[发明专利]一种基于WAPI的TDLS安全保护方法

说明书

技术领域

本发明属于无线通信网络安全应用领域，设计一种无线局域网中隧道直接链接建立（TDLS：tunneled direct link setup）保护的方法，尤其涉及一种基于无线局域网鉴别与保密基础结构（WAPI：WLAN Authentication and Privacy Infrastructure）的TDLS保护方法。

背景技术

无线局域网具有部署简单、扩容性强、高带宽等性能优势，但安全问题一直是阻碍其大规模应用的原因之一。最新无线局域网的直连技术是一个发展热点，其中TDLS是实现直连的一种技术。

TDLS通过建立两个STA的直连链路，当两个STA需要进行数据交换时，TDLS使原来必须通过AP进行传输的数据通过直连链路进行传输，并且这种方法对AP完全透明，不用对原有的AP进行改动。这种方式可以有效的提高整个无线局域网的吞吐量和减轻AP的负载，并提高了两个STA之间的传输速率。

WAPI是由WAI和WPI两个过程组成，其中WAI是三元对等鉴别在无线局域网中的具体应用，不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术，而且实现了整个基础网络的集中用户管理。WPI使用了由国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密，充分保障了数据传输的安全。

利用WAPI对TDLS的链路建立过程提供保护，并生成一个密钥保护直连链路上的数据，一方面会使得直连技术具有更可靠，更安全的无线连接，另一方面也会促进我国拥有自主知识产权的WAPI标准更好的发展。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种基于WAPI的TDLS安全保护方法，以提高无线局域网中TDLS的安全。为达到上述目的，采用如下的安全方法：

一种基于WAPI的TDLS安全保护方法包括：

（1）当两个终端STA需要建立一个TDLS连接时，首先要保证两个STA都同接入点AP建立了基于WAPI的安全关联,其中一个STA作为TDLS初始STA，另一个STA作为TDLS响应STA，当TDLS初始STA要建立基于WAPI的TDLS安全关联时，先构建一个TDLS请求帧，其中包括了标识符、随机数、WAPI信息元素、生存期、MIC字段，TDLS初始STA发送TDLS请求帧给TDLS响应STA；

（2）TDLS响应STA接收TDLS请求帧后，先利用TDLS请求帧中的信息：随机数中的INoce、标识符、WAPI信息元素，和自己的信息：随机数中的RNonce，生成一个TDLS站间主密钥                                                ，最终生成密钥的一部分作为数据的完整性校验码密钥，一部分作为进行直连链路上的数据加解密所需密钥；

（3）TDLS响应STA构建TDLS响应帧，并发送TDLS响应帧给TDLS初始STA，其中TDLS响应帧包含标识符、随机数、WAPI信息元素、生存期、MIC字段；

（4）TDLS初始STA接收TDLS响应帧后，按照IEEE802.11标准和WAPI标准处理数据，先验证TDLS请求帧和MIC是否正确，如果不正确，则丢弃此帧，如果正确，利用TDLS响应帧中的信息中的随机数RNonce和自己的信息中的随机数INoce，及标识符、WAPI信息元素生成一个TDLS站间主密钥，密钥与相同，最终生成密钥的一部分作为完整性校验码的密钥，一部分作为直连链路上的数据加解密所需密钥；

（5）TDLS初始STA构建TDLS确认帧，TDLS确认帧中包含了标识符、随机数、WAPI信息元素、生存期、MIC字段，TDLS响应STA接收TDLS确认帧后，按照IEEE802.11标准和WAPI标准处理数据，先验证TDLS请求帧和MIC是否正确，如果不正确，则丢弃此帧，如果正确，即完成同TDLS初始STA进行的密钥协商；

上述方法中，TDLS初始STA和TDLS响应STA同AP建立基于WAPI安全关联，是按照现有WAPI标准中的WAPI关联步骤完成的；WAPI信息元素是按照现有的WAPI标准中WAPI信息元素的格式定义的。

TDLS的各种帧结构，除了新增加的安全信息，还包括TDLS请求帧，TDLS响应帧和TDLS确认帧帧体数据部分内容（帧体数据按照IEEE802.11标准定义），本方法不会对这些数据进行修改。