WAPI通信协议过程需要经过三个步骤.docVIP

WAPI通信协议过程需要经过三个步骤：建立链接、证书鉴别、密钥协商 建立链接 WAPI与其他安全协议的通信是一样的 证书鉴别 STA、AP提交各自证书给AS，AS验证他们的有效性后返回鉴别响应。STA和AP验证AS对响应消息的数字签名，获得验证结果，并认证AS的合法性。 具体过程： ① STA关联到AP之后，必须相互进行身份认证，先由STA将自己的证书和当前时间提交给AP，然后AP将STA的证书、提交时间和自己的证书（添加到消息中）使用自己的私钥对消息签名，构成“证书鉴别请”求协议包，发送给AS。 ② 当AS收到AP提交来的证书鉴别请求后，先验证AP的签名和证书，验证通过后进一步验证STA证书，最后AS生成对STA和AP的验证结果信息，并用自己的私钥进行签名，结果发回给AP。 ③ AP对收到的结果进行签名验证，并得到对STA证书的鉴别结果，根据这一结果来决定是否允许该STA接入。同时AP需要将AS的验证结果转发给STA，STA也要对AS的签名进行验证，并得到AS对AP的认证结果，根据这一结果来决定是否接入AP。 密钥协商 单播密钥协商 单播密钥协商过程使用基密钥完成单播回话密钥的协商，建立USKSA。 组播密钥/站内密钥通告（与IEEE802.11i完全相同） 单播密钥协商成功后，或AP要更新组播密钥时，或AP接收到STAKey建立请求分组时，AP向STA发送组播密钥/站内密钥通告分组以通告组播/站内主密钥，STA作为响应。 参考文献： WAPI鉴别机制研究与实现 WAPI协议及其安全性分析 WAPI与IEEE 802.11i安全协议通信性能分析[1] 浅谈WAPI及其认证技术 一种新的WAPI认证和密钥交换协议