[发明专利]一种无线局域网中端站的安全配置方法和系统

说明书

技术领域

本发明属网络安全领域，涉及一种无线局域网安全配置方法和系统，尤其涉及一种适合中国无线局域网国家标准GB15629.11中基于WAPI机制的无线局域网中端站的安全配置方法和系统。

背景技术

WAPI(Wireless LAN Authentication and Privacy Infrastructure)，即无线局域网鉴别与保密基础结构，它是针对IEEE802.11标准中的安全问题，在中国无线局域网国家标准GB15629.11中提出的无线局域网安全解决方案。它的主要特点是可以采用基于公钥密码体系的证书方案和预共享密钥方案，利用鉴别服务器(Authentication Server，缩写为AS)真正实现了端站(Station，缩写为STA)与接入点(Access Point，缩写为AP)间的双向鉴别，在采用基于公钥密码体系的证书方案实施鉴别过程之前，STA和AP都需要利用AS手动配置可以标识自己身份的证书以及对应的私钥。WAPI是一个全新的无线局域网安全体系，一个全新的我国拥有完整自主知识产权的技术标准。在WAPI机制的采用基于公钥密码体系的证书方案中，STA在加入AP与AS组成的无线局域网时默认STA已经配置成功了用于WAPI机制中的证书及对应的私钥，但如何配置STA用于WAPI机制中的证书及对应的私钥方法不在WAPI机制的设计范围之内。STA证书及对应的私钥的配置过程是否安全，将影响到WAPI机制能否有效进行。

发明内容

鉴于以上内容，有必要提供一种安全有效的适合中国无线局域网国家标准GB15629.11中基于WAPI机制的无线局域网中端站的安全配置方法和系统。

本发明的技术解决方案是：本发明提供了一种无线局域网中端站的安全配置方法，其特殊之处在于：所述方法包括以下步骤：

1)接入点AP利用鉴别服务器AS成功配置了WAPI机制所使用的证书及对应的私钥，鉴别服务器AS对接入点AP证书的有效性进行鉴别；鉴别服务器AS和端站STA之间具有共享口令，所述口令是端站STA出厂时配置的或者是由端站STA随机产生的，且鉴别服务器AS知晓该口令；

2)接入点AP向端站STA发送配置激活分组，所述配置激活分组包括：接入点AP随机数、接入点AP密钥数据；

3)端站STA收到来自步骤2)的配置激活分组后构建配置请求分组发送给接入点AP，所述配置请求分组包括：端站STA通用唯一识别码、端站STA随机数、接入点AP随机数、端站STA密钥数据、端站STA能力信息、消息鉴别码和消息完整性校验值；

4)接入点AP收到来自步骤3)的配置请求分组后构建端站STA证书配置请求分组发送给鉴别服务器AS，所述端站STA证书配置请求分组包括：端站STA通用唯一识别码、端站STA随机数、接入点AP随机数、接入点AP证书、接入点STA能力信息、消息鉴别码和接入点AP签名；

5)当鉴别服务器AS收到来自步骤4)的端站STA证书配置请求分组后构建端站STA证书配置响应分组发给接入点AP，所述端站STA证书配置响应分组包括：端站STA证书及对应私钥密文、鉴别服务器AS证书、消息鉴别码和鉴别服务器AS签名；

6)当接入点AP收到来自步骤5)的端站STA证书配置请求分组后构建配置响应分组发给端站STA，所述配置响应分组包括：端站STA随机数、消息完整性校验值和步骤5)中端站STA证书配置响应分组中的端站STA证书及对应私钥密文、鉴别服务器AS证书和消息鉴别码的内容；

7)端站STA对步骤6)发来的配置响应分组后进行处理获得鉴别服务器AS分发的端站STA证书及对应私钥信息。

上述步骤2)的具体实现方式是：接入点AP本地生成用于椭圆曲线ECDH交换的临时私钥x和接入点AP密钥数据x·P，构建配置激活分组。

上述步骤3)中端站STA收到接入点AP发送的配置激活分组后，产生用于端站STA和接入点AP之间信息的密钥以及用于端站STA和鉴别服务器AS之间信息的密钥。

当步骤3)中产生用于端站STA和接入点AP之间信息的密钥时，所述步骤3)的具体实现方式是：

3.1.1)端站STA本地生成用于ECDH交换的临时私钥y和端站STA密钥数据y·P；

3.1.2)端站STA的临时私钥y和接入点AP密钥数据x·P进行ECDH计算，得到基密钥；

3.1.3)利用密钥导出函数对基密钥进行扩展生成消息机密性密钥、消息鉴别密钥和扩展使用密钥。