[发明专利]一种无线局域网可信安全接入方法

权利要求书

1.一种无线局域网可信安全接入方法，其特征在于：该方法具体步骤如下：

步骤一：接入激活阶段：无线接入点AP向无线终端STA发送接入认证挑战和自己的数字证书；

步骤二：接入请求阶段：无线终端STA向无线接入点AP发送接入认证挑战、无线终端STA的数字证书、无线终端STA的完整性度量信息和无线终端STA的公钥；

步骤三：证书认证请求阶段：无线接入点AP验证无线终端STA的完整性度量信息，然后发送无线终端STA的数字证书、无线终端STA的公钥和身份信息、无线接入点AP的数字证书，无线接入点AP的公钥给认证服务器AS进行认证；

步骤四：证书认证响应阶段：认证服务器AS验证无线终端STA和无线接入点AP的数字证书，认证通过后认证服务器AS利用无线终端STA和无线接入点AP的身份信息和系统主密钥s生成无线终端STA和无线接入点AP的部分私钥，然后将无线终端STA和无线接入点AP的部分私钥发送给无线接入点AP；

步骤五：接入响应阶段：无线接入点AP根据认证服务器AS响应的认证结果将认证服务器AS生成的无线终端STA的部分私钥、无线接入点AP的公钥和无线接入点AP的完整性度量信息发送给无线终端STA，最后无线接入点AP和无线终端STA结合三部分密钥生成会话密钥。

2.根据权利要求1所述的一种无线局域网可信安全接入方法，其特征在于：步骤一所述的“接入激活阶段”，其具体实现过程如下：首先是无线接入点AP通过其嵌入的TPM芯片中的随机数生成函数产生160bit的随机挑战N_AP，然后连同无线接入点AP的AIK证书Cert_AP通过无线信道发送给无线终端STA，激活本次接入过程。

3.根据权利要求1所述的一种无线局域网可信安全接入方法，其特征在于：步骤二所述的“接入请求阶段”，其具体实现过程如下：无线终端STA通过无线信道接收到无线接入点AP发送的接入激活数据后，首先利用TPM芯片中内置的随机数生成函数产生大小为160bits随机挑战N_STA，然后通过TPM芯片中内置的杂凑函数对PCR的值进行拓展PCR_STA=SHA1(PCR_STA||N_AP)，然后再次利用TPM的杂凑函数计算Q_STA=H₁(Cert_STA||N_AP)∈G₁；接着无线终端STA收集自己的身份标志ID_STA、系统度量日志ML_STA、状态寄存器值PCR_STA、随机挑战N_STA,N_AP，部分密钥T_STA=aP(a∈Z)、部分公钥PK_STA=x_STAP(x_STA∈Z)信息，然后无线终端STA加载平台的AIK私钥AIKpriv_STA到TPM芯片中，执行TPM的Quote命令对收集的信息进行签名生成QuoteSTA=sig{PCRSTA,NSTA,NAP,PKSTA,TSTA,MLSTA,QSTA}AIKprivSTA;]]>最后无线终端STA将收集的信息以及签名Quote_STA通过无线信道发送给无线接入点AP进入证书认证阶段。