[发明专利]一种自组网络下WAPI站点间安全关联的建立方法

说明书

技术领域

本发明涉及无线局域网通信领域，具体涉及一种自组网络下WAPI(WLAN Authentication and Privacy Infrastructure，无线局域网鉴别与保密基础结构)站点间安全关联的建立方法。

背景技术

目前无线网络安全主要采用IEEE制订的无线局域网标准(IEEE 802.11)的安全机制，其采用了WEP(Wried Equivalent Privacy，有线等效隐私)，这种机制已被广泛证书不具备等效有线的安全性，给无线局域网带来了巨大的安全隐患。在这种情况下，我国在2003年5月份提出了无线局域网国家标准GB15629.11，引入一种全新的安全机制-WAPI来实现无线局域网的安全，并于2006年发布了改进版国家标准(GB15629.11-2003/XG1-2006)。它由无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure)组成。其中，WAI采用基于椭圆曲线的公钥证书体制，无线客户端STA和接入点AP通过鉴别服务器AS进行双向身份鉴别，而在对传输数据的保密方面，WPI采用了国家商用密码管理委员会办公室提供的对称密码算法SMS4进行加密和解密，来保障数据传输的安全。

在WAPI机制中，一般有三个实体：站点STA、无线访问点AP及鉴别服务器单元ASU，称为基本服务集(basic service set，BSS)，如图1所示。在BSS中，AP负责服务集内所有站点STA间的通信，一个站点STA若想和另一站点STA通信，必须先与AP建立安全关联，才能安全传输数据。安全关联的建立分两部分：一是身份证书鉴别产生基密钥，二是基于基密钥的密钥协商，包括单播密钥协商及组播密钥通告。

然而，无线网络中还存在一种特殊的基本服务集，称为独立基本服务集(independent BSS，IBSS)，又称自组网络(ad-hoc)，如图2所示。在IBSS中不存在AP，所有站点STA都具有同等的地位，站点间可以相互直接通信，此时站点STA既是ASUE(authentication supplicant entity，鉴别请求者实体)，又是AE(authenticator entity，鉴别器实体)，还可能存在鉴别服务单元ASU，这和BSS不同，为此其安全关联的建立也会和BSS有所不同。根据GB15629.11-2003/XG1-2006，自组网模式中基于WPAI的安全关联建立分为两种情况：基于预共享密钥和基于证书。当两个STA选择使用基于证书的鉴别方法，它们将各自发起证书鉴别过程，建立两个独立的基密钥BK，然后进行两次五步握手(其中前三步握手完成单播密钥协商过程，后两步握手完成组播密钥通告过程)，协商出两个独立的单播密钥，并通告各自的组播密钥。实际通信过程中，STA间的单播数据采用MAC地址较大的STA作为AE启动的单播密钥协商过程所协商推导出的单播加密密钥UEK、单播完整性校验密钥UCK进行加解密。每个STA发送的广播/组播数据采用由自己通告的组播主密钥导出的组播加密密钥MEK、组播完整性校验密钥MCK进行加密，接收时采用由发送方STA通告的组播主密钥所导出的组播加密密钥MEK、组播完整性校验密钥MCK进行解密，如图3所示。基于预共享密钥建立安全关联与基于证书过程类似，只不过直接使用预共享密钥作为基密钥BK。

通过上述内容及图3可知，在现有标准下站点STA两两之间必须进行两次认证协商，方能通信。例如有两个STA时需要进行2次认证协商过程，有3个STA时需要进行6次认证协商过程，有N个STA时需要进行N*(N-1)次认证协商过程，因此当一个自组网络中有多个STA时，网络建立所花费的时间是十分巨大的。

发明内容

本发明要解决的技术问题是提供一种自组网络下WAPI站点间安全关联的建立方法，简化了认证协商过程，并减少了组播密钥通告时间。

为了解决上述问题，本发明提供了一种自组网络下WAPI站点间安全关联的建立方法，包括：

自组网络下两个站点之间建立安全关联时，将一站点STA2作为鉴别器实体，另一站点STA1作为鉴别请求者实体，作为鉴别器实体的站点STA2向作为鉴别请求者实体的STA1发起认证协商，当完成单播密钥协商后双方进行组播密钥协商，在组播密钥协商过程中成功通告双方的组播会话密钥后安全关联建立完成。

进一步地，先加入自组网络的站点作为鉴别请求者实体，后加入自组网络的站点作为鉴别器实体。