技术特征:
1.一种wapi认证逃生的方法和无线接入点、无线终端,其特征在于,包括以下步骤:s1:ap通过认证激活报文、sta通过接入认证请求报文中的标志字段申明认证逃生能力;s2:如果ap、sta双方均具备认证逃生能力,则ap和sta在wapi认证成功后分别保存认证过程的基密钥和基密钥标识;s3:当wapi鉴别服务器(as)不可用时ap基于保存的基密钥标识向sta发起密钥协商,sta和ap基于保存的基密钥完成密钥协商。本方法通过对wapi认证协议流程的改进,保持安全性又能在as不可用时完成ap与sta的互相认证和密钥协商,实现wapi认证逃生,有利于提高wapi无线网络的可用性。2.根据权利要求1所述的一种wapi认证逃生的方法和无线接入点、无线终端,其特征在于,所述s1中,ap通过认证激活报文标志字段的第7个bit位设置为1申明所述ap具有所述认证逃生能力,sta通过接入认证请求报文标志字段的第7个bit位设置为1申明所述sta具有所述认证逃生能力;所述sta和在收到ap的认证激活报文后记录其flag字段,所述ap在收到sta的接入认证报文后记录其flag字段。3.根据权利要求1所述的一种wapi认证逃生的方法和无线接入点、无线终端,其特征在于,所述s2中,ap与sta将wapi认证成功后为密钥协商而进行的密钥导出计算而得到的基密钥bk、基密钥标识bkid、对方mac地址进行记录保存;所述记录保存,包括没有对应记录时的创建相关的bk与bkid信息、每次wapi认证成功后更新bk与bkid的保存信息、如果wapi认证不成功后删除相关相关的bk和bkid保存信息。4.根据权利要求1所述的一种wapi认证逃生的方法和无线接入点、无线终端,其特征在于,所述s3中,即ap收到所述sta的接入认证请求后按照wapi协议标准流程向as发送证书鉴别请求报文,如果等待as回应报文超时则判定as不可用,然后所述ap检查自己的配置和检查当前接入sta的flag字段是否具有认证逃生能力,如果均具有则触发认证逃生处理,ap的认证逃生处理,包括:ap在bk和bkid保存信息中查找当前接入sta的mac地址对应的bk和bkid,如果没有找到则表明与此sta没有进行过成功的wapi认证则断开与此sta的连接,如果找到则向此sta发送单播密钥协商报文然后进入单播密钥协商阶段,所述单播密钥协商报文中的bkid来自于查找到的bkid信息。5.根据权利要求1所述的一种wapi认证逃生的方法和无线接入点、无线终端,其特征在于,所述s3中,sta在等待接入认证响应报文状态收到了单播密钥协商状态,则判定所连接ap触发了wapi认证逃生,sta检查本sta的配置和检查所连接ap的认证逃生能力,如果sta和ap双方均具有认证逃生能力,则sta启动认证逃生处理;sta根据收到的bkid查找bk和bkid保存信息,如果没有找到则表明未与此ap进行过成功的wapi认证则断开与当前ap的连接,如果找到则进入单播密钥协商阶段,进而所述sta和所述ap双方均进入单播密钥协商状态,通过标准的wapi协议过程完成wapi密钥协商过程。
技术总结
本发明公开了一种WAPI认证逃生的方法和无线接入点、无线终端,包括以下步骤:AP通过认证激活报文、STA通过接入认证请求报文中的标志字段申明认证逃生能力;如果AP、STA双方均具备认证逃生能力,则AP和STA在WAPI认证成功后分别保存认证过程的基密钥和基密钥标识;当WAPI鉴别服务器(AS)不可用时AP基于保存的基密钥标识向STA发起密钥协商,STA和AP基于保存的基密钥完成密钥协商。本方法通过对WAPI认证协议流程的改进,能够实现在AS不可用时无线终端仍然可以安全地接入无线接入点以及在多个无线接入点之间漫游,提升了WAPI无线网络的生存能力、可用性。可用性。可用性。
技术研发人员:王力 刘高锦
受保护的技术使用者:深圳市智开科技有限公司
技术研发日:2022.07.13
技术公布日:2022/10/18