基于无线局域网安全标准WAPI的无线交换网络重认证方法

摘要

基于无线局域网安全标准WAPI的无线交换网络重认证方法属于无线网络安全领域，其特征在于，采用WAPI首次鉴别后，把终端所连接入点生成的基密钥标识和会话密钥发送给无线交换机，无线交换机把基密钥标识和会话密钥列成一一对应的列表后缓存；当终端漫游到下一个无线接入点发送包括基密钥标识的关联请求后，该新接入点发送包括基密钥标识的鉴别请求，经无线交换机审核存在该基密钥标识后，向新接入点发送包括对应会话密钥的响应分组，供新接入点用该会话密钥分组与终端通信，若不存在则重新开始认证过程。本发明缩短了终端在不同接入点间切换的延迟时间，便于终端在更大范围内进行移动，适用于大规模无线网络。

主权项

基于无线局域网安全标准WAPI的无线交换网络重认证方法，其特征在于，依次含有以下步骤：步骤(1)把终端首次连接到无线交换网络：步骤(1.1)终端和所连接的无线接入点AP1按照WAPI规定的鉴别过程完成证书鉴别和密钥协商，在该终端和所连接的无线接入点AP1分别生成对应的基密钥和包括单播会话密钥以及组播会话密钥在内的会话密钥；步骤(1.2)步骤(1.1)中所述的无线接入点AP1把基密钥标识以及会话密钥转发给无线交换机处理，所述基密钥标识至少包括：基密钥标识，标识了基密钥安全关联；所连接终端的无线局域网媒体访问控制MAC地址；该无线接入点AP1的无线局域网媒体访问控制MAC地址；基密钥；生存期；步骤(1.3)步骤(1.2)中所连的无线交换机把收到的基密钥标识与会话密钥绑定，生成一个相互一一对应的列表，缓存；步骤(1.4)步骤(1.1)中所述的终端和无线接入点AP1各自打开受控端口，准备进行终端在无线交换网络中的通信；步骤(2)所述终端在无线交换网络中移动时重新进行连接：步骤(2.1)所述终端漫游到网络中其它无线接入点AP2时，按WAPI标准向该AP2发送探寻请求；该AP2同时按WAPI标准向该终端发送探寻响应；步骤(2.2)该终端向所述AP2发送链路验证请求，所述AP2向该终端发送链路验证响应；步骤(2.3)终端按WAPI标准鉴别机制的规定，向该AP2发送关联请求，其中包括下述WAPI信息元素：已生成的基密钥；能力信息字段，为1，表明已经进行预鉴别缓存；基密钥列表字段，为同上一个无线接入点AP1过去生成的基密钥信息；步骤(2.4)在所述AP2收到步骤(2.3)中所述的关联请求后，按以下步骤处理：步骤(2.4.1)向无线交换机发送鉴别请求分组，其中包括：标识，表示该AP2向无线交换机发送基密钥信息；鉴别标识，用随机方法生成，表示请求鉴别；该AP2的MAC地址；终端的MAC地址；终端发送给当前无线接入点AP2的基密钥标识；步骤(2.4.2)无线交换机收到步骤(2.4.1)中所述的鉴别请求后，将其中的基密钥标识与缓存的基密钥标识对比，若存在，则向该AP2返回鉴别响应分组，其中包括：标识，表示无线交换机向所述AP2发送会话密钥信息；鉴别标识，其值与步骤(2.4.1)所述鉴别请求分组中鉴别标识字段值相同；该AP2的MAC地址；终端的MAC地址；长度可变的会话密钥信息，包括无线交换机中缓存的与基密钥标识对应的会话密钥；若无线交换机中无对应的基密钥标识，则会话密钥字段为空，无论是何种情况，都返回该鉴别响应分组；步骤(2.4.3)该AP2收到步骤(2.4.2)中所述的鉴别响应分组后，做以下处理：先从该响应分组中取出密钥信息，按WAPI规定安装会话密钥；再把受控端口打开，向终端发送按照WAPI标准生成的关联响应分组；若会话密钥字段为空，则执行步骤(2.4.5)；步骤(2.4.4)终端收到步骤(2.4.3)中所述的关联响应分组后，与该AP2通信；步骤(2.4.5)重新按WAPI标准进行认证。