專利名稱:一種自組網(wǎng)絡(luò)下wapi站點(diǎn)間安全關(guān)聯(lián)的建立方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng)通信領(lǐng)域,具體涉及一種自組網(wǎng)絡(luò)下 WAPI(WLAN Authentication and Privacy Infrastructure,無線局i或網(wǎng)鑒別與i呆 密基礎(chǔ)結(jié)構(gòu))站點(diǎn)間安全關(guān)聯(lián)的建立方法。
背景技術(shù):
目前無線網(wǎng)絡(luò)安全主要采用IEEE制訂的無線局域網(wǎng)標(biāo)準(zhǔn)(正EE 802.11 ) 的安全機(jī)制,其采用了 WEP(Wried Equivalent Privacy,有線等效隱私),這 種機(jī)制已被廣泛證書不具備等效有線的安全性,給無線局域網(wǎng)帶來了巨大的 安全隱患。在這種情況下,我國(guó)在2003年5月份提出了無線局域網(wǎng)國(guó)家標(biāo) 準(zhǔn)GB15629.11,引入一種全新的安全機(jī)制一WAPI來實(shí)現(xiàn)無線局域網(wǎng)的安 全,并于2006年發(fā)布了改進(jìn)版國(guó)家標(biāo)準(zhǔn)(GB15629.11-2003/XG1-2006)。 它由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI(WLAN Authentication Infrastructure)和無 線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI(WLAN Privacy Infrastmcture)組成。其中,WAI 采用基于橢圓曲線的公鑰證書體制,無線客戶端STA和接入點(diǎn)AP通過鑒別 服務(wù)器AS進(jìn)行雙向身份鑒別,而在對(duì)傳輸數(shù)據(jù)的保密方面,WPI采用了國(guó) 家商用密碼管理委員會(huì)辦公室提供的對(duì)稱密碼算法SMS4進(jìn)行加密和解密, 來保障數(shù)據(jù)傳輸?shù)陌踩?br>
在WAPI機(jī)制中, 一般有三個(gè)實(shí)體站點(diǎn)STA、無線訪問點(diǎn)AP及鑒別 服務(wù)器單元ASU,稱為基本服務(wù)集(basic service set, BSS),如圖1所示。 在BSS中,AP負(fù)責(zé)服務(wù)集內(nèi)所有站點(diǎn)STA間的通信, 一個(gè)站點(diǎn)STA若想 和另一站點(diǎn)STA通信,必須先與AP建立安全關(guān)聯(lián),才能安全傳輸數(shù)據(jù)。安 全關(guān)聯(lián)的建立分兩部分 一是身份證書鑒別產(chǎn)生基密鑰,二是基于基密鑰的 密鑰協(xié)商,包括單播密鑰協(xié)商及組播密鑰通告。
然而,無線網(wǎng)絡(luò)中還存在一種特殊的基本服務(wù)集,稱為獨(dú)立基本服務(wù)集(independent BSS, IBSS ),又稱自組網(wǎng)絡(luò)(ad-hoc ),如圖2所示。在IBSS 中不存在AP,所有站點(diǎn)STA都具有同等的地位,站點(diǎn)間可以相互直接通信, 此時(shí)站點(diǎn)STA既是ASUE( authentication supplicant entity,鑒別請(qǐng)求者實(shí)體), 又是AE( authenticator entity,鑒別器實(shí)體),還可能存在鑒別服務(wù)單元ASU, 這和BSS不同,為此其安全關(guān)聯(lián)的建立也會(huì)和BSS有所不同。根據(jù) GB15629.11-2003/XG1-2006,自組網(wǎng)模式中基于WPAI的安全關(guān)聯(lián)建立分為 兩種情況基于預(yù)共享密鑰和基于證書。當(dāng)兩個(gè)STA選擇使用基于證書的 鑒別方法,它們將各自發(fā)起證書鑒別過程,建立兩個(gè)獨(dú)立的基密鑰BK,然 后進(jìn)行兩次五步握手(其中前三步握手完成單播密鑰協(xié)商過程,后兩步握手 完成組播密鑰通告過程),協(xié)商出兩個(gè)獨(dú)立的單播密鑰,并通告各自的組播 密鑰。實(shí)際通信過程中,STA間的單播數(shù)據(jù)采用MAC地址較大的STA作 為AE啟動(dòng)的單播密鑰協(xié)商過程所協(xié)商推導(dǎo)出的單播加密密鑰UEK、單播完 整性校驗(yàn)密鑰UCK進(jìn)行加解密。每個(gè)STA發(fā)送的廣播/組播數(shù)據(jù)采用由自 己通告的組播主密鑰導(dǎo)出的組播加密密鑰MEK、組播完整性校驗(yàn)密鑰MCK 進(jìn)行加密,接收時(shí)采用由發(fā)送方STA通告的組播主密鑰所導(dǎo)出的組播加密 密鑰MEK、組播完整性校驗(yàn)密鑰MCK進(jìn)行解密,如圖3所示。基于預(yù)共 享密鑰建立安全關(guān)聯(lián)與基于證書過程類似,只不過直接使用預(yù)共享密鑰作為 基密鑰BK。
通過上述內(nèi)容及圖3可知,在現(xiàn)有標(biāo)準(zhǔn)下站點(diǎn)STA兩兩之間必須進(jìn)4亍 兩次認(rèn)i正協(xié)商,方能通信。例如有兩個(gè)STA時(shí)需要進(jìn)行2次i人i正協(xié)商過程, 有3個(gè)STA時(shí)需要進(jìn)行6次認(rèn)證協(xié)商過程,有N個(gè)STA時(shí)需要進(jìn)行N承(N-1) 次認(rèn)證協(xié)商過程,因此當(dāng)一個(gè)自組網(wǎng)絡(luò)中有多個(gè)STA時(shí),網(wǎng)絡(luò)建立所花費(fèi) 的時(shí)間是十分巨大的。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種自組網(wǎng)絡(luò)下WAPI站點(diǎn)間安全關(guān) 聯(lián)的建立方法,簡(jiǎn)化了認(rèn)證協(xié)商過程,并減少了組播密鑰通告時(shí)間。
為了解決上述問題,本發(fā)明提供了一種自組網(wǎng)絡(luò)下WAPI站點(diǎn)間安全關(guān) 聯(lián)的建立方法,包括自組網(wǎng)絡(luò)下兩個(gè)站點(diǎn)之間建立安全關(guān)聯(lián)時(shí),將一站點(diǎn)STA2作為鑒別器 實(shí)體,另一站點(diǎn)STA1作為鑒別請(qǐng)求者實(shí)體,作為鑒別器實(shí)體的站點(diǎn)STA2 向作為鑒別請(qǐng)求者實(shí)體的STA1發(fā)起認(rèn)證協(xié)商,當(dāng)完成單播密鑰協(xié)商后雙方 進(jìn)行組播密鑰協(xié)商,在組播密鑰協(xié)商過程中成功通告雙方的組播會(huì)話密鑰后 安全關(guān)聯(lián)建立完成。
進(jìn)一步地,先加入自組網(wǎng)絡(luò)的站點(diǎn)作為鑒別請(qǐng)求者實(shí)體,后加入自組網(wǎng) 絡(luò)的站點(diǎn)作為鑒別器實(shí)體。
進(jìn)一步地,所述組播密鑰協(xié)商過程包括
STA2向STA1發(fā)送組播密鑰通告分組開始組播密鑰協(xié)商過程,通告 STA2的組播會(huì)話密鑰;
所述STA1進(jìn)行-瞼證,驗(yàn)證成功后STA1向STA2返回組纟番密鑰響應(yīng)分 組同時(shí)通告STA1的組播會(huì)話密鑰;
當(dāng)STA2的組播密鑰通告成功后,STA2向STA1返回組播密鑰確認(rèn)分組。
進(jìn)一步地,所述組播密鑰通告分組包括標(biāo)識(shí)、組播會(huì)話密鑰索引、單播 會(huì)話密鑰索引、地址索引、數(shù)據(jù)序號(hào)、密鑰通告標(biāo)識(shí)、密鑰數(shù)據(jù)及消息鑒別 碼;
所述STA1進(jìn)行驗(yàn)證是指,所述STA1收到組播密鑰通告分組后檢測(cè)消 息鑒別碼是否正確及密鑰通告標(biāo)識(shí)是否單調(diào)遞增,若消息鑒別碼正確且密鑰 通告標(biāo)識(shí)單調(diào)遞增,則驗(yàn)證成功,驗(yàn)證成功后,所述STA1根據(jù)所述密鑰數(shù) 據(jù)中的通告主密鑰計(jì)算出STA2的組播會(huì)話密鑰。
進(jìn)一步地,所述組播密鑰響應(yīng)分組包括標(biāo)識(shí)、組播會(huì)話密鑰索引、單播 會(huì)話密鑰索引、地址索引、數(shù)據(jù)序號(hào)、密鑰通告標(biāo)識(shí)、密鑰數(shù)據(jù)及消息鑒別 碼;所述地址索引字段與組播密鑰通告分組中的地址索引字l殳一致;
所述STA1返回組播密鑰響應(yīng)分組的同時(shí)通告STA1的組播會(huì)話密鑰是 指,在組播會(huì)話密鑰索引字段不僅包含STA2的組播會(huì)話密鑰索引,還包含 STA1的組播會(huì)話密鑰索引,在單播會(huì)話密鑰索引字段不僅包含STA2的單 播會(huì)話密鑰索引,還包含STA1的單播會(huì)話密鑰索引,在密鑰通告標(biāo)識(shí)字段不僅包括STA2的密鑰通告標(biāo)識(shí),還包含STA1的密鑰通告標(biāo)識(shí)。
進(jìn)一步地,所述STA2的組播密鑰通告成功是指所述STA2收到組播 密鑰響應(yīng)分組后,檢測(cè)消息鑒別碼是否正確,比較所述組播密鑰響應(yīng)分組中 的STA2的組播會(huì)話密鑰索引、單播會(huì)話密鑰索引、地址索引及密鑰通告標(biāo) 識(shí)與所述組播密鑰通告分組中的相應(yīng)字段值是否相同,若消息鑒別碼正確且 各相應(yīng)字段值均相同,則STA2的組播密鑰通告成功;
若消息鑒別碼錯(cuò)誤或各相應(yīng)字段值部分或全部不同,則STA2的組播密 鑰通告失敗,丟棄該分組。
進(jìn)一步地,所述組播密鑰確認(rèn)分組包括標(biāo)識(shí)、組播會(huì)話密鑰索引、單播 會(huì)話密鑰索引、地址索引、密鑰通告標(biāo)識(shí)及消息鑒別碼;所述地址索引字段 與組播密鑰通告分組及組播密鑰響應(yīng)分組中的地址索引字4殳一致;
所述組播會(huì)話密鑰索引為STA1的組播會(huì)話密鑰索引、單播會(huì)話密鑰索 引為STA1的單播會(huì)話密鑰索引、密鑰通告標(biāo)識(shí)為作為STA1的站點(diǎn)的密鑰 通告標(biāo)識(shí)。
進(jìn)一步地,所述STA1收到組播密鑰確認(rèn)分組后,^r測(cè)消息鑒別碼是否 正確,比較其中組播會(huì)話密鑰索引、單播會(huì)話密鑰索引及密鑰通告標(biāo)識(shí)與組 播密鑰響應(yīng)分組中對(duì)應(yīng)的STA1的組播會(huì)話密鑰索引、單播會(huì)話密鑰索引及 密鑰通告標(biāo)識(shí)是否相同,以及組播密鑰確認(rèn)分組中的地址索引字段與組播密 鑰響應(yīng)分組中的地址索《1字段是否相同,若消息鑒別碼正確且各相應(yīng)字段均 相同則STA1的組播密鑰通告成功,若消息鑒別碼錯(cuò)誤或者各相應(yīng)字段部分 或全部不同,則STA1的組播密鑰通告失敗,丟棄該分組。
進(jìn)一步地,所述STA2向STA1發(fā)起認(rèn)證協(xié)商前,先判斷該自組網(wǎng)絡(luò)是 處于預(yù)共享密鑰模式還是證書模式,若處于證書模式,則STA2向STA1發(fā) 送鑒別激活分組啟動(dòng)證書鑒別過程,證書鑒別過程成功結(jié)束后,STA2和 STA1進(jìn)行單播密鑰協(xié)商;若處于預(yù)共享密鑰模式,STA2向STA1發(fā)送單播 密鑰請(qǐng)求分組,雙方直接進(jìn)行單播密鑰協(xié)商。
進(jìn)一步地,STA1根據(jù)STA2的通告主密鑰計(jì)算STA2的組播會(huì)話密鑰, 并利用原語安裝STA2的組播會(huì)話密鑰,以及調(diào)用原語啟用根據(jù)STA2通告
8的組播會(huì)話密鑰的接收功能;若STA2的組播密鑰通告成功,STA2利用原語啟用其通告的組播會(huì)話密鑰的發(fā)送功能;
STA2根據(jù)STA1的通告主密鑰計(jì)算STA1的組播會(huì)話密鑰,并利用原語安裝STA1的組播會(huì)話密鑰,以及調(diào)用原語啟用根據(jù)STA1通告的組播會(huì)話密鑰的接收功能;若STA1的組播密鑰通告成功,STA1利用原語啟用其通告的組播會(huì)話密鑰的發(fā)送功能。
綜上所述,本發(fā)明提供了一種自組網(wǎng)絡(luò)下WAPI站點(diǎn)間安全關(guān)聯(lián)的建立方法,使兩個(gè)STA間的兩次認(rèn)證協(xié)商過程減為1次,使總的認(rèn)證協(xié)商次數(shù)減為原來的一半,同時(shí)優(yōu)化了組播密鑰通告過程,減少組播密鑰通告時(shí)間。
圖1是現(xiàn)有基本服務(wù)集示意圖2是現(xiàn)有獨(dú)立基本服務(wù)集IBSS示意圖3是現(xiàn)有技術(shù)IBSS模式下STA間認(rèn)證協(xié)商流程;
圖4是本發(fā)明IBSS模式下STA間組播密鑰通告過程流程圖。
具體實(shí)施例方式
本發(fā)明通過對(duì)現(xiàn)有自組網(wǎng)絡(luò)模式下安全關(guān)聯(lián)建立流程進(jìn)行優(yōu)化,使兩個(gè)STA間的兩次認(rèn)證協(xié)商過程減為1次,使總的認(rèn)證協(xié)商次數(shù)減為原來的一半,同時(shí)優(yōu)化組播密鑰通告過程,減少組播密鑰通告時(shí)間。
本實(shí)施例通過對(duì)現(xiàn)有自組網(wǎng)絡(luò)才莫式下安全關(guān)聯(lián)建立流程進(jìn)4亍優(yōu)化,可以將先加入自組網(wǎng)絡(luò)的STA作為ASUE,通過選擇最后加入網(wǎng)絡(luò)的STA作為AE,發(fā)起鑒別激活過程,使STA間的兩次認(rèn)證協(xié)商過程減為1次。同時(shí)在組播密鑰響應(yīng)分組中通告作為ASUE的終端的組4番會(huì)話密鑰,優(yōu)化組密鑰通告過程,減少組播密鑰通告時(shí)間,如圖4所示,具體實(shí)施過程如下
步驟401: STA1啟動(dòng),忽略AP的信標(biāo),探測(cè)是否存在處于IBSS模式的STA信標(biāo),若沒有發(fā)現(xiàn)STA信標(biāo),則STA1為該網(wǎng)絡(luò)下第一個(gè)STA,開始發(fā)送信標(biāo)。步驟402: STA2啟動(dòng),探測(cè)到STA1信標(biāo)與其同步。
步驟403: STA2判斷該自組網(wǎng)絡(luò)處于預(yù)共享密鑰模式還是證書模式,若處于證書模式,則STA2作為AE向STA1發(fā)送鑒別激活分組啟動(dòng)證書鑒別過程,證書鑒別過程成功結(jié)束后,STA2和STA1進(jìn)行單播密鑰協(xié)商過程。若處于預(yù)共享密鑰模式,STA2向STA1發(fā)送單播密鑰請(qǐng)求分組,和STA1直接進(jìn)行單播密鑰協(xié)商過程。單播密鑰協(xié)商過程中,STA1和STA2分別推導(dǎo)出各自的單播加密密鑰UEK、單播完整性校驗(yàn)密鑰UCK等密鑰數(shù)據(jù),消息鑒別密鑰MAK及密鑰加密密鑰等數(shù)據(jù)。
該步驟中,證書鑒別過程與單播密鑰協(xié)商過程同BSS網(wǎng)絡(luò)下STA與AP間的證書鑒別過程與單播密鑰協(xié)商過程 一 致。
步驟404: STA2作為AE,生成16個(gè)八位位組的隨^L數(shù)作為NMK (通告主密鑰),構(gòu)造組播密鑰通告分組發(fā)往STA1,開始組播密鑰通告過程。組播密鑰通告分組格式包括以下內(nèi)容FLAG(標(biāo)識(shí))、MSKID(組播會(huì)話密鑰索引)、USKID (單播會(huì)話密鑰索引)、ADDID (地址索引)、數(shù)據(jù)序號(hào)、密鑰通告標(biāo)識(shí)、密鑰數(shù)據(jù)、消息鑒別碼;密鑰數(shù)據(jù)的內(nèi)容字段是STA2利用密鑰加密密鑰采用協(xié)商選擇的單播密碼算法對(duì)NMK加密后的密文。
步驟405: a) STA1收到STA2的組播密鑰通告分組后,檢測(cè)消息鑒別碼是否正確,若不正確則丟棄該分組,若正確則判斷密鑰通告標(biāo)識(shí)字段值是否單調(diào)遞增,若為單調(diào)遞增則執(zhí)行步驟b),否則丟棄該分組;
檢測(cè)消息鑒別碼是否正確的方法為,STA1利用USKID字段標(biāo)識(shí)的消息鑒別密鑰計(jì)算校驗(yàn)值,與消息鑒別碼字段值進(jìn)行比較,若相同則消息鑒別碼正確,否則不正確。
b) STAl對(duì)組播密鑰通告分組中的密鑰數(shù)據(jù)解密得到16個(gè)八位位組的NMK,并根據(jù)該NMK計(jì)算STA2的組播會(huì)話密鑰(包括加密密鑰與完整性校驗(yàn)密鑰)。
c) 完成上述操作后,STA1計(jì)算自己的通告主密鑰NMK,構(gòu)造組播密鑰響應(yīng)分組發(fā)往STA2,組播密鑰響應(yīng)分組數(shù)據(jù)字段格式與組播密鑰通告分組類似,即包括以下內(nèi)容FLAG(標(biāo)識(shí))、MSKID (組播會(huì)話密鑰索引)、USKID (單播會(huì)話密鑰索引)、ADDID (地址索引)、數(shù)據(jù)序號(hào)、密鑰通告標(biāo)識(shí)、密鑰數(shù)據(jù)、消息鑒別碼;密鑰數(shù)據(jù)的內(nèi)容字段是STA1利用密鑰加密密鑰采用協(xié)商選4奪的單播密碼算法對(duì)NMK加密后的密文。其中的ADDID與組播密鑰通告分組中的ADDID —致。
其中,MSKID、 USKID及密鑰通告標(biāo)識(shí)字段不僅包含STA1的MSKID、USKID與密鑰通告標(biāo)識(shí),還包含STA2的MSKID、 USKID與密鑰通告標(biāo)識(shí);
同時(shí),STA1利用原語安裝STA2的組播會(huì)話密鑰,并調(diào)用原語啟用根據(jù)STA2通告的組播會(huì)話密鑰的接收功能。
步驟406: a) STA2收到組播密鑰響應(yīng)分組后,檢測(cè)消息鑒別碼是否正確,若不正確則丟棄該分組,若正確則判斷密鑰通告標(biāo)識(shí)字段值是否單調(diào)遞增,若為單調(diào)遞增則執(zhí)行步驟b),否則丟棄該分組;
檢測(cè)消息鑒別碼是否正確的方法為,STA2利用STA1的USKID字段標(biāo)識(shí)的消息鑒別密鑰計(jì)算校驗(yàn)值,與消息鑒別碼字段值進(jìn)行比較,若相同則消息鑒別碼正確,否則不正確。
b) 比較組播密鑰響應(yīng)分組中的STA2的MSKID字段、STA2的USKID字段、ADDID字段及STA2密鑰通告標(biāo)識(shí)字段是否與STA2發(fā)送的組播密鑰通告分組中的相應(yīng)字段值相同,若均相同,則STA2的組播密鑰通告成功;若部分或全部不同,則丟棄該分組。
c) STA2的組播密鑰通告成功后,STA2利用原語啟用其通告的組播會(huì)話密鑰的發(fā)送功能。
d) STA2對(duì)組播密鑰響應(yīng)分組中的密鑰數(shù)據(jù)解密得到16個(gè)八位位組的NMK,并根據(jù)該NMK計(jì)算STA1的組播會(huì)話密鑰(包括加密密鑰與完整性校驗(yàn)密鑰),STA2利用原語安裝STA1的組播會(huì)話密鑰,并調(diào)用原語啟用根據(jù)STA1通告的組播會(huì)話密鑰的接收功能。
e) STA2構(gòu)造組播密鑰確認(rèn)分組發(fā)往STA1,并打開受控端口。此組播密鑰確認(rèn)分組包括FLAG、 MSKID、 USKID、 ADDID、密鑰通告標(biāo)識(shí)、消息鑒別碼;其中,ADDID字段與組播密鑰通告分組及組播密鑰響應(yīng)分組中的ADDID字段一致;MSKID、 USKID及密鑰通告標(biāo)識(shí)字段均為STA1的
iiMSKID、 USKID及密鑰通告標(biāo)識(shí)字段,消息鑒別碼是新計(jì)算的。
步驟407: a) STA1收到組播密鑰確認(rèn)分組后,檢測(cè)消息鑒別碼是否正確,若不正確丟棄該分組,否則執(zhí)4亍b)。
檢測(cè)消息鑒別碼是否正確的方法為,利用USKID字段標(biāo)識(shí)的消息鑒別密鑰計(jì)算校驗(yàn)值,與消息鑒別碼字段值進(jìn)行比較,若相同則消息鑒別碼正確,否則不正確。
b) STA1比較組播密鑰確認(rèn)分組中的MSKID字段、USKID字段及STA1密鑰通告標(biāo)識(shí)字段,與發(fā)送的組播密鑰響應(yīng)分組中的相應(yīng)STA1的字段值是否相同,以及ADDID字段與組播密鑰響應(yīng)分組中的ADDID字段是否相同,若均相同,則STA1的組播密鑰通告成功;若部分或全部不同,則丟棄該分組。
c) STA1的組播密鑰通告成功后,STA1利用原語啟用其通告的組播會(huì)話密鑰的發(fā)送功能,并打開受控端口。
之后若有其他STA加入網(wǎng)絡(luò),則分別與STA1和STA2進(jìn)行步驟402至步驟407的過程實(shí)現(xiàn)安全關(guān)聯(lián)建立。
權(quán)利要求
1、一種自組網(wǎng)絡(luò)下WAPI站點(diǎn)間安全關(guān)聯(lián)的建立方法,包括自組網(wǎng)絡(luò)下兩個(gè)站點(diǎn)之間建立安全關(guān)聯(lián)時(shí),將一站點(diǎn)STA2作為鑒別器實(shí)體,另一站點(diǎn)STA1作為鑒別請(qǐng)求者實(shí)體,作為鑒別器實(shí)體的站點(diǎn)STA2向作為鑒別請(qǐng)求者實(shí)體的STA1發(fā)起認(rèn)證協(xié)商,當(dāng)完成單播密鑰協(xié)商后雙方進(jìn)行組播密鑰協(xié)商,在組播密鑰協(xié)商過程中成功通告雙方的組播會(huì)話密鑰后安全關(guān)聯(lián)建立完成。
2、 如權(quán)利要求1所述的方法,其特征在于先加入自組網(wǎng)絡(luò)的站點(diǎn)作為鑒別請(qǐng)求者實(shí)體,后加入自組網(wǎng)絡(luò)的站點(diǎn)作 為鑒別器實(shí)體。
3、 如權(quán)利要求l所述的方法,其特征在于 所述組播密鑰協(xié)商過程包括STA2向STA1發(fā)送組播密鑰通告分組開始組播密鑰協(xié)商過程,通告 STA2的組播會(huì)話密鑰;所述STA1進(jìn)行-瞼證,-驗(yàn)證成功后STA1向STA2返回組4番密鑰響應(yīng)分 組同時(shí)通告STA1的組播會(huì)話密鑰;當(dāng)STA2的組播密鑰通告成功后,STA2向STA1返回組播密鑰確認(rèn)分組。
4、 如權(quán)利要求3所述的方法,其特征在于,所述組播密鑰通告分組包括標(biāo)識(shí)、組播會(huì)話密鑰索引、單播會(huì)話密鑰索 引、地址索引、數(shù)據(jù)序號(hào)、密鑰通告標(biāo)識(shí)、密鑰數(shù)據(jù)及消息鑒別碼;所述STA1進(jìn)行驗(yàn)證是指,所述STA1收到組播密鑰通告分組后檢測(cè)消 息鑒別碼是否正確及密鑰通告標(biāo)識(shí)是否單調(diào)遞增,若消息鑒別碼正確且密鑰 通告標(biāo)識(shí)單調(diào)遞增,則驗(yàn)證成功,驗(yàn)證成功后,所述STA1根據(jù)所述密鑰數(shù) 據(jù)中的通告主密鑰計(jì)算出STA2的組播會(huì)話密鑰。
5、 如權(quán)利要求3所述的方法,其特征在于,所述組^"密鑰響應(yīng)分組包括標(biāo)識(shí)、組^潘會(huì)話密鑰索引、單^"會(huì)話密鑰索引、地址索引、數(shù)據(jù)序號(hào)、密鑰通告標(biāo)識(shí)、密鑰數(shù)據(jù)及消息鑒別碼;所述地 址索引字段與組播密鑰通告分組中的地址索引字段一致;所述STA1返回組播密鑰響應(yīng)分組的同時(shí)通告STA1的組播會(huì)話密鑰是 指,在組播會(huì)話密鑰索引字段不僅包含STA2的組播會(huì)話密鑰索引,還包含 STA1的組播會(huì)話密鑰索引,在單播會(huì)話密鑰索引字段不僅包含STA2的單 播會(huì)話密鑰索引,還包含STA1的單播會(huì)話密鑰索引,在密鑰通告標(biāo)識(shí)字段 不僅包括STA2的密鑰通告標(biāo)識(shí),還包含STA1的密鑰通告標(biāo)識(shí)。
6、 如權(quán)利要求3所述的方法,其特征在于所述STA2的組播密鑰通告成功是指所述STA2收到組播密鑰響應(yīng)分 組后,檢測(cè)消息鑒別碼是否正確,比較所述組播密鑰響應(yīng)分組中的STA2的 組播會(huì)話密鑰索引、單播會(huì)話密鑰索引、地址索引及密鑰通告標(biāo)識(shí)與所述組 播密鑰通告分組中的相應(yīng)字段值是否相同,若消息鑒別碼正確且各相應(yīng)字段 值均相同,則STA2的組#~密鑰通告成功;若消息鑒別碼錯(cuò)誤或各相應(yīng)字段值部分或全部不同,則STA2的組播密 鑰通告失敗,丟棄該分組。
7、 如權(quán)利要求l所述的方法,其特征在于所述組播密鑰確認(rèn)分組包括標(biāo)識(shí)、組播會(huì)話密鑰索引、單播會(huì)話密鑰索 引、地址索引、密鑰通告標(biāo)識(shí)及消息鑒別碼;所述地址索引字段與組播密鑰 通告分組及組播密鑰響應(yīng)分組中的地址索引字l殳一致;所述組播會(huì)話密鑰索引為STA1的組播會(huì)話密鑰索引、單播會(huì)話密鑰索 引為STA1的單播會(huì)話密鑰索引、密鑰通告標(biāo)識(shí)為作為STA1的站點(diǎn)的密鑰 通告標(biāo)識(shí)。
8、 如權(quán)利要求7所述的方法,其特征在于所述STA1收到組播密鑰確認(rèn)分組后,檢測(cè)消息鑒別碼是否正確,比較 其中組播會(huì)話密鑰索引、單播會(huì)話密鑰索引及密鑰通告標(biāo)識(shí)與組播密鑰響應(yīng) 分組中對(duì)應(yīng)的STA1的組播會(huì)話密鑰索引、單播會(huì)話密鑰索引及密鑰通告標(biāo)識(shí)是否相同,以及組播密鑰確認(rèn)分組中的地址索引字^殳與組播密鑰響應(yīng)分組 中的地址索引字段是否相同,若消息鑒別碼正確且各相應(yīng)字段均相同則STAl的組播密鑰通告成功,若消息鑒別碼錯(cuò)誤或者各相應(yīng)字段部分或全部 不同,則STAl的組播密鑰通告失敗,丟棄該分組。
9、 如權(quán)利要求l所述的方法,其特征在于所述STA2向STA1發(fā)起認(rèn)證協(xié)商前,先判斷該自組網(wǎng)絡(luò)是處于預(yù)共享 密鑰模式還是證書模式,若處于證書模式,則STA2向STA1發(fā)送鑒別激活 分組啟動(dòng)證書鑒別過程,證書鑒別過程成功結(jié)束后,STA2和STA1進(jìn)行單 播密鑰協(xié)商;若處于預(yù)共享密鑰模式,STA2向STA1發(fā)送單播密鑰請(qǐng)求分 組,雙方直接進(jìn)行單播密鑰協(xié)商。
10、 如權(quán)利要求l所述的方法,其特征在于STA1根據(jù)STA2的通告主密鑰計(jì)算STA2的組播會(huì)話密鑰,并利用原 語安裝STA2的組播會(huì)話密鑰,以及調(diào)用原語啟用根據(jù)STA2通告的組播會(huì) 話密鑰的接收功能;若STA2的組播密鑰通告成功,STA2利用原語啟用其 通告的組播會(huì)話密鑰的發(fā)送功能;STA2根據(jù)STA1的通告主密鑰計(jì)算STA1的組播會(huì)話密鑰,并利用原 語安裝STA1的組播會(huì)話密鑰,以及調(diào)用原語啟用根據(jù)STA1通告的組播會(huì) 話密鑰的接收功能;若STA1的組播密鑰通告成功,STA1利用原語啟用其 通告的組播會(huì)話密鑰的發(fā)送功能。
全文摘要
本發(fā)明提供一種自組網(wǎng)絡(luò)下WAPI站點(diǎn)間安全關(guān)聯(lián)的建立方法,包括自組網(wǎng)絡(luò)下兩個(gè)站點(diǎn)之間建立安全關(guān)聯(lián)時(shí),將一站點(diǎn)STA2作為鑒別器實(shí)體,另一站點(diǎn)STA1作為鑒別請(qǐng)求者實(shí)體,作為鑒別器實(shí)體的站點(diǎn)STA2向作為鑒別請(qǐng)求者實(shí)體的STA1發(fā)起認(rèn)證協(xié)商,當(dāng)完成單播密鑰協(xié)商后雙方進(jìn)行組播密鑰協(xié)商,在組播密鑰協(xié)商過程中成功通告雙方的組播會(huì)話密鑰后安全關(guān)聯(lián)建立完成。采用本發(fā)明的技術(shù)方案,簡(jiǎn)化了認(rèn)證協(xié)商過程,并減少了組播密鑰通告時(shí)間。
文檔編號(hào)H04L9/08GK101540671SQ200910135528
公開日2009年9月23日 申請(qǐng)日期2009年4月21日 優(yōu)先權(quán)日2009年4月21日
發(fā)明者劉家兵, 康望星, 施元慶 申請(qǐng)人:中興通訊股份有限公司