WO2010115326A1

WO2010115326A1 - 一种无线局域网终端的预鉴别方法及无线局域网系统

Info

Publication number: WO2010115326A1
Application number: PCT/CN2009/073377
Authority: WO
Inventors: 刘家兵; 施元庆; 梁洁辉
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-04-08
Filing date: 2009-08-20
Publication date: 2010-10-14
Also published as: CN101527908B; EP2418883B1; EP2418883A1; US20120017088A1; CN101527908A; EP2418883A4; US8533461B2

Description

一种无线局域网终端的预鉴别方法及无线局域网系统

技术领域

本发明涉及无线局域网领域，尤其涉及一种支持无线局域网认证与保密基础结构（ WLAN Authentication and Privacy Infrastructure , 简称 WAPI )的无线局域网终端的预鉴别方法及无线局域网系统。

背景技术

目前无线网络安全主要釆用 IEEE ( Institute of Electrical and Electronics Engineers , 电气和电子工程师协会 )制订的无线局域网标准（ IEEE 802.11 ) 中的安全机制，该机制釆用了 WEP( Wried Equivalent Privacy,有线等效隐私），这种机制已被广泛证明不具备与有线网络等效的安全性，给无线局域网带来了巨大的安全隐患。

在这种情况下，中国在 2003 年 5 月份提出了无线局域网国家标准 GB15629.i l , 其中引入一种全新的安全机制，即 WAPI ( Wireless Local Area Network Authentication and Privacy Infrastructure , 无线局域网鉴另 ll与保密基石出结构）来增强无线局域网的安全性，并于 2006 年发布了改进版国家标准 ( GB15629.11-2003/XG1-2006 ) 。

WAPI由无线局 i或网鉴别基础结构（ WLAN Authentication Infrastructure , 简称 WAI )和无线局域网保密基础结构（ WLAN Privacy Infrastructure, 简称 WPI )组成。其中， WAI釆用基于椭圓曲线的公钥证书体制，无线站点（STA ) 和接入点（ Access Point, 简称 AP )通过鉴另¹ J服务器（ Authentication Server, 简称 AS )进行双向身份鉴别（证书鉴别）。而在对传输数据的保密方面， WPI釆用了国家商用密码管理委员会办公室提供的对称密码算法 SMS4进行加密和解密，来保障数据传输的安全。

WAPI机制中主要涉及以下三个实体：无线站点（ STA )、无线接入点（ AP ) 及鉴别服务器。 STA若想和 AP建立关联并安全传输数据，应该完成两部分工作：一是完成证书鉴别过程，并在该过程中产生基密钥；二是基于基密钥进行密钥协商，包括单播密钥协商及组密钥通告；如图 1所示，具体包括以下步骤：

101 : AP向 STA发送鉴别激活分组，以启动证书鉴别过程；

鉴别激活分组中包含： AP 的证书、 ECDH (椭圓曲线密码体制的 Diffie-Hellman (戴菲 -赫曼 ) 交换 )参数等字段。

102: 接收到鉴别激活分组后， STA保存 AP的证书，在后续操作中用于对 AP的签名进行验证，并产生用于 ECDH交换的临时私钥 sx和临时公钥 x;

103: STA生成接入鉴别请求分组，发送给 AP;

接入鉴别请求分组中包含：临时公钥 px、 STA的证书等字段，以及 STA 对上述字段的签名值。

104:接收到接入鉴别请求分组后， AP对 STA的签名进行验证（使用 STA 证书中包含的公钥），若验证不成功，则丟弃该分组；否则 AP生成证书鉴别请求分组发送给鉴别服务器；

证书鉴别请求分组中包含： STA的证书和 AP的证书。

105: 接收到证书鉴别请求分组后，鉴别服务器对 STA的证书和 AP的证书进行验证；

106:鉴别服务器将其对 STA的证书和 AP的证书的验证结果包含在构造证书鉴别响应分组中，并附加鉴别服务器的签名，发送给 AP;

107: AP验证鉴别服务器的签名，签名验 i正成功后，进一步验证鉴别服务器对 STA的证书的验证结果，验证成功后，执行以下操作：

107a: 生成用于 ECDH交换的临时私钥 sy和临时公钥 y;

107b:使用 STA发送的临时公钥 x和本地生成的临时私钥 sy进行 ECDH 计算，生成基密钥（BK ) 。

108: AP向 STA发送接入鉴别响应分组；

接入鉴别响应分组中包含：临时公钥 py, 证书验证结果，鉴别服务器签名，以及 AP对上述字段的签名。

109: 接收到接入鉴别响应分组后， STA验证 AP签名、鉴别服务器签名及证书验证结果，如果 AP签名和鉴别服务器签名都正确，并且鉴别服务器对 AP的证书验证成功 , 则 STA使用临时公钥 y和临时私钥 sx进行 ECDH 计算生成 BK。

需要注意的是，根据 ECDH的原理， STA和 AP按照上述方法生成的 BK 相同。

通过以上过程， STA和 AP完成了双向的身份鉴别（即证书鉴别），并且建立了 BKSA ( Base Key Security Association, 基密钥安全关联）。 BKSA 中包含 BK, 以及 BKID (基密钥标识符）等参数。

110: AP向 STA发送单播密钥协商请求分组；

单播密钥协商请求分组中包含： BKID、 ADDID和等参数，其中：

BKID为 AP和 STA先前协商得到 BK的标识符；

ADDID由 AP和 STA的 MAC ( Media Access Control, 介质访问控制）地址组成；

为 AP生成的随机数。

111 : 接收到单播密钥协商请求分组后， STA生成随机数 N₂, 然后计算：

Key=KD-HMAC-SHA256(BK, ADDID) |N: | |N₂| | String)；其中：

BK为上述 BKID所标识的基密钥； KD-HMAC-SHA256为基于 SHA256 算法的 HMAC ( Hashed Message Authentication Code,散列信息认证码）算法，也就是一种带密钥的 HASH (哈希）算法； String为一预先设置的字符串，当前标准中为 "pairwise key expansion for unicast and additional keys and nonce"； "II" 表示字符串连接操作， "ADDIDIIN!IIN^I String" 为 KD-HMAC-SHA256 算法所使用的字符参数。

计算得到 Key后， STA提取其中的 64个字节作为单播会话密钥（ USK ) , 其中包含： 16个字节的单播加密密钥， 16个字节的单播完整性校验密钥， 16 个字节的消息鉴别密钥， 16个字节的密钥加密密钥。

112: STA向 AP发送单播密钥协商响应分组；

单播密钥协商响应分组中包含： BKID、随机数 N₂等参数。 113: AP接收到单播密钥协商响应分组后计算：

Key=KD-HMAC-SHA256(BK, ADDIDI |N: | |N₂| | String) , 并从中提取 USK。 114: AP向 STA发送单播密钥协商确认分组；

至此， AP和 STA完成了单播会话密钥的协商流程，建立了 USKSA (单播会话密钥安全关联）。

115: AP向 STA发送组播密钥通告分组；

组播密钥通告分组中包含： ADDID、密钥数据、消息鉴别码等字段。密钥数据字段是 AP利用密钥加密密钥、釆用 AP和 STA协商选择的单播密码算法对通告主密钥加密后的密文；通告主密钥是 AP生成的 16个字节的随机数。

消息鉴别码是 AP利用消息鉴别密钥、釆用 HMAC-SHA256算法对本字段之前的所有协议数据字段计算得到的数据。

116: 接收到组播密钥通告分组后， STA对消息鉴别码进行校验，校验通过后对密钥数据解密得到通告主密钥，并使用 KD-HMAC-SHA256算法对通告主密钥进行扩展，得到组播密钥。

117: STA向 AP发送组播密钥响应分组，完成组播密钥通告过程。

在无线局域网中可能存在多个 AP, STA若要从当前 AP切换到目的 AP 需要与目的 AP重新进行证书鉴别过程及密钥协商过程，这些过程将耗费大量的时间，造成切换延迟，甚至通讯的中断。为此， WAPI 中提出了预鉴别方法。

在 WAPI机制中，若目的 AP支持预鉴别， STA在与当前关联的 AP完成单播会话密钥的协商并安装密钥后可启动预鉴别过程。 STA的鉴别单元发送预鉴别开始分组以激活预鉴别过程，该分组的 DA (目的地址）为目的 AP 的 BSSID ( Basic Service Set ID, 基本服务组标识符）， RA (源地址）为当前关联的 AP的 BSSID。目的 AP应釆用自身的 BSSID作为 AP鉴别器单元的 MAC ( Media Access Control , 介质访问控制）地址。当前关联的 ΑΡ把 STA发送的预鉴别分组桥接到 DS ( Distribution System, 分布式系统），通过 DS接收到预鉴别开始分组的目的 AP与对应的 STA开始证书鉴别过程。如果 WAI 的证书鉴别过程成功，则预鉴别的结果为 BKSA ( Base Key Security Association, 基密钥安全关联）。 STA与完成预鉴别的目的 AP进行关联后，可以利用 BKSA进行单播密钥协商和组播密钥通告过程。

由以上描述可知， WAPI中现有的预鉴别方法是通过 STA与 AP预先进行相互的身份鉴别和密钥协商来减少切换延迟。

然而，现有的预鉴别方法存在以下不足： STA与目的 AP进行预鉴别时，仍然需要进行完整的证书鉴别过程和密钥协商过程，预鉴别过程较为复杂；当 STA需要与多个 AP进行预鉴别时，需要耗费较多时间、占用过多带宽资源，并间接地增加了 STA的切换延迟。

发明内容

本发明所要解决的技术问题是，克服现有技术的不足，提供一种可快速完成无线局域网终端的预鉴别、且占用较少带宽资源的预鉴别方法及无线局域网系统。

为了解决上述问题，本发明提供一种无线局域网终端的预鉴别方法，该方法包括：

已与站点 STA建立安全关联的当前接入点 AP在接收到所述 STA发送的预鉴别开始分组后，与目的 AP进行交互，进行双方证书的相互验证；

如果对所述目的 AP的证书的验证结果为证书有效，则所述当前 AP将其与所述 STA建立的安全关联的密钥信息发送给所述目的 AP,所述目的 AP保存所述密钥信息；

所述密钥信息中包含 STA与当前 AP协商生成的基密钥。

此外，所述当前 AP与目的 AP釆用如下方式进行双方证书的相互验证：所述当前 AP向所述目的 AP发送预鉴别启动分组；该分组中包含：所述当前 AP的证书和所述当前 AP的签名；

接收到预鉴别启动分组后，所述目的 AP对所述当前 AP的签名进行验证，在签名验证成功后向鉴别服务器发送证书鉴别请求分组；该分组中包含：所述当前 AP的证书、所述目的 AP的证书以及所述目的 AP的签名；

接收到证书鉴别请求分组后，鉴别服务器对所述目的 AP 的签名进行验证，在签名验证成功后对所述当前 AP的证书和所述目的 AP的证书进行验证，并将证书验证结果和鉴别服务器的签名包含在证书鉴别响应分组中发送给所述目的 AP和当前 AP。

此外，所述密钥信息中还包含 STA与所述当前 AP协商生成的单播会话密钥；

所述目的 AP接收到所述密钥信息后，还使用所述单播会话密钥与 STA 协商生成组播密钥。

此外，如果对所述目的 AP 的证书的验证结果为证书无效，则所述当前

AP解除其与所述目的 AP的链路关系，并通知 STA所述目的 AP为非法 AP。

本发明还提供一种无线局域网系统，该系统包含： STA、已与所述 STA 建立安全关联的当前 AP、支持预鉴别功能的目的 AP; 其中：

所述当前 AP用于在接收到所述 STA发送的预鉴别开始分组后，与所述目的 AP进行交互，进行双方证书的相互验证；

如果对所述目的 AP的证书的验证结果为证书有效，则所述当前 AP还用于将其与所述 STA建立的安全关联的密钥信息发送给所述目的 AP; 所述目的 AP保存所述密钥信息；

所述密钥信息中包含 STA与当前 AP协商生成的基密钥。

此外，所述系统还包含鉴别服务器，所述当前 AP与目的 AP釆用如下方式进行双方证书的相互验证：

所述当前 AP向所述目的 AP发送预鉴别启动分组；该分组中包含：所述当前 AP的证书和所述当前 AP的签名；

接收到预鉴别启动分组后，所述目的 AP对所述当前 AP的签名进行验证，在签名验证成功后向鉴别服务器发送证书鉴别请求分组；该分组中包含：所述当前 AP的证书、所述目的 AP的证书和所述目的 AP的签名；接收到证书鉴别请求分组后，鉴别服务器对所述目的 AP 的签名进行验证，在签名验证成功后对所述当前 AP的证书和所述目的 AP的证书进行验证，并将证书验证结果和鉴别服务器的签名包含在证书鉴别响应分组中发送给所述目的 AP和当前 AP。

此外，所述密钥信息中还包含所述 STA与所述当前 AP协商生成的单播会话密钥；

所述目的 AP还用于在接收到所述密钥信息后，使用所述单播会话密钥与所述 STA协商生成组播密钥。

综上所述，本发明基于 WAPI三元安全架构思想，利用已建立安全关联，对未信任的 AP进行身份鉴别（证书验证 ) , 身份鉴别完成后，当前 AP将密钥信息（主要是基密钥）发送给目的 AP; 通过这一优化的预鉴别方法，在不降低系统安全性能的前提下，减少了各网元之间的交互过程，达到无线局域网终端快速进行预鉴别的目的。

附图概述

图 1为现有技术中的证书鉴别过程和密钥协商过程的流程图；

图 2是本发明实施例无线局域网终端的预鉴别方法流程图；

图 3是预鉴别分组的格式示意图；

图 4是可实施本发明的上述方法的无线局域网系统的结构示意图。

本发明的较佳实施方式

本发明的核心思想是，已与 STA建立安全关联的 AP (简称当前 AP )在接收到 STA发送的预鉴别开始分组后，通过鉴别服务器对预鉴别的目的 AP 的证书进行验证，证书验证成功后，当前 AP将其与 STA所建立的安全关联的密钥信息发送给目的 AP; 目的 AP保存所述密钥信息，完成预鉴别。

下面将结合附图和实施例对本发明进行详细描述。图 2是本发明实施例无线局域网终端的预鉴别方法流程图，包括如下步骤：

201 : STA和当前 AP建立安全关联后，在 ESS ( Extended Service Set, 扩展服务集）中移动时，当前 AP 的信号强度低于预先设定的阔值时， STA 开始主动或被动扫描 AP。

202: STA根据 Beacon (信标 )帧或 Probe Response (探询响应 )帧中的 WAPI信息元素字段判断扫描到的 AP是否支持预鉴别，并根据支持预鉴别的 AP的信号强度建立 AP优先级列表，将优先级最高的 AP的作为目的 AP, 而后发送预鉴别开始分组给当前 AP。

预鉴别分组釆用 WAPI协议所定义的格式，如图 3 , 具体内容可参考

GB15629.11-2003/XGl-2006。其中， ADDID字段长度为 12个字节，该字段的值由发起方 STA的 MAC地址和目的 AP的 MAC地址组成。

203: 当前 AP收到预鉴别开始分组后，通过 DS (分布式系统）向目的 AP发送预鉴别启动分组，以激活证书鉴别过程。

预鉴别启动分组中包含：当前 AP证书、 STA和当前 AP的 MAC地址及当前 AP的签名等信息。

204: 目的 AP收到预鉴别启动分组后，验证当前 AP的签名，验证成功后向鉴别服务器发送证书鉴别请求分组进行身份认证。

证书鉴别请求分组中包含：目的 AP的 MAC地址、当前 AP的 MAC地址、目的 AP的证书及当前 AP的证书等信息。

205：收到证书鉴别请求分组后，鉴别服务器对目的 AP证书和当前 AP 的证书进行验证，将对目的 AP的证书及当前 AP的证书的验证结果包含在证书鉴别响应分组中，并附加鉴别服务器的签名，发往目的 AP。

206: 目的 AP收到证书鉴别响应分组后，验证鉴别服务器的签名，若签名不正确，则丟弃该证书鉴别响应分组；否则检查当前 AP证书鉴别结果，若当前 AP的证书有效，则构造预鉴别响应分组，并将其发送给当前 AP; 预鉴别响应分组中包含：目的 AP的签名、鉴别服务器的签名及目的 AP 的证书验证结果等信息。 207: 当前 AP收到预鉴别响应分组后，验证目的 AP的签名和鉴别服务器的签名是否正确，若任一签名不正确，则丟弃该分组；否则根据目的 AP 的证书验证结果检查目的 AP的证书是否有效，若无效，则解除两个 AP间的链路关系并通知 STA目的 AP为非法；若以上检查都通过，则通过 DS将其与 STA建立的安全关联中的密钥信息发送给目的 AP;

上述密钥信息包括： BKID (基密钥标识）、 BK (基密钥）等 BKSA参数；此外，密钥信息中还可以包括： USKID (单播会话密钥标识）、 USK (单播会话密钥）等 USKSA参数。

208: 目的 AP收到上述密钥信息后，利用单播会话密钥中的密钥加密密钥（KEK )对通告主密钥（NMK )进行加密生成密钥数据，并利用消息鉴别密钥计算消息鉴别码，将密钥数据和消息鉴别码包含在组播密钥通告分组中发送给 STA。

209: 接收到组播密钥通告分组后， STA对消息鉴别码进行校验，校验通过后对密钥数据解密得到通告主密钥，并使用 KD-HMAC-SHA256算法对通告主密钥进行扩展，生成组播密钥（其中包括 16 个字节的组播加密密钥和 16个字节的完整性校验密钥）。

210: STA向目的 AP发送组播密钥响应分组，完成组播密钥通告过程。

211 : 目的 AP通过 DS向当前 AP发送预鉴别完成分组，告知当前 AP预鉴别已完成。

根据本发明的基本原理，上述实施例还可以有多种变换方式，例如：

(一 )在步骤 207中，当前 AP可以仅将 BKSA参数发送给目的 AP, 目的 AP使用 BKSA中的 BK与 STA协商生成新的 USK。

当然，也可以在 STA切换到目的 AP后再进行单播会话密钥的协商。 (二）目的 AP和 STA也可以不在预鉴别过程中进行组播密钥的协商，等到 STA切换到目的 AP后再进行组播密钥的协商。

(三）在步骤 204中，目的 AP接收到预鉴别启动分组后，可以直接向当前 AP发送包含目的 AP证书的预鉴别响应分组，由当前 AP向鉴别服务器发送包含当前 AP和目的 AP证书的证书鉴别请求分组，对当前 AP和目的 AP 的证书进行验证，并将验证结果与密钥信息一起发送给目的 AP。

(四）如果目的 AP和当前 AP都有鉴别服务器的公钥，则可以使用该公钥对对方的证书进行验证，而无需将其发送给鉴别服务器。当然，在这种情况下，无法险证对方证书是否被吊销。

图 4是可实施本发明的上述方法的无线局域网系统的结构示意图，如图 4所示，该系统包含： STA、已与所述 STA建立安全关联的当前 AP、支持预鉴别功能的目的 AP; 其中：

所述当前 AP用于在接收到所述 STA发送的预鉴别开始分组后，与所述目的 AP进行交互，进行双方证书的相互 3全证；

所述密钥信息中包含 STA与当前 AP协商生成的基密钥。

图 4所示系统中各网元的详细的功能和连接关系（消息交互关系）在对图 2所示流程进行描述时已介绍，此处不再赘述。

工业实用性

本发明基于 WAPI三元安全架构思想，利用已建立安全关联，对未信任的 AP进行身份鉴别（证书验证 ) ,身份鉴别完成后，当前 AP将密钥信息（主要是基密钥）发送给目的 AP; 通过这一优化的预鉴别方法，在不降低系统安全性能的前提下，减少了各网元之间的交互过程，达到无线局域网终端快速进行预鉴别的目的。

Claims

权利要求书

1、一种无线局域网终端的预鉴别方法，包括：

已与站点 STA建立安全关联的当前 AP在接收到所述 STA发送的预鉴别开始分组后，与目的 AP进行交互，进行双方证书的相互 3全证；和

如果对所述目的 AP的证书的验证结果为证书有效，则所述当前 AP将所述当前 AP与所述 STA建立的安全关联的密钥信息发送给所述目的 AP,所述目的 AP保存所述密钥信息；

其中，所述密钥信息中包含所述 STA与所述当前 AP协商生成的基密钥。

2、如权利要求 1所述的方法，其中，

所述当前 AP与目的 AP釆用如下方式进行双方证书的相互险证：所述当前 AP向所述目的 AP发送预鉴别启动分组 ,所述预鉴别启动分组包含所述当前 AP的证书和所述当前 AP的签名；

接收到所述预鉴别启动分组后，所述目的 AP对所述当前 AP的签名进行验证，在验证成功后向鉴别服务器发送证书鉴别请求分组，所述证书鉴别请求分组中包含所述当前 AP的证书、所述目的 AP的证书以及所述目的 AP的签名；以及

接收到所述证书鉴别请求分组后，所述鉴别服务器对所述目的 AP 的签名进行验证，在签名验证成功后，对所述当前 AP的证书和所述目的 AP的证书进行验证，并将证书验证结果和所述鉴别服务器的签名包含在证书鉴别响应分组中发送给所述目的 AP和当前 AP。

3、如权利要求 1所述的方法，其中，

所述密钥信息中还包含所述 STA与所述当前 AP协商生成的单播会话密钥；

所述目的 AP接收到所述密钥信息后，还使用所述单播会话密钥与所述 STA协商生成组播密钥。

4、如权利要求 1所述的方法，其中，

如果对所述目的 AP的证书的验证结果为证书无效，则所述当前 AP解除所述当前 AP与所述目的 AP的链路关系，并通知所述 STA所述目的 AP为非法 AP。

5、一种无线局域网系统，所述系统包含 STA、已与所述 STA建立安全关联的当前 AP以及支持预鉴别功能的目的 AP, 其中，

如果对所述目的 AP的证书的验证结果为证书有效，则所述当前 AP还用于将所述当前 AP 与所述 STA建立的安全关联的密钥信息发送给所述目的 AP;

所述目的 AP保存所述密钥信息；

6、如权利要求 5所述的系统，其中，

所述系统还包含鉴别服务器；

所述当前 AP与目的 AP釆用如下方式进行双方证书的相互险证：所述当前 AP向所述目的 AP发送预鉴别启动分组 ,所述预鉴别启动分组中包含所述当前 AP的证书和所述当前 AP的签名；

接收到所述预鉴别启动分组后，所述目的 AP对所述当前 AP的签名进行验证，在验证成功后，向所述鉴别服务器发送证书鉴别请求分组，所述证书鉴别请求分组中包含所述当前 AP的证书、所述目的 AP的证书以及所述目的 AP的签名；以及

接收到所述证书鉴别请求分组后，所述鉴别服务器对所述目的 AP 的签名进行验证，在验证成功后对所述当前 AP的证书和所述目的 AP的证书进行验证，并将证书验证结果和所述鉴别服务器的签名包含在证书鉴别响应分组中发送给所述目的 AP和当前 AP。

7、如权利要求 5所述的系统，其中，