一种WAPI认证逃生的方法和无线接入点、无线终端与流程

一种wapi认证逃生的方法和无线接入点、无线终端
技术领域
1.本发明涉及通信技术领域，尤其涉及一种wapi认证逃生的方法和无线接入点、无线终端。


背景技术：

2.wapi是中国无线局域网国家标准gb15629.11中规定的wlan安全标准和技术。wapi通过采用数字证书来标识无线接入点(ap)和无线终端(sta)的身份，基于三元认证体系统进行ap和sta的身份认证，确保了无线接入认证的安全性。三元认证的过程如图2wapi接入认证过程所示意，wapi标准中所确定的wapi认证过程包括：
3.(1)无线终端sta向关联ap后，ap向sta发送认证激活(active)报文，此报文中包括了ap的证书信息。
4.(2)sta收到wap的认证激活报文后，向ap发送接入认证请求报文，此报文中包括了sta的证书信息。
5.(3)ap收到sta的接入认证请求后，向wapi证书鉴别器(as)发送证书鉴别请求报文，此报文中包括了ap自身的证书信息和收到的sta证书信息。
6.(4)as收到ap的证书鉴别请求后，进行证书鉴别检查、形成证书鉴别结果，并向ap发送证书认证响应报文；
7.(5)ap收到as发送的证书认证响应报文后，将向sta发送接入认证响应报文，此报文中包括了as的证书鉴别结果，ap根据证书鉴别结果拒绝或接受sta的接入。
8.(6)sta收到ap的接入认证响应报文后，将根据as的证书鉴别结果是否接入所连接ap。
9.ap与sta在wapi认证过程中，还交换了密钥协商需要的一些信息，当ap与sta的wapi认证成功后，ap和sta分别进行基密导出计算，双方计算的结果是产生一个基密钥(bk)和基密钥标识(bkid)。
10.ap完成前述基密导出计算后，向sta发送单播密钥协商分组，触发ap与sta之间的wapi单播密钥协商过程：
11.(1)ap向sta发送单播密钥协商请求报文，其中包括了ap计算产生的基密钥标识bkid。
12.(2)sta收到ap发送单播密钥协商请求报文后，会比较请求报文中的bkid是否与自己所计算的bkid一样，如果一样则向ap发送单播密钥协商响应，并基于bk进行会话密钥导出计算。
13.(3)ap向sta发送单播密钥协商确认，并基于bk进行会话密钥导出计算，单播密钥协商完成。
14.这个过程表明，wapi认证成功是单播密钥协商过程的基础，如果wapi认证不成功，按照wapi协议的规定，ap会断开与sta之间的无线连接。
15.近年来随着数字化、智能化的推进，wapi无线网络在国家关键基础设施行业得到
越来越多的应用，越来越多的移动作业终端接入wapi无线专网，比如机器人、作业平板等。
16.在这些wapi无线网络中，ap与as之间可能会有一个广域网络，比如图3电力wapi无线网络结构示意图所示意的一个变电站wapi无线网络就是如此。变电站wapi无线网络中，ap和无线终端位于变电站，as位于主站端(在电力局大楼机房)，变电站与主站之间有一个复杂的网络，包括了广域网络、防火墙或双向物理隔离装置。如果变电站与主站端的网络故障，或as故障，将导致变电站的sta不能接入ap，以及sta不能在ap间进行漫游切换，此时变电站机器人等作业终端就不能作业；但实际上变电站机器人作业时只需要与变电站内的业务服务器通信就行了。当前无线接入点ap、wapi无线终端sta并没有一种机制来解决as不可用时sta仍然可以安全地接入ap和sta仍然可以安全地在多个ap间漫游接入的问题。


技术实现要素：

17.基于背景技术存在的技术问题，本发明提出了一种wapi认证逃生的方法和无线接入点、无线终端。
18.本发明提出的一种wapi认证逃生的方法和无线接入点、无线终端，包括以下步骤：
19.s1：ap通过认证激活报文、sta通过接入认证请求报文中的标志字段申明认证逃生能力；
20.s2：如果ap、sta双方均具备认证逃生能力，则ap和sta在wapi认证成功后分别保存认证过程的基密钥和基密钥标识；
21.s3：当wapi鉴别服务器(as)不可用时ap基于保存的基密钥标识向sta发起密钥协商，sta和ap基于保存的基密钥完成密钥协商。本方法通过对wapi认证协议流程的改进，保持安全性又能在as不可用时完成ap与sta的互相认证和密钥协商，实现wapi认证逃生，有利于提高wapi无线网络的可用性。
22.优选的，所述s1中，ap通过认证激活报文标志字段的第7个bit位设置为1申明所述ap具有所述认证逃生能力，sta通过接入认证请求报文标志字段的第7个bit位设置为1申明所述sta具有所述认证逃生能力；所述sta和在收到ap的认证激活报文后记录其flag字段，所述ap在收到sta的接入认证报文后记录其flag字段。
23.优选的，所述s2中，ap与sta将wapi认证成功后为密钥协商而进行的密钥导出计算而得到的基密钥bk、基密钥标识bkid、对方mac地址进行记录保存；所述记录保存，包括没有对应记录时的创建相关的bk与bkid信息、每次wapi认证成功后更新bk与bkid的保存信息、如果wapi认证不成功后删除相关相关的bk和bkid保存信息。
24.优选的，所述s3中，即ap收到所述sta的接入认证请求后按照wapi协议标准流程向as发送证书鉴别请求报文，如果等待as回应报文超时则判定as不可用，然后所述ap检查自己的配置和检查当前接入sta的flag字段是否具有认证逃生能力，如果均具有则触发认证逃生处理，ap的认证逃生处理，包括：ap在bk和bkid保存信息中查找当前接入sta的mac地址对应的bk和bkid，如果没有找到则表明与此sta没有进行过成功的wapi认证则断开与此sta的连接，如果找到则向此sta发送单播密钥协商报文然后进入单播密钥协商阶段，所述单播密钥协商报文中的bkid来自于查找到的bkid信息。
25.优选的，所述s3中，sta在等待接入认证响应报文状态收到了单播密钥协商状态，则判定所连接ap触发了wapi认证逃生，sta检查本sta的配置和检查所连接ap的认证逃生能
力，如果sta和ap双方均具有认证逃生能力，则sta启动认证逃生处理；sta根据收到的bkid查找bk和bkid保存信息，如果没有找到则表明未与此ap进行过成功的wapi认证则断开与当前ap的连接，如果找到则进入单播密钥协商阶段，进而所述sta和所述ap双方均进入单播密钥协商状态，通过标准的wapi协议过程完成wapi密钥协商过程。
26.本发明中的有益效果为：
27.1.本发明中能够在wapi证书鉴别器as不可用时，基于双方所保存的基密钥bk和基密钥标识bkid信息来判定对端的可信性，在可信的情况下通过wapi认证逃生处理进而实现sta与ap之间wapi连接的安全建立，有利于提高wapi无线网络的生成能力、可用性。
附图说明
28.图1为本发明提出的一种wapi认证逃生的方法和无线接入点、无线终端的wapi认证逃生过程图；
29.图2为本发明提出的一种wapi认证逃生的方法和无线接入点、无线终端的wapi接入认证过程图；
30.图3为本发明提出的一种wapi认证逃生的方法和无线接入点、无线终端的电力wapi无线网络结构示意图；
31.图4为本发明提出的一种wapi认证逃生的方法和无线接入点、无线终端的wapi认证协议中的flag字节图；
32.图5为本发明提出的一种wapi认证逃生的方法和无线接入点、无线终端的单播密钥协商报文定义图。
具体实施方式
33.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。
34.参照图1-5，一种wapi认证逃生的方法和无线接入点、无线终端，包括以下步骤：
35.s1：ap通过认证激活报文、sta通过接入认证请求报文中的标志字段申明认证逃生能力；
36.s2：如果ap、sta双方均具备认证逃生能力，则ap和sta在wapi认证成功后分别保存认证过程的基密钥和基密钥标识；
37.s3：当wapi鉴别服务器(as)不可用时ap基于保存的基密钥标识向sta发起密钥协商，sta和ap基于保存的基密钥完成密钥协商。本方法通过对wapi认证协议流程的改进，保持安全性又能在as不可用时完成ap与sta的互相认证和密钥协商，实现wapi认证逃生，有利于提高wapi无线网络的可用性。
38.本发明中，s1中，ap通过认证激活报文标志字段的第7个bit位设置为1申明ap具有认证逃生能力，sta通过接入认证请求报文标志字段的第7个bit位设置为1申明sta具有认证逃生能力；sta和在收到ap的认证激活报文后记录其flag字段，ap在收到sta的接入认证报文后记录其flag字段。
39.本发明中，s2中，ap与sta将wapi认证成功后为密钥协商而进行的密钥导出计算而得到的基密钥bk、基密钥标识bkid、对方mac地址进行记录保存；记录保存，包括没有对应记
录时的创建相关的bk与bkid信息、每次wapi认证成功后更新bk与bkid的保存信息、如果wapi认证不成功后删除相关相关的bk和bkid保存信息。
40.本发明中，s3中，即ap收到sta的接入认证请求后按照wapi协议标准流程向as发送证书鉴别请求报文，如果等待as回应报文超时则判定as不可用，然后ap检查自己的配置和检查当前接入sta的flag字段是否具有认证逃生能力，如果均具有则触发认证逃生处理，ap的认证逃生处理，包括：ap在bk和bkid保存信息中查找当前接入sta的mac地址对应的bk和bkid，如果没有找到则表明与此sta没有进行过成功的wapi认证则断开与此sta的连接，如果找到则向此sta发送单播密钥协商报文然后进入单播密钥协商阶段，单播密钥协商报文中的bkid来自于查找到的bkid信息。
41.本发明中，s3中，sta在等待接入认证响应报文状态收到了单播密钥协商状态，则判定所连接ap触发了wapi认证逃生，sta检查本sta的配置和检查所连接ap的认证逃生能力，如果sta和ap双方均具有认证逃生能力，则sta启动认证逃生处理；sta根据收到的bkid查找bk和bkid保存信息，如果没有找到则表明未与此ap进行过成功的wapi认证则断开与当前ap的连接，如果找到则进入单播密钥协商阶段，进而sta和ap双方均进入单播密钥协商状态，通过标准的wapi协议过程完成wapi密钥协商过程。
42.如图4，wapi认证协议中的flag字节，它是图2wapi接入认证过程所示的每个wapi协议报文都具备的协议字段，为一个字节，其中第7个bit即b7在wapi协议中当前定义为保留，本专利利用此保留字节来申明无线接入点或ap或无线终端sta具备wapi认证逃生能力。的wapi认证逃生能力，是指在wapi证书鉴别器(as)不可用时，sta与ap之间可以进行相互的可信性判断以及在相互判断对方可信时可以进入密钥协议阶段，从而可以在as不可用时实现sta与ap之间可以进行安全通信，包括sta在多个ap之间的漫游切换。当ap在发给sta的认证激活报文，如果flag的b7为1，则表明ap具备wapi认证逃生能力；同样地，当sta在发给ap的接入认证报文，如果flag的b7为1，则表明sta具备wapi认证逃生能力。
43.如图1wapi认证逃生过程示意图，其中包括了本专利的两个实体即的无线接入点ap202和无线终端sta201，与本专利方法相关的处理和过程包括：
44.sta201和ap2102为了在as203不可用时实施本专利所公开的wapi认证逃生，在首次成功完成wapi认证时，将记录这次wapi认证过程中的基密钥bk和基密钥bkid，记录的内容包括对端的mac地址、bkid、bk；后续每次成功完成wapi认证时，将更新所记录的bkid和bk；如果sta201与ap202认证失败，则sta201和ap202将分别删除所记录的bkid和bk。
45.s21：ap202在与sta201建立无线关联后，ap202向sta201发送认证激活报文，其中报文的flagb7设置为1表明ap202具备wapi认证逃生能力。
46.s22：sta201收到ap202的认证激活报文后，进行wapi协议所规定的认证相关的处理，并记录ap202的flag字段，然后向ap202发送接入认证请求报文，其中报文的flagb7设置为1表明sta201具备wapi认证逃生能力。
47.s23:ap202收到sta201的接入认证请求报文后，进行wapi认证协议所规定的相关处理，并记录sta201的flag字段，然后向as203发送证书鉴别请求报文，ap202与as203的wapi证书鉴别请求交互与标准规定比较并不需要作任何变化。
48.s24：假定as203不可用，这可能是因为ap202与as203之间的网络连接不可用，也可能是as203故障了不可用等，导致ap202在等待as203的鉴别回应报文时出现超时，ap202以
此判断as203不可用。
49.s25:ap202根据as203不可用的判定，在此情况下，ap202检查自己是否具有wapi认证逃生能力，以及检查当前接入的sta201是否具有wapi认证逃生能力，如果两者均具有wapi认证逃生能力，则ap触发wapi认证逃生处理过程：(a)ap202在所保存的bk和bkid信息中查找sta201的mac地址所对应的bk和bkid，如果没有找到则表明ap202未与sta201进行过成功的wapi认证从而判定sta201不可信，则断开与sta201的连接；(b)如果找到则判定sta201可信，则向sta201发送单播密钥协商报文(其报文结构如图5单播密钥协商报文定义所示)然后进入单播密钥协商阶段，其中的bkid就是来前述根据sta201mac地址找到的bkid信息。
50.s26：sta201此时正处于等待接入认证响应报文的状态，在这种状态下收到了来自ap202的单播密钥协商请求报文，sta201可以判定ap202触发了wapi认证逃生处理，于是时sta201检查自己是否具备wapi认证兆生能力，并检查ap202是否具备wapi认证兆生能力，如果两者都具备，则sta201启动wapi认证逃生处理：(a)sta201根据收到的单播密钥协商请求报文中的bkid查找保存的bk和bkid信息，如果没有找到则表明未与ap202进行过成功的wapi认证，判定ap202不可信，则断开与ap202的连接；(b)如果找到则进入单播密钥协商阶段，进行相关的协议处理并向ap202发送单播密钥协商响应报文。
51.由此sta201和ap202双方均进入单播密钥协商状态，接下来的过程为标准的wapi协议过程，这包括s27ap202向sta201发送单播密钥协商确认报文，完成单播密钥协商，以及进一步的组播密钥通告过程，组播密钥通告是基于单播密钥协商的结果而进行，最后sta201完成与ap202的全部密钥协商过程，这ap202打开sta201的通信端口，双方进入通信状态。
52.假定有第三方ap或sta从空口得到bkid，这些ap或sta进行仿冒参与到前述的wapi认证逃生过程中来，由于第三方ap或sta不可能有正确的私钥信息，从而密钥协商过程中的报文签名验证不过，从而不能够完成密钥协商过程。可见本专利的wapi认证逃生方法具有安全性。
53.本专利一种wapi认证逃生的方法和无线接入点(ap)、无线终端(sta)设备，能够在wapi证书鉴别器as不可用时，基于双方所保存的基密钥bk和基密钥标识bkid信息来判定对端的可信性，在可信的情况下通过wapi认证逃生处理进而实现sta与ap之间wapi连接的建立，具有安全性，有利于提高wapi无线网络的生成能力、可用性。
54.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。