CN102595396B - 一种基于wapi的tdls安全保护方法 - Google Patents
一种基于wapi的tdls安全保护方法 Download PDFInfo
- Publication number
- CN102595396B CN102595396B CN201210019451.0A CN201210019451A CN102595396B CN 102595396 B CN102595396 B CN 102595396B CN 201210019451 A CN201210019451 A CN 201210019451A CN 102595396 B CN102595396 B CN 102595396B
- Authority
- CN
- China
- Prior art keywords
- tdls
- wapi
- sta
- key
- frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种使用WAPI来保证隧道直接链接链路(TDLS)安全通信的方法。站点(STA)分别与接入点(AP)建立由WAPI提供的安全链路,保证每个STA的安全认证,当两个站点之间需要建立TDLS链路时,创建TDLS的STA首先发送一个TDLS请求,其中包括自己的信息和WAPI信息元素,对端STA收到TDLS请求后,将根据协商中的密钥套件生成一个密钥并保存(此密钥产生两个子密钥,一个用于保证TDLS设置帧的安全通信,一个用于保证TDLS链路的安全通信),然后发送一个附上自己信息的TDLS响应,TDLS初始STA收到TDLS响应后,同样生成一个密钥(密钥也生成两个子密钥,而且和TDLS响应STA生成的密钥相同),并发送一个TDLS确认。最终两个STA将生成相同的密钥保证TDLS链路上数据的安全。
Description
技术领域
本发明属于无线通信网络安全应用领域,设计一种无线局域网中隧道直接链接建立(TDLS:tunneled direct link setup)保护的方法,尤其涉及一种基于无线局域网鉴别与保密基础结构(WAPI:WLAN Authentication and Privacy Infrastructure)的TDLS保护方法。
背景技术
无线局域网具有部署简单、扩容性强、高带宽等性能优势,但安全问题一直是阻碍其大规模应用的原因之一。最新无线局域网的直连技术是一个发展热点,其中TDLS是实现直连的一种技术。
TDLS通过建立两个STA的直连链路,当两个STA需要进行数据交换时,TDLS使原来必须通过AP进行传输的数据通过直连链路进行传输,并且这种方法对AP完全透明,不用对原有的AP进行改动。这种方式可以有效的提高整个无线局域网的吞吐量和减轻AP的负载,并提高了两个STA之间的传输速率。
WAPI是由WAI和WPI两个过程组成,其中WAI是三元对等鉴别在无线局域网中的具体应用,不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术,而且实现了整个基础网络的集中用户管理。WPI使用了由国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密,充分保障了数据传输的安全。
利用WAPI对TDLS的链路建立过程提供保护,并生成一个密钥保护直连链路上的数据,一方面会使得直连技术具有更可靠,更安全的无线连接,另一方面也会促进我国拥有自主知识产权的WAPI标准更好的发展。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种基于WAPI的TDLS安全保护方法,以提高无线局域网中TDLS的安全。为达到上述目的,采用如下的安全方法:
一种基于WAPI的TDLS安全保护方法包括:
(1)当两个终端STA需要建立一个TDLS连接时,首先要保证两个STA都同接入点AP建立了基于WAPI的安全关联,其中一个STA作为TDLS初始STA,另一个STA作为TDLS响应STA,当TDLS初始STA要建立基于WAPI的TDLS安全关联时,先构建一个TDLS请求帧,其中包括了标识符、随机数、WAPI信息元素、生存期、MIC字段,TDLS初始STA发送TDLS请求帧给TDLS响应STA;
(2)TDLS响应STA接收TDLS请求帧后,先利用TDLS请求帧中的信息:随机数中的INoce、标识符、WAPI信息元素,和自己的信息:随机数中的RNonce,生成一个TDLS站间主密钥 ,最终生成密钥的一部分作为数据的完整性校验码密钥,一部分作为进行直连链路上的数据加解密所需密钥;
(3)TDLS响应STA构建TDLS响应帧,并发送TDLS响应帧给TDLS初始STA,其中TDLS响应帧包含标识符、随机数、WAPI信息元素、生存期、MIC字段;
(4)TDLS初始STA接收TDLS响应帧后,按照IEEE802.11标准和WAPI标准处理数据,先验证TDLS请求帧和MIC是否正确,如果不正确,则丢弃此帧,如果正确,利用TDLS响应帧中的信息中的随机数RNonce和自己的信息中的随机数INoce,及标识符、WAPI信息元素生成一个TDLS站间主密钥,密钥与相同,最终生成密钥的一部分作为完整性校验码的密钥,一部分作为直连链路上的数据加解密所需密钥;
(5)TDLS初始STA构建TDLS确认帧,TDLS确认帧中包含了标识符、随机数、WAPI信息元素、生存期、MIC字段,TDLS响应STA接收TDLS确认帧后,按照IEEE802.11标准和WAPI标准处理数据,先验证TDLS请求帧和MIC是否正确,如果不正确,则丢弃此帧,如果正确,即完成同TDLS初始STA进行的密钥协商;
上述方法中,TDLS初始STA和TDLS响应STA同AP建立基于WAPI安全关联,是按照现有WAPI标准中的WAPI关联步骤完成的;WAPI信息元素是按照现有的WAPI标准中WAPI信息元素的格式定义的。
TDLS的各种帧结构,除了新增加的安全信息,还包括TDLS请求帧,TDLS响应帧和TDLS确认帧帧体数据部分内容(帧体数据按照IEEE802.11标准定义),本方法不会对这些数据进行修改。
本发明提供了基于WAPI的TDLS安全保护方法,实现了TDLS链路上数据所需的密钥,可以防止对直连链路上数据的非法窃取和篡改。其中根据WAPI的中的安全信息生成的站间主密钥,将会分成两部分,一部分用来对TDLS相关帧(TDLS响应帧,TDLS确认帧)进行完整性校验的密钥,防止对TDLS帧的伪造;一部分作为对直连链路上加解密数据所需的密钥,防止对直连数据的非法窃取或篡改。
本发明在不改变TDLS原有安全验证方法的前提下,提供了一种基于WAPI的TDLS安全保护方法,这种方法的实现过程简单,通过软件升级即可实现。
附图说明
图1是本发明实施方式的TDLS请求帧的格式示意图,TDLS请求帧帧体数据部分按照IEEE802.11标准中定义,新增数据部分是为实现本发明而必须添加的内容。
图2是本发明实施方式的TDLS响应帧的格式示意图,TDLS响应帧帧体数据部分按照IEEE802.11标准中定义,新增数据部分是为实现本发明而必须添加的内容。
图3是本发明实施方式的TDLS确认帧的格式示意图,TDLS确认帧帧体数据部分按照IEEE802.11标准中定义,新增数据部分是为实现本发明而必须添加的内容。
图4是本发明实施方式的TDLS站间主密钥的生成和分解示意图。
图5是本发明实施方式的基于WAPI的TDLS建立过程示意图。
具体实施方式
以下是结合本发明中的附图对本发明的具体实施方式的描述,足以使本领域的技术人员理解和实施。
本发明实施方式提供了一种基于WAPI的TDLS安全保护的方法。本发明在实施之前,需要两个终端STA首先与同一个接入点AP之间建立基于WAPI的安全关联,并且两个STA所关联BSS(Basic Service Set)的标识符相同和TDLS帧中已启用支持基于WAPI的TDLS安全策略。下面是具体实施方法:
(1)两个STA在建立TDLS之前,其中一个STA作为TDLS初始STA(发送端),一个STA作为TDLS响应STA(接收端)。首先由TDLS初始STA发送TDLS探索帧,查找需要进行TDLS链接的STA(按照IEEE802.11标准规定处理)。如果探索失败,则放弃建立TDLS链路。如果探索成功,TDLS初始STA构建TDLS请求帧,包括TDLS请求帧帧体数据、标识符、随机数、WAPI信息元素、生存期和MIC字段。在TDLS请求帧中,随机数的RNonce值和MIC值设置为0,其余字段按照相应内容填写。构建完成后,TDLS初始STA发送TDLS请求帧给TDLS响应STA。
图1中各个字段含义如下:TDLS请求帧帧体数据使用IEEE802.11标准中所定义的帧体数据;标识符中BSSID表示STA所关联的基本服务集的标识符,IMAC表示TDLS初始STA的MAC地址,RMAC表示TDLS响应STA的MAC地址;随机数部分由INonce和RNonce组成,INonce是TDLS初始STA产生的随机数,RNonce是TDLS响应STA产生的随机数;WAPI信息元素是按照现有的WAPI标准中WAPI信息元素所定义的;生存期表示TDLS链路存在的最短时间;MIC字段是由部分数据通过密钥和算法(使用WAPI标准中规定的算法)产生的一个消息完整性校验码。
(2)TDLS响应STA接收TDLS请求帧后,首先处理TDLS请求帧帧体数据(按照IEEE802.11标准规定处理),如果TDLS请求帧帧体数据不正确,则丢弃此帧。如果TDLS请求帧帧体数据正确,将根据图4中的密钥生成方法,利用TDLS请求帧中的信息(随机数中的INoce、标识符、WAPI信息元素)和自己的信息(随机数中的RNonce)生成一个TDLS站间主密钥,最终生成的密钥一部分(前16位)作为数据的完整性校验码密钥,一部分(后16位)作为进行直连链路上的数据加解密所需密钥。
图2中各个字段含义如下:TDLS响应帧帧体数据使用IEEE802.11标准中所定义的帧体数据;标识符中BSSID表示STA所关联的基本服务集的标识符,IMAC表示TDLS初始STA的MAC地址,RMAC表示TDLS响应STA的MAC地址;随机数部分由INonce和RNonce组成,INonce是TDLS初始STA产生的随机数,RNonce是TDLS响应STA产生的随机数;WAPI信息元素是按照现有的WAPI标准中WAPI信息元素所定义的;生存期表示TDLS链路存在的最短时间;MIC字段是由部分数据通过密钥和算法(使用WAPI标准中规定的算法)产生的一个消息完整性校验码。
图4中各个字段含义如下:随机数和标识符使用图1或图2或图3中所示的内容,WAPI信息元素使用WAPI标准中规定的。算法1使用WAPI标准中规定的杂凑算法,算法2使用WAPI标准中规定WAPI信息元素的组播密钥套件。
(3)TDLS响应STA构建TDLS响应帧,其中标识符、随机数INoce、WAPI信息元素、生存期同TDLS请求帧中的内容相同,随机数RNonce由TDLS响应STA自己生成(使用WAPI标准中规定的随机数生成算法),MIC字段是利用对图2中TDLS响应帧的信息(TDLS响应帧帧体数据、标识符、随机数、WAPI信息元素和生存期)进行的完整性校验生成的校验码(使用WAPI标准中规定的算法),并发送TDLS响应帧给TDLS初始STA。
(4)TDLS初始STA接收TDLS响应帧后,首先处理TDLS响应帧帧体数据(按照IEEE802.11标准规定处理),如果TDLS响应帧帧体数据不正确,则丢弃此帧。如果TDLS响应帧帧体数据正确,对MIC字段进行验证(使用WAPI标准中规定的验证步骤),如果失败,丢弃此帧和撤销TDLS链路。否则,根据图4中的密钥生成方法,利用TDLS响应帧中的信息(随机数RNonce)和自己的信息(随机数INoce、标识符、WAPI信息元素)生成一个TDLS站间主密钥(密钥和相同),最终生成的密钥一部分(前16位)作为数据的完整性校验码密钥,一部分(后16位)作为进行直连链路上的数据加解密所需密钥。
图3中各个字段含义如下:TDLS确认帧帧体数据使用IEEE802.11标准中所定义的帧体数据;标识符中BSSID表示STA所关联的基本服务集的标识符,IMAC表示TDLS初始STA的MAC地址,RMAC表示TDLS响应STA的MAC地址;随机数部分由INonce和RNonce组成,INonce是TDLS初始STA产生的随机数,RNonce是TDLS响应STA产生的随机数;WAPI信息元素是按照现有的WAPI标准中WAPI信息元素所定义的;生存期表示TDLS链路存在的最短时间;MIC字段是由部分数据通过密钥和算法(使用WAPI标准中规定的算法)产生的一个消息完整性校验码。
(4)TDLS初始STA构建TDLS确认帧,其中标识符、随机数INoce、WAPI信息元素、生存期同TDLS响应帧中的内容相同, MIC字段是利用对图3中TDLS确认帧的信息(TDLS确认帧帧体数据、标识符、随机数、WAPI信息元素和生存期)进行的完整性校验生成的校验码,并发送TDLS确认帧给TDLS响应STA。
(5)TDLS响应STA接收TDLS确认帧,首先处理TDLS确认帧帧体数据(按照IEEE802.11标准规定处理),如果TDLS确认帧帧体数据不正确,则丢弃此帧和撤销TDLS链路。如果TDLS确认帧正确,验证MIC字段(使用WAPI标准中规定的验证步骤),如果验证失败,则丢弃此帧和撤销TDLS链路。否则,表明两个STA之间完成TDLS协商,此后按照WAPI标准进行数据的加解密,以保证直连链路上数据的安全性。
图5是上述三步握手过程的一个完整流程,在这个过程中,AP只对TDLS请求帧、TDLS响应帧和TDLS确认帧进行转发,不对信息进行任何处理。TDLS初始STA和TDLS响应STA使用相同的信息和算法来产生密钥,并且都是先生成密钥,然后构建相应的TDLS帧。
Claims (7)
1.一种基于WAPI的TDLS安全保护方法,包括:隧道直接链接建立TDLS链路的安全通信,所述TDLS链路的安全通信包括:
(1)当两个终端STA需要建立一个TDLS连接时,首先要保证两个STA都同接入点AP建立了基于WAPI的安全关联,其中一个STA作为TDLS初始STA,另一个STA作为TDLS响应STA,当TDLS初始STA要建立基于WAPI的TDLS安全关联时,先构建一个TDLS请求帧,其中包括了标识符、随机数、WAPI信息元素、生存期、MIC字段,TDLS初始STA发送TDLS请求帧给TDLS响应STA;
(2)TDLS响应STA接收TDLS请求帧后,先利用TDLS请求帧中的信息:随机数中的INoce、标识符、WAPI信息元素,和自己的信息:随机数中的RNonce,生成一个TDLS站间主密钥 ,最终生成密钥的一部分作为数据的完整性校验码密钥,一部分作为进行直连链路上的数据加解密所需密钥;
(3)TDLS响应STA构建TDLS响应帧,并发送TDLS响应帧给TDLS初始STA,其中TDLS响应帧包含标识符、随机数、WAPI信息元素、生存期、MIC字段;
(4)TDLS初始STA接收TDLS响应帧后,按照IEEE802.11标准和WAPI标准处理数据,先验证TDLS请求帧和MIC是否正确,如果不正确,则丢弃此帧,如果正确,利用TDLS响应帧中的信息中的随机数RNonce和自己的信息中的随机数INoce,及标识符、WAPI信息元素生成一个TDLS站间主密钥,密钥与相同,最终生成密钥的一部分作为完整性校验码的密钥,一部分作为直连链路上的数据加解密所需密钥;
(5)TDLS初始STA构建TDLS确认帧,TDLS确认帧中包含了标识符、随机数、WAPI信息元素、生存期、MIC字段,TDLS响应STA接收TDLS确认帧后,按照IEEE802.11标准和WAPI标准处理数据,先验证TDLS请求帧和MIC是否正确,如果不正确,则丢弃此帧,如果正确,即完成同TDLS初始STA进行的密钥协商;
其中,TDLS初始STA和TDLS响应STA同AP建立基于WAPI安全关联,是按照现有WAPI标准中的WAPI关联步骤完成的;
其中,WAPI信息元素是按照现有的WAPI标准中WAPI信息元素的格式定义的。
2.根据权利要求1所述的基于WAPI的TDLS安全保护方法,其特征在于:产生密钥所需的WAPI信息元素,使用它的组播密钥套件。
3.根据权利要求1所述的基于WAPI的TDLS安全保护方法,其特征在于:所述TDLS请求帧,TDLS响应帧和TDLS确认帧中分别包含TDLS请求帧帧体数据,TDLS响应帧帧体数据,TDLS确认帧帧体数据,这些帧体数据由IEEE802.11标准所定义。
4.根据权利要求1所述的基于WAPI的TDLS安全保护方法,其特征在于:所述TDLS请求帧中的MIC字段值为0。
5.根据权利要求1所述基于WAPI的TDLS安全保护方法,其特征在于:所述的TDLS响应帧和TDLS确认帧中的MIC字段,是利用密钥或和WAPI标准中规定的算法对标识符,随机数,WAPI信息元素,生存期进行完整性校验,然后生成一个MIC字段并构建完成相应的帧。
6.根据权利要求1所述的基于WAPI的TDLS安全保护方法,其特征在于:密钥中的或作为进行完整性校验的密钥,对TDLS响应帧和TDLS确认帧中的标识符,随机数,WAPI信息元素,生存期字段内容计算生成校验码,密钥或作为对直连链路上的数据进行加解密密钥。
7.根据权利要求5或6所述的基于WAPI的TDLS安全保护方法,其特征在于:用于对直连链路上的数据进行加解密的步骤,是按照WAPI标准中的加解密流程对数据进行安全保护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210019451.0A CN102595396B (zh) | 2012-01-21 | 2012-01-21 | 一种基于wapi的tdls安全保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210019451.0A CN102595396B (zh) | 2012-01-21 | 2012-01-21 | 一种基于wapi的tdls安全保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102595396A CN102595396A (zh) | 2012-07-18 |
| CN102595396B true CN102595396B (zh) | 2015-07-15 |
Family
ID=46483508
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210019451.0A Active CN102595396B (zh) | 2012-01-21 | 2012-01-21 | 一种基于wapi的tdls安全保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102595396B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104254062B (zh) * | 2013-06-28 | 2018-10-19 | 华为技术有限公司 | 一种直连链路通信方法及相关设备、系统 |
| US20150289299A1 (en) * | 2014-04-03 | 2015-10-08 | Qualcomm Incorporated | Multichannel link aggregation with tdls |
| CN115776735A (zh) * | 2021-09-07 | 2023-03-10 | 华为技术有限公司 | 一种应用于通道直接链路建立的传输方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594578A (zh) * | 2008-05-30 | 2009-12-02 | 深圳华为通信技术有限公司 | 直连链路的建立方法、站设备及通信系统 |
| CN102687579A (zh) * | 2009-10-02 | 2012-09-19 | 捷讯研究有限公司 | 在网络实体之间代理发现和协商以建立对等通信的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8812833B2 (en) * | 2009-06-24 | 2014-08-19 | Marvell World Trade Ltd. | Wireless multiband security |
-
2012
- 2012-01-21 CN CN201210019451.0A patent/CN102595396B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594578A (zh) * | 2008-05-30 | 2009-12-02 | 深圳华为通信技术有限公司 | 直连链路的建立方法、站设备及通信系统 |
| CN102687579A (zh) * | 2009-10-02 | 2012-09-19 | 捷讯研究有限公司 | 在网络实体之间代理发现和协商以建立对等通信的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102595396A (zh) | 2012-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9992680B2 (en) | System and method for establishing security in network devices capable of operating in multiple frequency bands | |
| EP3700124B1 (en) | Security authentication method, configuration method, and related device | |
| KR101717719B1 (ko) | 개인 기본 서비스 세트에서 스테이션-투-스테이션 보안 연계 | |
| US9769653B1 (en) | Efficient key establishment for wireless networks | |
| JP5398877B2 (ja) | セルラー無線システムにおける無線基地局鍵を生成する方法と装置 | |
| US8959333B2 (en) | Method and system for providing a mesh key | |
| US20060233376A1 (en) | Exchange of key material | |
| CN101945386B (zh) | 一种实现安全密钥同步绑定的方法及系统 | |
| EP1972125A2 (en) | Apparatus and method for protection of management frames | |
| US10263960B2 (en) | Wireless communication system and wireless communication method | |
| CN109768861B (zh) | 一种海量d2d匿名发现认证与密钥协商方法 | |
| CN101931955A (zh) | 认证方法、装置及系统 | |
| US20150229620A1 (en) | Key management in machine type communication system | |
| CN101926122A (zh) | 建立安全关联的方法和通信系统 | |
| EP2375627B1 (en) | Three-way handshake protocol method | |
| CN101521580B (zh) | 无线局域网鉴别与保密基础结构单播密钥协商方法及系统 | |
| WO2016003664A2 (en) | System for, and method of, authenticating a supplicant, and distributing group keys to group members, in a multi-hop wireless communications network with enhanced security | |
| CN114362944B (zh) | 一种基于量子密钥的d2d安全移动通信方法及系统 | |
| CN101635922B (zh) | 无线网状网络安全通信方法 | |
| CN102595396B (zh) | 一种基于wapi的tdls安全保护方法 | |
| CN112822018B (zh) | 一种基于双线性对的移动设备安全认证方法及系统 | |
| CN101588538A (zh) | 无线局域网鉴别与保密基础结构组播密钥协商方法及系统 | |
| WO2024026735A1 (zh) | 认证方法、装置、设备及存储介质 | |
| CN101527905A (zh) | 无线局域网鉴别与保密基础结构单播密钥协商方法及系统 | |
| WO2012112124A1 (en) | Communication terminal and method for performing communication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |