CN102045716B - 一种无线局域网中端站的安全配置方法和系统 - Google Patents

一种无线局域网中端站的安全配置方法和系统 Download PDF

Info

Publication number
CN102045716B
CN102045716B CN2010105746138A CN201010574613A CN102045716B CN 102045716 B CN102045716 B CN 102045716B CN 2010105746138 A CN2010105746138 A CN 2010105746138A CN 201010574613 A CN201010574613 A CN 201010574613A CN 102045716 B CN102045716 B CN 102045716B
Authority
CN
China
Prior art keywords
station sta
end station
access point
key
sta
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2010105746138A
Other languages
English (en)
Other versions
CN102045716A (zh
Inventor
胡亚楠
铁满霞
黄振海
杜志强
张变玲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN2010105746138A priority Critical patent/CN102045716B/zh
Publication of CN102045716A publication Critical patent/CN102045716A/zh
Priority to PCT/CN2011/078158 priority patent/WO2012075825A1/zh
Application granted granted Critical
Publication of CN102045716B publication Critical patent/CN102045716B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/02Arrangements for optimising operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Abstract

一种无线局域网中端站的安全配置方法及系统,包括:1)接入点AP成功配置了WAPI机制所使用的证书及对应的私钥,鉴别服务器AS对接入点AP证书的有效性进行鉴别;2)接入点AP向端站STA发送配置激活分组;3)端站STA构建配置请求分组发送给接入点AP;4)接入点AP构建端站STA证书配置请求分组发送给鉴别服务器AS;5)鉴别服务器AS构建端站STA证书配置响应分组发给接入点AP;6)接入点AP构建配置响应分组发给端站STA;7)端站STA进行处理获得鉴别服务器AS分发的端站STA证书及对应私钥信息。本发明提供了一种无线局域网中的STA可以实现安全配置的方法和系统。

Description

一种无线局域网中端站的安全配置方法和系统
技术领域
本发明属网络安全领域,涉及一种无线局域网安全配置方法和系统,尤其涉及一种适合中国无线局域网国家标准GB15629.11中基于WAPI机制的无线局域网中端站的安全配置方法和系统。
背景技术
WAPI(Wireless LAN Authentication and Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11标准中的安全问题,在中国无线局域网国家标准GB15629.11中提出的无线局域网安全解决方案。它的主要特点是可以采用基于公钥密码体系的证书方案和预共享密钥方案,利用鉴别服务器(Authentication Server,缩写为AS)真正实现了端站(Station,缩写为STA)与接入点(Access Point,缩写为AP)间的双向鉴别,在采用基于公钥密码体系的证书方案实施鉴别过程之前,STA和AP都需要利用AS手动配置可以标识自己身份的证书以及对应的私钥。WAPI是一个全新的无线局域网安全体系,一个全新的我国拥有完整自主知识产权的技术标准。在WAPI机制的采用基于公钥密码体系的证书方案中,STA在加入AP与AS组成的无线局域网时默认STA已经配置成功了用于WAPI机制中的证书及对应的私钥,但如何配置STA用于WAPI机制中的证书及对应的私钥方法不在WAPI机制的设计范围之内。STA证书及对应的私钥的配置过程是否安全,将影响到WAPI机制能否有效进行。
发明内容
鉴于以上内容,有必要提供一种安全有效的适合中国无线局域网国家标准GB15629.11中基于WAPI机制的无线局域网中端站的安全配置方法和系统。
本发明的技术解决方案是:本发明提供了一种无线局域网中端站的安全配置方法,其特殊之处在于:所述方法包括以下步骤:
1)接入点AP利用鉴别服务器AS成功配置了WAPI机制所使用的证书及对应的私钥,鉴别服务器AS对接入点AP证书的有效性进行鉴别;鉴别服务器AS和端站STA之间具有共享口令,所述口令是端站STA出厂时配置的或者是由端站STA随机产生的,且鉴别服务器AS知晓该口令;
2)接入点AP向端站STA发送配置激活分组,所述配置激活分组包括:接入点AP随机数、接入点AP密钥数据;
3)端站STA收到来自步骤2)的配置激活分组后构建配置请求分组发送给接入点AP,所述配置请求分组包括:端站STA通用唯一识别码、端站STA随机数、接入点AP随机数、端站STA密钥数据、端站STA能力信息、消息鉴别码和消息完整性校验值;
4)接入点AP收到来自步骤3)的配置请求分组后构建端站STA证书配置请求分组发送给鉴别服务器AS,所述端站STA证书配置请求分组包括:端站STA通用唯一识别码、端站STA随机数、接入点AP随机数、接入点AP证书、接入点STA能力信息、消息鉴别码和接入点AP签名;
5)当鉴别服务器AS收到来自步骤4)的端站STA证书配置请求分组后构建端站STA证书配置响应分组发给接入点AP,所述端站STA证书配置响应分组包括:端站STA证书及对应私钥密文、鉴别服务器AS证书、消息鉴别码和鉴别服务器AS签名;
6)当接入点AP收到来自步骤5)的端站STA证书配置请求分组后构建配置响应分组发给端站STA,所述配置响应分组包括:端站STA随机数、消息完整性校验值和步骤5)中端站STA证书配置响应分组中的端站STA证书及对应私钥密文、鉴别服务器AS证书和消息鉴别码的内容;
7)端站STA对步骤6)发来的配置响应分组后进行处理获得鉴别服务器AS分发的端站STA证书及对应私钥信息。
上述步骤2)的具体实现方式是:接入点AP本地生成用于椭圆曲线ECDH交换的临时私钥x和接入点AP密钥数据x·P,构建配置激活分组。
上述步骤3)中端站STA收到接入点AP发送的配置激活分组后,产生用于端站STA和接入点AP之间信息的密钥以及用于端站STA和鉴别服务器AS之间信息的密钥。
当步骤3)中产生用于端站STA和接入点AP之间信息的密钥时,所述步骤3)的具体实现方式是:
3.1.1)端站STA本地生成用于ECDH交换的临时私钥y和端站STA密钥数据y·P;
3.1.2)端站STA的临时私钥y和接入点AP密钥数据x·P进行ECDH计算,得到基密钥;
3.1.3)利用密钥导出函数对基密钥进行扩展生成消息机密性密钥、消息鉴别密钥和扩展使用密钥。
当步骤3)中产生用于端站STA和鉴别服务器AS之间信息的密钥时,所述步骤3)的具体实现方式是:
3.2.1)将端站STA的口令作为基密钥;
3.2.2)利用密钥导出函数对基密钥进行扩展生成消息机密性密钥、消息鉴别密钥和扩展使用密钥;
所述构建的配置请求分组中的消息鉴别码由端站STA和鉴别服务器AS之间的消息鉴别密钥对端站STA通用唯一识别码、端站STA随机数、接入点AP随机数和端站STA能力信息进行杂凑计算产生;
所述构建的配置请求分组中的消息完整性校验值由端站STA和接入点AP之间的消息鉴别密钥对本分组除消息完整性校验值以外所有信息进行杂凑计算产生。
上述步骤4)的具体实现方式是:
接入点AP收到配置请求分组后,验证配置请求分组中的接入点AP随机数是否与自己发送的配置激活分组中的接入点AP随机数相同,如果不同,则丢弃该分组;如果相同,产生用于处理端站STA和接入点AP之间信息的密钥:
4.1)使用接入点AP的临时私钥x和端站STA密钥数据y·P进行ECDH计算生成基密钥;
4.2)利用密钥导出函数对基密钥进行扩展生成消息机密性密钥、消息鉴别密钥和扩展使用密钥;
4.3)利用消息鉴别密钥验证配置请求分组中的消息完整性校验值,判断消息完整性校验值是否正确,如果不正确,则丢弃该分组;如果正确,则由接入点AP向鉴别服务器AS发送端站STA证书配置请求分组;
所述构建的端站STA证书配置请求分组中的接入点AP签名由接入点AP利用步骤1)中配置的接入点AP自身的私钥对该分组中除接入点AP签名部分内容外所有信息进行的签名运算产生。
上述步骤5)的具体实现方式是:
鉴别服务器AS收到端站STA证书配置请求分组后,首先验证接入点AP证书的有效性,如果无效,则丢弃该分组;如果有效,验证接入点AP签名是否正确,如果不正确,则丢弃该分组;如果正确,根据端站STA通用唯一识别码标识端站STA,产生用于处理端站STA和鉴别服务器AS之间信息的密钥:
5.1)通过步骤1)中已知晓的端站STA口令作为基密钥;
5.2)利用密钥导出函数对基密钥进行扩展生成消息机密性密钥、消息鉴别密钥和扩展使用密钥;
5.3)根据端站STA和鉴别服务器AS之间的消息鉴别密钥对端站STA通用唯一识别码、端站STA随机数、接入点AP随机数和端站STA能力信息进行杂凑计算,判断消息鉴别码是否正确,如果不正确,则丢弃该分组;如果正确,则端站STA身份有效;
所述端站STA证书及对应私钥密文部分由鉴别服务器AS利用端站STA和鉴别服务器AS之间的消息机密性密钥加密要分发的端站STA证书及对应私钥信息生成,端站STA证书由鉴别服务器AS根据端站STA证书配置请求分组中端站STA能力信息的内容生成;
所述消息鉴别码部分由端站STA和鉴别服务器AS之间的消息鉴别密钥对该分组中端站STA证书及对应私钥密文和鉴别服务器AS证书进行杂凑计算生成;
所述鉴别服务器AS签名部分由鉴别服务器AS对该分组中除鉴别服务器AS签名之外的所有数据的签名。
上述步骤6)的具体实现方式是:
当接入点AP收到鉴别服务器AS的端站STA证书配置响应分组后,验证鉴别服务器AS签名是否正确,如果不正确,则丢弃该分组;
所述配置响应分组中消息完整性校验值由端站STA和接入点AP之间的消息鉴别密钥对本分组除消息完整性校验值以外所有信息进行杂凑计算产生。
上述步骤7)的具体实现方式是:
7.1)验证配置响应分组中的端站STA随机数是否与自己发送的配置请求分组中的端站STA随机数相同,如果不同,则丢弃该分组;如果相同,则进行步骤7.2);
7.2)当端站STA收到接入点AP的配置响应分组后利用端站STA和接入点AP之间的消息鉴别密钥计算消息完整性校验值是否正确,如果不正确,则丢弃该配置响应分组;如果正确,则进行步骤7.3);
7.3)利用端站STA和鉴别服务器AS之间的消息鉴别密钥计算分组中端站STA证书及对应私钥密文和鉴别服务器AS证书的数据,判断消息鉴别码是否正确,如果不正确,则丢弃该配置响应分组;如果正确,则进行步骤7.4);
7.4)利用端站STA和鉴别服务器AS之间的消息机密性密钥解密端站STA证书及对应私钥密文得到鉴别服务器AS分发的端站STA证书及对应私钥信息;端站STA利用鉴别服务器AS证书中包含的鉴别服务器AS公钥验证端站STA证书中包含的鉴别服务器AS签名是否正确,鉴别服务器AS签名如果不正确,则丢弃该配置响应分组;鉴别服务器AS签名如果正确,则核实端站STA证书中包含的数据信息是否与端站STA能力信息内容一致,如果不一致,则丢弃该配置响应分组;如果一致则端站STA得到的鉴别服务器AS分发的端站STA证书及对应私钥信息有效。
一种无线局域网中端站的安全配置系统,其特殊之处在于:所述的无线局域网中端站的安全配置系统包括端站STA,接入点AP和鉴别服务器AS;所述接入点AP向端站STA发送配置激活分组;所述端站STA收到接入点AP发送的配置激活分组后构建配置请求分组发送给接入点AP;所述接入点AP收到端站STA发送的配置请求分组后构建端站STA证书配置请求分组发送给鉴别服务器AS;所述鉴别服务器AS收到接入点AP发送的端站STA证书配置请求分组后构建端站STA证书配置响应分组发给接入点AP;所述接入点AP收到鉴别服务器AS发送的端站STA证书配置请求分组后构建配置响应分组发给端站STA;所述端站STA收到接入点AP发送的配置响应分组后进行处理可获得鉴别服务器AS分发的端站STA证书及对应私钥信息。
本发明的优点是:
1)安全和便捷地实现了WAPI机制中的STA向AS申请并配置STA证书以及对应的私钥;
2)有效地实现了STA在安全配置过程中,参与的实体之间AS与AP、AS与STA、AP与STA的相互鉴别。
为了解决用户需要具备一定的专业知识才能成功完成手动向AS申请并配置STA证书及对应的私钥的困难,本发明提供了一种无线局域网中的STA可以实现安全配置的方法和系统。
附图说明
图1为本发明所提供的端站STA的安全配置方法过程框架示意图。
具体实施方式
参见图1,本发明提供了一种无线局域网中端站的安全配置方法,该方法包括以下步骤:
1)AP利用AS成功配置了WAPI机制所使用的证书及对应的私钥,AS可以对AP证书的有效性进行鉴别;AS和STA之间具有共享口令,该口令可以是STA出厂时配置的或者是由STA随机产生的,且AS知晓该口令;
2)AP本地生成用于ECDH(Elliptic Curve Diffie-Hellman,椭圆曲线)交换的临时私钥x和AP密钥数据x·P,然后构建配置激活分组。AP向STA发送配置激活分组,该分组包括:版本号(Version)、消息类型(MessageType)、AP通用唯一识别码(UUID-AP)、AP随机数(Nonce-AP)、AP密钥数据x·P(PK-AP)、AP能力信息(Des-AP),在其他具体实施例中,版本号(Version)、消息类型(MessageType)、AP通用唯一识别码(UUID-AP)和/或AP能力信息(Des-AP)为可选;
3)STA收到AP发送的配置激活分组后,产生两类密钥。
第一类密钥用于STA和AP之间信息的处理:STA本地生成用于ECDH交换的临时私钥y和STA密钥数据y·P,使用自己的临时私钥y和AP密钥数据x·P进行ECDH计算,得到基密钥BK(Base Key),再利用密钥导出函数对基密钥BK进行扩展生成消息机密性密钥MCK(Message Confidential Key)、消息鉴别密钥MAK(Message Authentication Key)和扩展使用密钥EUK(Extended Use Key),其中,消息机密性密钥MCK用于处理STA或者AP传递信息中需要保密的内容(例如:STA或AP的密钥信息\索引等)、消息鉴别密钥MAK用于计算消息完整性校验值、扩展使用密钥EUK用于其他新密钥的扩展(例如:其他新应用中需要密钥对STA或AP的管理进行机密性处理,可使用此EUK密钥扩展生成新的密钥);
第二类密钥用于STA和AS之间信息的处理:将STA的口令作为基密钥BK(Base Key),再利用密钥导出函数对基密钥BK进行扩展生成消息机密性密钥MCK(Message Confidential Key)、消息鉴别密钥MAK(Message AuthenticationKey)和扩展使用密钥EUK(Extended Use Key),其中,消息机密性密钥MCK用于处理STA或者AS传递信息中需要保密的内容(例如:STA或AS的密钥信息\索引等)、消息鉴别密钥MAK用于鉴别信息有效性、扩展使用密钥EUK用于其他新密钥的扩展(例如:其他新应用中需要密钥对STA或AS的管理进行机密性处理,可使用此EUK密钥扩展生成新的密钥)。构建配置请求分组发送给AP,该分组包括:版本号(Version)、消息类型(MessageType)、STA通用唯一识别码(UUID-STA)、AP通用唯一识别码(UUID-AP)、STA随机数(Nonce-STA)、AP随机数(Nonce-AP)、STA密钥数据y·P(PK-STA)、STA能力信息(Des-STA)、消息鉴别码(MAC)和消息完整性校验值(MIC),在其他具体实施例中,版本号(Version)、消息类型(MessageType)和/或AP通用唯一识别码(UUID-AP)为可选;其中,消息鉴别码(MAC)部分由STA和AS之间的消息鉴别密钥MAK对STA通用唯一识别码(UUID-STA)、STA随机数(Nonce-STA)、AP随机数(Nonce-AP)和STA能力信息(Des-STA)进行杂凑计算产生,消息完整性校验值(MIC)由STA和AP之间的消息鉴别密钥MAK对本分组除消息完整性校验值(MIC)以外所有信息进行杂凑计算产生;
4)AP收到来自STA发送的配置请求分组后,验证配置请求分组中的AP随机数(Nonce-AP)是否与自己发送的配置激活分组中的AP随机数(Nonce-AP)相同,如果不同,则丢弃该分组;如果相同,产生用于STA和AP之间信息的处理密钥:使用自己的临时私钥x和STA密钥数据y·P进行ECDH计算,得到基密钥BK(Base Key),再利用密钥导出函数对基密钥BK进行扩展生成消息机密性密钥MCK(Message Confidential Key)、消息鉴别密钥MAK(Message AuthenticationKey)和扩展使用密钥EUK(Extended Use Key),其中,消息机密性密钥MCK用于处理STA或者AP传递信息中需要保密的内容(例如:STA或AP的密钥信息\索引等)、消息鉴别密钥MAK用于计算消息完整性校验值、扩展使用密钥EUK用于其他新密钥的扩展(例如:其他新应用中需要密钥对STA或AP的管理进行机密性处理,可使用此EUK密钥扩展生成新的密钥)。利用消息鉴别密钥MAK验证配置请求分组中的消息完整性校验值,判断其是否正确,如果不正确则丢弃该分组;如果正确,则由AP向AS发送STA证书配置请求分组;该分组包括:版本号(Version)、消息类型(MessageType)、STA通用唯一识别码(UUID-STA)、AP通用唯一识别码(UUID-AP)、STA随机数(Nonce-STA)、AP随机数(Nonce-AP)、AP证书(CERT-AP)、STA能力信息(Des-STA)、消息鉴别码(MAC)和AP签名(SIG-AP),在其他具体实施例中,版本号(Version)、消息类型(MessageType)和/或AP通用唯一识别码(UUID-AP)为可选;其中,AP签名(SIG-AP)由AP利用步骤1)中配置的AP自身的私钥对该分组中除AP签名(SIG-AP)外所有信息进行的签名运算产生;
5)当AS收到来自AP发送的STA证书配置请求分组后,验证AP证书(CERT-AP)的有效性,如果不正确,则丢弃该分组;如果正确,验证AP签名是否正确,如果不正确则丢弃该分组;如果正确,根据STA通用唯一识别码(UUID-STA)标识STA,产生用于处理STA和AS之间信息的密钥:将通过步骤1)中已知晓的STA口令作为基密钥BK(Base Key),再利用密钥导出函数对基密钥BK进行扩展生成消息机密性密钥MCK(Message Confidential Key)、消息鉴别密钥MAK(Message Authentication Key)和扩展使用密钥EUK(Extended UseKey),其中,消息机密性密钥MCK用于处理STA或者AS传递信息中需要保密的内容(例如:STA或AS的密钥信息\索引等)、消息鉴别密钥MAK用于鉴别信息有效性、扩展使用密钥EUK用于其他新密钥的扩展(例如:其他新应用中需要密钥对STA或AS的管理进行机密性处理,可使用此EUK密钥扩展生成新的密钥)。AS根据STA和AS之间的消息鉴别密钥MAK对STA通用唯一识别码(UUID-STA)、STA随机数(Nonce-STA)、AP随机数(Nonce-AP)和STA能力信息(Des-STA)进行杂凑计算,判断消息鉴别码(MAC)是否正确,如果不正确,则丢弃该分组;如果正确,则STA身份有效,构建STA证书配置响应分组发给AP,STA证书配置响应分组包括:版本号(Version)、消息类型(MessageType)、STA通用唯一识别码(UUID-STA)、AP通用唯一识别码(UUID-AP)、STA证书及对应私钥密文(ENC-CERT)、AS能力信息(Des-AS)、AS证书(CERT-AS)、消息鉴别码(MAC)和AS签名(SIG-AS),在其他具体实施例中,版本号(Version)、消息类型(MessageType)、STA通用唯一识别码(UUID-STA)、AP通用唯一识别码(UUID-AP)和/或AS能力信息(Des-AS)为可选。STA证书及对应私钥密文(ENC-CERT)部分由AS利用STA和AS之间的消息机密性密钥MCK加密要分发的STA证书及对应私钥信息生成,其中的STA证书由AS根据STA证书配置请求分组中STA能力信息(Des-STA)的内容生成;消息鉴别码(MAC)部分由STA和AS之间的消息鉴别密钥MAK对STA证书及对应私钥密文(ENC-CERT)和AS证书(CERT-AS)进行杂凑计算生成;AS签名(SIG-AS)部分由AS对该分组中除AS签名(SIG-AS)之外的所有数据的签名;
6)当AP收到来自AS发送的STA证书配置请求分组后,验证AS签名(SIG-AS)是否正确,如果不正确,则丢弃该分组;如果正确,则构建配置响应分组发给STA,该分组包括:版本号(Version)、消息类型(MessageType)、STA通用唯一识别码(UUID-STA)、AP通用唯一识别码(UUID-AP)、STA随机数(Nonce-STA)、AP随机数(Nonce-AP)、消息完整性校验值(MIC)和步骤5)中STA证书配置响应分组中STA证书及对应私钥密文(ENC-CERT)、AS证书(CERT-AS)、消息鉴别码(MAC)的内容,在其他具体实施例中,版本号(Version)、消息类型(MessageType)、STA通用唯一识别码(UUID-STA)、AP通用唯一识别码(UUID-AP)和/或AP随机数(Nonce-AP)为可选。其中,消息完整性校验值(MIC)由STA和AP之间的消息鉴别密钥MAK对本分组除消息完整性校验值(MIC)以外所有信息进行杂凑计算产生;
7)当STA收到来自AP发送的配置响应分组后进行处理,验证配置响应分组中的STA随机数(Nonce-STA)是否与自己发送的配置请求分组中的STA随机数(Nonce-STA)相同,如果不同,则丢弃该分组;
如果相同,则利用STA和AP之间的消息鉴别密钥MAK计算消息完整性校验值(MIC)是否正确,如果不正确,则丢弃该配置响应分组;
如果正确,则STA利用STA和AS之间的消息鉴别密钥MAK计算分组中STA证书及对应私钥密文(ENG-CERT)和AS证书(CERT-AS)部分的数据,判断消息鉴别码(MAC)是否正确,如果不正确,则丢弃该配置响应分组;
如果正确,则利用STA和AS之间的消息机密性密钥MCK解密STA证书及对应私钥密文(ENG-CERT)得到AS分发的STA证书及对应私钥信息;STA利用AS证书(CERT-AS)中包含的AS公钥验证STA证书中包含的AS签名的正确性,如果AS签名不正确,则丢弃该配置响应分组;如果AS签名正确,则核实STA证书中包含的数据信息是否与STA能力信息(Des-STA)内容一致,如果不一致,则丢弃该配置响应分组;如果一致则STA得到的AS分发的STA证书及对应私钥信息有效。
本发明提供了一种无线局域网中端站的安全配置系统,该系统包括端站STA,接入点AP和鉴别服务器AS;接入点AP向端站STA发送配置激活分组;端站STA收到接入点AP发送的配置激活分组后构建配置请求分组发送给接入点AP;接入点AP收到端站STA发送的配置请求分组后构建端站STA证书配置请求分组发送给鉴别服务器AS;鉴别服务器AS收到接入点AP发送的端站STA证书配置请求分组后构建端站STA证书配置响应分组发给接入点AP;接入点AP收到鉴别服务器AS发送的端站STA证书配置请求分组后构建配置响应分组发给端站STA;端站STA收到接入点AP发送的配置响应分组后进行处理可获得鉴别服务器AS分发的端站STA证书及对应私钥信息。

Claims (10)

1.一种无线局域网中端站的安全配置方法,其特征在于:所述方法包括以下步骤:
1)接入点AP利用鉴别服务器AS配置无线局域网鉴别与保密基础结构WAPI机制所使用的证书及对应的私钥,鉴别服务器AS对接入点AP证书的有效性进行鉴别;鉴别服务器AS和端站STA之间具有共享口令,所述口令是端站STA出厂时配置的或者是由端站STA随机产生的,且鉴别服务器AS知晓该口令;
2)接入点AP向端站STA发送配置激活分组,所述配置激活分组包括:接入点AP随机数、接入点AP密钥数据;
3)端站STA收到来自步骤2)的配置激活分组后构建配置请求分组发送给接入点AP,所述配置请求分组包括:端站STA通用唯一识别码、端站STA随机数、接入点AP随机数、端站STA密钥数据、端站STA能力信息、消息鉴别码和消息完整性校验值;
4)接入点AP收到来自步骤3)的配置请求分组后构建端站STA证书配置请求分组发送给鉴别服务器AS,所述端站STA证书配置请求分组包括:端站STA通用唯一识别码、端站STA随机数、接入点AP随机数、接入点AP证书、端站STA能力信息、消息鉴别码和接入点AP签名;
5)当鉴别服务器AS收到来自步骤4)的端站STA证书配置请求分组后构建端站STA证书配置响应分组发给接入点AP,所述端站STA证书配置响应分组包括:端站STA证书及对应私钥密文、鉴别服务器AS证书、消息鉴别码和鉴别服务器AS签名;
6)当接入点AP收到来自步骤5)的端站STA证书配置响应分组后构建配置响应分组发给端站STA,所述配置响应分组包括:端站STA随机数、消息完整性校验值和步骤5)中端站STA证书配置响应分组中的端站STA证书及对应私钥密文、鉴别服务器AS证书、和消息鉴别码的内容;
7)端站STA对步骤6)发来的配置响应分组后进行处理获得鉴别服务器AS分发的端站STA证书及对应私钥信息。
2.根据权利要求1所述的无线局域网中端站的安全配置方法,其特征在于:所述步骤2)的具体实现方式是:接入点AP本地生成用于椭圆曲线ECDH交换的临时私钥x和接入点AP密钥数据x·P,构建配置激活分组。
3.根据权利要求2所述的无线局域网中端站的安全配置方法,其特征在于:所述步骤3)中端站STA收到接入点AP发送的配置激活分组后,产生用于端站STA和接入点AP之间信息的密钥以及用于端站STA和鉴别服务器AS之间信息的密钥。
4.根据权利要求3所述的无线局域网中端站的安全配置方法,其特征在于:当步骤3)中产生用于端站STA和接入点AP之间信息的密钥时,所述步骤3)的具体实现方式是:
3.1.1)端站STA本地生成用于ECDH交换的临时私钥y和端站STA密钥数据y·P;
3.1.2)端站STA的临时私钥y和接入点AP密钥数据x·P进行ECDH计算,得到端站STA和接入点AP之间的基密钥;
3.1.3)利用密钥导出函数对端站STA和接入点AP之间的基密钥进行扩展生成端站STA和接入点AP之间的消息机密性密钥、消息鉴别密钥和扩展使用密钥。
5.根据权利要求4所述的无线局域网中端站的安全配置方法,其特征在于:当步骤3)中产生用于端站STA和鉴别服务器AS之间信息的密钥时,所述步骤3)的具体实现方式是:
3.2.1)将端站STA的口令作为端站STA和鉴别服务器AS之间的基密钥;
3.2.2)利用密钥导出函数对端站STA和鉴别服务器AS之间的基密钥进行扩展生成端站STA和鉴别服务器AS之间的消息机密性密钥、消息鉴别密钥和扩展使用密钥;
所述构建的配置请求分组中的消息鉴别码由端站STA和鉴别服务器AS之间的消息鉴别密钥对端站STA通用唯一识别码、端站STA随机数、接入点AP随机数和端站STA能力信息进行杂凑计算产生;
所述构建的配置请求分组中的消息完整性校验值由端站STA和接入点AP之间的消息鉴别密钥对本分组除消息完整性校验值以外所有信息进行杂凑计算产生。
6.根据权利要求5所述的无线局域网中端站的安全配置方法,其特征在于:所述步骤4)的具体实现方式是:
接入点AP收到配置请求分组后,验证配置请求分组中的接入点AP随机数是否与自己发送的配置激活分组中的接入点AP随机数相同,如果不同,则丢弃该分组;如果相同,产生用于处理端站STA和接入点AP之间信息的密钥:
4.1)使用接入点AP的临时私钥x和端站STA密钥数据y·P进行ECDH计算生成的端站STA和接入点AP之间的基密钥;
4.2)利用密钥导出函数对端站STA和接入点AP之间的基密钥进行扩展生成端站STA和接入点AP之间的消息机密性密钥、消息鉴别密钥和扩展使用密钥;
4.3)利用消息鉴别密钥验证配置请求分组中的消息完整性校验值,判断消息完整性校验值是否正确,如果不正确,则丢弃该分组;如果正确,则由接入点AP向鉴别服务器AS发送端站STA证书配置请求分组;
所述构建的端站STA证书配置请求分组中的接入点AP签名由接入点AP利用步骤1)中配置的接入点AP自身的私钥对该分组中除接入点AP签名部分内容外所有信息进行的签名运算产生。
7.根据权利要求6所述的无线局域网中端站的安全配置方法,其特征在于:所述步骤5)的具体实现方式是:
鉴别服务器AS收到端站STA证书配置请求分组后,首先验证接入点AP证书的有效性,如果无效,则丢弃该分组;如果有效,验证接入点AP签名是否正确,如果不正确,则丢弃该分组;如果正确,根据端站STA通用唯一识别码标识端站STA,产生用于处理端站STA和鉴别服务器AS之间信息的密钥:
5.1)通过步骤1)中已知晓的端站STA口令作为端站STA和鉴别服务器AS之间的基密钥;
5.2)利用密钥导出函数对端站STA和鉴别服务器AS之间的基密钥进行扩展生成端站STA和鉴别服务器AS之间的消息机密性密钥、消息鉴别密钥和扩展使用密钥;
5.3)根据端站STA和鉴别服务器AS之间的消息鉴别密钥对端站STA通用唯一识别码、端站STA随机数、接入点AP随机数和端站STA能力信息进行杂凑计算,判断消息鉴别码是否正确,如果不正确,则丢弃该分组;如果正确,则端站STA身份有效;
所述端站STA证书及对应私钥密文部分由鉴别服务器AS利用端站STA和鉴别服务器AS之间的消息机密性密钥加密要分发的端站STA证书及对应私钥信息生成,端站STA证书由鉴别服务器AS根据端站STA证书配置请求分组中端站STA能力信息的内容生成;
所述消息鉴别码部分由端站STA和鉴别服务器AS之间的消息鉴别密钥对该分组中端站STA证书及对应私钥密文和鉴别服务器AS证书进行杂凑计算生成;
所述鉴别服务器AS签名部分由鉴别服务器AS对该分组中除鉴别服务器AS签名之外的所有数据的签名。
8.根据权利要求7所述的无线局域网中端站的安全配置方法,其特征在于:所述步骤6)的具体实现方式是:
当接入点AP收到鉴别服务器AS的端站STA证书配置响应分组后,验证鉴别服务器AS签名是否正确,如果不正确,则丢弃该分组;
所述配置响应分组中消息完整性校验值由端站STA和接入点AP之间的消息鉴别密钥对本分组除消息完整性校验值以外所有信息进行杂凑计算产生。
9.根据权利要求8所述的无线局域网中端站的安全配置方法,其特征在于:所述步骤7)的具体实现方式是:
7.1)验证配置响应分组中的端站STA随机数是否与自己发送的配置请求分组中的端站STA随机数相同,如果不同,则丢弃该分组;如果相同,则进行步骤7.2);
7.2)当端站STA收到接入点AP的配置响应分组后利用端站STA和接入点AP之间的消息鉴别密钥计算消息完整性校验值是否正确,如果不正确,则丢弃该配置响应分组;如果正确,则进行步骤7.3);
7.3)利用端站STA和鉴别服务器AS之间的消息鉴别密钥计算分组中端站STA证书及对应私钥密文和鉴别服务器AS证书的数据,判断消息鉴别码是否正确,如果不正确,则丢弃该配置响应分组;如果正确,则进行步骤7.4);
7.4)利用端站STA和鉴别服务器AS之间的消息机密性密钥解密端站STA证书及对应私钥密文得到鉴别服务器AS分发的端站STA证书及对应私钥信息;端站STA利用鉴别服务器AS证书中包含的鉴别服务器AS公钥验证端站STA证书中包含的鉴别服务器AS签名是否正确,鉴别服务器AS签名如果不正确,则丢弃该配置响应分组;鉴别服务器AS签名如果正确,则核实端站STA证书中包含的数据信息是否与端站STA能力信息内容一致,如果不一致,则丢弃该配置响应分组;如果一致则端站STA得到的鉴别服务器AS分发的端站STA证书及对应私钥信息有效。
10.一种无线局域网中端站的安全配置系统,其特征在于:所述的无线局域网中端站的安全配置系统包括端站STA,接入点AP和鉴别服务器AS;所述接入点AP利用鉴别服务器AS成功配置了无线局域网鉴别与保密基础结构WAPI机制所使用的证书及对应的私钥,鉴别服务器AS对接入点AP证书的有效性进行鉴别;所述鉴别服务器AS和端站STA之间具有共享口令,所述口令是端站STA出厂时配置的或者是由端站STA随机产生的,且鉴别服务器AS知晓该口令;所述接入点AP向端站STA发送配置激活分组;所述端站STA收到接入点AP发送的配置激活分组后构建配置请求分组发送给接入点AP;所述接入点AP收到端站STA发送的配置请求分组后构建端站STA证书配置请求分组发送给鉴别服务器AS;所述鉴别服务器AS收到接入点AP发送的端站STA证书配置请求分组后构建端站STA证书配置响应分组发给接入点AP;所述接入点AP收到鉴别服务器AS发送的端站STA证书配置响应分组后构建配置响应分组发给端站STA;所述端站STA收到接入点AP发送的配置响应分组后进行处理可获得鉴别服务器AS分发的端站STA证书及对应私钥信息;
所述配置激活分组包括:接入点AP随机数、接入点AP密钥数据;
所述配置请求分组包括:端站STA通用唯一识别码、端站STA随机数、接入点AP随机数、端站STA密钥数据、端站STA能力信息、消息鉴别码和消息完整性校验值;
所述端站STA证书配置请求分组包括:端站STA通用唯一识别码、端站STA随机数、接入点AP随机数、接入点AP证书、端站STA能力信息、消息鉴别码和接入点AP签名;
所述端站STA证书配置响应分组包括:端站STA证书及对应私钥密文、鉴别服务器AS证书、消息鉴别码和鉴别服务器AS签名;
所述配置响应分组包括:端站STA随机数、消息完整性校验值和端站STA证书配置响应分组中的端站STA证书及对应私钥密文、鉴别服务器AS证书和消息鉴别码的内容。
CN2010105746138A 2010-12-06 2010-12-06 一种无线局域网中端站的安全配置方法和系统 Active CN102045716B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2010105746138A CN102045716B (zh) 2010-12-06 2010-12-06 一种无线局域网中端站的安全配置方法和系统
PCT/CN2011/078158 WO2012075825A1 (zh) 2010-12-06 2011-08-09 无线局域网中端站的安全配置方法、ap、sta、as及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010105746138A CN102045716B (zh) 2010-12-06 2010-12-06 一种无线局域网中端站的安全配置方法和系统

Publications (2)

Publication Number Publication Date
CN102045716A CN102045716A (zh) 2011-05-04
CN102045716B true CN102045716B (zh) 2012-11-28

Family

ID=43911372

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010105746138A Active CN102045716B (zh) 2010-12-06 2010-12-06 一种无线局域网中端站的安全配置方法和系统

Country Status (2)

Country Link
CN (1) CN102045716B (zh)
WO (1) WO2012075825A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624531B (zh) * 2012-04-25 2014-12-03 西安西电捷通无线网络通信股份有限公司 一种数字证书自动申请方法和装置及系统

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102045716B (zh) * 2010-12-06 2012-11-28 西安西电捷通无线网络通信股份有限公司 一种无线局域网中端站的安全配置方法和系统
CN102833877B (zh) * 2012-08-06 2015-12-16 Tcl集团股份有限公司 一种Wi-Fi共享方法及系统
CN103501494B (zh) * 2013-10-14 2016-08-10 中国联合网络通信集团有限公司 移动热点终端接入方法、移动热点终端及移动管理实体
CN107302544B (zh) * 2017-08-15 2019-09-13 迈普通信技术股份有限公司 证书申请方法、无线接入控制设备及无线接入点设备
CN110661608B (zh) * 2019-09-29 2021-09-17 腾讯科技(深圳)有限公司 通信方法、装置、计算机可读介质及电子设备
CN111600718B (zh) * 2020-05-13 2022-01-25 广东电网有限责任公司电力科学研究院 一种数字证书离线认证系统和方法
CN114697965B (zh) * 2020-12-30 2024-02-20 展讯半导体(南京)有限公司 接入设备的配置方法及装置、存储介质、接入设备、服务器

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1697370A (zh) * 2004-05-14 2005-11-16 华为技术有限公司 一种无线局域网移动终端申请证书的方法
CN101030908A (zh) * 2007-02-06 2007-09-05 西安西电捷通无线网络通信有限公司 无线局域网wapi安全机制中证书的申请方法
CN101364876A (zh) * 2008-09-12 2009-02-11 西安西电捷通无线网络通信有限公司 一种实现实体的公钥获取、证书验证及鉴别的方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100591005C (zh) * 2004-01-17 2010-02-17 神州亿品科技有限公司 无线局域网中组密钥的协商及更新方法
CN101114906B (zh) * 2006-07-26 2010-08-18 北京中电华大电子设计有限责任公司 802.11芯片中管理wpi密钥的方法和装置
CN101155396B (zh) * 2006-09-25 2012-03-28 联想(北京)有限公司 一种终端结点切换方法
CN101282215A (zh) * 2008-05-29 2008-10-08 杭州华三通信技术有限公司 证书鉴别方法和设备
CN101527907B (zh) * 2009-03-31 2015-05-13 中兴通讯股份有限公司 无线局域网接入认证方法及无线局域网系统
CN102045716B (zh) * 2010-12-06 2012-11-28 西安西电捷通无线网络通信股份有限公司 一种无线局域网中端站的安全配置方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1697370A (zh) * 2004-05-14 2005-11-16 华为技术有限公司 一种无线局域网移动终端申请证书的方法
CN101030908A (zh) * 2007-02-06 2007-09-05 西安西电捷通无线网络通信有限公司 无线局域网wapi安全机制中证书的申请方法
CN101364876A (zh) * 2008-09-12 2009-02-11 西安西电捷通无线网络通信有限公司 一种实现实体的公钥获取、证书验证及鉴别的方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624531B (zh) * 2012-04-25 2014-12-03 西安西电捷通无线网络通信股份有限公司 一种数字证书自动申请方法和装置及系统

Also Published As

Publication number Publication date
CN102045716A (zh) 2011-05-04
WO2012075825A1 (zh) 2012-06-14

Similar Documents

Publication Publication Date Title
CN102045716B (zh) 一种无线局域网中端站的安全配置方法和系统
CN109923830A (zh) 用于配置无线网络接入设备的系统和方法
CN100488099C (zh) 一种双向接入认证方法
CN101631113B (zh) 一种有线局域网的安全访问控制方法及其系统
CN100488305C (zh) 一种网络接入鉴别与授权方法以及授权密钥更新方法
EP2416524B1 (en) System and method for secure transaction of data between wireless communication device and server
CN101159639B (zh) 一种单向接入认证方法
CN101645899B (zh) 基于对称加密算法的双向认证方法及系统
CN105577680A (zh) 密钥生成方法、解析加密数据方法、装置及密钥管理中心
Cheikhrouhou et al. A lightweight user authentication scheme for wireless sensor networks
CN101527908A (zh) 一种无线局域网终端的预鉴别方法及无线局域网系统
CN101814991B (zh) 基于身份的双向认证方法及系统
CN102340775B (zh) 无线客户端在ap间快速漫游的方法和ap
CN101521881A (zh) 一种无线局域网接入方法及系统
CN108964897A (zh) 基于群组通信的身份认证系统和方法
CN100544253C (zh) 无线局域网移动终端的安全重认证方法
CN101272241B (zh) 一种密钥的分配与管理方法
CN101540671B (zh) 一种自组网络下wapi站点间安全关联的建立方法
CN103096307A (zh) 密钥验证方法及装置
CN101192927A (zh) 基于身份保密的授权与多重认证方法
CN111416712A (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
KR101683286B1 (ko) 이동통신망을 이용한 싱크 인증 시스템 및 방법
CN1700639A (zh) 导出和导入无线局域网鉴别与保密基础结构证书信息方法
CN1697370A (zh) 一种无线局域网移动终端申请证书的方法
CN101471775B (zh) Wimax系统中MS与BS的认证方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant