技術領域

本發明涉及無線局域網領域，特別是涉及一種終端結點切換方法。

背景技術

目前無線局域網絡產品主要采用的安全措施是依據IEEE802.11美國標準，使用基于加密算法RC-4的有線等效安全(WiredEquivalent?Privacy，WEP)保密機制對數據進行加密傳輸。但是該機制已經被證實存在安全漏洞。我國寬帶無線IP標準工作組制定了無線局域網(Wireless?Local-area?Network，WLAN)國家標準GB/T?15629.11，其中公開了一種新的安全機制：無線局域網鑒別與保密基礎結構(WLAN?Authentication?and?Privacy?Infrastructure，WAPI)。WAPI機制提供了一種基于公鑰證書機制的無線局域網移動終端安全接入方法。標準中的安全機制由無線局域網鑒權組織(WLAN?AuthenticationInfrastructure，WAI)和無線局域網加密組織(WLAN?Privacy?Infrastructure，WPI)兩部分組成，WAI和WPI分別實現對用戶身份的鑒別和對傳輸的數據加密。WAI主要完成基于端口控制，證書及基于證書的鑒別訪問控制和密鑰協商；WPI完成基于國密辦算法的MSDU對稱加密。

在WAPI機制中有三種實體，分別為：終端結點(Station，STA)、訪問接入點(Access?Point，AP)和鑒別服務單元(Authentication?Service?Unit，ASU)。其中，AP分為STA當前連接的AP和目的AP，當前連接的AP擔當分組傳遞者的角色，目的AP通過當前AP與STA進行交互；ASU用于為AP和STA提供相互鑒別服務。ASU對其管理范圍內的AP和STA進行管理，并提供證書服務。

在WAPI機制下，STA和AP進行通訊之前，需要經過信道的掃描、鏈路驗證和關聯等幾個階段，而WAPI標準為了加強WLAN的安全性，在上述幾個階段的基礎上又加入了WAI的證書鑒別和密鑰協商階段。WAI的證書鑒別階段完成STA和AP接入網絡的證書認證，密鑰協商階段完成STA和AP的加密算法和加密密鑰協商。對于一個正在通話的STA來說，從當前連接的AP覆蓋區域漫游到目的AP覆蓋區域時，需要從當前連接的AP切換到目的AP，STA和當前AP斷開連接之后，到STA和目的AP建立連接之前的這段切換時間內，需要執行信道的掃描、鏈路驗證和關聯等過程，以及WAI的證書鑒別和密鑰協商過程。

圖1為WAI的證書鑒別過程流程圖，具體過程如下：

一，當STA關聯或重新關聯至AP時，首先由AP向STA發送鑒別激活以啟動整個鑒別過程，然后，由STA向AP發出接入鑒別請求，即將STA證書與STA的當前系統時間發往AP，其中系統時間稱為接入鑒別請求時間。

二，在AP收到STA接入鑒別請求后，首先記錄鑒別請求時間，然后向ASU發出證書鑒別請求，即將STA證書、接入鑒別請求時間、AP證書及AP的私鑰對它們的簽名構成證書鑒別請求發送給ASU。

三，ASU收到AP的證書鑒別請求后，驗證AP的簽名和AP證書的有效性，若不正確，則鑒別過程失敗，否則進一步驗證STA證書。驗證完畢后，ASU將STA證書鑒別結果信息(包括STA證書和鑒別結果)、AP證書鑒別結果信息(包括AP證書、鑒別結果及接入鑒別請求時間)和ASU對它們的簽名構成證書鑒別響應發回給AP。

四，AP對ASU返回的證書鑒別響應進行簽名驗證，得到STA證書的鑒別結果，根據此結果對STA進行接入控制。AP并將收到的證書鑒別響應回送至STA。

五，STA驗證ASU的簽名后，得到AP證書的鑒別結果，根據該鑒別結果決定是否接入該AP。

在證書鑒別階段的過程結束后執行密鑰協商階段的過程。密鑰協商階段的過程包括單播密鑰協商和組播密鑰協商，先執行單播密鑰協商，然后執行組播密鑰協商，其中，

單播密鑰協商過程包括以下步驟：

AP向與其相關聯的STA發送單播密鑰協商請求分組消息；

STA構造單播密鑰協商響應分組消息發往與其相關聯的AP；

AP向與其相關聯的STA發送單播密鑰協商確認分組消息。

組播密鑰協商過程包括以下步驟：

AP向STA發送組播密鑰/站間密鑰通告分組消息，告知STA組播/站間主密鑰；

STA向AP發送組播密鑰/站間密鑰響應。

單播密鑰協商和組播密鑰協商的具體過程和數據格式在WAPI實施指南中有詳細的描述。