基於wapi的無線網狀網的認證方法

2023-05-23 05:35:31 2

專利名稱：基於wapi的無線網狀網的認證方法
技術領域：
本發明涉及移動通信領域，特別涉及一種無線網狀網中的認證方法。
背景技術：
網絡通信技術的日益發展為人們可以自由地獲得網絡資源提供了便利，然 而，這種自由獲取網絡資源的方式，對安全性提出了更高的要求，安全性保障 的缺失將使得網絡非法操作的易於實施並進而影響上層通信內容的安全，影響
用戶的使用權益。
WAPI ( Wide Authentication and Privacy Infrastructure,泛適認證和保密基礎 結構)是一種實現通信節點和網絡承載節點之間的雙向認證以及保密的、適用 於主流網絡物理拓樸形態的安全體系架構，是針對目前無線區域網國際標準中 存在的各種安全缺陷、並充分考慮和兼顧無線區域網產品互通的基礎上提出的 安全性技術解決方案和規範要求，其不僅具有高效的安全鑑別機制、靈活的密
鑰管理技術，而且可以實現整個基礎網絡的集中用戶管理，^v而滿足更多用戶
和更複雜的安全性要求，是一種普遍適用型的安全架構體制。
WAPI由WAI ( WLAN Authentication Infrastructure,無線局i或網鑑別基J出 結構)和WPI ( WLAN Privacy Infrastructure,無線區域網保密基礎結構)組成， WAI負責對用戶進行身份鑑別，是實現WAPI的基礎，WPI負責對對傳輸數據 進行加密處理。WAPI由於真正實現了雙向鑑別、鑑別過程簡單易行、構建和 擴展應用便利等特點，在無線區域網中得到了廣泛應用。
在WAPI的應用中，由公信第三方(鑑別認證伺服器AS )統一為各移動終 端和無線接入點頒發證書，移動終端與無線接入點之間根據AS所頒發的證書 驗證對方的合法性，不僅無線接入點可以驗證移動終端的合法性，移動終端也 可以驗證無線接入點的合法性，以確保安全性。
無線網狀網(Wireless Mesh Network, WMN)是一種多跳、具有自組織和自愈特點的寬帶無線網絡結構，是一種高容量、高速率的分布式網絡，.與傳統
的無線網絡不同，其結合了 WLAN (單跳)和移動Ad hoc網絡(多跳)的優 點、且充分發揮了兩者的優勢的新型網絡結構形態。
參見圖1所示，是無線網狀網的網絡結構示意圖，其一般包括有三類節點 一類為僅支持網狀互聯的MP (Meshpoint, Mesh節點)，一類為支持網狀互聯 和接入站點的MAP (Mesh Access Point),還有一類為支持網狀互聯和與外網 互通的網關節點MPP ( Mesh Point with a Portal )。
由於無線網狀網是一種分布式的網絡，沒有中心點，且其各無線接入點之 間是通過無線相互連接的，是一種鬆散的連接關係，加上客戶節點一般具有移 動性，使得其極易遭受其他惡意節點的幹擾、竊聽，影響網絡通信安全，使得 安全問題成為制約無線網狀網大規模實施的問題之一 。
儘管應用於無線區域網中的WAPI具有良好的安全特性，然而，由於無線 區域網是在站點接入無線接入點後，由無線接入點直接通過有線方式連接到鑑 別認證伺服器，在通過WAPI進行安全鑑別時，是直接進行站點、無線接入點 以及鑑別認證伺服器之間的三元認證過程，而無線網狀網的網絡架構明顯要比 無線區域網複雜得多，不僅具有接入站點的MAP、支持網狀互聯和與外網互通 的網關節點MPP、還具有實現網狀互聯的MP,在具體通信時， 一次的數據傳 輸需要通過多個不同的節點，從而無法直接應用上述的三元認證過程，無法將 應用到無線區域網的WAPI直"^妾移植應用於無線網狀網中，若能夠將WAPI應 用於無線網狀網，則能夠使無線網狀網的安全性問題得到改善，現有技術中尚 未有將WAPI應用到無線網狀網的應用方案出現。

發明內容
針對上述現有技術中存在的問題，本發明的目的在於提供一種基於WAPI 的無線網狀網的認證方法，以有效地改善無線網狀網的安全'性問題。
為達到上述目的，本發明採用以下技術方案
本發明採用的第 一個方案為
7一種基於WAPI的無線網狀網的認證方法，包括步驟
第一 MAP向該第一 MAP的網關MPP發送第 一登記請求信息，所述第一 登記請求信息包括所迷第一 MAP與所述網關MPP的地址信息；
所述網關MPP向所述第一 MAP發送第 一鑑別激活信息；
所述第一MAP接收所述第一鑑別激活信息，向所述網關MPP發送第一接 入鑑別請求；
所述網關MPP接收所述第一接入鑑別請求，向鑑別認證伺服器發送第一證 書鑑別請求；
所述鑑別認證伺服器接收所述第一證書鑑別請求，構造第一證書鑑別響應， 並向所述網關MPP發送所述第一證書鑑別響應；
所述網關MPP接收所述第一證書鑑別響應，根據所述第一證書鑑別響應生 成第 一接入鑑別響應，並將所述第一接入鑑別響應向所述第一 MAP發送；
所述網關MPP與所述第一 MAP通過會話密鑰協商建立共享密鑰。
根據本發明的該方案，其可由鑑別認證伺服器統一對站點、MAP與MPP 進行證書鑑別，而無需對無線網狀網中的MP節點頒發證書以及進行證書的鑑 別，實現集中式管理，在進行證書認證過程中，可以是只進行MAP、 MPP與 l別認證伺服器三者之間、以及站點、MAP與鑑別iU正伺服器三者之間的認證 過程，在MAP與其網關MPP以及站點與MAP通過會話密鑰協商建立了共享 密鑰之後，即可以根據該共享密鑰完成數據通信過程，實現通信過程的安全性， 從而將WAPI與無線網狀網進行有機的結合。此外，在本發明的該方案中，由 於可以只在MAP與網關MPP之間、以及站點與MAP之間建立認證過程、建 立共享密鑰，而可以不對無線網狀網中的MP節點進行認證，從而在進行通信 傳輸時，僅在經過站點、MAP以及MPP時進行加解密，無論經過多少MP, 都可以不用進行加解密，加密和解密的次數較少，由加解密所引起的傳輸延時 少，iU正速度快。
本發明採用的第二個方案為一種基於WAPI的無線網狀網的認證方法，包括步驟
站點或該站點關聯的MAP向該站點的網關MPP發送登記請求信息，所述 登記請求信息包括所述站點與所述網關MPP的地址信息；
所述網關MPP向所述站點發送鑑別激活信息；
所迷站點接收所述鑑別激活信息，向所述網關MPP發送接入鑑別請求； 所述網關MPP接收所述接入鑑別請求，向鑑別認證伺服器發送證書鑑別請
求；
所述鑑別認證伺服器接收所述證書鑑別請求，構造證書鑑別響應，並將該 證書鑑別響應向所述網關MPP發送；
所迷網關MPP接收所述證書鑑別響應，根據所述證書鑑別響應生成接入鑑 別響應消息，並將所述接入鑑別響應向所述站點發送；
所述網關MPP與所述站點通過會話密鑰協商建立共享密鑰。
根據本發明的該方案，其可由鑑別認證H務器統一對站點與MPP進行證書 鑑別，而無需對無線網狀網中的MAP、 MP節點頒發證書以及進4亍證書的鑑別， 實現集中式管理，在進行證書認證過程中，可以是只進行站點、MPP與鑑別認 證伺服器三者之間的認證過程，在站點與其網關MPP通過會話密鑰協商建立了 共享密鑰之後，即可以根據該共享密鑰完成數據通信過程，實現通信過程的安 全性，從而將WAPI與無線網狀網進行有機的結合。此外，在本發明的該方案 中，可以只在站點與其網關MPP之間建立i人證過程、建立共享密鑰，而可以不 對無線網狀網中的MAP節點與MP節點進行認證，從而在進行通信傳輸時， 僅在經過站點以及MPP時進行加解密，在經過MAP以及無論經過多少MP時， 都可以不用進行加解密，加密和解密的次數少，由加解密所引起的傳輸延時少， 認證速度快。


圖l是無線網狀網的網絡結構示意圖；圖2是本發明方法實施例一的流程示意圖3是應用於本發明方法中的無線網狀網其中一種示例圖4是本發明方法實施例二的流程示意圖5是本發明方法是實例二的另一個流程示意圖。
具體實施例方式
以下針對本發明的基於WAPI的無線網狀網的認證方法的各具體實施例進 行詳細描述，在本發明所應用的方法中，鑑別認證伺服器AS與無線網狀網的 MPP通過有線方式連接。
實施例一
參見圖2所示，是本發明的基於WAPI的無線網狀網的認證方法實施例一 的流程示意圖，在本實施例中，考慮到對接入站點的認證識別可以有效防止非 法站點接入網絡，且接入站點的網關MPP是與鑑別認證伺服器直接相連的節點 設備，對網關MPP的認證識別可以有效防止非法網關節點接入網絡，而無線網 狀網中的MP節點以及MAP節點在整個的數據傳輸過程中實際上是進行數據 的轉發，因此，本實施例中僅針對在站點與MPP之間進行認證過程進行說明。
在本實施例中，是以預設MPP、 MP以及MAP之間已經建立了鏈路的連 接，並且已經形成了 MAP到MPP的路由，鑑別認證伺服器AS已經為各MPP、 站點頒發了相應的證書，這些MPP、站點也各自安裝好了由鑑別認證伺服器 AS頒發給他們的證書、且鑑別認證伺服器AS處於有線網絡中可以路由到的位 置進4iS兌明。
如圖2所示，本實施例中的方法包括步驟
步驟S101:站點向該站點的網關MPP發送登記請求信息，該登記請求信 息可包括所述站點與所述網關MPP的地址信息，該地址信息可以是MAC地址， 還可以包括安全策略、認證和加解密算法和相關參^t等信息，例如，對於安全 策略而言，是否支持WAPI等等，進入步驟S102;
10步驟S102:網關MPP接收上述登記請求信息，該網關MPP向該站點發送
鑑別激活信息，其中，該鑑別激活信息中具體可以包括鑑別激活信息標識、鑑
別認證伺服器的身份信息、該網關MPP的證書等信息，由於WAPI的鑑別過程 採用橢圓曲線籤名算法，因此，該鑑別激活信息中還可以包括ECDH (橢圓曲 線)的參數，隨後進入步驟S103;
步驟S103:站點接收上述網關MPP發送的上述鑑別激活信息，向該網關 MPP發送接入鑑別請求，該接入鑑別請求中可包括接入鑑別請求標識信息、該 站點的挑戰、該站點的密鑰數據、該站點的^t書、該網關MPP的身〗分信息、 ECDH參數以及該站點的籤名等信息，進入步驟S104;
步驟S104:所述網關MPP接收上述接入鑑別請求，鬥企查接入鑑別請求中 的MPP的身份信息是否與自己一致、ECDH參數是否與鑑別激活信息中的一 致、以及站點的籤名是否正確等等，若有任意一個不符合，則丟棄該接入鑑別 請求，若上述條件均符合，則該網關MPP向鑑別認證伺服器發送證書鑑別請求， 該證書鑑別請求中可包括地址索引、站點的挑戰、網關MPP的挑戰、站點的證 書、該網關MPP的證書等信息，進入步驟S105;
步驟S105:鑑別認證伺服器接收MPP發送的上述證書鑑別請求，對上述 證書鑑別證書請求中的站點的證書、網關MPP證書進行驗證，若無法對證書進 行驗證，則將驗證結果置為不明確或者無法驗證，若驗證通過，根據驗證結果 構造證書鑑別響應，該證書鑑別響應中包括地址索引、站點證書驗證結果、網 關MPP證書驗證結果等信息，並將該證書鑑別響應籤名後向所述網關MPP發 送，進入步驟S106;
步驟S106:所述網關MPP接收所述證書鑑別響應，檢查該證書鑑別響應 中的鑑別認證伺服器AS的籤名是否正確，若AS的籤名不正確，則可將該證 書鑑別響應予以丟棄，若AS的籤名正確，根據AS對站點的證書驗證結果， 若站點的證書驗證不成功，則網關MPP設定該站點的接入結果為不成功，若站 點的證書驗證成功，根據所述證書鑑別響應生成接入鑑別響應消息，其中，該 接入鑑別響應消息中可包括接入鑑別響應標識、該站點的挑戰、該站點的接入結果、該站點的密鑰數據、該站點的身份信息、該網關MPP的挑戰、該網關
MPP的密鑰數據、該網關MPP的身份信息以及該網關MPP的籤名等信息，並 將所述接入鑑別響應向所述站點發送，進入步驟S107;
步驟S107:所述網關MPP與所述站點通過會話密鑰協商建立共享密鑰。
在上述認證過程完成後，在之後的通信過程中，該站點與其網關MPP通過
該共享密鑰進行通信。
其中，所述網關MPP與所述站點之間通過會話密鑰協商建立的共享密鑰可 以是組播/站間密鑰與單#~密鑰同時存在，當網關MPP與站點之間建立的共享 密鑰是單播密鑰時，則上述步驟S107中通過會話密鑰協商建立單播密鑰的方 式具體可以包括
所述網關MPP向所述站點發送會話密鑰請求消息，其中，該會話密鑰請求 消息中包括單播會話密鑰請求標識、基密鑰標識、單播會話密鑰索引、以及地 址索引、網關MPP的挑戰等信息；
所述站點接收所述會話密鑰請求消息，向所述網關MPP發送會話密鑰響應 消息，其中，該會話密鑰響應消息中可以包括單播會話密鑰響應標識、基密鑰 標識、單播會話密鑰索引、地址索引、站點的挑戰、網關MPP的挑戰、站點選 擇的WAPI信息元素以及消息鑑別碼等信息；
所述網關MPP接收所述會話密鑰響應消息，向所述站點發送會話密鑰確認 消息，與所述站點建立單播密鑰，其中，該會話密鑰確認消息可以包括單播會 話密鑰確認標識、基密鑰標識、單播會話密鑰索引、地址索引、站點的挑戰、 網關MPP選擇的WAPI信息元素以及消息鑑別碼等信息。
在建立了單播密鑰後，網關MPP與站點之間還可以建立組播/站間密鑰， 即使得網關MPP與站點之間同時建立單播密鑰與組播/站間密鑰，當二者之間 建立組播/站間密鑰時，上述步驟S107中通過會話密鑰協商建立組播/站間密鑰 的方式具體可以包括
所述網關MPP向所述站點發送組播/站間會話密鑰通告消息，其中，該組播/站間會話密鑰通告消息中可包括組播/站間會話密鑰通告消息標識、組播會 話密鑰索引/站間會話密鑰索引、單播會話密鑰索引、地址索引、數字序號、密
鑰通告標識、密鑰數據以及消息鑑別碼等信息；
所述站點接收所述組播/站間會話密鑰通告消息，向所述網關MPP發送組 播/站間會話密鑰響應消息，與所述網關MPP建立組l番/站間密鑰，其中，該組 播/站間會話密鑰響應消息中可包括組播/站間會話密鑰響應消息標識、組播會 話密鑰索引/站間會話密鑰索引、單播會話密鑰索引、地址索引、密鑰通告標識 以及消息鑑別碼等信息。
其中，在站點接收到由網關MPP發送的接入鑑別響應後，驗證該接入鑑別 響應中的站點的身份是否與自己相同、網關MPP的身份與自己發送接入鑑別請 求時的身份是否相同、站點的挑戰與自己在發送接入鑑別請求時所發送的挑戰 是否相同、站點的密鑰數據是否與其發送鑑別接入請求時的密鑰數據是否相同、 以及網關MPP的籤名是否正確等等，若有任何一個條件不符合，則丟棄該接入 鑑別響應。
其中，在上述步驟中，站點向MPP發送登記請求信息的過程，實際上是預 處理過程，即該站點期望與該MPP建立i人i正連4妻關係。
上述步驟中的證書鑑別以及通過會話密鑰協商建立共享密鑰的具體過程可 與現有技術中的WAPI的方式相同，在此不予贅述。
參見圖3所示，是應用於本發明方法中的無線網狀網的一種示例圖，假設 在該網絡中，MPP、 MP以及MAP之間已經建立了鏈路的連接，並且已經形成 了 MAP到MPP的路由，各MPP、 STA已經從鑑別認證伺服器AS申請到相應 的證書，這些MPP、 STA也各自安裝好了由鑑別認證伺服器AS頒發給他們的 證書，並假設MAPI的出口網關為MPPl ， MAP2的出口網關為MPP2。下述 說明中，以需要接入網絡的站點為STA1、且STA1與MPP1之間建立的共享密 鑰為單播密鑰進行說明，需要說明的是，這種說明並不用以限定STA1與MPP1 之間只能建立單播密鑰，在STA1與MPP1建立單播密鑰的同時，還可以建立 組播/站間密鑰，使得STA1與MPP1之間單播密鑰與組播/站間密鑰同時存在。
13根據圖2中所示的方法，當STA1需要接入網絡時，可通過下述方式進行
首先，STA1接入MAP1完成關聯後，該STA1或者與STA1關聯的MAPI 向網關節點MPP1發送登記請求信息，MPP1接收該登記請求信息，向該STA1 發送鑑別激活信息，其中，該鑑別激活信息中具體可以包括鑑別激活信息標識、 鑑別認證伺服器AS的身份信息、該MPP1的證書等信息，還可以包括ECDH (橢圓曲線)的參數；
STA1接收到由MPP1發送的鑑別激活信息後，該STA1向MPP1發送接入 鑑別請求，該接入鑑別請求中可包括接入鑑別請求標識信息、該STA1的挑戰、 該STAl的密鑰數據、該STAl的證書、該MPP1的身份信息、ECDH參數以 及該STA1的籤名等信息；
MPP1接收上述接入鑑別請求後，4企查接入鑑別請求中的MPP1的身份信 息是否與自己一致、ECDH參數是否與鑑別激活信息中的一致、以及STA1的 籤名是否正確等等，若有任意一個不符合，則丟棄該接入鑑別請求分組，若上 述條件均符合，則向鑑別認證伺服器AS發送證書鑑別請求，該證書鑑別請求 中可包括地址索引、STA1的挑戰、MPP1的挑戰、STA1的證書、MPP1的證 書等信息；
鑑別認證伺服器AS接收上述證書鑑別請求，對STA1以及MPP1的證書 進行驗證，若無法對證書進行驗證，則將驗證結果置為不明確或者無法驗證， 若驗證通過，根據驗證結果構造證書鑑別響應，該證書鑑別響應中包括地址索 引、STA1證書驗證結果、MPP1證書驗證結果等信息，並將該證書鑑別響應籤 名後向MPP1發送；
MPP1接收證書鑑別響應後，檢查該證書鑑別響應中的鑑別認證伺服器AS 的籤名是否正確，若鑑別認證伺服器AS的籤名不正確，則可將該證書鑑別響 應予以丟棄，若鑑別認證伺服器AS的籤名正確，根據鑑別認證伺服器AS對 STAl的證書驗證結果，若STAl的證書驗證不成功，則MPP1設定STAl的接 入結果為不成功，若STAl的證書驗證成功，根據所述證書鑑別響應生成接入 鑑別響應消息，其中，該接入鑑別響應消息中可包括接入鑑別響應標識、該STAl的挑戰、該STA1的接入結果、該STA1的密鑰數據、該STA1的身份信息、該 MPP1的挑戰、該MPP1的密鑰數據、該MPP1的身份信息以及該MPP1的籤 名等信息，並將所述接入鑑別響應向STA1發送；
隨後，STA1接收到接入鑑別響應後，MPP1向STA1發送會話密鑰請求消 息，STA1向MPP1發送會話密鑰響應消息，MPP1接收了該會話密鑰響應消息 後，向STA1發送會話密鑰確認消息，與STA1建立共享密鑰。
根據本發明的方案，僅需在站點與網關節點MPP之間建立共享密鑰，在站 點與網關節點MPP通過密鑰協商建立了共享密鑰之後，即可以根據該共享密鑰 完成數據通信過程，實現二者之間通信過程的安全性。此外，由於只在接入站 點與網關MPP之間建立共享密鑰、在二者之間建立認證過程，而可以不對其他 的MAP、 MP等節點進行認證，從而在進行通信傳輸時，可以僅在站點以及網 關MPP處進行加密和解密的過程，由加解密所引起的傳輸延時少，認證速度快。
同時，由於僅在站點與網關節點MPP之間建立共享密鑰，因此，數據傳輸 僅在經過該站點或者MPP時才需要進行一次加密和解密的過程，即使加密和解 密過程存在一定的延時，隨著網絡的增大，通過節點的轉發過程可能會造成延 時的增加，但是加密和解密的過程所造成的延時不會有明顯變化，因此，本發 明中的方法可適用於大型的無線網狀網。
在上述示例中，是以STA1的出口網關為MPP1進行說明，當網絡中有多 個MPP時，或者該STA1的默認出口網關MPP發生了改變或存在多個出口網 關時，則需要重新進行認證和建立共享密鑰，而在STA1的出口網關未發生改 變、僅僅是切換到了新的MAP時，由於STA與MAP之間並不需要建立共享 密鑰，不需要進行STA、 MAP、鑑別認證伺服器三者之間的三元認證過程，因 此，可以不用進行重新認證過程。
實施例二
參見圖4、圖5所示，是本發明基於WAPI的無線網狀網的認證方法實施 例二的流程示意圖，在該實施例中，考慮到對站點的接入節點MAP的認證識別可以有效防止非法接入節點MAP接入網絡，竊耳又站點的才幾密，因此，在本
實施例中，相對於上述實施例一而言，增加了對MAP的認證過程，具體是進 行MAP、 MPP與鑑別認證伺服器AS三者之間、以及站點、MAP與鑑別認證 伺服器AS三者之間的認證過程。
如圖4所示，是在MAP、 MPP與鑑別認證伺服器AS之間進行認證的流程 示意圖，其具體包括步驟
步驟201: MAP向該MAP的網關MPP發送登記請求信息，該登記請求信 息可包括所述MAP、以及所述網關MPP的地址信息，該地址信息可以是MAC 地址，還可以包括安全策略、認證和加解密算法和相關參數等信息，例如，對 於安全策略而言，是否支持WAPI等等，進入步驟S202;
步驟S202:網關MPP接收上述登記請求信息，向該MAP發送鑑別激活信 息，其中，該鑑別激活信息中具體可以包括鑑別激活信息標識、鑑別認證服務 器AS的身份信息、該網關MPP的證書等信息，由於WAPI的鑑別過程採用橢 圓曲線籤名算法，因此，該鑑別激活信息中還可以包括ECDH (橢圓曲線)的 參數，隨後進入步驟S203;
步驟S203: MAP接收上述網關MPP發送的上述鑑別激活信息，向該網關 MPP發送接入鑑別請求，該接入鑑別請求中可包括接入鑑別請求標識信息、該 MAP的挑戰、該MAP的密鑰數據、該網關MPP的身份信息、該MAP的證書、 ECDH參數以及該MAP的籤名等信息，進入步驟S204;
步驟S204:所述網關MPP接收上述接入鑑別請求，檢查接入鑑別請求中 的MPP的身份信息是否與自己一致、ECDH參數是否與鑑別激活信息中的一 致、以及MAP的籤名是否正確等，若有任意一個不符合，則丟棄該接入鑑別 請求，若上述條件均符合，則該網關MPP向鑑別認證伺服器AS發送證書鑑別 請求，該證書鑑別請求中可包括地址索引、MAP挑戰、網關MPP挑戰、MAP 的證書、網關MPP的證書，進入步驟S205;
步驟S205:鑑別認證伺服器接收MPP發送的上述證書鑑別請求，對上述 證書鑑別證書請求中的MAP證書、網關MPP證書進行驗證，若無法對證書進
16行驗證，則將驗證結果置為不明確或者無法驗證，若驗證通過，根據驗證結果
構造證書鑑別響應，該證書鑑別響應中包括地址索引、MAP的挑戰、網關MPP 的挑戰、MAP證書驗證結果、網關MPP證書驗證結果等信息，並將該證書鑑 別響應籤名後向所述網關MPP發送，進入步驟S206;
步驟S206:網關MPP接收所述證書鑑別響應，衝全查該證書鑑別響應中的 鑑別認證伺服器AS的籤名是否正確，若鑑別認證S^務器AS的籤名不正確， 則可將該證書鑑別響應予以丟棄，若鑑別認證伺服器AS的籤名正確，根據鑑 別認證伺服器AS對MAP的證書驗證結果，若MAP的證書-瞼證不成功，則 MPP設定MAP的接入結果為不成功，若MAP的證書驗證成功，根據證書鑑 別響應生成接入鑑別響應消息後，將該接入鑑別響應向MAP發送，其中，該 接入鑑別響應消息中可包括接入鑑別響應標識、該MAP的挑戰、該MAP的接 入結果、該MAP的密鑰數據、該MAP的身份信息、該網關MPP的挑戰、該 網關MPP的密鑰數據、該網關MPP的身份信息以及該網關MPP的籤名等信 息，進入步驟S207;
步驟S207:所述網關MPP與MAP通過會話密鑰協商建立共享密鑰。
在上述認i正過程完成後，在之後的通信過程中，該MAP與其網關MPP通 過該共享密鑰進行通信。
其中，上述步驟S207中所述網關MPP與MAP之間通過會話密鑰協商建 立的共享密鑰可以僅僅是建立單播密鑰，也可是在建立單播密鑰的同時還建立 組播/站間密鑰，當網關MPP與MAP之間建立的共享密鑰是單播密鑰時，則上 述通過會話密鑰協商建立單播密鑰的方式具體可以包括
所述網關MPP向所述MAP發送會話密鑰請求消息，其中，該會話密鑰請 求消息中可以包括單播會話密鑰請求標識、基密鑰標識、單播會話密鑰索引、 以及地址索引、網關MPP的挑戰等信息；
所述MAP接收所述會話密鑰請求消息，向所述網關MPP發送會話密鑰響 應消息，其中，該會話密鑰響應消息中可以包括單播會話密鑰響應標識、基密 鑰標識、單播會話密鑰索引、地址索引、站點的挑戰、網關MPP的挑戰、MAP選擇的WAPI信息元素以及消息鑑別碼等信息；
所述網關MPP接收所述會話密鑰響應消息，向所述MAP發送會話密鑰確 認消息，與所述MAP建立單播密鑰，其中，該會話密鑰確認消息可以包括單 播會話密鑰確認標識、基密鑰標識、單播會話密鑰索引、地址索引、MAP的挑 戰、網關MPP選擇的WAPI信息元素以及消息鑑別碼等信息。
在建立了單播密鑰後，根據應用需要，還可以在網關MPP與MAP之間可 以建立組播/站間密鑰，即使得網關MPP與MAP之間在建立單播密鑰的同時還 建立組播/站間密鑰，當二者之間建立組播/站間密鑰時，通過會話密鑰協商建 立組播/站間密鑰的方式具體可以包括
所述網關MPP向所述MAP發送組播/站間會話密鑰通告消息，其中，該組 播/站間會話密鑰通告消息中可包括組播/站間會話密鑰通告消息標識、組播會 話密鑰索引/站間會話密鑰索引、單播會話密鑰索引、地址索引、數字序號、密 鑰通告標識、密鑰數據以及消息鑑別碼等信息；
所述MAP接收所述組播/站間會話密鑰通告消息，向所述網關MPP發送組 播/站間會話密鑰響應消息，與所述網關MPP建立組播/站間密鑰，其中，該組 播/站間會話密鑰響應消息中可包括組播/站間會話密鑰響應消息標識、組播會 話密鑰索引/站間會話密鑰索引、單播會話密鑰索引、地址索引、密鑰通告標識 以及消息鑑別碼等信息。
其中，在MAP接收到由網關MPP發送的接入鑑別響應後，驗證該接入鑑 別響應中的MAP的身份是否與自己相同、網關MPP的身份與自己發送接入鑑 別請求時的身份是否相同、MAP的挑戰與自己發送的接入鑑別請求中的是否相 同、MAP的密鑰數據是否與自己發送的接入鑑別請求中的相同以及網關MPP 的籤名是否正確等等，若有任何一個條件不符合，則丟棄該接入鑑別響應。
其中，在上述步驟中，MAP向MPP發送登記請求信息的過程，實際上是 預處理過程，即該MAP期望與該MPP建立認證連接關係。
上述步驟中的證書鑑別以及通過會話密鑰協商建立共享密鑰的過程的具體 過程可與現有技術中的WAPI的方式相同，在此不予贅述。此外，在上述說明中，是以預設MAP與MPP之間經由MP進行連接進行 說明，在此情況下，由於MAP與MPP之間的通信過程是由節點MP進行轉發， 因此，在MPP向MAP發送鑑別激活信息之前，MAP需要向MPP發送登記請 求信息，實際上，在某些無線網狀網的網絡中，節點MAP與MPP之間很可能 是直接相連接，此時，MAP可不向MPP發送登記請求信息，而是與MPP完成 關聯後，由MPP向MAP發送鑑別激活信息。其中，MAP與MPP之間完成關 聯的過程可與現有技術中的相同，具體可以是
MAP向MPP發送探詢請求，MPP接收該探詢請求後，向該MAP發送探 詢響應，隨後，MAP向MPP發送鏈路驗證請求，MPP接收後向MAP發送鏈 路驗證響應，再由MAP向MPP發送關聯請求，MPP接收後向MAP發送關聯 響應，完成關耳關過程。
參見圖5所示，是本發明基於WAPI的無線網狀網的認證方法實施例三的 流程示意圖，本實施例在上述實施例二的基礎上針對站點與MAP之間的認證 過程進行說明。
如圖5所示，是在站點、MAP與鑑別認證伺服器AS之間進行認證的流程 示意圖，其具體包括步驟
步驟301:站點跟某個已接入網絡的MAP完成關聯，進入步驟S302;
步驟S302: MAP向該站點發送鑑別激活信息，其中，該鑑別激活信息中 具體可以包括鑑別激活信息標識、鑑別認證伺服器AS的身份信息、該MAP 的證書等信息，由於WAPI的鑑別過程採用橢圓曲線籤名算法，因此，該鑑別 激活信息中還可以包括ECDH (橢圓曲線)的參數，隨後進入步驟S303;
步驟S303:站點接收上述MAP發送的鑑別激活信息，向該MAP發送接 入鑑別請求，該接入鑑別請求中可包括接入鑑別請求標識信息、該站點的挑戰、 該站點的密鑰數據、該MAP的身份信息、該站點的證書、ECDH參數以及該 站點的籤名等信息，進入步驟S304;
步驟S304: MAP接收上述接入鑑別請求，檢查接入鑑別請求中的MAP的 身份信息是否與自己一致、ECDH參數是否與鑑別激活信息中的 一致、以及站任意一個不符合，則丟棄該接入鑑別請求，若上
述條件均符合，則該MAP向鑑別認證伺服器AS發送證書鑑別請求，該證書鑑 別請求中可包括地址索引、站點的挑戰、MAP的挑戰、MAP的證書、站點的 證書等信息，進入步驟S305;
步驟S305:鑑別認證伺服器AS接收MAP發送的上述證書鑑別請求，對 上述證書鑑別證書請求中的MAP證書、站點的證書進行驗證，若無法對證書 進行驗證，則將驗證結果置為不明確或者無法驗證，若驗證通過，根據驗證結 果構造證書鑑別響應，該證書鑑別響應中包括地址索引、MAP證書驗證結果、 站點證書的驗證結果等信息，並將該證書鑑別響應籤名後向所述MAP發送， 進入步驟S306;
步驟S306: MAP接收所述證書鑑別響應，檢查該證書鑑別響應中的鑑別 認證伺服器AS的籤名是否正確，若鑑別認證伺服器AS的籤名不正確，則可 將該證書筌別響應予以丟棄，若鑑別認證伺服器AS的籤名正確，根據鑑別認 證伺服器AS對站點的證書驗證結果，若站點的證書驗證不成功，則MAP設定 該站點的接入結果為不成功，若站點的證書驗證成功，根據證書鑑別響應生成 接入鑑別響應消息後，將該接入鑑別響應向站點發送，其中，該接入鑑別響應 消息中可包括接入鑑別響應標識、該站點的挑戰、該站點的接入結果、該站點 的身份信息、該站點的密鑰數據、該MAP的挑戰、該MAP的密鑰數據、該 MAP的身份信息以及該MAP的籤名等信息，進入步驟S307;
步驟S307:所述MAP與站點通過會話密鑰協商建立共享密鑰。
在上述認證過程完成後，在之後的通信過程中，該站點跟與其連接的MAP 通過該共享密鑰進行通信。
其中，上述MAP與所述站點之間通過會話密鑰協商建立的共享密鑰可以 是組播/站間密鑰與單播密鑰同時存在，當MAP與站點之間建立的共享密鑰是 單播密鑰時，則上述通過會話密鑰協商建立單播密鑰的方式具體可以包括
所述MAP向所述站點發送會話密鑰請求消息，其中，該會話密鑰請求消 息中包括單播會話密鑰請求標識、基密鑰標識、單播會話密鑰索引、以及地址
20索引、MAP的挑戰等信息；
所述站點接收所述會話密鑰請求消息，向所述MAP發送會話密鑰響應消 息，其中，該會話密鑰響應消息中可以包括單播會話密鑰響應標識、基密鑰標 識、單播會話密鑰索引、地址索引、站點的挑戰、MAP的挑戰、站點選擇的 WAPI信息元素以及消息鑑別碼等信息；
所述MAP接收所述會話密鑰響應消息，向所述站點發送會話密鑰確認消 息，與所述站點建立單播密鑰，其中，該會話密鑰確認消息可以包括單播會話 密鑰確認標識、基密鑰標識、單播會話密鑰索引、地址索引、站點的挑戰、該 MAP選擇的WAPI信息元素以及消息鑑別碼等信息。
在建立了單播密鑰後，MAP與站點之間還可以建立組播/站間密鑰，即使 得MAP與站點之間在建立了單播密鑰的同時還建立組播/站間密鑰，當二者之 間建立組播/站間密鑰時，上述通過會話密鑰協商建立組播/站間密鑰的方式具 體可以包括
所述MAP向所述站點發送組播/站間會話密鑰通告消息，其中，該組播/ 站間會話密鑰通告消息中可包括組播/站間會話密鑰通告消息標識、組播會話密 鑰索引/站間會話密鑰索引、單播會話密鑰索引、地址索引、數字序號、密鑰通 告標識、密鑰數據以及消息鑑別碼等信息；
所述站點接收所述組播/站間會話密鑰通告消息，向所述MAP發送組播/ 站間會話密鑰響應消息，與所述MAP建立組播/站間共享密鑰，其中，該組播/ 站間會話密鑰響應消息中可包括組播/站間會話密鑰響應消息標識、組播會話密 鑰索引/站間會話密鑰索引、單播會話密鑰索引、地址索引、密鑰通告標識以及 消息鑑別碼等信息。
其中，在站點接收到由MAP發送的接入鑑別響應後，驗證該接入鑑別響 應中的站點的身份是否與自己相同、MAP的身份與自己發送接入鑑別請求時的 身份是否相同、站點的挑戰與自己發送的接入鑑別請求中的是否相同、站點的 密鑰數據與自己發送的接入鑑別請求中的是否相同、以及MAP的籤名是否正 確等等，若有任何一個條件不符合，則可將該接入鑑別響應予以丟棄。其中，站點與MAP之間完成關聯的過程可與現有技術中的相同，具體可
以是站點向MAP發送探詢請求，MAP接收該探詢請求後，向該站點發送探 詢響應，隨後，站點向該MAP發送鏈路驗證請求，MAP接收後向該站點返回 發送鏈路驗證響應，再由站點向MAP發送關聯請求，MAP接收後向站點發送 關if關響應，完成關聯過程。
上述步驟中的證書鑑別以及通過會話密鑰協商建立共享密鑰的具體過程可 與現有技術中的WAPI的方式相同，在此不予贅述。
根據本實施例中的方案，僅需在站點與MAP之間、以及MAP與網關節點 MPP之間建立共享密鑰，在站點與MAP、以及MAP與MPP通過密鑰協商建 立了共享密鑰之後，即可以根據共享密鑰完成數據通信過程，實現通信過程的 安全性。此外，由於可以不對其他的MP等節點進行認證，從而在進行通信傳 輸時，可以僅在站點、MAP以及網關MPP處進行加密和解密的過程，由加解 密過程所引起的傳輸延時少，認證速度快。
同時，由於數據傳輸4又在經過該站點、MAP或者MPP時才需要進行一次 加密和解密的過程，即使加密和解密過程存在一定的延時，隨著網絡的增大， 通過節點的轉發過程可能會造成延時的增加，但是加密和解密的過程所造成的 延時不會有明顯變化，因此，本發明中的方法可適用於大型的無線網狀網。
針對上述實施例二中的實施方式，以下以一個具體的示例進行說明。參見 圖3所示，是應用於本發明方法中的無線網狀網其中一種示例圖，假設在該網 絡中，MPP、 MP以及MAP之間已經建立了鏈路的連接，並且已經形成了 MAP 到MPP的路由，各MPP、 MAP、站點已經從鑑別認證伺服器AS申請到了相 應的證書，這些MPP、 MAP、站點也各自安裝好了由鑑別認證伺服器AS頒發 給他們的i正書，並々li殳站點MAPI的出口網關為MPP1, MAP2的出口網關為 MP2。其中，在下述示例說明中，以站點為STA1、且MAP與MPP之間、以 及STA與MAP之間建立單播密鑰的過程進行說明，需要說明的是，這種說明 並不用以限定MAP與MPP之間、STA與MAP節點之間只能建立單播密鑰， MAP與MPP之間可以僅僅只是建立單播密鑰，也可以在建立單播密鑰之後還建立組播/站間密鑰，STA與MAP之間可以在建立單播密鑰之後還建立組播/
站間密鑰，使得單播密鑰與組播/站間密鑰同時存在。
根據上述實施例中的方法，當MAPI需要接入網絡進行認證時，可通過下 述方式進行
首先，MAPI向MPP1發送了登記請求信息，進行登記，，該登記請求信息 可包括MAP1、以及MPP1的地址信息，該地址信息可以是MAC地址，還可 以包括安全策略、認證和加解密算法和相關參數等信息，例如，對於安全策略 而言，是否支持WAPI等等；
MPP1向該MAPI發送筌別激活信息，其中，該鑑別激活信息中具體可以 包括鑑別激活信息標識、鑑別認證伺服器AS的身份信息、該MPP1的證書等 信息，還可以包括ECDH (橢圓曲線)的參數；
MAPI接收到由MPP1發送的鑑別激活信息後，該MAPI向MPP1接入鑑 別請求，該接入鑑別請求中可包括接入鑑別請求標識信息、該MAP 1的挑戰、 該MAP1的密鑰數據、該MPP1的身份信息、該MAP1的證書、ECDH參數以 及該MAPI的籤名等信息；
MPP1接收上述接入鑑別請求後，檢查接入鑑別請求中的MPP1的身份信 息是否與自己一致、ECDH參數是否與鑑別激活信息中的一致、以及MAP1的 籤名是否正確等等，若有任意一個不符合，則丟棄該接入鑑別請求，若上述條 件均符合，則該MPP1向鑑別認證伺服器AS發送證書鑑別請求，該證書鑑別 請求中可包括地址索引、MAPI的挑戰、MPP1的挑戰、MAP1的證書、MPP1 的證書等信息，由鑑別認證伺服器AS對MAPI以及MPP1的證書進行驗證；
鑑別認證伺服器AS接收MPP1發送的證書鑑別請求，對證書鑑別證書請 求中的MAP1證書、MPP1的證書進行驗證，若無法對證書進行驗證，則將驗 證結果置為不明確或者無法驗證，若驗證通過，根據驗證結果構造證書鑑別響 應，該證書鑑別響應中包括地址索引、MAPI證書驗證結果、MPP1證書的驗 證結果等信息，並將該證書鑑別響應籤名後向MPP1發送；
MPP1接收證書鑑別響應後，檢查該證書鑑別響應中的鑑別認證伺服器AS
23的籤名是否正確，若鑑別認證伺服器AS的籤名不正確，則可將該證書鑑別響
應予以丟棄，若鑑別認證伺服器AS的籤名正確，根據鑑別認證伺服器AS對 MAPI的證書驗證結果，若MAPI的證書驗證不成功，則MPP1設定該MAPI 的接入結果為不成功，若MAP1的證書驗證成功，根據證書鑑別響應生成接入 鑑別響應消息後，將該接入鑑別響應向MAPI發送，其中，該接入鑑別響應消 息中可包括-接入鑑別響應標識、該MAPI的才兆戰、該MAPI的4妄入結果、該 MAPI的密鑰數據、該MAP1的身份信息、該MPP1的挑戰、該MPPl的密鑰 數據、該MPP 1的身份信息以及該MPP 1的籤名等信息；
隨後，MPP1向MAPI發送會話密鑰請求消息，MAPI接收後向該MPP1 發送會話密鑰響應消息，MPP 1接收該會話密鑰響應消息後，向MAP 1發送會 話密鑰確iU肖息，與MAPI建立共享密鑰。
其中，在MAPI接收到由MPP1發送的接入鑑別響應後，驗證該接入鑑別 響應中的MAPI的身份是否與自己相同、該MPP1的身份與自己發送接入鑑別 請求時的身份是否相同、該MAP1的挑戰與自己發送的接入鑑別請求中的是否 相同、該MAPI的密鑰數據是否與自己發送的接入鑑別請求中的相同、以及該 MPP1的籤名是否正確等等，若有任何一個條件不符合，則丟棄該接入鑑別響 應。
隨後，站點STA1與MAPI完成關聯後，MAPI向該STA1發送鑑別激活 信息，其中，該鑑別激活信息中具體可以包括鑑別激活信息標識、鑑別認i正月艮 務器AS的身份信息、該MAP 1的證書等信息，還可以包括ECDH (橢圓曲線) 的參數；
STA1接收到由MAPI發送的鑑別激活信息後，該STA1向MAPI發送接 入鑑別請求，該接入鑑別請求中可包括接入鑑別請求標識信息、該STA1的挑 戰、該STA1的密鑰數據、該MAP1的身份信息、該STA1的證書、ECDH參 數以及該STA1的籤名等信息；
MAPI接收上述接入鑑別請求後，檢查接入鑑別請求中的MAPI的身份信 息是否與自己一致、ECDH參數是否與鑑別激活信息中的一致、以及STAl的籤名是否正確等等，若有任意一個不符合，則丟棄該接入鑑別請求，若上述條
件均符合，則該MAP1向鑑別認證伺服器AS發送證書鑑別請求，該證書鑑別 請求中可包括地址索引、STA1的挑戰、MAPI的挑戰、STA1的證書、MAPI 的證書等信息，由鑑別認證伺服器AS對STA 1以及MAPI的證書進行驗證；
鑑別認證伺服器AS接收MAPI發送的證書鑑別請求，對證書鑑別請求中 的STAl證書、MAPI的證書進行驗證，若無法對證書進行驗證，則將驗證結 果置為不明確或者無法驗證，若驗證通過，根據驗證結果構造證書鑑別響應， 該證書筌別響應中包括地址索引、STAl證書驗證結果、MAPI證書的驗證結果 等信息，並將該證書鑑別響應籤名後向MAPI發送；
MAPI接收證書鑑別響應後，檢查該證書鑑別響應中的鑑別認證伺服器AS 的籤名是否正確，若鑑別認證伺服器AS的籤名不正確，則可將該證書鑑別響 應予以丟棄，若筌別認證伺服器AS的籤名正確，根據鑑別認證伺服器AS對 STAl的證書驗證結果，若STAl的證書驗證不成功，則MAPI設定該STAl的 接入結果為不成功，若STAl的證書驗證成功，根據證書鑑別響應生成接入鑑 別響應消息後，將該接入鑑別響應向STA 1發送，其中，該接入鑑別響應消息 中可包括接入鑑別響應標識、該STAl的挑戰、該STAl的接入結果、該STAl 的密鑰數據、該STA1的身份信息、該MAP1的挑戰、該MAPl的密鑰數據、 該MAPI的身份信息以及該MAPI的籤名等信息；
隨後，MAPI向STAl發送會話密鑰請求消息，STAl接收後向MAPI發送 會話密鑰響應消息，MAPI接收該會話密鑰響應消息後向STAl發送會話密鑰 確認消息，與STAl建立共享密鑰。
其中，在STAl接收到由MAPI發送的接入鑑別響應後，驗證該接入鑑別 響應中的STAl的身份是否與自己相同、該MAPI的身份與自己發送接入鑑別 請求時的身份是否相同、該STAl的挑戰與自己發送的接入鑑別請求中的是否 相同、該STAl的密鑰數據與自己發送的接入鑑別請求中的是否相同、以及該 MAPI的籤名是否正確等等，若有任何一個條件不符合，則丟棄該接入鑑別響 應。其中，在上述示例中，是以STA1與MAPI的出口網關為MPP1進行說明， 當網絡中有多個MPP時，如果該STAl或者MAPI的出口網關節點MPP發生
了改變，則需要重新進行認證。
另夕卜，在STAl、 MAPI的網關均為MPP1的情況下，上述說明^又針對STAl 接入MAP1的認證過程進行了說明，當STAl漫遊到了 MAP2時，由於與該STAl 連接的接入節點發生了變化，則需要重新對STAl與MAP2之間進行認證並建 立共享密鑰。
其中，在上述示例說明中，是在MAP完成了認證過程、並與其出口網關 MPP建立了共享密鑰之後再接受站點的認證接入過程進行說明，根據應用需要 的不同，可以是在組網完成後向站點發送鑑別激活信息，即所有的MAP均已 與各自的出口網關MPP建立了共享密鑰後向站點發送鑑別激活信息，也可以是 在組網尚未完全完成時，即只要有一個MAP已與其出口網關MPP建立了共享 密鑰後，該MAP即可以開始向站點發送鑑別激活信息，根據應用需要的不同 可以選用不同的方式。
根據上述本發明的方案，由於僅在站點與網關節點MPP之間建立共享密 鑰，或者僅在站點與MAP之間、MAP與MPP之間建立了共享密鑰，而並不 需要針對節點MP進行認證，在數據傳輸時，無論經過多少個MP的轉發，都 只需要在站點與MPP處進行加密和解密的過程，或者是僅在站點、MAP和 MPP處進行加密和解密的過程，因此，即使加密和解密過程存在一定的延時， 由加解密過程所造成的延時也不會造成明顯的影響，在網絡規模發生變化的情 況下，由加解密過程所造成的延時也不會發生明顯變化，因此可適用於大型的 無線網狀網網絡。
以上所述的本發明實施方式，並不構成對本發明保護範圍的限定。任何在 本發明的精神和原則之內所作的修改、等同替換和改進等，均應包含在本發明 的權利要求保護範圍之內。
權利要求
1、一種基於WAPI的無線網狀網的認證方法，其特徵在於，包括步驟第一MAP向該第一MAP的網關MPP發送第一登記請求信息，所述第一登記請求信息包括所述第一MAP與所述網關MPP的地址信息；所述網關MPP向所述第一MAP發送第一鑑別激活信息；所述第一MAP接收所述第一鑑別激活信息，向所述網關MPP發送第一接入鑑別請求；所述網關MPP接收所述第一接入鑑別請求，向鑑別認證伺服器發送第一證書鑑別請求；所述鑑別認證伺服器接收所述第一證書鑑別請求，構造第一證書鑑別響應，並向所述網關MPP發送所述第一證書鑑別響應；所述網關MPP接收所述第一證書鑑別響應，根據所述第一證書鑑別響應生成第一接入鑑別響應，並將所述第一接入鑑別響應向所述第一MAP發送；所述網關MPP與所述第一MAP通過會話密鑰協商建立共享密鑰。
2、 根據權利要求1所述的基於WAPI的無線網狀網的認證方法，其特徵在 於，所述網關MPP與所迷第一MAP通過會話密鑰協商建立共享密鑰具體包括所述網關MPP向所述第一MAP發送第一會話密鑰請求消息；所述第一 MAP接收所述第 一會話密鑰請求消息，向所述網關MPP發送第 一會話密鑰響應消息；所述網關MPP接收所述第 一會話密鑰響應消息，向所述第一 MAP發送第 一會話密鑰確認消息，與所述第一 MAP建立單一番密鑰。
3、 根據權利要求2所述的基於WAPI的無線網狀網的認證方法，其特徵在 於，所述網關MPP與所述第一 MAP通過會話密鑰協商建立共享密鑰的方式還 包括所述網關MPP向所述第一 MAP發送第二會話密鑰通告消息；所述第一 MAP接收所述第二會話密鑰通告消息，向所述網關MPP發送第 二會話密鑰響應消息，與所述網關MPP建立組4番/站間密鑰。
4、 根據權利要求1或2或3所述的基於WAPI的無線網狀網的認證方法， 其特徵在於，還包括第二 MAP向與所述第二 MAP完成關聯的站點發送第二鑑別激活信息；所述站點接收所述第二鑑別激活信息，向所述第二 MAP發送第二接入鑑 別請求；所述第二 MAP接收所述第二接入鑑別請求，向所述鑑別認證伺服器發送 第二證書鑑別請求；所述鑑別認證伺服器接收所述第二證書鑑別請求，構造第二證書鑑別響應， 並將該第二證書鑑別響應向所述第二 MAP發送；所述第二 MAP接收所述第二證書鑑別響應，根據所述第二證書鑑別響應 生成第二接入鑑別響應，並將所述第二接入鑑別響應向所述站點發送；所述第二MAP與所述站點通過會話密鑰協商建立共享密鑰。
5、 根據權利要求4所述的基於WAPI的無線網狀網的^人證方法，其特徵在 於，所述第二MAP與所迷站點通過會話密鑰協商建立共享密鑰的方式包括所述第二 MAP向所迷站點發送第三會話密鑰請求消息；所述站點接收所述第三會話密鑰請求消息，向所述第二 MAP發送第三會 話密鑰響應消息；所述第二 MAP接收所述第三會話密鑰響應消息，向所述站點發送第三會 話密鑰確認消息，與所述站點建立單播密鑰。
6、 根據權利要求5所述的基於WAPI的無線網狀網的認證方法，其特徵在 於，所述第二MAP與所述站點通過會話密鑰協商建立共享密鑰的方式還包括所述第二 MAP向所述站點發送第四會話密鑰通告消息；所述站點接收所述第四會話密鑰通告消息，向所述第二 MAP發送第四會 話密鑰響應消息，與所述第二 MAP建立組播/站間密鑰。
7、 根據權利要求4或5或6所述的基於WAPI的無線網狀網的認證方法， 其特徵在於，在任意一個MAP均已與各自的網關MPP建立共享密鑰後，再向所述站點 發送第二鑑別激活信息；或者在有至少一個MAP已與該MAP的網關MPP建立共享密鑰時，開始向所 述站點發送第二鑑別激活信息。
8、 根據權利要求1至6任意一項所述的基於WAPI的無線網狀網的認證方 法，其特徵在於，當所述站點或者所述第一 MAP更換默認網關MPP時，分別與更新後的網 關MPP重新進4亍上述iU正過程；當所述站點或者所述第一 MAP存在多個網關MPP時，分別與各網關MPP 進行上述認證過程。
9、 根據權利要求4或5或6所述的基於WAPI的無線網狀網的認證方法， 其特徵在於，當所述接入站點切換至新MAP時，所述接入站點與該新MAP重 新進行上述認證過程。
10、 一種基於WAPI的無線網狀網的認證方法，其特徵在於，包括步驟站點或該站點關聯的MAP向該站點的網關MPP發送登記請求信息，所述 登記請求信息包括所述站點與所述網關MPP的地址信息；所述網關MPP向所述站點發送鑑別激活信息；所述站點接收所述鑑別激活信息，向所述網關MPP發送接入鑑別請求； 所述網關MPP接收所述接入鑑別請求，向鑑別認證伺服器發送證書鑑別請求；所述鑑別認證伺服器接收所述證書鑑別請求，構造證書鑑別響應，並將該證書鑑別響應向所述網關MPP發送；所述網關MPP接收所述證書鑑別響應，根據所述證書鑑別響應生成接入鑑 別響應消息，並將所述接入鑑別響應向所述站點發送；所述網關MPP與所述站點通過會話密鑰協商建立共享密鑰。
11、 根據權利要求10所述的基於WAPI的無線網狀網的認證方法，其特徵 在於，所述網關MPP與所述站點通過會話密鑰協商建立共享密鑰的方式包括所述網關MPP向所述站點發送第一會話密鑰請求消息；所述站點接收所述第一會話密鑰請求消息，向所述網關MPP發送第一會話 密鑰響應消息；所述網關MPP接收所述第 一會話密鑰響應消息，向所述站點發送第 一會話 密鑰確認消息，與所述站點建立單播密鑰。
12、 根據權利要求11所述的基於WAPI的無線網狀網的i人證方法，其特徵 在於，所述網關MPP與所述站點通過會話密鑰協商建立共享密鑰的方式還包 括所述網關MPP向所述站點發送第二會話密鑰通告消息；所述站點接收所述第二會話密鑰通告消息，向所述網關MPP發送第二會話 密鑰響應消息，與所述網關MPP建立組播/站間密鑰。
13、 根據權利要求10或11或12所述的基於WAPI的無線網狀網的認證方 法，其特徵在於，當所述站點更換默認網關MPP時，與更新後的網關MPP重新進行上述認 證過程；當所述站點具有多個網關MPP時，分別與各網關MPP進行上述i人i正過程。
全文摘要
一種基於WAPI的無線網狀網的認證方法，其在站點、MPP和鑑別認證伺服器間或者MAP、MPP與鑑別認證伺服器間和站點、MAP與鑑別認證伺服器間進行證書鑑別，在站點與MPP之間或者MAP與MPP之間和站點與MAP之間建立共享密鑰。本發明將WAPI與無線網狀網實現有機的結合，由鑑別認證伺服器統一實現集中式管理，站點或者MAP、MPP以及鑑別認證伺服器可以通過三元認證過程完成對站點的證書鑑別過程、建立共享密鑰，從而可以根據該共享密鑰完成數據通信，實現通信過程的安全性。此外，本發明僅在站點或者MAP以及網關MPP處進行加密解密過程，而不對MP節點進行鑑別認證，傳輸延時少，認證速度快。
文檔編號H04W88/16GK101442749SQ20081022000
公開日2009年5月27日 申請日期2008年12月15日 優先權日2008年12月15日
發明者吳月輝, 周紹午 申請人:廣州傑賽科技股份有限公司