無線區域網鑑別與保密基礎結構單播密鑰協商方法及系統的製作方法

2023-12-02 14:48:31 1

專利名稱：無線區域網鑑別與保密基礎結構單播密鑰協商方法及系統的製作方法
技術領域：
本發明涉及無線區域網(Wireless Local Area Networks,簡稱WLAN), 尤其涉及一種無線區域網鑑別與保密基礎結構中的單播密鑰協商方法及系統。
背景技術：
無線區域網作為寬帶無線IP (Internet Protocol,網際網路協議)網絡的 一種典型的實現形式，是指採用無線傳輸媒介的計算機區域網路，它能在難 以布線的區域進行通信，是傳統有線區域網的重要補充。無線區域網技術是 計算機網絡技術與無線通信技術相結合的產物，具有支持移動計算、架構靈 活快捷、維護所需費用較低和可擴展性好等優點，為通信的移動化和個人化 提供了手段。
隨著全球信息化的逐步深入，網絡安全的重要性越來越明顯，因為信息 丟失、缺損和洩漏所造成的損失額度之大遠遠超出了人們的預測，因此各國 均將網絡信息安全提升至國家安全戰略的位置。
現有技術中的WAPI (無線區域網鑑別與保密基礎結構)是一種提高無 線區域網的安全性的機制。WAPI將基於三元對等鑑別的訪問控制方法應用 於無線區域網技術領i戈，以保障合法客戶端通過合法接入點接入網絡，並實 現客戶端和接入點間的保密通信。
WAPI由無線區域網鑑別基礎結構(WAI)和無線區域網保密基礎結構 (WPI)兩部分組成。
WAI是實現無線區域網中的身份鑑別和密鑰管理的安全方案，用於完 成STA (STAtion,無線站點)和AP (Access Point,接入點)之間、STA 和STA之間的雙向身份鑑別，並協商建立安全關聯。其中，安全關聯包含
>BKSA (基密鑰安全關聯)是證書鑑別過程協商的結果、或通過預 共享密鑰(PSK)導出的結果；其中包含BK(基密鑰)、BK/BKSA的生存
期等參數；
> USKSA (單播密鑰安全關聯)是單播密鑰協商(基於BK協商)的 結果；其中包含USK (單播密鑰)、USK/USKSA的生存期等參數；
> MSKSA (組播會話密鑰安全關聯)是組播密鑰通告的結果；其中 包含MSK (組播會話密鑰)、MSK/MSKSA的生存期等參數；
>STAKeySA (站間密鑰安全關聯)是站間密鑰通告的結果，其中包 含STAKey (站間密鑰)等參數。
WPI是用於實現無線區域網中數據傳輸保護的安全方案，包括使用WAI 過程中協商出的各密鑰進行數據加密、數據鑑別和重放保護等功能。
在WAPI中，採用兩種方式導出BK,分別是在證書鑑別過程中協商、 或由預共享密鑰直接導出。導出BK後，通信雙方(例如，STA和AP)可 以使用BK進行單播密鑰(USK)的協商，單播密鑰協商完畢後，通信雙方 使用單播密鑰進行數據的傳輸保護。
由此可見，單播密鑰的安全性是WPI的基礎，而單播密鑰的安全性又 取決於以下兩個方面 一是BK導出方法的安全性；二是單播密鑰協商方法 本身的安全性。
圖l是現有技術中的單播密鑰的協商方法流程圖，包括如下步驟 101: AP向STA發送單播密鑰協商請求分組；
單播密鑰協商請求分組中包含BKID、 ADDID和A等參數，其中
BKID為AP和STA先前協商得到基密鑰BK的標識符；
ADDID由AP和STA的MAC (Media Access Control,介質訪問控制) 地址組成；
Ni為AP生成的隨才幾數。
102:接收到單播密鑰協商請求分組後，STA生成隨機數N2，然後計算Key=KD-HMAC-SHA256(BK，ADDIDHNtlpsyString);其中
BK為上述BKID所標識的基密鑰；KD-HMAC-SHA256為基於SHA256 算法的HMAC (Hashed Message Authentication Code,散列信息認證碼)算 法，也就是一種帶密鑰(以BK為密鑰)的HASH (哈希)算法；String為 一預先設置的字符串，當前標準中為 "pairwise key expansion for unicast and additional keys and nonce" ; "|卩，表示字符串連接操作，"ADDIDIINillN^String" 為KD-HMAC-SHA256算法所使用的字符參數。
計算得到Key後，STA將其中的一部分(例如，前16個字節)作為單 播密鑰USK。圖1中以T (.)表示從Key中提取(或稱為截取)部分字符串 的操作。
103: STA向AP發送單糹番密鑰協商響應分組； 單播密鑰協商響應分組中包含BKID、隨機數N2等參數。 104: AP接收到單播密鑰協商響應分組後計算
Key-KD-HMAC國SHA256(BK，ADDIDIIN』N2llString),並從中提取USK。 105: AP向STA發送單播密鑰協商確認分組，結束單播密鑰的協商流程。
由以上流程可知，WAPI的單播密鑰協商過程使用的密鑰算法參數中的 字符參數以明文方式傳遞並直接使用(Sting雖沒有傳遞，但該參數為公開 參數)，極大地減弱了密鑰協商的安全性，尤其是在採用預共享密鑰導出基 密鑰BK的情況下，無線區域網的安全性較差。

發明內容
本發明所要解決的技術問題是，克服現有技術的不足，提供一種可提高 無線區域網安全性的單播密鑰的協商方法及系統。
為了解決上述問題，本發明提供一種無線區域網鑑別與保密基礎結構單 播密鑰協商方法，通信節點A和通信節點B協商得到基密鑰BK後，該方 法包括
通信節點A生成隨機數sx,計算PX= gsx(mod P),並將PX包含在單播密鑰協商請求分組中發送給通信節點B;
接收到單播密鑰協商請求分組後，通信節點B根據其生成的隨機數sy 計算KKPX)sy(modP),並根據K生成字符參數Str，以BK為密鑰參數、Str 為字符參數採用散列信息認證碼HMAC算法生成單播密鑰USK，並將PY 包含在單播密鑰協商響應分組中發送給通信節點A,其中，PY=gsy(modP);
接收到單播密鑰協商響應分組後，通信節點A計算K=(PY)sx(mod P), 並根據K生成字符參數Str，以BK為密鑰參數、Str為字符參數採用上述 HMAC算法生成單播密鑰USK;
其中，P為通信節點A和通信節點B預先設定的大質數，g為預先設定 的小於P的正整數。
此外，所述HMAC算法為KD-HMAC-SHA256算法；通信節點A和通 信節點B採用如下方式生成所述單播密鑰USK:
計算Key= KD-HMAC-SHA256(BK， Str);
從Key中截取16位元組作為所述單播密鑰USK。
此外，採用HMAC算法生成單"t番密鑰USK後，通信節點A和通信節點 B從所述Key中選取L個比特，組成長度為L比特的新的g值。
此外，所述單播密鑰協商響應分組中包含底數參數更新標識，該標識用 於指示更新後的g值的比特長度範圍；
通信節點A計算得到所述單播密鑰USK後，根據所述底數參數更新標 識確定所述L值，並向通信節點B發送單播密鑰協商確認分組；所述單播 密鑰協商確認分組中包含所述L值；
接收到單播密鑰協商確認分組後，通信節點B將g值更新為長度為L 比特的新值。
此外，通信節點A和通信節點B採用如下方式生成字符參數Str:
Str=T(K);或
Str= T(K)||String;或
Str= ADDIDII T(K川String;其中，T(K)表示從K對應的字符串中截取預先設定的長度的字符串，II 表示字符串連接操作，String為通信節點A和通信節點B預先設定的字符串； ADDID由通信節點A和通信節點B的介質訪問控制地址對應的字符串連接 而成。
此外，所述通信節點A和通信節點B分別為接入點AP和無線站點 STA;或STA和AP;或AP和AP;或STA和STA。
本發明還提供一種無線區域網鑑別與保密基礎結構單播密鑰協商系統， 該系統包含通信節點A和通信節點B,通信節點A中設置有密鑰生成單 元A和通信單元A,通信節點B中設置有密鑰生成單元B和通信單元B, 其中
所述密鑰生成單元A用於生成隨機數sx，計算PX= gsx(mod P),並將 PX包含在單播密鑰協商請求分組中，通過通信單元A發送給所述通信節點 B;
所述密鑰生成單元B用於在通過通信單元B接收到所述單^^密鑰協商 請求分組後，根據生成的隨機數sy計算K-(PX)sy(modP),並根據K生成字 符參數Str,以BK為密鑰參數、Str為字符參數釆用HMAC算法生成單播密 鑰USK,並將PY包含在單播密鑰協商響應分組中，通過通信單元B發送給 所述通信節點A,其中，PY= gsy(modP);
密鑰生成單元A還用於在通過通信單元A接收到單播密鑰協商響應分 組後，計算K氣PY)sx(modP)，並^4居K生成字符參數Str,以BK為密鑰參 數、Str為字符參數採用上述HMAC算法生成單播密鑰USK;
其中，P為通信節點A和通信節點B預先設定的大質數，g為預先設定 的小於P的正整數；所述BK為所述所述通信節點A和通信節點B使用的 基密鑰。
此外，所述HMAC算法為KD-HMAC-SHA256算法；所述密鑰生成單 元A和密鑰生成單元B釆用如下方式生成所述單播密鑰USK:
計算Key= KD-HMAC-SHA256(BK, Str);從Key中截取前16位元組的長度作為所述單播密鑰USK。
此外，採用HMAC算法生成單糹番密鑰USK後，所述密鑰生成單元A和 密鑰生成單元B還用於從所述Key中選取L個比特，組成長度為L比特的 新的g值。
此外，所述通信節點A和通信節點B分別為AP和STA;或STA和 AP;或AP和AP;或STA和STA。
綜上所述，AP和STA協商生成了相同的單糹番密鑰USK，並且生成USK 所用的關鍵參數之一 K值是採用Diffie-Hellman算法的原理秘密協商得到 的。這樣，即使基密鑰BK被洩露，AP和STA協商得到的單播密鑰也具有 較高的安全性。此外，本發明通過更新底數參數g,進一步增強了單播密鑰 協商方法的安全性。


圖l是現有技術中的單播密鑰的協商方法流程圖2是本發明實施例單播密鑰的協商方法流程圖3是本發明實施例無線區域網鑑別與保密基礎結構單播密鑰協商系 統結構示意圖。
具體實施例方式
本發明的核心思想是，在進行單播密鑰的協商時，通信雙方分別生成 Diffie-Hellman算法所使用的臨時公鑰PX和PY，並交換PX值和PY值；然 後分別^f吏用對應的臨時私鑰sx和sy、採用Di伍e-Hellman算法的原理生成相 同的單播密鑰字符參數，並使用基密鑰BK和該單播密鑰字符參數，採用 HMAC算法生成單糹番密鑰。
下面將結合附圖和實施例對本發明進行詳細描述。
圖2是本發明實施例單播密鑰的協商方法流程圖，本實施例中的通信雙 方(通信節點A和通信節點B )分別為AP和STA,在AP和STA通過證書鑑別過程協商得到基密鑰BK、或通過預共享密鑰直接導出BK後，由AP 發起單播密鑰的協商流程；該方法包括如下步驟
201: AP採用與STA預先協商設置的Diffie-Hellman算法參數P和g， 以及AP生成的隨機數sx,計算PX = gsx(mod P);
其中，P和g為整數，且P〉g; mod表示取模運算。
為了提高安全性，P通常為大質數，因此可以將P稱為Diffie-Hellman 算法的質數參數，而將g稱為Di迅e-Hellman算法的底數參數。
202: AP向STA發送單播密鑰協商請求分組；
單播密鑰協商請求分組中包含BKID和PX等參數。
203:接收到單播密鑰協商請求分組後，STA生成隨機數sy,並計算單 播密鑰字符參數K氣PX)sy(modP);然後使用BKID所對應的基密鑰BK作為 密鑰參數、以K作為字符參數，採用HMAC算法(例如KD-HMAC-SHA256 ) 生成單播密鑰USK。
例如，可以採用如下子步驟生成單播密鑰USK:
203a:計算Key=KD-HMAC-SHA256(BK， K);
203b:從Key中提取16個字節(例如前16個字節)作為單播密鑰USK。
204: STA計算PY = gsy(mod P)，並向AP發送單播密鑰協商響應分組；
單播密鑰協商響應分組中包含BKID, PY等參數。
可選的，單播密鑰協商響應分組中還可以包含底數參數更新標識，該標 識用於指示AP是否應在本次生成單播密鑰後更新底數參數g。例如當底 數參數更新標識的值為0時，表示不更新底數參數；當底數參數更新標識的 值為1時，表示更新底數參數。
此外，底數參數更新標識還可以用於指示更新後的底數參數g的位數或 位數的範圍。例如當底數參數更新標識的值為0時，表示不更新底數參數； 當底數參數更新標識的值為1時，表示更新後的底數參數g為長度為8~ 10 比特的值；當底數參數更新標識的值為2時，表示更新後的底數參數g為長 度為11 ~ 13比特的值，以此類推。STA可以根據本地的計算能力和對安全性的要求設置底數參數更新標 識的值，即設置是否更新底數參數g以及更新後的位數。
205:接收到單播密鑰協商響應分組後，AP計算單播密鑰字符參數K'-(PY)sx(mod P);然後採用與步驟203相同的算法生成單播密鑰USK'。
需要注意的是，根據模運算的規則可知，由於
K'= (PY)sx(mod P)
=(gsy(modP))sx(modP)
=(gsy x sx)(mod P)
=(gsx)(modP)sy(modP) =(PX)sy(modP)=K; 因jt匕，USK'=USK。
206: AP根據單播密鑰協商響應分組中攜帶的底數參數更新標識判斷是 否需要更新底數參數g,並根據本地的計算能力和對安全性的要求判斷是否 支持STA的底數參數更新要求；如果支持，則AP在確定更新後的底數參數 g的位數後，按照預先設置的規則從計算得到的Key值(以二進位表示)中 選取對應個數的比特值組成新的底數參數g。
207: AP向STA發送單^番密鑰協商確認分組；
單播密鑰協商確認分組中可以包含底數參數更新確認標識，該標識用於 表示是否已更新底數參數g,並可以進一步表示更新後的底數參數g的位數。 例如
當底數參數更新確認標識的值為0時，表示未更新底數參數，當底數參 數更新確認標識的值為1時，表示已更新底數參數；或者當底數參數更新 確認標識的值為0時，表示未更新底數參數，當底數參數更新確認標識的值 為9時，表示更新後的底數參數g的長度為9比特，以此類推。
208:接收到單播密鑰協商確認分組後，STA根據底數參數更新確認標 識採用與AP相同的方式對底數參數g進行更新。綜上所述，採用以上步驟，AP和STA協商生成了相同的單播密鑰USK, 並且生成USK所用的關鍵參數之一 K值是採用Diffie-Hellman算法的原理 秘密協商得到的。這樣，即使基密鑰BK被洩露(這在採用預共享密鑰的情 況下較容易發生)，AP和STA協商得到的單播密鑰也具有較高的安全性。
此外，通過更新底數參數g,進一步增強了本發明的單播密鑰協商方法 的安全性。
圖3是本發明實施例無線區域網鑑別與保密基礎結構單播密鑰協商系 統結構示意圖，該系統包含通信節點A和通信節點B,通信節點A中設 置有密鑰生成單元A和通信單元A，通信節點B中設置有密鑰生成單元B 和通信單元B。
通信節點A和通信節點B分別為AP和STA;或STA和AP;或AP 和AP;或STA和STA。
所述密鑰生成單元A用於生成隨機數sx，計算PX= gsx(mod P),並將 PX包含在單播密鑰協商請求分組中，通過通信單元A發送給所述通信節點 B;
所述密鑰生成單元B用於在通過通信單元B接收到所述單播密鑰協商 請求分組後，根據生成的隨機數sy計算K-(PX)sy(modP),並根據K生成字 符參數Str,以BK為密鑰參數、Str為字符參數釆用散列信息認證碼HMAC 算法生成單播密鑰USK,並將PY包含在單播密鑰協商響應分組中，通過通 信單元B發送給所述通信節點A,其中，PY=gsy(modP);
密鑰生成單元A還用於在通過通信單元A接收到單播密鑰協商響應分 組後，計算K-(PY)sx(modP),並根據K生成字符參數Str，以BK為密鑰參 數、Str為字符參數採用上述HMAC算法生成單播密鑰USK;
其中，P為通信節點A和通信節點B預先設定的大質數，g為預先設定 的小於P的正整數；所述BK為所述所述通信節點A和通信節點B使用的 基密鑰。
此外，所述HMAC算法為KD-HMAC-SHA256算法；所述密鑰生成單元A和密鑰生成單元B採用如下方式生成所述單^"密鑰USK:
計算Key= KD-HMAC-SHA256(BK， Str);
從Key中截取前16位元組的長度作為所述單播密鑰USK。
此外，採用HMAC算法生成單^"密鑰USK後，所述密鑰生成單元A和 密鑰生成單元B還用於從所述Key中選取L個比特，組成長度為L比特的 新的g值。
根據本發明的基本原理，上述實施例還可以有多種變換方式，例如
(一 )AP和STA在使用協商得到的K值對應的字符串計算Key值時， 還可以使用字符連接等處理手段對單播密鑰字符參數K進行變換，使用變 換生成的字符參數Str計算Key值，如
首先對K進行變換令Str=K||String,或令Str= ADDID||K||String,然後 再計算Key=KD-HMAC-SHA256(BK, Str)。
對K進行的變換還可以是從K中截取一部分(記作T(K)， T(')為截取 操作函數)，並將截取的部分與其它字符串進行連接操作得到Str值。上述 T(K)可以是從按順序(從前到後、或從後向前)從K對應的字符串中截取 預先設定的長度的字符串，也可以是從預先設定的比特位置從K對應的字 符串中截取預先設定的長度的字符串。
(二)除了 KD-HMAC-SHA256算法外，還可以使用其它基於SHA256 或基於其他散列算法的HMAC算法作為密鑰生成算法生成Key值。
權利要求
1、一種無線區域網鑑別與保密基礎結構單播密鑰協商方法，其特徵在於，通信節點A和通信節點B協商得到基密鑰BK後，該方法包括通信節點A生成隨機數sx，計算PX＝gsx(mod P)，並將PX包含在單播密鑰協商請求分組中發送給通信節點B；接收到單播密鑰協商請求分組後，通信節點B根據其生成的隨機數sy計算K＝(PX)sy(mod P)，並根據K生成字符參數Str，以BK為密鑰參數、Str為字符參數採用散列信息認證碼HMAC算法生成單播密鑰USK，並將PY包含在單播密鑰協商響應分組中發送給通信節點A，其中，PY＝gsy(mod P)；接收到單播密鑰協商響應分組後，通信節點A計算K＝(PY)sx(mod P)，並根據K生成字符參數Str，以BK為密鑰參數、Str為字符參數採用上述HMAC算法生成單播密鑰USK；其中，P為通信節點A和通信節點B預先設定的大質數，g為預先設定的小於P的正整數。
2、 如權利要求l所述的方法，其特徵在於，所述HMAC算法為KD-HMAC-SHA256算法；通信節點A和通信節點 B採用如下方式生成所述單播密鑰USK:計算Key- KD-HMAC-SHA256(BK， Str);從Key中截取16位元組作為所迷單播密鑰USK。
3、 如權利要求2所述的方法，其特徵在於，採用HMAC算法生成單播密鑰USK後，通信節點A和通信節點B從 所述Key中選取L個比特，組成長度為L比特的新的g值。
4、 如^5l利要求3所述的方法，其特徵在於，所述單播密鑰協商響應分組中包含底數參數更新標識，該標識用於指示 更新後的g值的比特長度範圍；通信節點A計算得到所述單播密鑰USK後，根據所述底數參數更新標識確定所述L值，並向通信節點B發送單"l番密鑰協商確認分組；所述單播-密鑰協商確認分組中包含所述L值；接收到單播密鑰協商確認分組後，通信節點B將g值更新為長度為L 比特的新值。
5、 如權利要求l所述的方法，其特徵在於，通信節點A和通信節點B採用如下方式生成字符參數Str:Str=T(K);或Str= T(K)HString;或Str= ADD網T(K)HString;其中，T(K)表示從K對應的字符串中截取預先設定的長度的字符串，II 表示字符串連接操作，String為通信節點A和通信節點B預先設定的字符串； ADDID由通信節點A和通信節點B的介質訪問控制地址對應的字符串連接 而成。
6、 如權利要求1至5中任一權利要求所述的方法，其特徵在於，所述通信節點A和通信節點B分別為接入點AP和無線站點STA; 或STA和AP;或AP和AP;或STA和STA。
7、 一種無線區域網鑑別與保密基礎結構單播密鑰協商系統，該系統包 含通信節點A和通信節點B，其特徵在於，通信節點A中設置有密鑰生 成單元A和通信單元A,通信節點B中i殳置有密鑰生成單元B和通信單元 B，其中所述密鑰生成單元A用於生成隨機數sx,計算PX= gsx(mod P)，並將 PX包含在單播密鑰協商請求分組中，通過通信單元A發送給所述通信節點 B;所述密鑰生成單元B用於在通過通信單元B接收到所述單播密鑰協商 請求分組後，根據生成的隨機數sy計算K氣PX)sy(modP),並根據K生成字 符參數Str,以BK為密鑰參數、Str為字符參數採用HMAC算法生成單播密 鑰USK,並將PY包含在單播密鑰協商響應分組中，通過通信單元B發送給所述通信節點A,其中，PY=gsy(modP);密鑰生成單元A還用於在通過通信單元A接收到單播密鑰協商響應分 組後，計算K-(PY)sx(modP)，並根據K生成字符參數Str,以BK為密鑰參 數、Str為字符參數採用上述HMAC算法生成單播密鑰USK;其中，P為通信節點A和通信節點B預先設定的大質數，g為預先設定 的小於P的正整數；所述BK為所述所述通信節點A和通信節點B使用的 基密鑰。
8、 如權利要求7所述的系統，其特徵在於，所述HMAC算法為KD-HMAC-SHA256算法；所述密鑰生成單元A和 密鑰生成單元B採用如下方式生成所述單播密鑰USK:計算Key= KD-HMAC-SHA256(BK， Str);從Key中截取前16位元組的長度作為所述單播密鑰USK。
9、 如權利要求7所述的系統，其特徵在於，採用HMAC算法生成單播密鑰USK後，所述密鑰生成單元A和密鑰生 成單元B還用於從所述Key中選取L個比特，組成長度為L比特的新的g值。
10、 如權利要求7所述的系統，其特徵在於，所述通信節點A和通信節點B分別為AP和STA;或STA和AP;或 AP和AP;或STA和STA。
全文摘要
一種無線區域網鑑別與保密基礎結構單播密鑰協商方法，通信節點A和通信節點B協商得到基密鑰BK後，通信節點A生成隨機數sx，計算PX＝gsx(mod P)，並將PX包含在單播密鑰協商請求分組中發送給通信節點B；通信節點B根據其生成的隨機數sy計算K＝(PX)sy(mod P)，並根據K生成字符參數Str，以BK為密鑰參數、Str為字符參數採用HMAC算法生成單播密鑰USK，並將PY＝gsy(mod P)包含在單播密鑰協商響應分組中發送給通信節點A；通信節點A計算K＝(PY)sx(mod P)，並根據K生成字符參數Str，以BK為密鑰參數、Str為字符參數採用上述HMAC算法生成單播密鑰USK。
文檔編號H04W28/18GK101521580SQ20091013233
公開日2009年9月2日 申請日期2009年3月25日 優先權日2009年3月25日
發明者建 劉 申請人:建 劉