一种WAPI无线网络的管理帧保护方法技术

本发明专利技术公开了一种WAPI无线网络的管理帧保护方法，包括以下具体步骤：S1、发送者在向外发送无线管理帧时，在包括广播和单播的一般管理帧消息体的最后依次添加三个Vendor信息元素VIE1、VIE2、VIE3形成新的管理帧消息体，分别实现发送者身份标识、数据分组序号标记、消息签名；S2、接收者收到无线管理帧消息后，首先提取管理帧中的VIE1、VIE2、VIE3，然后分别对VIE1、VIE2进行检查，以及对管理帧消息进行签名验证，确定无线管理帧的可信性。本发明专利技术采用统一的方法对单播和组播WAPI无线管理帧进行保护，能对WAPI无线管理帧进行防假冒、篡改和抗重放的全时段保护。

【技术实现步骤摘要】
一种WAPI无线网络的管理帧保护方法
本专利技术涉及WAPI(WLANAuthenticationandPrivacyInfrastructure，无线局域网鉴别和保密基础结构)
，具体涉及一种WAPI无线网络的管理帧保护方法。
技术介绍
WAPI(WirelessLANAuthenticationandPrivacyInfrastructure，无线局域网鉴别和保密基础结构)是中国无线局域网国家标准GB15629.11中规定的WLAN安全解决方案。WAPI通过采用证书来标识无线接入点(AP)和无线终端(STA)的身份，基于三元认证体系统进行AP和STA的身份认证，确保了无线接入认证的安全性。对于无线接入外，无线安全还有一个重要的方面，即无线控制层面的安全性，即需要确保AP和STA在控制层面交互的控制管理帧不能被假冒。如果WAPI网络的管理帧被假冒，则攻击者可能欺骗STA连接到假冒AP，虽然认证会失败但影响正常的网络接入；或者，攻击者可能欺骗AP断开STA已经建立的连接、欺骗STA断开同AP已经建立的连接等等。随着WAPI在办公、工业现场、关键基础设施等领域的应用越来越多，WAPI无线网络控制层面的安全性显得更加重要。专利CN2010105185237A《一种基于wapi的管理帧保护方法》提供了WAPI无线网络管理帧保护的方法，通过在STA与AP完成WAPI认证和密钥协商之后，用STA与AP之间协商出来的对称密码来STA与AP之间的管理帧进行加密和完整性计算。此方法提高了WAPI网络控制层面管理帧的安全性，但存在不足：(1)非全时段管理保护的问题。对于STA与AP完成WAPI接入鉴别认证和密码协商之前的时间段管理帧仍然不能受到保护，攻击者仍然可以有通过假冒进行破坏攻击的可乘之机，这在STA刚开机接入无线网络或由一个AP切换到另一个AP时都存在这种可能性。(2)存在被重放攻击可能性。此专利管理帧中了数据分组序号PN，但在进行数据加密和消息鉴别码计算时并没有包括此PN部份，攻击者可以从空口获取管理帧，然后将PN作一定增加后发出。
技术实现思路
本专利技术所要解决的技术问题是一种WAPI无线网络的管理帧保护方法，提供全时段管理帧保护，具备管理帧抗重放攻击的能力，能解决前述专利CN2010105185237A《一种基于wapi的管理帧保护方法》“非全时段管理保护的问题”和“存在被重放攻击可能性”的问题。本专利技术是通过以下技术方案来实现的：一种WAPI无线网络的管理帧保护方法，包括以下具体步骤：S1、发送者在向外发送无线管理帧时，在包括广播和单播的一般管理帧消息体的最后依次添加三个Vendor信息元素VIE1、VIE2、VIE3形成新的管理帧消息体；S2、接收者收到无线管理帧消息后，第一步操作提取管理帧中的VIE1、VIE2、VIE3；第二步操作对WAPI-CertLet进行检查，包括调用本地存储的AS证书对VIE1中的WAPI-CertLet进行签名验证、WAPI-CertLet时间有效性检查；第三步是用VIE1中的公钥对管理帧消息体除VIE3外的其余部份进行签名验证；第四步是操作是检查VIE1中的MAC地址与管理帧BSSID是否一致、依据VIE2中的PN值检查是否不是重放消息，若前述各项检查均通过则此管理帧为可信管理帧。作为优选的技术方案，其中，S1中的VIE1的值域为WAPI证书的扩展属性WAPI-CertLet，VIE2的值域为帧分组序号PN，VIE3的值域为新的管理帧消息体除VIE3外的其余部份的消息签名。作为优选的技术方案，其中，S1中的WAPI证书的扩展属性WAPI-CertLet包含有WAPI证书使用者AP或终端的报文特性值和身份信息，并具有签名信息可以对包含其中信息进行性防篡改验证，而且其总的数据长度不超过250个字节。作为优选的技术方案，其中，WAPI证书的扩展属性WAPI-CertLet的信息内容包括：使用者MAC地址、公钥证书Validity和Subject及公钥、签名值，其中签名值是采用中国国家密码管理局所规定的WAPI签名算法、参数对WAPI-CertLet的信息内容除签名值外的部份进行签名的签名值。本专利技术的有益效果是：本专利技术一种WAPI无线网络的管理帧保护方法，与专利CN2010105185237A《一种基于wapi的管理帧保护方法》比较：(1)保护的时间范围不同。本专利技术是全时段保护，包括STA与AP之间未完成WAPI接入认证和密钥协商的这段时间；而专利CN2010105185237A的管理帧保护是非全时段的，对于STA与AP之间未完成WAPI接入认证和密钥协商的这段时间，前述专利技术的管理帧保护方法因为没有可用的对称密码而不能实施保护。本专利技术的一个优点是能提供全时段管理帧保护，安全性更高。(2)对于帧数据序号PN的保护不同。本专利技术将PN数据也作为签名保护的内容；而专利CN2010105185237A的管理帧保护方法并没有将PN作为消息完整性鉴别码MIC的计算范围，PN仍然可能被修改从而存在重放攻击的可能性。本专利技术的一个优点是对帧序列号PN有完整性保护，够避免通过修改PN实施重放攻击，安全性更高。(3)对于帧消息体的加密保护不同。本专利技术并不对WAPI无线网络的管理帧进行数据加密，这种改变并不降低WAPI网络控制层面的安全性；实际上无线网络管理帧保护需要的是可信赖、完整性、抗重放，即能确保管理帧不能被假冒、不能被篡改、不能被重放攻击，但并不需要机密性，从技术角度管理帧是可以公开的，不需要加密保护，即使作了保密但因为结果是显性的从而可以反推出管理帧中的行为指令；由于不需要对管理帧进行加密，从而在无线终端与AP之间交互管理帧的全时段都可以实话管理帧保护。专利CN2010105185237A的管理帧是作了帧消息体加密保护的，从而需要在完成WAPI认证和密钥协商之后才可以实施管理帧保护，即在WAPI单播密钥协商之后实施单播管理帧消息加密，基于单播密钥完成组播密钥通告之后用组播密钥生成组播管理帧消息鉴别码。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为实施本专利技术后的WAPI无线管理帧结构示意图；图2为未实施帧保护的WAPI无线管理帧结构示意图；图3为扩展了WAPI私有属性的WAPI证书结构示意图；图4为WAPI证书私有扩展属性示意图。具体实施方式本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙本文档来自技高网...

【技术保护点】
1.一种WAPI无线网络的管理帧保护方法，其特征在于，包括以下具体步骤：/nS1、发送者在向外发送无线管理帧时，在包括广播和单播的一般管理帧消息体的最后依次添加三个Vendor信息元素VIE1、VIE2、VIE3形成新的管理帧消息体，实现管理帧发送者身份标识、数据分组序号标记、消息签名；/nS2、接收者收到无线管理帧消息后，第一步操作提取管理帧中的VIE1、VIE2、VIE3；/n第二步操作对WAPI-CertLet进行检查，包括调用本地存储的AS证书对VIE1中的WAPI-CertLet进行签名验证、WAPI-CertLet时间有效性检查；/n第三步是用VIE1中的公钥对管理帧消息体除VIE3外的其余部份进行签名验证；/n第四步是操作是检查VIE1中的MAC地址与管理帧BSSID是否一致、依据VIE2中的PN值检查是否不是重放消息，若前述各项检查均通过则此管理帧为可信管理帧。/n

【技术特征摘要】
1.一种WAPI无线网络的管理帧保护方法，其特征在于，包括以下具体步骤：
S1、发送者在向外发送无线管理帧时，在包括广播和单播的一般管理帧消息体的最后依次添加三个Vendor信息元素VIE1、VIE2、VIE3形成新的管理帧消息体，实现管理帧发送者身份标识、数据分组序号标记、消息签名；
S2、接收者收到无线管理帧消息后，第一步操作提取管理帧中的VIE1、VIE2、VIE3；
第二步操作对WAPI-CertLet进行检查，包括调用本地存储的AS证书对VIE1中的WAPI-CertLet进行签名验证、WAPI-CertLet时间有效性检查；
第三步是用VIE1中的公钥对管理帧消息体除VIE3外的其余部份进行签名验证；
第四步是操作是检查VIE1中的MAC地址与管理帧BSSID是否一致、依据VIE2中的PN值检查是否不是重放消息，若前述各项检查均通过则此管理帧为可信管理帧。


2.根据权利要求1所述的WAPI无线网络的...

【专利技术属性】
技术研发人员：刘高锦，
申请(专利权)人：深圳市智开科技有限公司，
类型：发明
国别省市：广东;44