1、res 35. 110 L 78 中华人民共和国国家标准GB 15629. 11-2003/XGl2006 信息技术系统间远程通倍和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范第1号修改单Information technology阳明Telecommunicationsand information exchange between systems呻Localand metropolitan area networks-Specific requirementsP臼rt11: Wireless LAN Medium Access ControlCMAC) an
2、d Physical Layer( PHY) specifications OSO/IEC 8802 11 :1999,如10D)Amendment 1 2006-01帽27发布中华人民共和国国家质量监督检验检班总局中国国家标准化管理委员会发布GB 15629. 112003/XG 1-2006 借息技术系统问路程通恼和倍息交换局域网和城城网特定要求篇门部分:无钱局域网媒体访问控制和物理屠规范第1号修改单前始宫E习本修改单的7.3.2.8和第81曾为强制性的,其余为推荐性的。考虑到不间安全体制的并存,本修改单对国家标准GB15629. 112003信息技术系统问远程通俗利俄息交换网域网和城城闷
3、特定要求统11部分s无线局域网媒体访问按制和物现展规部中涉及到无线局域问鉴别与保密基础结构(WAPI)的部分进行了适应性修改本修改单为GB15629. 11-2003 的然1号修改娘。本修改单中采用的WAPI机制已经ISO/IEC授权的相关机构审查获得认可,并分配了用于WA凹的以太炎型学段(EtherTypeFie!d)Ox88I悦和TCP/UDP端口号3810。本修改单修改内容说明如下:补了滔成平日满足其他安全体制在EWAPI很架下的lilZf目的内容;但一一增补了与WAPI成用和密码算法相关的接口详细定义:一一增补了相当毛文本的细化内容,便于广商望在努丑费解和监ffl;第2章巾的规范性引用
4、文件,做了增补g3尊重中的术语和定义增加了新的内容;第4章中的缩略i吾增加了新的内辛辛,5、7、8、10、11章中的WAPI相应内容作了增补,相应的图、表作Y1重新编嗲$补了附录A、附录C、附录口中的栩JL内容;添加了附录E。然中,对GB15629. 11-2003修改时涉放到的有关煮条的俄息如下:修改Gil 15629. 11 2003章条号修改说明琐号1 第2意在第2章中删除原规Wi.性引用文件中的第49项,并增加新规范性引用文件2 第3尊重在第3i在中增加新项阴3 第4章夜第4直在中增加新项目4 5 4 3. 1 在5,4. 3. 1内容之后增加新内容5 5.4.3.1.1 删除饿条6
5、5, 43. 3 在E5. 4 . 3. 3内容之后增加新内容7 5. 4 3. ! 对5.4.3.4的内容进行替换8 5.5 开才5.5的内容激行榜换GB 15629. 11-2003/XGl-2006 修改GB 15629.11 2C03章最号修改说明项号9 5. 7.5 对5.7. 5的内容进行替换10 5” 7 6 对5.7.6的内理事i赴衍辛苦担起11 5.8 对5.8的朋11进行替换12 第5意在5.8内容之后增加5.913 6. I 我6.I. 3内容之1酋增加6.I. 4 14 7, I, 3. I 对7.1.3.1中7.L3.l.l之前的内容进行替换15 7.1.3.1.9
6、对7.1.3.1.9进行替换16 7. 2. 3. I 夜7,2. 3.1的,丧5中增加新项目17 7. 2, 3 4 在7.2. 3. 4的表7中增加新项目18 7.2.3.6 在7.2. 3. 6的适量9中增加新项目19 7. 2 3. 6 校7.2. 3. 6的表9中增加新项目20 7. 2. 3. 9 在7.2.3.9的表12中增加新项目21 7.3.1.4 对7.3.1.4的内容激行榜换22 7, 3, I, 7 在7.3.1.7的表17中增加新项目23 7.3.1.9 在7.3.1.9的表18中增加新项目24 7. 3 2 夜7,3. 2的税19中增加新观阴25 7.3 2 在7.
7、3. 2. 7内容之后增加新内容26 鳞8i在对第8擎的内容进行替换27 10.3.4 对10.3.4的内容进行替换28 10.3.5 对10.3,5的内容进行替换29 10.3.6 对10.3. 6的内容激行替换30 10,3, 7 对10.3. 7的内睿进行替换31 10.3 10 在10.3 10之后增加10.3. 11、10.3.12、10.3,13、10.3, 14、10.3.15:iz 11. a 对11.3的内称进行替换33 11. 4 对11.4的内容进行替换34 A4. 4. 1 对A.4. 4.1的PCl、PC2与PC3项目进行替换35 A. 4. 4.1 删除A.4. 4
8、.1的PC336 第C,2章在第c.2章中的第一张图前增加新文本37 第c.2康对第c.2 i宫中因“3102DLmeEnum(31)”进行替换38 第c.2 j宫对第c.2草草中因“3104_dStationData ( 31户进行事事换39 第C.2章对第c.2章中因“3115_dDefragment(31)”进行替换40 第C.2章对声在C.2适量巾朗“3117_dFrame_1(31)进行替换41 第C.2意对第C,2章中朗“3119_dFrame_3(31)”进行替换Il GB 15629. 112003直G12006修改GB 15629. U. 2003意揍号修盖住说明现号42 贵
9、在心。21挺对直在c.2贯重申因“3120_dFrame4(31)”她行榜换43 多蒋C.2:ii量对第c.2谢中图“GetElem_la (1)”放行榜换44 第C.2重量对第c.2囊中图“312LdFrameType(31)进行榜拽45 第C,2意对第c.2章中即“320l_d StationConfig( 5)”进行替换46 第c.2章对第巳2章中图“3202_dhiv0perntion(5)”进行替换47 第c.3章在第c.3章中的第一张阁前增加新文卒48 第c.3章对第c.3章中图“Station_lb(3)”迸行替换49 第C.3章对第巳3章中因“Sta_signals_2d(3)
10、”进行替换50 声在C3数对第C.3掌中自目“自ta_signallis阳3c(3)”进衍替换51 第C.3嫩对声在C.3露中悟到“Sta血Mpdu_gen_la(l)”放行替费是52 第c.3 l辑对第C.H震中院副“prepare_!b(2)”激行辛辛樵53 第c.3意对第C.3京中阔“Fragment_2b(2)”激行替损54 第c.3章对第C.3意中朗“rx_coord_2b(4)”进行替换55 第C.3章对第C.31在中图“rx_coord3b( 4)”进行替换56 第c.3章对第C.3章中盼“rxcoord_3.la(4)”进行替接57 第C.3章对第c.3章中图“MaMgmt_l
11、a(l)”进行替换58 第c.3擎对第C.3章中囱“Mibaccess la(2)”进行替串起59 第CS擎对第c.3量在中囱“Mibimportexport_2b(2)”施行辛辛换60 鳞c.3 :i挥对贵在c.3激中图“Mimerequest lb(3)”激行替换61 童在c.3意对策C.3激巾网“Mlme_request_3a(3)”激行替换62 第C.3意对贵在E二3j靠中网“MLME_la(!户进行替换63 第C”3直在对第c.3置在中因“p凡monitor(2)”进行替拽一64 第c.3章对第C.3章中阁“ps_monitor_2a(2)进行替换65 第C.3章对第C.3章中因“s
12、ta_Mm_svc!b(2)”进行替换66 第c.3章对第c.3章中因“staMm_svc_I. la(2)”进行替换67 第c.3章对第c.3 i靠中阁“mtnpdu_svc_l.1 b(2)”进行替换68 绑C.3章对第C.3章中白白“Auth.tcq_la(2进行管换69 第巳31靠对第c.3章中阁“Deauth_2a(2)”进行辈辈换70 贵在C3 j挺对娘已3意中图Auth_rsp_Jb(2)进行榜换71 多在(飞3激夜第c.3吉普中阁Auth_rsp_l b(2)”之隔.1苗入m“auth_rsp_2b(2)”72 第c.3意对第c.3章中图“receive._la(l)进行替换7
13、3 第C.3章对第c.3章中图“nav_cl臼r_lb(2)”进行替换74 第c.3章对第c.3章中图“start_rx_lbC2)”进行替换III GB 15629. 11 2003/XGl 2006 修改GB 15629, 112003章条号修改说明琐与普75 第c.3章对第c.3章中囱“Validate_rx_2c(2)”进行替换76 第c.3晴E对声自c.3激中阁“pre_filter_ld(4)”激行替换77 第C,3章对第c.3章中图“report_rx_4a(4)”进行替换78 第c.3章在第c.3章中图“report_rx_4a( 4)”之后,插入图“白It时1b(3)” 79
14、 第C.3舷时第c.3 :i营中囱“defragment_3c(3)”进行榜换80 第C.4章在第C.4章中的第一张团前增加新文本吨81 第巳.4驾E对第C.4章中倒“AP_lb(3J”进行替换82 第c.4驾E对第C.4量宫中图“AP_signals_2d3)”激行替换83 第C.4章对第C.4章中图“AP_signallists_3b( 13)”进行替换84 然c.4徽对声在C.41挥中因“ap_MPDUgen_la(l)”迹行静挨85 第c.4章对第c.4章中朗“prep盯e_lb(2)”进行替换86 第C.4章对第c.4章中因“fragment_2b(2)”进行替换87 声自C.4唱段
15、对第C.4直挥中朗“rx_coord_2b(4)”泼行事事换88 第C.4意对第c.4章中00rx_ccord_3b(4)”进行替换89 第C.4章对第c.4掌中图“rx_ccord_3.la(4)进行替换90 第c.4 j曾对声自c.4尊配中因“Mac_Mgmt_la(l)”泼行辈辈换91 第C,4章对第c.4章中图“Mlme_indicate_la(I)”进行替换92 第c.4掌对第c.4章中因“Mib_acc的s_la(2)”进行替换93 第c.4意对贵在c.4责怪中朗“Mib. .impor(.export_2b(2)”进行替换94 第C.4章对第c.4章中图“Mime白request
16、_lb(3)”进行替换95 第c.u重对第c.4谢中盼“Mimerequest叩3a(3)”进行带换96 第C.4意对第C.4在中因“ap_MLME_Ja(I)进行替换97 第C.4章对第C.4章中图“psmonitor_la(2)进行替换98 第c.4激对幸自c.4 j靠中朗“ps_monitor_Za(2)”进行替换99 第C.4章对第C.4意中阁“apMm svc lb(!)”进行替换100 第巳4章对第c.4尊宫中因“ap_aTS帧梭验序列位睦MSDU I l流9 GB 15629. 11-2003/XG1-2006 14. 7. 1. 3. 1中7.1.3.1.l之前的内容替换为:帧
17、控制学段包含以下子字段g协议版本、类划、子类割、法往DS、米自DS、多分段标记、鳖传、功率管坝、多数据称记、帧保护你识及体序。帧按制字段的格式如朗13所示。BO B!B2 B3日4日7B8日9BIO Bl! 日12Bl3 Bl4 B!S 协议版本比特数2 3靠外段攒划子拨到到DSI束自DSI撒传标识4 因13帧控制字段15. 7.1.3.1.9替换为:7.1.3.1.9 帧保护串串识字段;飞寸甘排序帧保护标识字段长度为1比特。如果帧体中包含的信息经密码算法处理并封装,此¥段值置为l。此学般的住在仅在数据帧巾问被驾驶为l,j主他突烈的帧中此气f:l11!:ii堂为0。16.狡7.2. 3. 1的
18、农5巾增加以下项:表5倍标帧体顺序俗血i备注22 I WAPI f商息JC素I WAPI衔,由、元数字段仅在周用WAPI机制的STAI成的依标帧中刨食17.在7.2. 3. 4的表7中增加以F项:表7关联请求帧体顺序f吉思备注WAPI 信息元素I WAPI 信息元素字段仅在启用WAPI机制的STA!.成的关联请求帧中创市18.在7.2. 3. 6的表9中增加以下项:袋9重新关联请求帧体顺序f富忠、备泼JO I WAPI信息元素I WAI!信息元素字段仅在启用WAPI机制的STAE成的轰新关联请求帧中包含19.在7.2. 3. 6的表9中增加以下项表93重新关联请求帧体顺序商,!,备泼10 I
19、WAPI信息元素I WAPI信息元素字段仅在启用WAPI机制的STA生成的重新关联请求帧中但古20.在7.z. 3. 9的表12中增加以下项:袋12撩询晌应帧休川m1 筒J息备It22 I WAPI信息元素I WAPI信息元素字段仅在启用WAPI机制的町A生成的探询响应帧中包含23a | 请求依息元紫锐询消求帧的请求俗息兑擎10 GB 15629. 11-2003/XGl-2006 21. 7.3.1.4的内容替换为:能力富息?段包括用来指示请求或广播能力的多个子学段。该字段长度为2个八位位组,包括日SS、IBSS、CFPollable、CFPoll请求和保锁子字若是,其余子字131:为保留。
20、能力似忠字段将革时日!羽27所示。日4日5B15 人位位组敬阁27能力情思阂.lE学段又在管理帧于类型旦中才解释每个能力信息子字段,以定义传输规则。我发送的然你探询响应帧咐,APt结曼史巨SSi学段沟1.IBSS ESS子字段为O,IBSS子字段为1。为O;iJjj IBSS的STAt盘里更日rA根扬我15设置是关联和2鼓掌关耳其请求?辈革理帧的CF-Pollable利CF“Poll请求子学段。表15STA对CF-Pollable子字段和CF-Poll请求子字段的用法CF Pollable CFPoll 请求吉义。S丁A:fiJ斗卡CF“Pollable。I STA为CF-Pollable,没
21、有请求放置于CF-Polling列表中。们吨A为CFPollable,请求放置于CFPolling列表中I I ST八沟CFPollable,请求从不被轮棉AP根据表16设景言标、探询响戚、关联响成和重新关联响应络管现帧的CFPollable和CFPoll 请求子学段。AP将关联响应和:教新关联l呐!监管理帧的CFPollable和C俨Poll请求子宇:段的俄设堂为与AP发放的最后的f商标或探询响应帧中的宦相同。袋16AP对CF-Pollable子学段和CF-Poll请求子学段的用法CF-Pollahle CF Poll请求f主义。AP上无点协调器。AP上的点协调器仪附于交付(非轮询1 。AP
22、上的点协调器用于交付和轮询1 1 保留直n展对日SS中交攘的所有数t悟茨坦型的帧应用tJ日密保护,AP在发i茸的依你申肉、探询响应帧、关耳其响应帧和重新关联响应帧中设置保密子字段值为1。如果数据加密保护未启用,AP设置管理帧中保密为队在个RSS内非AP的STA夜发送的关联和3重新关联帧中设景保密予宇段债为O,AP忽略关联手日致新乡已联帧巾的保密寸与严峻。如果对IBSS中交换的所有数据类攘的帧启用了加密保护,STA在发送的信标帧、探询响应帧、关联响应帧和主重新关联响应帧中设置主保密子宁、段位为1。如柴数撼力H密保护主任启则,STA设置辈份王明帧中保辛苦子字段为oft STA发送的f声称帧和探询响
23、应帧P包含WAPI声息5C祭日才保贺子字段设置e句L22.在E7.3.l.7的农17小增加原因码1032,并修改革室的一行保留项g11 GB 15629. 11-2003/XGl-2006 袋17原因码且在附哥哥食SI. 10 12 保留13 无效的信息元素14 消息鉴别哥哥校峻失败15 19 保留20 元效的AKMP21币23保白自24 根燃3居余策略而Te:绝的密附套件25 单播密钥协商超时26 生且播榄钥i撞伤越时27 单插嘴钥协商中的惊息元章与(置重新)关联请求探询响成信标帧中的信息元靠不一敖28 无效的组播密码套件29 光先生的单撤销码苦苦件30 不支持的WAPI信息j;素版本31
24、无效的WAPI信息元素能力32 WAI证书串起别Ol;:J&33 65 535 保蹋23.在7.3.l.9的农18巾增加状态码2250,并修改最后行保留项s表18状态码状态码* 义22 39 保自340 无效的信息元素41 42 保留43 :JG效的AKMP44 45 保留46 根据安全策略阳拒绝的密码套件47 ?巳效的后再播电!fli马王军件48 无敬的!播密码套件49 不直持的WAPI信息元紫版本50 无效的WAPI倦怠刘慧能力51 65 535 保留12 GB 15629. 11-2003/XGl-2006 24.在7.3. 2的表19中增加以下项:f乱恩元素WAPI信息元素25.在7.
25、3. 2. 7之后增加7.3.2.So7. 3. 2. 8 WAPI倍思元素表19元素ID7己慧ID68 WAPI 俄息刘毅包含且在别和保密套件Jill项,见图41a。所有的实现WAPI自STAIi注支持该商怠冗素。WAPI信息元素的长度应最大为255八位位组。接Jll和嘴蜂别相密单播啻组播5l曹钥管理钥管理单播密I BKID I BKID 标识t是匮版本码事件密码能力讨数(AKMJ (AKM) 计数码事E件苦苦件列司提I口高血套件ti数毒件人攸攸细费t.J咖哺1咖哺2咿幡2叫咖哺叫m中哺2伽唱4v咖啡喃喃4叩咿咱时也m叫咱叶申中而也6俨叫因41aWAPI信息元素格式冗劳苦标识IDJiZ盐l6
26、日。一一长度字段标识WAPI信息元素中除元素标识ID和长度字段以外的字段的八位位组数。版本学段标识WAPI协议的版本号,本规范中版本号为1,其他他保阂。鉴别和密钥管理(AKM)套件计数字段标识STA支持的鉴别和密钥管理机制个数a鉴别和密钥管王理(AKM)草草牛学段包含STA5i:仰的且在别丰UI普钥管E型机制,m为且在别秘密钥管理套件计数字段的值。一岛生幡密码苦苦件计数字段你识STAjt怜的萨拉普密码算法个数一句单播密码王军件字段包含STA支持的岛生播密码算法,n为原播密码套件计数字:段的值。组骨骨码1套件学段包含STA义精的主且播密码事草法。WAPI能力ti息:WAPI能力信息字段司提示请求
27、草草声明的能力信息,该字段长度为2个八位位缀,各比粉1主义如白白4lb所示。BIS 保胃因41bWAPI能力信息比中夺。为预坐在别标识。AP如果文将预且在别,设竣i比学段位为1,否则设置更为0。斗FAP的STA设置此字段值为0,BKID 计数字H列农学段BKID计数和列表字段仅用于发往AP的关联或3重新关联请求帧中。BKID计数字段表示BKID列淡丰11.是中包含的BKID的个辙。BKID;91J远是学段包含0个城乡个STAE细的去握手子的粉El的AP之l阀的有效的BKID,s为BKID计数字段的债。其中BKID可能为:a) STA缀得的通过和阔的APf到且在别得到的日KID;bl STA缓存
28、的通过证书接别得到的BKID;c) STA缕存的通过激共率1督倒得到的BKID,7. 3. 2. 8. 1 撞在别和费钢管理素件王若牛选择格式如l到41c所汰。13 GB 15629. 11-2003/XGl-2006 OU! 辈件类别八仪起蚓数唰一一3一一一伽呻l呻图41c套件选择格式农19a!提供本规疏忽义的王军件。OU! 3八位位组。“14阳72001472 00-14“72 00 1472 其他7.3.2.8.2 单揭密码套件套件选择格式如图4Jd0袋19a鉴别和密钥曾理套件3陆翻1八位位组。1 2 3、2550、“255OU! 寻董仲然如l含JI. 保留WAI证书鉴别和掰钥管理WAI
29、 E逝共取衡钥且在另lj和Ill钥管璐保留保留人位位组数2叶一一一一31一一一陨41d我体逃梅格式表19b提供本规范定义的套件。褒19b磁确理器件OU! 类型3八位位绷1八位位1且f吉义COl472 。保留口口1472 WP! SMS4 削1472 2-255 保阔其他。255保留7.3.2.8.3 组精密码套件表19c提供本规范定义的套件袋19c密码毒草件。Ul喜睡雪白3八佼佼组1八佼佼组含SI. 。1472。保锵00 14 72 1 WP! SMS4 00 . 1472 2 255 保留其他。255保留26.第8,量的内容替换为:8 安全1)采用.st线均城附鉴别与保密篓础结构WAPI为系
30、统提供安全保护。WAPI包含以下部分:!) 部分涉及的密码算法相关f商息与盼望在密码管理肉联系。14 GB 15629. 11一2003/X&l-2006WAI鉴别及密钥管理;一WP!数据传输保护。8. 1 WAI鉴别及密钥管理支持WAJg在别及哥哥钥管琐的日rA混过以下囚种方式实现。a)在日SS中基于证书的方式1) STA 滔滔;AP的商标帧成探询晌$i.帧识别AP文排WAI!/,UJIJ及哥哥钥管观察件$2) STA和AP之间进行链胳验证;3)在关联过浪中,STA在关联请求中包含WAP!f商息ftj黄确定逸事罪的哥哥俩哥哥件,4) STA和AP进行证书鉴别过程,协商出BK;5) STA平日
31、AP进行且在播哥哥销协商过校、组组哥哥曹钥遗传过辍g6)把协商出来的密钥和密码套件通知WP!模块,进行数据传输保护。川在BS日中蒸气F共事领钥(:(STA罪HAP之间的方式1) STA通过AP的信标帧或探询响应帧识别AP支持WAI鉴别及密钥管理套件;2) STA牵nAP之闯进行销路验ilE;3)在关联过程中,STA在关联请求中包含WAPI信息元素确定选择的密码套件;4)预共学带钥岛事出,日kj泞,S丁A和AP进行直棋盘整密钥协商过程、级擒密每月i盟食过程p5)把协商出来的密钥和密码套件通知WP!模块,进行数据传输保护。c)在IBSS中慕于证书的方式1) STA通过对端STA的信标帧成探询响成帧
32、识别支持的WAI鉴别及哥哥钥管现套件;2) STA平Oil才端STA进行jjJ选的链路革命证;3) STA和对端STA进行证书且在别过稼,协商出BK;4) STA和对端STA进行单播密钥协商过程、组播辛苦钥通告过程;5)把协商tB来的街钥和密码苦苦件通知WP!模块,进行数据传输保护。cl)在IBSS中基于共享密钥的方式1) STA 通过对端S.TA的宵栋帧或探询响$i.帧识别支持的WAI且在别及领f月号若现表件;2) STA和对端STA进行问选的链路验证;3) STA利对瑞日丁A进行1扭扭雷德钥协商过军费、级挥哥哥曹钥i阁修过军最(击目共取辛苦钥将出BK);4)把协商出来的密钥和密码套件通知W
33、P!模块,进行数据传输保护。如果STA与AP/STA关联时派摔采用WAPI9;.i:机制,贝ij必须泼17相及身份感另lj和i衔钥协商。若采用基于证书的方式,整个过程包括证书鉴别、单播密钥协商与组播密钥通告;若采用预共享密钥的方火,戴个il罪盟则为且在报费费也月协商均级报野草费钥i撞铃。STA与AP/STA之间的鉴别数据分组利用以太类型字段为Ox88日4的WAPI协议传送,AP/STA l牙ASU之间的级别数据报文通过UDP毒草接口伶输,ASU的精问嗲沟3810。WAI鉴别和1密钥管理完成的时间必须小于MIB健gbl5629dotl1 wapiConfi日SATimeout,它开始于STAI,
34、)汹管观体决定辈辈1LW AP! ti: :i:问络,JMLMI己SETPRO丁EC丁ION.request 膝谈被激发结束。若在MIB债gbl5629dotl1 wapiConfigSATimeout的时间内没有完成安全关联的建立,则两个STA将解除链路验证。8, 1. 1 且在别系统结构8. 1. 1. 1 系统和揣口STA提供两种访问LAN的逻辑通滋,定义为两炎端口,即受按端口与非受控端口。一个S丁A提供其他STA连接到j坐在别脱务单元(ASUl的端口(即非受控端口),确保只有鉴别成功的STA才能使用该STA提供的数据端口(即受控端口)访问阿缩成收发数据。夜J基于端口的拨人控制操作中,本
35、规fii:j主义三三个实体215 GB 15629. 112003/XGl2006 a)接别器3比丰AE(Authenticator日ntity):为鉴别请求者实体书u辈人服务之前提供鉴别操作的实体。该实体驻留在AP或STA中;b)鉴别请求者实体ASUECAuthenticationSUpplicant Entity),在接人服务之前请求进行鉴别操作的实体。该实体驻留在ESTA巾,c)鉴别服务实体ASE(AuthenticationService Entity),为鉴别楼实体和鉴别请求者实体提供相互接别服务的实体。该实体破自UEASU中。鉴别器实体和鉴另I)请求者实体都称为鉴别子系统。8.1.
36、1.2 受饺和非变按搬入下因描述了鉴别子系统中受控端口和非受控端口。非受损端口允许鉴别费u腾(WAPI协议数报)在EWLAN中传i恙,该传送过草里不受对前鉴别状态的限制。对于受控端口,只有当该端口的鉴别状态为巳鉴别时,才允许协议数据(非WAPI协议的其他协议数据!Di围过0是t宝贵带口和你5是饺端闪可以线走在t卖到j网物理盟端闷的问个2盟秘端口,所有通过物理精闪的数括首都可以到达受控端口和非受控端口,此时根据鉴别状态决定数据的实际流向(受控端口或非受按封市口)。盛划于统费投端口二4型t搬端口WL八N因42鉴别子系统示徽图因43纷出了与受控端口栩关的两种不同的鉴别状态On和0日,分别允许和报绝受
37、按端口的协议数锻岛生j(;MSDU 通过。其中On漠然端口状态为已鉴别,0袋示端口状态为米鉴别。因43给出了问个系统,在且在别子系统1中,受按端口且在别状态是未鉴别,此时受按端日报编通过佼何数据;在接别子系统2中,受控端口鉴别状态是已鉴别,受控端口允许MSDU通过。盛别于1民豌Off: 串串剿于罩就(On)费按端口非景按端口型E按崎日非景搬端口米鉴别巴虫在剿. . WLAN 圈43受括2端口的鉴别状态系统的每一个受控端口状态由系统擦别控制参数。15629dotllw叩iControlledAuthControl确定。系统鉴别控制参数的住在沟“启动鉴别”成“不扇动鉴别如果系统且在别校做j参数设激
38、沟“不燃动鉴别”16 GB 15629. 112003月Gl2006时,所有的受校端闪的鉴别控制状态为“已鉴别勺如果系统鉴别按常j参数设置量为“启动鉴别”,系统的每个受控端口的鉴别状态由接别控制类型gbl5629dotl 1 wapiControlledPortControl决定,接别控制类型11Ilk值如下:a)强制非且在另lj:接别添实体强制某一个受按揣口的状态为米格别,即无条件指定受饺端口状态为“米鉴别”(即不允许通过该受控端口传送数据);b)扇动g扇动是指根据且在别吉普实体和接别请求者实体之间通过且在别服务与生元栩芳:撞在剔的生商果来设定受控端口状态(只有鉴别通过才可通过受控端口传送数
39、搅)。除鉴别数t居外系统中STA之间的网络协议数领交换是通过交校端口来实现的。III44给:!了3是控端口和非受控端口的逻辑结构图,系统中受控端口的鉴别状态是由鉴别器实体根据ASU对STA的身在别绪果来设定的。握别于1民统端技皿XE 牵一状UF叫川一顿勤费E1lJ圳世一M制一咄广v日WLAN 团44受擦端口和非受搜捕口的用法自自45纷出了且在.!JU青求者、鉴别苦苦和鉴别服务实体之间的关系及俄息交换过貌。在该自目中,鉴别糕和鉴别请求者的受控端口均处于未鉴别状态,拒绝数据通过受控端口。阳旦在剔辑革统蝇供的服务_, l- 响JWLAN 困45鉴别系统结构8. 1. 2 WAPI $:会关联的管理8
40、. 1. 2. 1 WAPI安全关联定义安全关联然去且用米保护俄息的策略和德月,WAPI中包含阴种结(if:关联z一BKSA:基密钥安余关联,是证书鉴别过程完成后或通过预共享密钥信息得到的结果:USKSA,l棋揭念活俗音月Ji:维生关联,t棋盘野草挥毫月协商的结果;MSKSA,组播会话密钥安全关联,级播密钥通告的结果;STAKeySA:由问密钥安全关联,灿问密钥i醒俭的靠自泉。17 GB 15629. 11刽03/XGl-2006BKSA BKSA f是双向的,当证书鉴别过秘成功liX设篮了预共字号暂钥,BKSA:(E ASU巴就AE中u辈辈。BKSA用来创建USKSA,日KSA:(E它的处存
41、期内被缀祷。1:刨食以F内辛辛zBKID,标识BKSA;A旦的MAC地址g一叫ASUE的MAC地址;一一向日K;一一回生存期gAKM, 一其他安全参数(可选。US KS A USKSA是单播密钥协商的结果,它是双向的。USKSA是基于BK协商的,在生存期中被缓存。对于得对ASUE利AE,敢多只有阴个USKSA。:(EBS:咱中,一般只有个USKSA处于有效状态,彻夜密钥E在新时会夜两个USKSA处于有效状态,被接收到使用新USKSA加密的感播数据MPDU时,旧USKSA被置为无效状态。在IBSS中,MAC,E:it:if!airwisekey expansion for unicasl and
42、 additional keys and nonce勺,然巾N1f圣AE询问,问必ASUE询问。Elii96个八佼佼1日前64个八位位组为单播会话密钥(第民个16个八位位组为单播加密密钥UEK,第二个16个八位位级为单播完然你校革命密4月UCK.彩之士个16个八f1liS1:i:ii为梢,国、鉴别密钥MAK,然阴个16个八jft立须为密钥力口密密钥KEK)。厉32个八位位组为下次单播会访密钥协商过程的AE询问的种子,然厉对种子使用SHA 256函数计算得到长贬为32个八佼佼组的下次且在于普会说哥哥也月协商i草拟的AE询问。利用消息鉴别密钥MAK通过HMACSHA256J军法本地计算:消息鉴别码
43、,与分组中的消息鉴别码字段俄比较,翁相闷,则执行在辈作eld野则,丢弃该分锐。GB 15629. 112003/XG 1-2006 e)辛苦标识字段的比特4CUSK!新标识)沟。,在基础模式F,则粉1坚WIEAsUE学段和自已收到的关联请求帧的WAPIf商辰、元素是否相同,辛苦不同,解除与STAASV的链E备教iiE;辛苦相同,则执行操作f)1tE IBSS模式下,梭奈WIEASUE字段中选择的单播密钥算法是被支持的,然后执行操作。,否则解除与ASUE的链路验证;若标识字段的比中守们USK更新标识)为1,贝lj执行操作f)”)用消息鉴别密钥MAK通过HMAC-SHA256:)事法本地计算消息鉴
44、别码,构造原播密钥协商确认分缀,发送给ASUE.g)若为BSS模式,则AE利用原语MLME-SETWPIKEYS.request安装新协商的单播会话密钥s辈子为IBSS模式,只有当AE的MAC地址太子ASUE的MAC地址时,AE才和ljffl撞在治MLMESETW PIKEYS. request安装新协商的单播会话密钥。对于新安装的密钥.AE调用原i吾MLMESETPRO TECTION自r叫uest启用英收发功能,即可利用其对单播数据进行加解链。者此次单播节骨钥协商过稳为3在新过革呈,则一旦使用新密钥正确解密过数据时,删除旧的单播会话密钥;或者启用新街钥收发数据60秒之后,自动删除旧的麟播密
45、钥。8. 1. 4. 3. 3 单循密钥协商确认分组单播密钥协商确认分组数据字段格式如下:标识FLAGI BKID USKID ADDID I ASUE询问WIEAE 消息鉴别码/ ifL i革缀散唱一一1一一唱一16一一嘈一一1一一,喝一一12一一如唱一32一一,4一可亮一一喝一一2。”一圈61j单播密钥协商确认分组敝搪字段格式其中2时一标识FLAG字段长度为l个八佼佼钮,定义如前,本字段和尊播榜钥协商响应分级的标识字段相闹。一BKID学段长度为16个八位位组,本学段和单播密钥协商晌应分组的BK!日学段相问eUSKID学段长贬为l个八位佼缀,其中比特()标识2目前协商的单循辛苦告月,其他位保
46、留。段和1棋擂愣钥协商响应分织的USKID字段相同。ADD ID字段长度为12个八位位组,本字段和单播密钥协商响应分组的ADDID字段相同。ASUE询问学段长度为32个八位位组本学段利颇播密告月协商响应分主且中的ASUE询问学段栩闵qWIE呻字段为AE在信标帧和探询响应帧中发送的WAPI信息元素。一一一消息鉴别码字段长度为20个八位位组。其值为AE利用最新协商的消息鉴别密钥MAK通过HMAC-SHA256j事法对术学段之前的所有协议数t宿学段内容计算得到,不包含分组头AE收到岛生捕辛苦钥响应分生13.!i牙,发放原播密钥协商确认分组给ASUE。ASUE接收到AE的单播衔钥协商确认分级后,进行如
47、下处理,a)检盗ASUE询问与自己在单播密钥协商响应分组中发送的值是否相同,若不问,则丢弃该分缀,必则,执行b)操作。b)利用1肖,i;J.在别衔钥MAK通过HMACSHA256 J军法本地计算消息且在别柄,与分领巾的消息;在别码字段俄比较,若相同,则执行操作c)I否则,丢弃该分组。c)幸?你识字段的比特4(USK盟主新标识)为0,则检查WIEAE字段和自己收到的信你帧和探询响应帧的WAP!f育息y巳革君主圣窃栩叫,若栩闷,则执行操作d)d牙则,解除均STAA宜的级路骏悦。斗劳标识字贱的比特4(USK!新标识)为l,则执行操作d)。d)调用凉话MLMESETPROTECTION. reques
48、t启用新安装的单播会话密钥的发送功能,即允许和ljfijj在新辛苦钥加衡发送单撤数辙。着此次单锚营销协商过程为更新过程,则还有密删除日的单播会的哥哥告月。35 GB 15629. 11-2003/XGl-2006 8. 1. 4. 4 组捕密钥站问德钥通告过糕组挥昏窃钥立自问密钥通告过程使用单据哥哥哥钥协商过程协商tl:l来的密钥进行领播密钥站间衔钥通货,并建立MSKSA!jjl; STAKeySAo ASUE AE 组擂膏钥站间曹钥通告分组舰捕曹钥站间庸倒响般分领时口设置川附喘口附加丽61k组揭密钥站阅密钥通告过程8. 1. 4. 4. 1 组播密钥站闰密钥遗传分组岛生挥哥哥哥钥协商成功扇,或AE男ll!新级婚密钥时,再EAE收到STAKey建立请求分组时,AE向ASUE发送组播密钥汹闷密钥通告分组通告组播站问:E密钥。绷攒哥哥4月始问窃例i且价分级数极字段格式如下:样识FLAG MSKI日STAKey!D USK旺AD口I口费生掘序号精钥i且告标识精倒数据消息鉴别码人位位组数a佛l
