基于无线局域网安全标准WAPI的无线网状网重认证方法

摘要

本发明涉及网络，尤其是无线网状网络的安全技术领域，其特征是：先把相邻的物理接入点AP虚拟成一个虚拟接入点AP，并在每个物理接入点AP中构造虚拟证书，再按照现有WAPI标准对接入虚拟接入点AP的终端用鉴别服务器进行虚拟AP证书认证和终端证书认证，通过后，由鉴别服务器AS向该终端所连接的物理接入点AP发送证书鉴别结果；再由终端所连接的物理接入点AP向虚拟接入点AP中的其它物理接入点AP发送公钥加密后的密钥分组，同时向终端发送鉴别结果，该终端在收到鉴别结果后产生基密钥BK。本发明解决了现有WAPI用于无线网状网络时如何用一个基密钥减少漫游切换重认证延时的问题，同时具有在大规模网络中的应用可扩展性。

主权项

基于无线局域网安全标准WAPI的无线网状网重认证方法，其特征在于依次含有以下步骤：步骤(1)把无线网状网中若干相邻的物理接入点AP虚拟为同一个虚拟接入点AP，在所连各物理接入点AP中安装相同的虚拟AP证书，其数据格式依次如下：版本号、序列号、颁发者名称、有效期、虚拟接入点AP的名称、虚拟接入点AP的公钥、虚拟接入点AP扩展项、签名算法和颁发者签名；步骤(2)虚拟接入点AP向连接在接入点虚拟域中的终端STA发送鉴别激活分组，其数据格式与无线局域网安全标准WAPI中定义的鉴别激活分组一致，它包括标识字段、鉴别标识字段、鉴别服务器AS身份字段、证书字段和参数字段，其中的证书字段使用步骤(1)所述的虚拟AP证书；步骤(3)所连终端STA收到步骤(2)所述的鉴别激活分组后，按照WAPI标准处理并生成鉴别请求分组发送给该终端当前所连接的物理接入点AP；步骤(4)步骤(3)中所述的物理接入点AP收到步骤(3)中所述的鉴别请求分组后，按照WAPI标准验证并生成证书鉴别请求分组，并以虚拟接入点AP的名义发送给鉴别服务器AS，所述证书鉴别请求分组中的证书字段是步骤(1)所述的虚拟AP证书，同时还发送该终端STA的证书；步骤(5)该鉴别服务器AS收到步骤(4)所述的证书鉴别请求分组以后按照WAPI标准对所述虚拟AP证书和STA证书进行验证；在验证结束后，该鉴别服务器AS按照WAPI标准，构造包括虚拟AP证书认证结果信息在内的证书鉴别响应分组，并发送给所述终端STA目前所连的物理接入点AP；在虚拟AP证书认证结果信息内包含：该虚拟AP证书、认证结果以及鉴别服务器AS对这两项的签名；步骤(6)该终端STA目前所连接的物理接入点AP收到步骤(5)所述的证书鉴别响应分组以后依次按以下步骤处理：步骤(6.1)若该终端STA的证书验证成功，则按WAPI标准生成基密钥BK，并生成一个密钥分组，其中包括生成的基密钥BK以及物理接入点AP所连接的终端STA的无线局域网媒体访问控制MAC地址信息；步骤(6.2)步骤(6)中所连的物理接入点AP利用自己虚拟AP证书中的公钥对步骤(6.1)所述的密钥分组进行加密，并把已加密的密钥分组发送给虚拟接入点AP中的其它物理接入点AP；步骤(6.3)虚拟接入点AP中的其它物理接入点在收到该终端STA所连接的物理接入点AP发送的密钥分组后依次进行以下步骤：步骤(6.3.1)利用虚拟接入点AP的私钥对该密钥分组进行解密运算；步骤(6.3.2)在虚拟接入点AP中每一个其它物理接入点AP中生成一个列表缓存该终端STA的MAC地址和基密钥BK，两者呈一一对应关系；步骤(6.3.3)该终端STA所连接的物理接入点AP在发送密钥分组后按WAPI标准构造一个鉴别响应分组并发送给该终端STA，该分组中的密钥数据和签名字段是虚拟接入点AP的密钥数据和签名，身份字段是虚拟接入点AP的身份，其包含虚拟AP证书中的序列号字段、颁发者名称字段和虚拟AP名称字段；步骤(7)该终端STA收到步骤(6.3.3)中所述鉴别响应分组后，按WAPI标准处理并生成基密钥BK；步骤(8)STA在完成首次鉴别后，在无线网状网域中移动时，重新认证过程如下：按照现有WAPI标准预鉴别机制重新建立物理连接：1)STA向物理接入点AP发送探寻请求，2)物理接入点AP向STA发送探寻响应，3)STA向物理接入点AP发送链路验证请求，4)物理接入点AP向STA发送链路验证响应，5)STA向物理接入点AP发送关联请求，其中WAPI信息元素中的基密钥列表字段为同上一个物理接入点AP协商生成的基密钥信息；步骤(9)STA所关联新物理接入点AP收到关联请求后，新的物理接入点AP进行如下处理：1)检查STA提交基密钥信息是否在有效期内，2)有效则将STA提交的BK和物理接入点AP中缓存的BK进行对比，3)对比结果为相同，则跳过WAPI证书鉴别过程，直接使用基密钥BK，按照现有WAPI标准规定进行单播会话密钥协商和组播会话密钥通告，对比结果为不同，则按照现有WAPI标准进行完整的WAPI证书鉴别和密钥协商过程。