[发明专利]一种基于WAPI的TDLS安全保护方法

摘要

本发明提供了一种使用WAPI来保证隧道直接链接链路（TDLS）安全通信的方法。站点（STA）分别与接入点（AP）建立由WAPI提供的安全链路，保证每个STA的安全认证，当两个站点之间需要建立TDLS链路时，创建TDLS的STA首先发送一个TDLS请求，其中包括自己的信息和WAPI信息元素，对端STA收到TDLS请求后，将根据协商中的密钥套件生成一个密钥并保存（此密钥产生两个子密钥，一个用于保证TDLS设置帧的安全通信，一个用于保证TDLS链路的安全通信），然后发送一个附上自己信息的TDLS响应，TDLS初始STA收到TDLS响应后，同样生成一个密钥（密钥也生成两个子密钥，而且和TDLS响应STA生成的密钥相同），并发送一个TDLS确认。最终两个STA将生成相同的密钥保证TDLS链路上数据的安全。

主权项

1.一种基于WAPI的TDLS安全保护方法，包括：TDLS链路的安全通信，所述TDLS的安全通信包括：（1）当两个终端STA需要建立一个TDLS连接时，首先要保证两个STA都同接入点AP建立了基于WAPI的安全关联,其中一个STA作为TDLS初始STA，另一个STA作为TDLS响应STA，当TDLS初始STA要建立基于WAPI的TDLS安全关联时，先构建一个TDLS请求帧，TDLS请求帧中包括了标识符、随机数、WAPI信息元素、生存期、MIC字段，TDLS初始STA发送TDLS请求帧给TDLS响应STA；（2）TDLS响应STA接收TDLS请求帧后，先利用TDLS请求帧中的信息：随机数中的INoce、标识符、WAPI信息元素，和自己的信息：随机数中的RNonce，生成一个TDLS站间主密钥，最终生成密钥的一部分作为数据的完整性校验码密钥，一部分作为进行直连链路上的数据加解密所需密钥；（3）TDLS响应STA构建TDLS响应帧，并发送TDLS响应帧给TDLS初始STA，其中TDLS响应帧包含标识符、随机数、WAPI信息元素、生存期、MIC字段；（4）TDLS初始STA接收TDLS响应帧后，按照IEEE802.11标准和WAPI标准处理数据，先验证TDLS请求帧和MIC是否正确，如果不正确，则丢弃此帧，如果正确，利用TDLS响应帧中的信息中的随机数RNonce和自己的信息中的随机数INoce，及标识符、WAPI信息元素生成一个TDLS站间主密钥，密钥与相同，最终生成密钥的一部分作为完整性校验码的密钥，一部分作为直连链路上的数据加解密所需密钥；（5）TDLS初始STA构建TDLS确认帧，TDLS确认帧中包含了标识符、随机数、WAPI信息元素、生存期、MIC字段，TDLS响应STA接收TDLS确认帧后，按照IEEE802.11标准和WAPI标准处理数据，先验证TDLS请求帧和MIC是否正确，如果不正确，则丢弃此帧，如果正确，即完成同TDLS初始STA进行的密钥协商；其中，TDLS初始STA和TDLS响应STA同AP建立基于WAPI安全关联，是按照现有WAPI标准中的WAPI关联步骤完成的；其中，WAPI信息元素是按照现有的WAPI标准中WAPI信息元素的格式定义的。