共享密钥认证，在本发明的方法中强制为开放系统认证。\n(5)STA向AP发送安全关联请求消息。如果通过了IEEE 802.11开放系 统认证，STA发送安全关联请求消息，并在消息中声明RSN信息单元。 IEEE 802.11标准中规定了管理帧Association Request消息用于 发送安全关联请求。RSN信息单元根据TGi草案的规定格式声明STA 支持802.1x认证和根据AP所提供的数据保护方法中选定的数据保护 方法。\n第二阶段：建立安全关联。其特征在于：AP收到STA的安全关联请求后， 向AC发送802.1x认证请求消息，请求AC采用802.1x认证协议，利用AS 对STA进行认证，如果认证成功，将在AS和STA之间建立相互的信任关系， 并建立对等主密钥PMK，再根据由有线协议保证的AS、AC和AP之间的相互信 任关系，实现了AP与STA之间的相互认证；AS将STA的PMK发送给AC， AC登记STA的关联信息和PMK信息后，将PMK发送给AP；AP收到PMK后 采用802.1x密钥管理协议的四步握手协议，在STA与AP之间协商对等临时密 钥PTK；AP再通过组密钥分配协议分配组临时密钥GTK；如果以上802.1x认 证和密钥管理协议成功，AP向STA发送安全关联成功应答消息，否则AP向STA 发送安全关联失败应答消息。由此结束了建立安全关联的阶段。\n具体步骤特征如下：\n(6)AP向AC发送802.1x认证请求消息。AP采用IEEE 802.1x协议中 规定的EAPOL-Start消息发起802.1x认证协议。\n(7)STA、AC与AS实现802.1x认证协议过程。此时，STA为802.1x 协议中的申请者Supplicant、AC为认证者Authenticator、AS为认 证服务器。AP转发AC和STA之间的802.1x认证协议消息。IEEE 802.1x标准规定了802.1x认证协议过程。\n如果802.1x认证失败，\n(8′)AS向AC发送认证失败消息。根据802.1x协议的规定，如果认证失 败，认证服务器将向认证者发送认证失败消息。\n(9′)AC向AP发送认证失败消息。802.1x协议规定的EAPOL-Logoff消 息用于AC向AP发送认证失败消息。\n(10′)AP向STA发送安全关联失败应答消息。IEEE 802.11标准中规定 了管理帧Association Response用于发送安全关联应答消息。\n如果802.1x认证成功，\n(8)AS发送PMK到AC，AC登记STA的关联信息和PMK信息。AS通 过802.1x协议中EAP Accept消息向AC发送PMK。AC登记STA 的PMK和关联信息，其中关联信息指当前与STA建立安全关联的AP 的信息。\n(9)AC发送PMK到AP。AC通过AP与AC之间建立的安全隧道传递STA 的PMK。AP与AC之间的安全隧道建立可以依赖与有线802.1x协议， 此时AP为申请者、AC为认证者、AS为认证服务器。\n(10)AP与STA实现802.1x密钥管理协议。TGi草案规定了AP和STA 之间的802.1x密钥管理协议，即四步握手协议，在STA与AP之间 协商对等临时密钥PTK。\n(11)AP与STA实现组密钥分配协议。TGi草案规定了AP和STA之间的 组密钥分配协议，用于AP向STA分配组临时密钥GTK。\n(12)AP向STA发送安全关联应答消息。IEEE 802.11标准中规定了管理帧 Association Response消息用于发送安全关联应答。如果四步握手协 议和组密钥分配协议成功，AP向STA发送安全关联成功应答消息授权 STA的接入，否则发送安全关联失败应答消息拒绝STA的接入。\n第三阶段：重新建立安全关联。其特征在于：在漫游情况下，当STA从已建 立安全关联的AP服务范围内进入AP*的服务范围内时，STA需要越区切换相关 联的接入点。STA与AP*通过第一阶段的步骤建立连接并协商安全性能，所不同 的是STA向AP*发送的安全关联请求为重新建立安全关联的请求；收到重新建立 安全关联请求的AP*请求AC更新相应STA的关联信息，并获得STA的PMK； STA和AP*之间采用802.1x密钥管理协议动态协商PTK*和分配新的GTK*；如 果密钥协商完成，由AP*通过发送重新建立安全关联的应答消息授权STA的接入。 由此结束了STA与AP*重新建立安全关联的阶段。\n具体步骤特征如下：\n(13)STA进入AP*服务范围后完成步骤(1)～(4)，其中AP改变为AP*。\n(14)STA向AP*发送重新建立安全关联的请求消息。如果通过了IEEE 802.11开放系统认证，STA发送安全关联请求消息，并在消息中声 明RSN信息单元。IEEE 802.11标准中规定了管理帧Reassociation Request消息用于发送重新建立安全关联请求。RSN信息单元根据 TGi草案的规定格式声明STA支持802.1x认证和根据AP*所提供的 数据保护方法中选定的数据保护方法。\n(15)AP*向AC发送更新STA安全关联信息的请求。AP*收到STA重新建 立安全关联请求消息后，请求AC将STA安全关联信息更新为STA 与AP*建立安全关联。\n(16)完成步骤(9)～(11)，其中AP改变为AP*，PTK、GTK变为PTK*、 GTK*。\n(17)AP*向STA发送重新建立安全关联的应答消息。IEEE 802.11标准中 规定了管理帧Reassociation Response消息用于发送重新建立安全 关联的应答。如果四步握手协议和组密钥分配协议成功，AP*向STA 发送重新建立安全关联成功答 消息授权STA的接入，否则发送重新建立安全关联失败应答消息拒绝 STA的接入。\n                          3、有益效果\n本发明与现有技术相比具有以下优点：\n本发明在深入分析IEEE 802.11标准和草案的基础上，不仅兼容了原有接 入控制方案，而且利用了原方案的状态转移关系，使得新方案与原有方案有机得 结合。本发明方案从实现整个无线局域网安全接入控制系统的角度出发，在有线 网侧加入了实现分布业务的接入控制器，不仅落实了原协议中对分布业务的规定， 而且提供了更加简洁的漫游方案。利用接入控制器实现IEEE 802.1x的认证者模 块的功能，也在一定程度上降低了接入点的硬件复杂度。考虑到802.1x接入控 制协议有增强的安全性，本发明方案采纳了草案提出的此协议。\n本发明中所述的三个阶段构成了STA一次认证的安全接入控制方法。其中第 一阶段和第二阶段完成了STA包括认证在内的首次接入的安全控制过程，而第三 阶段则完成了在STA已接入条件下漫游的越区切换时接入的安全控制过程。通过 AC的登记机制，第三阶段AP直接从AC获得PMK，而不必重新对STA进行不 可预知时延的认证过程，从而使得STA漫游的越区切换所造成的时延在可预知的 范围内，不至于对STA的通信质量造成大幅度的下降。特别指出的是STA可以 在从AP切换到AP*之前完成第三阶段，当与AP*建立安全关联之后再断开与AP 的连接，保证越区时的无缝切换。\n本发明中引入的AC与AP共同构成了接入控制系统，并在AC上软件实现 802.1x认证协议中认证者的角色，不仅降低了AP的硬件复杂度，而且为AP与 AC建立安全隧道提供了基于IEEE 802.1x协议的解决方案。这一点真是本方法 与TGi草案的最大不同之处。此外，充分利用IEEE 802.11协议中原有的关联 服务，提出将802.1x认证协议、四步握手协议和组密钥分配协议归入建立安全 关联的过程中，也是对TGi草案的改进。\n此外，采用802.1x认证协议和802.1x密钥管理的四步握手协议，增强了 认证和密钥管理的安全强度，实现了动态的密钥分配，并且允许不修改现有标准 MAC层的前提下引入更强的认证方案，即在MAC层之上IP层之下，也即逻辑 链路控制(LLC)层实现协议，这样不仅避免了对已有MAC层硬件技术做太大的 改动，而且增强了认证和密钥管理方案的灵活性和可扩展性，便于选择更安全可 靠的认证协议。\n                 四、附图说明\n图1为无线局域网安全接入控制方法实施例组网示意图。\n图2为无线局域网安全接入控制方法实施例树状设备关系图。其中有终端工 作站STA、接入点AP、认证服务器AS、接入控制器AC、基本服务集BSS、扩 展服务集ESS。\n图3为无线局域网安全接入控制方法实施例第一、二阶段消息流程图。\n图4为无线局域网安全接入控制方法实施例第三阶段消息流程图。\n                   五、具体实施方式\n下面结合附图所示实施例对本发明作进一步说明：\n本发明的无线局域网安全接入控制方法特征在于：当未与任何AP建立安全 关联的STA进入某一AP服务范围内，STA与AP建立连接并协商安全性能，随 后由STA向AP发送建立安全关联的请求；由认证服务器AS采用IEEE 802.1x 认证协议对STA进行认证，如果认证失败，AS通知AP拒绝STA的建立安全关 联的请求；如果认证成功，在STA与AS之间协商了对等主密钥(PMK)，AS将 PMK发送给接入控制器AC登记相应STA的关联信息和PMK信息；由AC再将 PMK发送给AP，STA和AP之间采用IEEE 802.1x密钥管理协议根据PMK动 态协商对等临时密钥(PTK)和分配组临时密钥(GTK)；如果密钥协商完成，由 AP通过发送成功建立安全关联的应答消息授权STA的接入。当STA从已建立安 全关联的AP服务范围内进入另一AP服务范围，STA与新的AP建立连接并协商 安全性能，随后由STA向新的AP发送重新建立安全关联的请求；新的AP请求 AC更新相应STA的关联信息并获得相应的PMK信息；STA和新的AP之间采 用IEEE 802.1x密钥管理协议根据PMK动态协商新的PTK和分配新的GTK； 如果密钥协商完成，由新的AP通过发送成功建立安全关联的应答消息授权STA 的接入。\n整个安全接入控制过程包括三个阶段：建立连接和安全性能协商、建立安全 关联以及重新建立安全关联。\n第一阶段：建立连接和安全性能协商。其特征在于：由STA广播连接请求， 所在区域的AP向STA发送连接应答消息，并在应答消息中声明所支持的802.1x 认证和所有数据保护方法；STA向建立连接的AP发送IEEE 802.11的开放系 统认证请求消息；AP向建立连接的STA发送IEEE 802.11的开放系统认证应 答消息；通过IEEE 802.11开放系统认证，STA向AP发送建立安全关联的请 求，并在安全关联请求消息中声明支持802.1x认证和选定的数据保护方法。由 此结束了建立连接和安全性能协商的阶段。\n第二阶段：建立安全关联。其特征在于：AP收到STA的安全关联请求后， 向AC发送802.1x认证请求消息，请求AC采用802.1x认证协议，利用AS 对STA进行认证，如果认证成功，将在AS和STA之间建立相互的信任关系， 并建立对等主密钥PMK，再根据由有线协议保证的AS、AC和AP之间的相互信 任关系，实现了AP与STA之间的相互认证；AS将STA的PMK发送给AC， AC登记STA的关联信息和PMK信息后，将PMK发送给AP；AP收到PMK后 采用802.1x密钥管理协议的四步握手协议，在STA与AP之间协商对等临时密 钥PTK；AP再通过组密钥分配协议分配组临时密钥GTK；如果以上802.1x认 证和密钥管理协议成功，AP向STA发送安全关联成功应答消息，否则AP向STA 发送安全关联失败应答消息。由此结束了建立安全关联的阶段。\n第三阶段：重新建立安全关联。其特征在于：在漫游情况下，当STA从已建 立安全关联的AP服务范围内进入AP*的服务范围内时，STA需要越区切换相关 联的接入点。STA与AP*通过第一阶段的步骤建立连接并协商安全性能，所不同 的是STA向AP*发送的安全关联请求为重新建立安全关联的请求；收到重新建立 安全关联请求的AP*请求AC更新相应STA的关联信息，并获得STA的PMK； STA和AP*之间采用802.1x密钥管理协议动态协商PTK*和分配新的GTK*；如 果密钥协商完成，由AP*通过发送重新建立安全关联的应答消息授权STA的接入。 由此结束了STA与AP*重新建立安全关联的阶段。\n本发明实施例涉及两部分网络，即STA与AP组成的无线局域网和AP、AC、 AS以及网关组成的接入网。AP作为无线局域网与接入网的接口，承担着桥接的 作用，因此可以实现对STA的链路级接入控制功能。AC作为接入网与互联网的 接口，承担着网络级的接入控制功能，但在本发明中主要用于实现802.1x认证 协议的认证者以及登记STA的安全关联信息与PMK的功能，实现了IEEE 802.11标准中的分布和关联服务。AS作为认证服务器可以是接入网内的本地认 证服务器或处于互联网内的远程认证服务器，一般采用RADIUS协议或 Diameter协议。因此，STA、AP、AC和AS构成了树状的设备关系图。\n图3和图4展示了实施例三个阶段的消息流程，实现了本发明的安全接入控 制方法。下面逐一介绍消息流程中对应的协议消息：\n(1)连接请求：IEEE 802.11 Probe Request；\n(2)连接应答+RSN信息单元：IEEE 802.11 Probe Response+RSN IE；\n(3)802.11开放系统认证(请求)：IEEE 802.11 Open Authentication (Request)；\n(4)802.11开放系统认证(应答)：IEEE 802.11 Open Authentication (Response)；\n(5)安全关联请求+RSN信息单元：IEEE 802.11 Association Request+RSN IE；\n(6)802.1x请求：IEEE 802.1x EAPOL-Start；\n(7)802.1x认证协议：IEEE 802.1x/EAP；\n(8)802.1x失败应答：IEEE 802.1x EAPOL-Logoff；\n(9)802.1x密钥管理协议：TGi Draft 3.0 4-way handshake；\n(10)802.1x组密钥分配协议：TGi Draft 3.0 Group Key delivery；\n(11)安全关联应答(成功)：IEEE 802.11 Association Response (Success)；\n(12)安全关联应答(失败)：IEEE 802.11 Association Response (Failure)；\n(13)重新建立安全关联请求+RSN信息单元：IEEE 802.11 Reassociation Request+RSN IE；\n(14)重新建立安全关联应答(成功)：IEEE 802.11 Association Response (Success)；\n(15)重新建立安全关联应答(失败)：IEEE 802.11 Association Response (Failure)；