[发明专利]一种WAI 证书鉴别方法及装置

权利要求书

1.一种无线局域网鉴别基础设施WAI证书鉴别方法，其特征在于，包括：

站初次关联到接入点时，基于鉴别服务单元与接入点之间协商基密钥；

在站基于鉴别服务单元与接入点之间协商基密钥过程中，站与鉴别服务单元之间执行单播密码套件和第一单播会话密钥协商过程。

2.如权利要求1所述的方法，其特征在于，站与鉴别服务单元之间执行单播密码套件和第一单播会话密钥协商过程，具体包括：

1)站利用从鉴别服务单元获取的鉴别服务单元的WAPI信息元素，选择用于站与鉴别服务单元间的单播密码套件并通知鉴别服务单元；

2)鉴别服务单元利用基密钥协商过程中使用的ECDH参数，生成鉴别服务单元的临时私钥z和鉴别服务单元的临时公钥z·P；

鉴别服务单元利用z、鉴别服务单元的询问，及基密钥协商过程中站使用的站的询问和站的临时公钥x·P，生成第一单播会话密钥；

鉴别服务单元将第一消息鉴别码通知站，所述第一消息鉴别码为利用生成的第一单播会话密钥对第一验证信息的消息鉴别码；

3)站收到第一消息鉴别码后，利用从鉴别服务单元获取的鉴别服务单元的询问和z·P、基密钥协商过程中使用的站的询问和站的临时私钥x，生成第一单播会话密钥；

站利用生成的第一单播会话密钥验证第一消息鉴别码，验证通过后，将站的消息鉴别码通知鉴别服务单元，所述站的消息鉴别码为利用站生成的第一单播会话密钥对第二验证信息的消息鉴别码；

4)鉴别服务单元利用自身生成的第一单播会话密钥验证站的消息鉴别码，验证通过后，确定完成第一单播会话密钥的协商且单播密码套件有效。

3.如权利要求2所述的方法，其特征在于，步骤1)，具体包括：

①接入点确定站初次关联到接入点时，向鉴别服务单元发送第一消息，所述第一消息包括基密钥协商过程中使用的ECDH参数；

②鉴别服务单元收到第一消息后，向接入点发送第二消息，所述第二消息包括从鉴别服务单元的询问、鉴别服务单元的WAPI信息元素和第一消息中的ECDH参数；

③接入点收到第二消息后，向站发送第三消息，所述第三消息包括鉴别激活分组和第二消息中的鉴别服务单元的询问及鉴别服务单元的WAPI信息元素，所述鉴别激活分组包括第二消息中的ECDH参数；

④站接收到第三消息后，根据第三消息中的鉴别服务单元的WAPI信息元素，选择用于站与鉴别服务单元间的单播密码套件，基于第三消息中的鉴别激活分组，生成站的临时私钥x、站的临时公钥x·P，并向接入点发送第四消息；所述第四消息包括接入鉴别请求分组和包括所述单播密码套件的站的WAPI信息元素，所述接入鉴别请求分组包括站的证书、x·P、站的询问；

⑤接入点接收第四消息，确定接入鉴别请求分组中站的证书有效时，向鉴别服务单元发送第五消息，所述第五消息包括第四消息中的站的询问、站的证书、站的WAPI信息元素、x·P；

步骤2)具体包括：

⑥鉴别服务单元接收第五消息，利用第一消息中的ECDH参数，生成鉴别服务单元的临时私钥z和鉴别服务单元的临时公钥z·P；

鉴别服务单元利用z、鉴别服务单元的询问、第五消息中站的询问和站x·P，生成第一单播会话密钥；

鉴别服务单元向接入点发送第六消息，第六消息包括z·P和第一消息鉴别码，第一消息鉴别为利用生成的第一单播会话密钥对鉴别服务单元的询问、鉴别服务单元的WAPI信息元素、第五消息所有信息及z·P的消息鉴别码；

⑦接入点接收第六消息，在站的证书有效时，生成接入点使用的基密钥，向站发送第七消息，所述第七消息包括接入鉴别响应分组及从第六消息中获取的z·P及第一消息鉴别码；

步骤3)具体包括：

⑧站接收所述第七消息，根据站的询问、x、第三消息中的鉴别服务单元的询问、第七消息中的z·P生成第一单播会话密钥；

站利用生成的第一单播会话密钥验证第七消息中的第一消息鉴别码鉴别，验证通过且确定接入点证书有效时，基于第七消息中的接入鉴别响应分组生成站使用的基密钥，向接入点发送包括站的消息鉴别码的第八消息，所述站消息鉴别码是利用站生成的第一单播会话密钥对站的询问、站的证书、站的WAPI信息元素、x、从第三消息中获取的鉴别服务单元的询问及鉴别服务单元的WAPI信息元素、从第七消息中获取的z及第一消息鉴别码的消息鉴别码；

⑨接入点接收第八消息，向鉴别服务单元发送第九消息，所述第九消息中包括从第八消息中获取的站的消息鉴别码；

步骤4)具体包括：

⑩鉴别服务单元接收第九消息，利用自身生成的第一单播会话密钥，验证第九消息中站的消息鉴别码，验证通过后，确定完成第一单播会话密钥的协商且站选择的单播密码套件有效。