一種無線局域網(wǎng)wlan身份驗證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種基于近場通信NFC的無線局域網(wǎng)WLAN身份驗證方法。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)普及，無線局域網(wǎng)WLAN的使用越來越廣泛。目前應(yīng)用較為廣泛的WLAN認(rèn)證方式都是基于預(yù)共享秘鑰PSK。復(fù)雜的預(yù)共享秘鑰PSK增加了人們記憶的難度，所以通過手寫等方式記錄密碼和人工傳遞密碼的情況屢見不鮮。由于人們的安全意識較差，傳遞預(yù)共享秘鑰PSK方式隨意，且密碼設(shè)置簡單，密碼更換遲緩，導(dǎo)致安全隱患很大。繁瑣的WLAN手動配置帶來了很大不便。
[0003]近場通信NFC技術(shù)是一種短距離的高頻無線通信技術(shù)，允許電子設(shè)備之間進(jìn)行點對點的非接觸的數(shù)據(jù)傳輸，且可以設(shè)計復(fù)雜的交互協(xié)議。通訊中雙方角色分為初始方和目標(biāo)方兩種。初始方主動發(fā)起通訊，目標(biāo)方被動響應(yīng)。使用近場通信NFC點對點技術(shù)進(jìn)行WLAN的接入可以方便快捷的實現(xiàn)用戶接入WLAN。將NFC技術(shù)用于WLAN接入，只要兩設(shè)備輕輕碰觸即可在兩NFC設(shè)備間建立通信，自動傳遞WLAN配置信息并實現(xiàn)用戶設(shè)備接入WLAN，省去了繁瑣的配置。但是NFC點對點技術(shù)沒有對用戶身份進(jìn)行驗證的部分，用戶身份有匿名性，這可能造成攻擊者使用特殊設(shè)備進(jìn)行非法接入攻擊、重放攻擊和中間人攻擊，帶來了安全隱患和損失。

【發(fā)明內(nèi)容】

[0004]本發(fā)明的目的在于提供一種基于近場通信NFC的無線局域網(wǎng)WLAN身份驗證方法，對NFC實現(xiàn)防止中間人攻擊和重放攻擊，對WLAN —定程度上防止非法接入攻擊，保障用戶身份的真實有效，增強使用NFC接入WLAN的安全性。為了達(dá)到上述目的，本發(fā)明采用如下的技術(shù)方案:
[0005]一種無線局域網(wǎng)WLAN身份驗證方法，此種接入方法使用兩個NFC模塊:用戶設(shè)備采用的用戶NFC模塊和WLAN的NFC模塊；所述的兩個NFC模塊工作在點對點模式，當(dāng)用戶請求接入WLAN時，用戶的NFC模塊與WLAN的NFC模塊建立NFC通信，雙方使用迪菲-赫爾曼算法交換隨機(jī)信息并計算出對稱密鑰KEY ;使用橢圓曲線數(shù)字簽名算法ECDSA的身份驗證方法，對對稱密鑰KEY簽名和驗證進(jìn)行用戶身份的驗證。
[0006]其中，使用橢圓曲線數(shù)字簽名算法ECDSA的身份驗證方法，對對稱密鑰KEY簽名和驗證進(jìn)行用戶身份的驗證的過程可以是:
[0007](I)對每一個用戶，使用自身設(shè)備并采用某種安全算法，得到用于認(rèn)證的秘鑰對，包括一個私鑰和一個公鑰，當(dāng)場將公鑰提交給WLAN管理員申請上網(wǎng)權(quán)限并由負(fù)責(zé)人簽署電子簽名；
[0008](2)用戶NFC模塊用私鑰對所述的對稱密鑰KEY進(jìn)行數(shù)字簽名，將簽名發(fā)送給WLAN的NFC模塊，WLAN的NFC模塊收到簽名后，利用相應(yīng)的公鑰對對稱密鑰KEY進(jìn)行驗證，驗證無誤則用戶通過身份驗證進(jìn)行下一步，否則不通過。
[0009]本發(fā)明的有益效果是，基于NFC點對點模式的設(shè)計，對用戶身份進(jìn)行驗證實現(xiàn)了用戶身份實名制，中間人攻擊會因為驗證對對稱密鑰KEY的簽名而被發(fā)現(xiàn)，對NFC實現(xiàn)防止中間人攻擊，對WLAN實現(xiàn)防止由于中間人攻擊引起的非法接入攻擊，保障了用戶身份的真實有效，增強了使用NFC接入WLAN的安全性。公鑰密碼證書系統(tǒng)的加解密對象是由迪菲-赫爾曼算法交換隨機(jī)信息并生成的對稱密鑰KEY，每次用戶WLAN設(shè)備請求接入WLAN，兩NFC模塊通信時生成的對稱密鑰KEY都不同，使得攻擊者竊聽到的簽名無效，對NFC防止重放攻擊，對WLAN實現(xiàn)防止由重放攻擊引起的非法接入攻擊。
【附圖說明】
[0010]圖1為本方法的完整時序圖
[0011]參照圖1，初始方為NFC通信中初始方Initiator身份的NFC設(shè)備，目標(biāo)方為NFC通信中目標(biāo)方Target身份的NFC設(shè)備。
【具體實施方式】
[0012]下面結(jié)合附圖和實施例對本發(fā)明進(jìn)行詳述。
[0013]本發(fā)明提出了一種基于近場通信NFC的無線局域網(wǎng)WLAN身份驗證方法。此種接入方法使用兩個NFC模塊:用戶設(shè)備采用的用戶NFC模塊和WLAN的NFC模塊；所述的兩個NFC模塊工作在點對點模式。當(dāng)用戶請求接入WLAN時，用戶的NFC模塊與WLAN的NFC模塊建立NFC通信，采用迪菲-赫爾曼算法交換隨機(jī)信息并計算出對稱密鑰KEY ;使用公鑰密碼證書系統(tǒng)身份驗證方法，對對稱密鑰KEY簽名和驗證進(jìn)行用戶身份的驗證。所用的公鑰密碼證書系統(tǒng)可以用多種算法，如數(shù)字簽名算法DSA、橢圓曲線數(shù)字簽名算法ECDSA等等。
[0014]下面結(jié)合附圖1本發(fā)明的基于近場通信NFC的無線局域網(wǎng)WLAN身份驗證方法的實施過程，公鑰密碼證書系統(tǒng)以數(shù)字簽名算法DSA公鑰認(rèn)證協(xié)議為例:
[0015](I)用戶使用自身設(shè)備用某一軟件算法得到用于認(rèn)證的數(shù)字簽名DSA秘鑰對，包括一個公鑰和一個私鑰，當(dāng)場將公鑰提交給WLAN管理員申請上網(wǎng)權(quán)限，由領(lǐng)導(dǎo)簽署電子簽名。
[0016](2)兩NFC模塊接觸，用戶NFC模塊與WLAN的NFC模塊建立通信，雙方分別用迪菲-赫爾曼算法交換信息并計算出對稱密鑰KEY。
[0017](3)使用數(shù)字簽名算法DSA證書，NFC通信中的初始方，即用戶NFC模塊
[0018]使用私鑰對(2)中的對稱密鑰KEY進(jìn)行簽名，將簽名sig發(fā)送給NFC通信中的目標(biāo)方，即WLAN的NFC模塊。
[0019](4)目標(biāo)方收到簽名后，利用用戶事先申請的私鑰相應(yīng)的公鑰對KEY的簽名Sig進(jìn)行驗證。驗證無誤則用戶身份合法，用戶設(shè)備可接入WLAN ;否則說明用戶身份不合法，通信停止。
【主權(quán)項】
1.一種無線局域網(wǎng)WLAN身份驗證方法，其特征在于，此種接入方法使用兩個NFC模塊:用戶設(shè)備采用的用戶NFC模塊和WLAN的NFC模塊；所述的兩個NFC模塊工作在點對點模式；當(dāng)用戶請求接入WLAN時，用戶的NFC模塊與WLAN的NFC模塊建立NFC通信，雙方使用迪菲-赫爾曼算法交換隨機(jī)信息并計算出對稱密鑰KEY ;使用橢圓曲線數(shù)字簽名算法ECDSA的身份驗證方法，對對稱密鑰KEY簽名和驗證進(jìn)行用戶身份的驗證。
2.根據(jù)權(quán)利要求1所述的基于近場通信NFC的無線局域網(wǎng)WLAN身份驗證方法，其特征在于，使用橢圓曲線數(shù)字簽名算法ECDSA的身份驗證方法，對對稱密鑰KEY簽名和驗證進(jìn)行用戶身份的驗證的過程如下: (1)對每一個用戶，使用自身設(shè)備用軟件生成用于認(rèn)證的橢圓曲線數(shù)字簽名算法ECDSA秘鑰對，包括一個私鑰和一個公鑰，當(dāng)場將公鑰提交給WLAN管理員申請上網(wǎng)權(quán)限并簽署電子簽名； (2)用戶NFC模塊用私鑰對所述的對稱密鑰KEY進(jìn)行數(shù)字簽名，將簽名發(fā)送給WLAN的NFC模塊，WLAN的NFC模塊收到簽名后，利用相應(yīng)的公鑰對對稱密鑰KEY進(jìn)行驗證，驗證無誤則用戶通過身份驗證進(jìn)行下一步，否則不通過。
【專利摘要】本發(fā)明涉及一種無線局域網(wǎng)WLAN身份驗證方法，此方法使用兩個工作在點對點模式的NFC模塊：用戶設(shè)備采用的用戶NFC模塊和WLAN的NFC模塊；當(dāng)用戶請求接入WLAN時，用戶的NFC模塊與WLAN的NFC模塊建立NFC通信，雙方使用迪菲-赫爾曼算法交換隨機(jī)信息并計算出對稱密鑰KEY；使用橢圓曲線數(shù)字簽名算法ECDSA的身份驗證方法，對對稱密鑰KEY簽名和驗證進(jìn)行用戶身份的驗證。本發(fā)明對NFC實現(xiàn)防止中間人攻擊和重放攻擊，對WLAN一定程度上防止非法接入攻擊，保障用戶身份的真實有效，增強使用NFC接入WLAN的安全性。
【IPC分類】H04W12-06, H04W12-08
【公開號】CN104780537
【申請?zhí)枴緾N201510165975
【發(fā)明人】解冰珊, 金志剛, 李云
【申請人】天津大學(xué)
【公開日】2015年7月15日
【申請日】2015年4月9日