一种WAPI认证逃生的方法和无线接入点、无线终端技术

本发明专利技术公开了一种WAPI认证逃生的方法和无线接入点、无线终端，包括以下步骤：AP通过认证激活报文、STA通过接入认证请求报文中的标志字段申明认证逃生能力；如果AP、STA双方均具备认证逃生能力，则AP和STA在WAPI认证成功后分别保存认证过程的基密钥和基密钥标识；当WAPI鉴别服务器(AS)不可用时AP基于保存的基密钥标识向STA发起密钥协商，STA和AP基于保存的基密钥完成密钥协商。本方法通过对WAPI认证协议流程的改进，能够实现在AS不可用时无线终端仍然可以安全地接入无线接入点以及在多个无线接入点之间漫游，提升了WAPI无线网络的生存能力、可用性。可用性。可用性。

【技术实现步骤摘要】
一种WAPI认证逃生的方法和无线接入点、无线终端


[0001]本专利技术涉及通信
，尤其涉及一种WAPI认证逃生的方法和无线接入点、无线终端。

技术介绍

[0002]WAPI是中国无线局域网国家标准GB15629.11中规定的WLAN安全标准和技术。WAPI通过采用数字证书来标识无线接入点(AP)和无线终端(STA)的身份，基于三元认证体系统进行AP和STA的身份认证，确保了无线接入认证的安全性。三元认证的过程如图2WAPI接入认证过程所示意，WAPI标准中所确定的WAPI认证过程包括：
[0003](1)无线终端STA向关联AP后，AP向STA发送认证激活(ACTIVE)报文，此报文中包括了AP的证书信息。
[0004](2)STA收到WAP的认证激活报文后，向AP发送接入认证请求报文，此报文中包括了STA的证书信息。
[0005](3)AP收到STA的接入认证请求后，向WAPI证书鉴别器(AS)发送证书鉴别请求报文，此报文中包括了AP自身的证书信息和收到的STA证书信息。
[0006](4)AS收到AP的证书鉴别请求后，进行证书鉴别检查、形成证书鉴别结果，并向AP发送证书认证响应报文；
[0007](5)AP收到AS发送的证书认证响应报文后，将向STA发送接入认证响应报文，此报文中包括了AS的证书鉴别结果，AP根据证书鉴别结果拒绝或接受STA的接入。
[0008](6)STA收到AP的接入认证响应报文后，将根据AS的证书鉴别结果是否接入所连接AP。
[0009]AP与STA在WAPI认证过程中，还交换了密钥协商需要的一些信息，当AP与STA的WAPI认证成功后，AP和STA分别进行基密导出计算，双方计算的结果是产生一个基密钥(BK)和基密钥标识(BKID)。
[0010]AP完成前述基密导出计算后，向STA发送单播密钥协商分组，触发AP与STA之间的WAPI单播密钥协商过程：
[0011](1)AP向STA发送单播密钥协商请求报文，其中包括了AP计算产生的基密钥标识BKID。
[0012](2)STA收到AP发送单播密钥协商请求报文后，会比较请求报文中的BKID是否与自己所计算的BKID一样，如果一样则向AP发送单播密钥协商响应，并基于BK进行会话密钥导出计算。
[0013](3)AP向STA发送单播密钥协商确认，并基于BK进行会话密钥导出计算，单播密钥协商完成。
[0014]这个过程表明，WAPI认证成功是单播密钥协商过程的基础，如果WAPI认证不成功，按照WAPI协议的规定，AP会断开与STA之间的无线连接。
[0015]近年来随着数字化、智能化的推进，WAPI无线网络在国家关键基础设施行业得到
越来越多的应用，越来越多的移动作业终端接入WAPI无线专网，比如机器人、作业平板等。
[0016]在这些WAPI无线网络中，AP与AS之间可能会有一个广域网络，比如图3电力WAPI无线网络结构示意图所示意的一个变电站WAPI无线网络就是如此。变电站WAPI无线网络中，AP和无线终端位于变电站，AS位于主站端(在电力局大楼机房)，变电站与主站之间有一个复杂的网络，包括了广域网络、防火墙或双向物理隔离装置。如果变电站与主站端的网络故障，或AS故障，将导致变电站的STA不能接入AP，以及STA不能在AP间进行漫游切换，此时变电站机器人等作业终端就不能作业；但实际上变电站机器人作业时只需要与变电站内的业务服务器通信就行了。当前无线接入点AP、WAPI无线终端STA并没有一种机制来解决AS不可用时STA仍然可以安全地接入AP和STA仍然可以安全地在多个AP间漫游接入的问题。

技术实现思路

[0017]基于
技术介绍
存在的技术问题，本专利技术提出了一种WAPI认证逃生的方法和无线接入点、无线终端。
[0018]本专利技术提出的一种WAPI认证逃生的方法和无线接入点、无线终端，包括以下步骤：
[0019]S1：AP通过认证激活报文、STA通过接入认证请求报文中的标志字段申明认证逃生能力；
[0020]S2：如果AP、STA双方均具备认证逃生能力，则AP和STA在WAPI认证成功后分别保存认证过程的基密钥和基密钥标识；
[0021]S3：当WAPI鉴别服务器(AS)不可用时AP基于保存的基密钥标识向STA发起密钥协商，STA和AP基于保存的基密钥完成密钥协商。本方法通过对WAPI认证协议流程的改进，保持安全性又能在AS不可用时完成AP与STA的互相认证和密钥协商，实现WAPI认证逃生，有利于提高WAPI无线网络的可用性。
[0022]优选的，所述S1中，AP通过认证激活报文标志字段的第7个Bit位设置为1申明所述AP具有所述认证逃生能力，STA通过接入认证请求报文标志字段的第7个Bit位设置为1申明所述STA具有所述认证逃生能力；所述STA和在收到AP的认证激活报文后记录其Flag字段，所述AP在收到STA的接入认证报文后记录其Flag字段。
[0023]优选的，所述S2中，AP与STA将WAPI认证成功后为密钥协商而进行的密钥导出计算而得到的基密钥BK、基密钥标识BKID、对方MAC地址进行记录保存；所述记录保存，包括没有对应记录时的创建相关的BK与BKID信息、每次WAPI认证成功后更新BK与BKID的保存信息、如果WAPI认证不成功后删除相关相关的BK和BKID保存信息。
[0024]优选的，所述S3中，即AP收到所述STA的接入认证请求后按照WAPI协议标准流程向AS发送证书鉴别请求报文，如果等待AS回应报文超时则判定AS不可用，然后所述AP检查自己的配置和检查当前接入STA的Flag字段是否具有认证逃生能力，如果均具有则触发认证逃生处理，AP的认证逃生处理，包括：AP在BK和BKID保存信息中查找当前接入STA的MAC地址对应的BK和BKID，如果没有找到则表明与此STA没有进行过成功的WAPI认证则断开与此STA的连接，如果找到则向此STA发送单播密钥协商报文然后进入单播密钥协商阶段，所述单播密钥协商报文中的BKID来自于查找到的BKID信息。
[0025]优选的，所述S3中，STA在等待接入认证响应报文状态收到了单播密钥协商状态，则判定所连接AP触发了WAPI认证逃生，STA检查本STA的配置和检查所连接AP的认证逃生能
力，如果STA和AP双方均具有认证逃生能力，则STA启动认证逃生处理；STA根据收到的BKID查找BK和BKID保存信息，如果没有找到则表明未与此AP进行过成功的WAPI认证则断开与当前AP的连接，如果找到则进入单播密钥协商阶段，进而所述STA和所述AP双方均进入单播密钥协商状态，通过标准的WAPI协议过程完成WAPI密钥协商过程。
[0026]本专利技术中的有益效果为：
[0027]1.本专利技术中能够在WAPI证书鉴别器AS不可用时，基于双方所保存的基密钥BK和基密钥标识BKID信息来判定对端的可信性，在可信的情况下通过WA本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种WAPI认证逃生的方法和无线接入点、无线终端，其特征在于，包括以下步骤：S1：AP通过认证激活报文、STA通过接入认证请求报文中的标志字段申明认证逃生能力；S2：如果AP、STA双方均具备认证逃生能力，则AP和STA在WAPI认证成功后分别保存认证过程的基密钥和基密钥标识；S3：当WAPI鉴别服务器(AS)不可用时AP基于保存的基密钥标识向STA发起密钥协商，STA和AP基于保存的基密钥完成密钥协商。本方法通过对WAPI认证协议流程的改进，保持安全性又能在AS不可用时完成AP与STA的互相认证和密钥协商，实现WAPI认证逃生，有利于提高WAPI无线网络的可用性。2.根据权利要求1所述的一种WAPI认证逃生的方法和无线接入点、无线终端，其特征在于，所述S1中，AP通过认证激活报文标志字段的第7个Bit位设置为1申明所述AP具有所述认证逃生能力，STA通过接入认证请求报文标志字段的第7个Bit位设置为1申明所述STA具有所述认证逃生能力；所述STA和在收到AP的认证激活报文后记录其Flag字段，所述AP在收到STA的接入认证报文后记录其Flag字段。3.根据权利要求1所述的一种WAPI认证逃生的方法和无线接入点、无线终端，其特征在于，所述S2中，AP与STA将WAPI认证成功后为密钥协商而进行的密钥导出计算而得到的基密钥BK、基密钥标识BKID、对方MAC地址进行记录保存；所述记录保存，包括没有对应记录时的创建相关的BK与BKID信息、每次WAPI认证成功后更新BK与BKID的保存信息...

【专利技术属性】
技术研发人员：王力，刘高锦，
申请(专利权)人：深圳市智开科技有限公司，
类型：发明
国别省市：