一种WAPI无线网络的管理帧保护方法与流程

本发明涉及wapi(wlanauthenticationandprivacyinfrastructure，无线局域网鉴别和保密基础结构)技术领域，具体涉及一种wapi无线网络的管理帧保护方法。

背景技术：

wapi(wirelesslanauthenticationandprivacyinfrastructure，无线局域网鉴别和保密基础结构)是中国无线局域网国家标准gb15629.11中规定的wlan安全解决方案。wapi通过采用证书来标识无线接入点(ap)和无线终端(sta)的身份，基于三元认证体系统进行ap和sta的身份认证，确保了无线接入认证的安全性。对于无线接入外，无线安全还有一个重要的方面，即无线控制层面的安全性，即需要确保ap和sta在控制层面交互的控制管理帧不能被假冒。如果wapi网络的管理帧被假冒，则攻击者可能欺骗sta连接到假冒ap，虽然认证会失败但影响正常的网络接入；或者，攻击者可能欺骗ap断开sta已经建立的连接、欺骗sta断开同ap已经建立的连接等等。随着wapi在办公、工业现场、关键基础设施等领域的应用越来越多，wapi无线网络控制层面的安全性显得更加重要。

专利cn2010105185237a《一种基于wapi的管理帧保护方法》提供了wapi无线网络管理帧保护的方法，通过在sta与ap完成wapi认证和密钥协商之后，用sta与ap之间协商出来的对称密码来sta与ap之间的管理帧进行加密和完整性计算。此方法提高了wapi网络控制层面管理帧的安全性，但存在不足：

(1)非全时段管理保护的问题。对于sta与ap完成wapi接入鉴别认证和密码协商之前的时间段管理帧仍然不能受到保护，攻击者仍然可以有通过假冒进行破坏攻击的可乘之机，这在sta刚开机接入无线网络或由一个ap切换到另一个ap时都存在这种可能性。

(2)存在被重放攻击可能性。此专利管理帧中了数据分组序号pn，但在进行数据加密和消息鉴别码计算时并没有包括此pn部份，攻击者可以从空口获取管理帧，然后将pn作一定增加后发出。

技术实现要素：

本发明所要解决的技术问题是一种wapi无线网络的管理帧保护方法，提供全时段管理帧保护，具备管理帧抗重放攻击的能力，能解决前述专利cn2010105185237a《一种基于wapi的管理帧保护方法》“非全时段管理保护的问题”和“存在被重放攻击可能性”的问题。

本发明是通过以下技术方案来实现的：一种wapi无线网络的管理帧保护方法，包括以下具体步骤：

s1、发送者在向外发送无线管理帧时，在包括广播和单播的一般管理帧消息体的最后依次添加三个vendor信息元素vie1、vie2、vie3形成新的管理帧消息体；

s2、接收者收到无线管理帧消息后，第一步操作提取管理帧中的vie1、vie2、vie3；

第二步操作对wapi-certlet进行检查，包括调用本地存储的as证书对vie1中的wapi-certlet进行签名验证、wapi-certlet时间有效性检查；

第三步是用vie1中的公钥对管理帧消息体除vie3外的其余部份进行签名验证；

第四步是操作是检查vie1中的mac地址与管理帧bssid是否一致、依据vie2中的pn值检查是否不是重放消息，若前述各项检查均通过则此管理帧为可信管理帧。

作为优选的技术方案，其中，s1中的vie1的值域为wapi证书的扩展属性wapi-certlet，vie2的值域为帧分组序号pn，vie3的值域为新的管理帧消息体除vie3外的其余部份的消息签名。

作为优选的技术方案，其中，s1中的wapi证书的扩展属性wapi-certlet包含有wapi证书使用者ap或终端的报文特性值和身份信息，并具有签名信息可以对包含其中信息进行性防篡改验证，而且其总的数据长度不超过250个字节。

作为优选的技术方案，其中，wapi证书的扩展属性wapi-certlet的信息内容包括：使用者mac地址、公钥证书validity和subject及公钥、签名值，其中签名值是采用中国国家密码管理局所规定的wapi签名算法、参数对wapi-certlet的信息内容除签名值外的部份进行签名的签名值。

本发明的有益效果是：本发明一种wapi无线网络的管理帧保护方法，与专利cn2010105185237a《一种基于wapi的管理帧保护方法》比较：

(1)保护的时间范围不同。本发明是全时段保护，包括sta与ap之间未完成wapi接入认证和密钥协商的这段时间；而专利cn2010105185237a的管理帧保护是非全时段的，对于sta与ap之间未完成wapi接入认证和密钥协商的这段时间，前述专利技术的管理帧保护方法因为没有可用的对称密码而不能实施保护。本发明的一个优点是能提供全时段管理帧保护，安全性更高。

(2)对于帧数据序号pn的保护不同。本发明将pn数据也作为签名保护的内容；而专利cn2010105185237a的管理帧保护方法并没有将pn作为消息完整性鉴别码mic的计算范围，pn仍然可能被修改从而存在重放攻击的可能性。本发明的一个优点是对帧序列号pn有完整性保护，够避免通过修改pn实施重放攻击，安全性更高。

(3)对于帧消息体的加密保护不同。本发明并不对wapi无线网络的管理帧进行数据加密，这种改变并不降低wapi网络控制层面的安全性；实际上无线网络管理帧保护需要的是可信赖、完整性、抗重放，即能确保管理帧不能被假冒、不能被篡改、不能被重放攻击，但并不需要机密性，从技术角度管理帧是可以公开的，不需要加密保护，即使作了保密但因为结果是显性的从而可以反推出管理帧中的行为指令；由于不需要对管理帧进行加密，从而在无线终端与ap之间交互管理帧的全时段都可以实话管理帧保护。专利cn2010105185237a的管理帧是作了帧消息体加密保护的，从而需要在完成wapi认证和密钥协商之后才可以实施管理帧保护，即在wapi单播密钥协商之后实施单播管理帧消息加密，基于单播密钥完成组播密钥通告之后用组播密钥生成组播管理帧消息鉴别码。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为实施本发明后的wapi无线管理帧结构示意图；

图2为未实施帧保护的wapi无线管理帧结构示意图；

图3为扩展了wapi私有属性的wapi证书结构示意图；

图4为wapi证书私有扩展属性示意图。

具体实施方式

本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。

本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。

在本发明的描述中，需要理解的是，术语“一端”、“另一端”、“外侧”、“上”、“内侧”、“水平”、“同轴”、“中央”、“端部”、“长度”、“外端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

此外，在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

本发明使用的例如“上”、“上方”、“下”、“下方”等表示空间相对位置的术语是出于便于说明的目的来描述如附图中所示的一个单元或特征相对于另一个单元或特征的关系。空间相对位置的术语可以旨在包括设备在使用或工作中除了图中所示方位以外的不同方位。例如，如果将图中的设备翻转，则被描述为位于其他单元或特征“下方”或“之下”的单元将位于其他单元或特征“上方”。因此，示例性术语“下方”可以囊括上方和下方这两种方位。设备可以以其他方式被定向(旋转90度或其他朝向)，并相应地解释本文使用的与空间相关的描述语

在本发明中，除非另有明确的规定和限定，术语“设置”、“套接”、“连接”、“贯穿”、“插接”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

如图1-图4所示，本发明一种wapi无线网络的管理帧保护方法的一个实施例，包括：wapi证书中包含一个私有non-critica证书扩展wapi-certlet400，扩展属性值域信息包括：使用者mac地址411、公钥证书validity和subject及公钥412、签名值420。在颁发ap或终端的证书时，由wapi证书颁发系统对包含使用者mac地址411、公钥证书validity和subject及公钥412的被签名内容(410)，采用wapi标准所规定的签名算法和参数而得到签名值420。在wapi使用者证书中增加wapi无线应用领域的私有扩展属性wapi-certlet300并设置其关键属性为non-critica是基于x.509的现有证书机制。为了实现wapi-certlet可以容纳进无线管理帧中，wapi-certlet的长度应小于250字节，这在一般wapi证书可行。

发送者在向外发送无线管理帧时，在包括广播和单播的一般管理帧消息体200的最后依次添加三个vendor信息元素vie1120、vie2130、vie3140形成新的管理帧消息体100，其中vie1的值域为前述wapi-certlet300，vie2的值域为帧分组序号pn120，vie3的值域为新的管理帧消息体100除vie3外的其余部份123的消息签名140。接收者收到无线管理帧消息后，第一步操作提取管理帧中的vie1120、vie2130、vie3140，第二步操作对wapi-certlet120进行检查，包括调用本地存储的as证书对vie1中的wapi-certlet120进行签名验证、wapi-certlet120时间有效性检查，第三步是用vie1中的公钥对管理帧消息体除vie3140外的其余部份123进行签名验证，第四步是操作是检查vie1中的mac地址与管理帧bssid是否一致、依据vie2130中的pn值检查是否不是重放消息，若前述各项检查均通过则此管理帧为可信管理帧，若前述检查中任何一步检查不通过则停止进一步的检查，可判定管理帧为不可信并作丢弃。

本发明提供了一种wapi无线管理帧保护的方法，采用统一的方法对单播和组播wapi无线管理帧进行保护，能对wapi无线管理帧进行防假冒、篡改和抗重放的全时段保护。在无线管理帧中加入无线管理帧信息元素的三个vendor信息元素，即分别包含wapi-certlet、分组数据序号pn、签名值的信息元素，其中通过基于x.509证书标准机制增加wapi证书的扩展属性wapi-certlet为wapi无线管理帧的保护提供了管理帧消息鉴别的基础，通过签名值为wapi管理帧的消息真伪提供保护能力，通过pn值为wapi管理帧提供抗重放能力。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何不经过创造性劳动想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书所限定的保护范围为准。