基于nfc認(rèn)證的wlan接入方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于無(wú)線(xiàn)局域網(wǎng)(Wireless Local Area Networks,簡(jiǎn)稱(chēng)WLAN)安全技術(shù)領(lǐng)域,具體是基于近場(chǎng)通信(Near Field Communicat1n,簡(jiǎn)稱(chēng)NFC)認(rèn)證的WLAN接入方法。
【背景技術(shù)】
[0002]隨著物聯(lián)網(wǎng)技術(shù)的廣泛發(fā)展,WLAN得到了廣泛的應(yīng)用,而基于射頻識(shí)別(Rad1Frequency Identificat1n,簡(jiǎn)稱(chēng)RFID)的NFC也逐步發(fā)展了起來(lái)。然而,WLAN卻存在眾多安全性問(wèn)題,NFC雖然已經(jīng)發(fā)展成熟,但安全性問(wèn)題依舊不完善。從本世紀(jì)初開(kāi)始,WLAN得到了愈加廣泛的應(yīng)用。從實(shí)驗(yàn)室走向民用,各種加密體制從沒(méi)有到完善,認(rèn)證協(xié)議和加密協(xié)議變得愈加復(fù)雜,也因此能夠抵抗越來(lái)越多類(lèi)型的攻擊。在協(xié)議變得越發(fā)復(fù)雜的同時(shí),配置難度也出現(xiàn)了急劇的增加,W1-Fi聯(lián)盟為此開(kāi)發(fā)了簡(jiǎn)化配置的協(xié)議W1-Fi受保護(hù)配置(W1-Fi Protected Setup,簡(jiǎn)稱(chēng)WPS)。然而簡(jiǎn)化配置的協(xié)議卻存在各式各樣的協(xié)議漏洞,盡管很多人針對(duì)WPS的協(xié)議漏洞提出了改進(jìn)方案,卻始終無(wú)法解決密鑰更新的問(wèn)題,更無(wú)法做到一次一密性。在簡(jiǎn)化配置的基礎(chǔ)上提升安全性能,成為了目前WLAN應(yīng)用中非常迫切的需求。
[0003]目前主流的WLAN簡(jiǎn)化配置協(xié)議是基于WPS技術(shù)的密碼串認(rèn)證(PIN認(rèn)證)和按鈕認(rèn)證(PBC認(rèn)證)。但PIN認(rèn)證模式存在巨大的問(wèn)題,其一是協(xié)議漏洞導(dǎo)致有效密鑰長(zhǎng)度縮短,使非法用戶(hù)可以在不超過(guò)11000次枚舉內(nèi)暴力破解,并且,基于這種破解方法,衍生了并行化的加速方法,使得PIN認(rèn)證瀕臨崩潰;更糟糕的是,PIN認(rèn)證模式只是使用一種明文密碼傳播方式取代了另一種明文密碼傳播方式,并不能解決密碼傳播中的保密問(wèn)題,更無(wú)法做到一次一密。而PBC認(rèn)證因?yàn)槿藛T流動(dòng)原因,使得非合法人員很容易接觸到PCB認(rèn)證按鈕,從而完成非法接入。
[0004]W1-Fi網(wǎng)絡(luò)安全接入(W1-Fi Protected Access,簡(jiǎn)稱(chēng)WPA)認(rèn)證中的“密碼”--
預(yù)共享密鑰(Pre-Shared Key,簡(jiǎn)稱(chēng)PSK)通常是8位以上的字母、數(shù)字、特殊字符組合,靠人工記憶傳遞,這使得密碼很容易被泄露,從而導(dǎo)致非法接入的發(fā)生。
[0005]我國(guó)曾經(jīng)提出過(guò)WLAN鑒別和保密基礎(chǔ)結(jié)構(gòu)(WLAN Authenticat1n and PrivacyInfrastructure,簡(jiǎn)稱(chēng)WAPI)加密體制。通過(guò)橢圓曲線(xiàn)加密和公開(kāi)密碼體制的辦法,實(shí)現(xiàn)了很高的安全性。但遺憾的是,WAPI設(shè)備在接入點(diǎn)端的成本過(guò)高,與當(dāng)下主導(dǎo)的W1-Fi體制并不能很好的兼容。并且,WAP1-PSK模式也沒(méi)有解決PSK需要由人工進(jìn)行傳遞的問(wèn)題。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的是針對(duì)現(xiàn)有技術(shù)的不足,而提供基于NFC認(rèn)證的WLAN接入方法。這種方法能夠在使用近場(chǎng)通信點(diǎn)對(duì)點(diǎn)技術(shù)進(jìn)行無(wú)線(xiàn)局域網(wǎng)接入時(shí)實(shí)現(xiàn)每一個(gè)用戶(hù)每一次接入所使用的PSK都隨機(jī)生成,有效的抵抗WLAN接入時(shí)產(chǎn)生的非法接入攻擊和竊聽(tīng)攻擊。
[0007]實(shí)現(xiàn)本
【發(fā)明內(nèi)容】
的技術(shù)方案是:
[0008]基于NFC認(rèn)證的WLAN接入方法,包括如下步驟:
[0009]1)生成簽名密鑰對(duì):用橢圓曲線(xiàn)加密算法生成簽名密鑰對(duì),公鑰儲(chǔ)存在接入點(diǎn)設(shè)備AP數(shù)據(jù)庫(kù)中,私鑰儲(chǔ)存在用戶(hù)設(shè)備中;
[0010]2)建立安全通信隧道:利用迪菲赫爾曼密鑰交換算法(Diffie-Heilman keyexchange,簡(jiǎn)稱(chēng)DH)得到只有雙方共知的因子K ;根據(jù)安全散列算法利用因子K得到對(duì)稱(chēng)密鑰 AES ;
[0011]3)進(jìn)行身份驗(yàn)證:用步驟1)中得到的簽名密鑰對(duì)對(duì)對(duì)稱(chēng)密鑰AES及用戶(hù)身份進(jìn)行驗(yàn)證;
[0012]4)實(shí)現(xiàn)一次一密:接入設(shè)備ΑΡ隨機(jī)生成包含PSK和擴(kuò)展服務(wù)集標(biāo)識(shí)(ExtendedService Set Identifier,簡(jiǎn)稱(chēng) ESSID)的配置信息,記作 NPSK (New Pre-Shared Key,簡(jiǎn)稱(chēng)NPSK),利用步驟2)中的對(duì)稱(chēng)密鑰AES對(duì)NPSK進(jìn)行加密得到加密后的預(yù)共享密鑰CPSK,并傳輸給用戶(hù)設(shè)備,用戶(hù)設(shè)備對(duì)CPSK進(jìn)行解密;
[0013]5)進(jìn)行 WAP/WAP2 接入。
[0014]所述的ESSID和PSK為隨機(jī)生成。
[0015]所述的實(shí)現(xiàn)一次一密為NFC在點(diǎn)對(duì)點(diǎn)模式下進(jìn)行。
[0016]用戶(hù)的WLAN設(shè)備和NFC發(fā)起者在同一設(shè)備上,目標(biāo)方與WLAN接入點(diǎn)在同一設(shè)備上,具體連接方式無(wú)要求。
[0017]用戶(hù)設(shè)備和AP都工作在NFC的點(diǎn)對(duì)點(diǎn)模式下。
[0018]迪菲赫爾曼密鑰交換算法時(shí)的信息交互可以由任何一方開(kāi)始。
[0019]這種方法在進(jìn)行WLAN接入時(shí),做到了每個(gè)用戶(hù)每一次接入所用PSK都是隨機(jī)產(chǎn)生,也就是一次一密,這樣可以很好地抵抗非法接入和竊聽(tīng)等攻擊。
【附圖說(shuō)明】
[0020]圖1為實(shí)施例中方法流程示意圖;
[0021]圖2為實(shí)施例中方法的時(shí)序圖示意。
【具體實(shí)施方式】
[0022]下面結(jié)合附圖和實(shí)施例對(duì)本
【發(fā)明內(nèi)容】
進(jìn)行闡述,但不是對(duì)本發(fā)明的限定。
[0023]實(shí)施例:
[0024]參照?qǐng)D1,基于NFC認(rèn)證的WLAN接入方法,包括如下步驟:
[0025]1)生成簽名密鑰對(duì):用橢圓曲線(xiàn)加密算法生成簽名密鑰對(duì),公鑰儲(chǔ)存在接入點(diǎn)設(shè)備AP數(shù)據(jù)庫(kù)中,私鑰儲(chǔ)存在用戶(hù)設(shè)備中;
[0026]2)建立安全通信隧道:利用迪菲赫爾曼密鑰交換算法得到只有雙方共知的因子K ;根據(jù)安全散列算法利用因子K得到對(duì)稱(chēng)密鑰AES ;
[0027]3)進(jìn)行身份驗(yàn)證:用步驟1)中得到的簽名密鑰對(duì)對(duì)對(duì)稱(chēng)密鑰AES及用戶(hù)身份進(jìn)行驗(yàn)證;
[0028]4)實(shí)現(xiàn)一次一密:接入設(shè)備AP隨機(jī)生成包含PSK和擴(kuò)展服務(wù)集標(biāo)識(shí)(ExtendedService Set Identifier,簡(jiǎn)稱(chēng) ESSID)的配置信息,記作 NPSK (New Pre-Shared Key,簡(jiǎn)稱(chēng)NPSK),利用步驟2)中的對(duì)稱(chēng)密鑰AES對(duì)NPSK進(jìn)行加密得到加密后的預(yù)共享密鑰CPSK,并傳輸給用戶(hù)設(shè)備,用戶(hù)設(shè)備對(duì)CPSK進(jìn)行解密;
[0029]5)進(jìn)行傳統(tǒng)WAP/WAP2接入。
[0030]所述的ESSID和PSK為隨機(jī)生成。
[0031]所述的實(shí)現(xiàn)一次一密為NFC在點(diǎn)對(duì)點(diǎn)模式下進(jìn)行。
[0032]具體地,參照?qǐng)D2,基于NFC認(rèn)證的WLAN接入方法,包括如下步驟:
[0033]1)生成簽名密鑰對(duì):私鑰(PrivKey)和公鑰(PubKey)是由橢圓曲線(xiàn)加密算法生成的簽名密鑰對(duì),用戶(hù)使用自身設(shè)備或公司通過(guò)的電腦利用橢圓曲線(xiàn)加密算法生成簽名密鑰對(duì),并將公鑰儲(chǔ)存在A(yíng)P數(shù)據(jù)庫(kù)中,私鑰儲(chǔ)存在用戶(hù)設(shè)備中;
[0034]2)建立安全通信隧道:
[0035]利用迪菲赫爾曼密鑰交換算法得到只有雙方共知的因子K ;
[0036]用戶(hù)持設(shè)備,以發(fā)起者角色與認(rèn)證方目標(biāo)建立NFC會(huì)話(huà),在此過(guò)程中,目標(biāo)將隨機(jī)生成的NFCID3發(fā)送給發(fā)起者;
[0037]發(fā)起者隨機(jī)生成大素?cái)?shù)a、p,依照公式(1)計(jì)算A,并將A,p發(fā)送至目標(biāo);
[0038]A = 2a mod p(1)
[0039]目標(biāo)隨機(jī)生成大素?cái)?shù)b,依照公式(2)計(jì)算B,并將B發(fā)送至發(fā)起者;
[0040]B = 2b mod p(2)
[0041]目標(biāo)與發(fā)起者分別按照公式(3)與公式(4