[发明专利]基于无线局域网安全标准WAPI的无线交换网络重认证方法

说明书

技术领域

本发明涉及无线网络安全的应用方法，具体涉及无线网状网络中无线局域网安全标准WAPI(WLAN Authentication and Privacy Infrastructure，无线局域网鉴别和保密基础架构)的应用方法。

背景技术

未来10到15年，随着无线和移动设备数量的激增，无线技术将会对下一代互联网络的发展产生重大影响。无线环境下各种新型实时流媒体应用对网络漫游切换能力提出了全新的要求，研究发现，重认证时延是影响漫游切换延时的关键因素，因此在应用无线局域网鉴别和保密基础结构WAPI的无线网络中，提出采用预鉴别的机制来解决用户快速移动切换的问题。但是这种预鉴别方法效率低、不适合应用在大规模无线网络，特别是难以有效的应用于大规模无线交换网络(Wireless Switching Networks)中。

在无线交换网络中，无线交换机集中实现了链路层的功能，访问接入点AP(Access point)只是实现无线电波的收发功能。除了一些基本信息，例如AP的编号、IP地址、缺省网关、无线交换机地址等参数之外，AP本身不再储存任何无线网络的配置信息。AP在启动的时候会从交换机下载启动脚本和无线电波的配置参数，这些启动脚本和配置参数并不储存在AP上。这种架构下的AP与传统的AP完全不同，不能够单独使用。无线交换架构有非常好的扩展性，如果需要增加新的功能，可以通过升级交换机的软件来实现，而无须对部署的每一个AP进行升级。无线交换架构另一大特点是AP和无线交换机之间通过某种隧道进行通信，所有进入AP的无线数据都是通过隧道传输到交换机上进行处理。即使AP和交换机不在同一个局域网内部，远端的AP只须预设相应的隧道参数就可以与无线交换机通过Internet互连。简而言之，无线交换网络的特点是将无线电波的收发功能和无线网络的链路层功能分别在AP和无线交换机上实现，用以解决无线组网中的一些缺陷。

根据现有WAPI标准，当终端STA(Station)从一个无线接入点AP切换到另一个AP上时，需要再次进行STA和新AP的证书鉴别和密钥协商过程，从而导致STA在两个AP间重认证时延过长，影响漫游切换性能。为此，现有WAPI标准提出预鉴别机制来解决这一问题：漫游前，STA通过当前连接的AP进行证书预鉴别过程，并生成基密钥，分别存储在STA和将要漫游的AP中；当STA漫游到新AP上时，如果之前的预鉴别通过，STA和AP则直接进行单播密钥的协商和组播密钥的通告过程，不用再次进行WAPI证书鉴别过程。

然而，通过分析发现WAPI预鉴别过程存在以下问题：

(1)需当STA和所连接AP完成单播会话密钥的协商并安装密钥之后才可启动预鉴别过程，因此需要占用STA和所连接AP已经建立好的通信信道，影响AP和STA之间正常的数据通信；

(2)预鉴别过程中，由STA所连接AP来发现周围的AP，然后对其进行预鉴别。这种方法会受到发现机制的影响，造成预鉴别的AP不是STA将要移动的目标AP。若采用其他发现机制，则会增加STA和AP的开销；

(3)预鉴别完成后，在STA端会生成一个基密钥的列表。在大规模网络中，STA生成和维护这个列表会很复杂，从而增加STA端的负担；

(4)在大规模无线网络中，预鉴别方法满足不了用户的快速移动需求，不利于网络进一步扩展。

发明内容

本发明的目的在于提供一种无线交换网络中应用WAPI机制的方法，使用该方法可以减少WAPI机制应用于无线交换网络时的漫游切换重认证时延，提高无线交换网络中WAPI机制的应用效率。

本发明的特征在于，依次含有以下步骤：

步骤(1)把终端首次连接到无线交换网络：

步骤(1.1)终端和所连接的无线接入点AP1按照WAPI规定的鉴别过程完成证书鉴别和密钥协商，在该终端和所连接的无线接入点AP1分别生成对应的基密钥和包括单播会话密钥以及组播会话密钥在内的会话密钥；

步骤(1.2)步骤(1.1)中所述的无线接入点AP1把基密钥标识以及会话密钥转发给无线交换机处理，所述基密钥标识至少包括：基密钥标识，标识了基密钥安全关联；所连接终端的无线局域网媒体访问控制MAC地址；该无线接入点AP1的无线局域网媒体访问控制MAC地址；基密钥；生存期；

步骤(1.3)步骤(1.2)中所连的无线交换机把收到的基密钥标识与会话密钥绑定，生成一个相互一一对应的列表，缓存；