[发明专利]一种WAI 证书鉴别方法及装置

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种WAI证书鉴别方法及装置。 

背景技术

在中国无线局域网标准中定义了一套件安全机制，称为WAPI(WLAN Authentication and Privacy Infrastructure，无线局域网鉴别和保密基础设施)，包括WAI(Wide Authentication Infrastructure，无线局域网鉴别基础设施)和WPI(Wide Privacy Infrastructure，无线局域网保密基础设施)两个部分。WAI主要由证书鉴别过程、单播密钥协商过程和组播/站间密钥通告过程组成。 

WAI证书鉴别过程的具体步骤如下： 

步骤一，接入点向站发送鉴别激活分组。 

具体地，在如下两种情况下，接入点会向站发送鉴别激活分组： 

(1)接入点确定站初次关联或重新关联至接入点，站和接入点采用证书鉴别及密钥管理方法； 

(2)接入点的本地策略要求进行基密钥更新。 

上述鉴别激活分组，具体包括： 

①鉴别标识：当本WAI证书鉴别过程是用于基密钥更新的WAI证书鉴别过程时，鉴别标识为上一次WAI证书鉴别过程中生成的鉴别标识；当本WAI证书鉴别过程不是用于基密钥更新的WAI证书鉴别过程时，鉴别标识为接入点产生的一个随机数；②鉴别服务单元的身份，具体为鉴别服务单元的证书中的身份；③接入点的证书；④ECDH(elliptic curve Diffie-Hellman，椭圆曲线密码体制的Diffie-Hellman交换)参数。 

关于证书说明如下，用户申请证书时，首先产生公钥和私钥，私钥由用户保存，公钥和身份发送给颁发者，然后生成证书，上述私钥与证书对应。证书的结构主要包括身份、公钥、颁发者对身份和公钥的签名，从而建立身份和公钥之间的绑定关系，因此接入点的证书主要包括接入点的证书对应的身份、接入点的公钥，颁发者对接入点的证书对应的身份和接入点的公钥的签名。 

步骤二，站向接入点发送接入鉴别请求分组。 

具体地，在如下两种情况下，站会向接入点发送接入鉴别请求分组： 

(1)站没有接收到由接入点发送的鉴别激活分组，且站主动发起用于基密钥更新的WAI证书鉴别过程时，发送接入鉴别请求分组； 

具体地，站首先根据上一次WAI证书鉴别过程中的鉴别激活分组中的鉴别服务单元的身份，选择由该鉴别服务单元颁发的站的证书或者根据本地策略选择站的证书，然后利用鉴别激活分组中的ECDH参数产生用于ECDH交换的临时私钥x、临时公钥x·P和站的询问，最后向接入点发送接入鉴别请求分组； 

(2)站接收到接入点发送的鉴别激活分组时，发送接入鉴别请求分组。 

具体地，当站接收到由接入点发送的鉴别激活分组时，确定本WAI证书鉴别过程是否是用于基密钥更新的WAI证书鉴别过程，若是，执行步骤1)，否则，执行步骤2)； 

步骤1)，检查鉴别激活分组中的鉴别标识是否与上一次WAI证书鉴别过程中的鉴别标识相同，若不相同，则丢弃鉴别激活分组，否则执行步骤2)； 

步骤2)，首先获取当前接收的鉴别激活分组中的鉴别服务单元的身份，根据鉴别服务单元的身份选择由该鉴别服务单元颁发的证书或者根据本地策略选择站的证书，然后利用鉴别激活分组中的ECDH参数产生用于ECDH交换的临时私钥x、临时公钥x·P和站的询问，最后向接入点发送接入鉴别请求分组。 

步骤二中，站向接入点发送的接入鉴别请求分组，具体包括： 

①鉴别标识：对于情况(1)，鉴别标识为上一次WAI证书鉴别过程中的鉴别标识；对于情况(2)，鉴别标识为当前接收的鉴别激活分组中的鉴别标识；②站的询问：为站产生的一个随机数；③站的密钥数据：为站产生的用于ECDH交换的临时公钥x·P；④接入点的证书所对应的身份，具体根据鉴别激活分组中接入点的证书确定；⑤站的证书；⑥ECDH参数；⑦站的签名：具体是利用站的证书所对应的私钥对①～⑥的签名。 

步骤三，接入点收到站发送的接入鉴别请求分组后，向站发送接入鉴别响应分组。具体地，包括如下步骤： 

步骤1)，接入点收到站发送的接入鉴别请求分组后，对其中的鉴别标识进 行验证，若验证通过，执行步骤2)，否则丢弃接入鉴别请求分组，结束；