本发明专利技术涉及一种基于近场通信NFC的无线局域网WLAN接入方法,此种接入方法使用两个NFC模块:用户设备采用的用户NFC模块和WLAN的NFC模块;用户NFC模块工作在点对点模式NFC通信中的初始方身份;WLAN的NFC模块为目标方身份;当用户通过身份验证后,用对称密钥KEY对无线预共享秘钥PSK和服务集标识ESSID这两个WLAN配置信息进行加密传输,用户获得配置信息后即可接入WLAN。本发明专利技术对NFC实现防止窃听攻击、重放攻击、中间人攻击,对WLAN实现防止窃听和非法接入,加强WLAN安全性,同时省去繁琐配置。
【技术实现步骤摘要】
本专利技术涉及一种基于近场通信NFC的无线局域网WLAN接入方法。
技术介绍
随着网络普及,无线局域网WLAN的使用越来越广泛。目前应用较为广泛的WLAN认证方式都是基于预共享秘钥PSK。为了保证安全性,预共享秘钥PSK应该足够复杂。但是复杂的预共享秘钥PSK增加了人们记忆的难度,所以通过手写等方式记录密码和人工传递密码的情况屡见不鲜。尤其对于人流量大地方,可能招致各种攻击。对于应用广泛的W1-FI受保护接入协议WPA/WPA2-PSK认证方式,传递预共享秘钥PSK的方式主要靠人工传递。由于人们的安全意识较差,传递预共享秘钥PSK方式随意,且密码设置简单,密码更换迟缓,导致安全隐患很大。虽然在预共享秘钥PSK泄露的情况下仍可以保证信道隔离,但若受到窃听四次握手包的攻击,那么也无法保证信道隔离。在W1-FI受保护接入协议WPA/WPA2-PSK基础上,为了解决预共享秘钥PSK人工传递不可靠,预共享秘钥PSK配置复杂的问题,产生了 W1-Fi受保护配置WPS认证方式。但是对W1-Fi受保护配置WPS认证方式,只要能接触到密码或按钮即可获得联网权限,实现其他攻击,且W1-Fi受保护配置WPS的PIN认证方式密码更易破解。近场通信NFC技术是一种短距离的高频无线通信技术,允许电子设备之间进行点对点的非接触的数据传输,且可以设计复杂的交互协议。使用波特率106的主动模式可有效避免数据篡改攻击。使NFC模块接触即可建立信道,但这种通讯有未加密和使用专业设备时可被窃听的缺陷。通讯中双方角色分为初始方和目标方两种。初始方主动发起通讯,目标方被动响应。【专利技术内容】本专利技术的目的在于提供一个基于NFC点对点模式的WLAN接入方法,对NFC实现防止窃听攻击、重放攻击、中间人攻击,对WLAN实现防止窃听和非法接入,加强WLAN安全性,同时省去繁琐配置。为了达到上述目的,本专利技术采用如下的技术方案:一种基于近场通信NFC的无线局域网WLAN接入方法,其特征在于,此种接入方法使用两个NFC模块:用户设备采用的用户NFC模块和WLAN的NFC模块;WLAN的NFC模块WLAN中接受用户连接的设备处于同一不会泄密范围内;用户NFC模块工作在NFC通信中的初始方身份,主动发起通讯;WLAN的NFC模块为目标方身份,被动响应;所述的两个NFC模块工作在点对点模式,所使用的接入点AP分为两类,一类为能够同时配置多个虚拟服务集标识SSID的接入点AP ;另一类为不能同时配置多个虚拟服务集标识SSID的接入点APJt于第二类,在预设的固定时间内更新扩展服务集标识ESSID和预共享秘钥PSK ;当用户请求接入WLAN时,用户的NFC模块与WLAN的NFC模块建立NFC通信,采用第一安全算法得到仅为双方NFC模块知晓的对称密钥KEY ;当用户通过身份验证后,用对称密钥KEY对无线预共享秘钥PSK和服务集标识ESSID这两个WLAN配置信息进行加密传输,用户获得配置信息后即可接入WLAN。其中,用户获取所述的配置信息后接入WLAN的过程可以如下:(I)WLAN的NFC模块使用第二安全算法生成预共享秘钥PSK,并随机生成扩展服务集标识ESSID ;(2)将(I)中生成的预共享秘钥PSK和扩展服务集标识ESSID使用高级加密算法AES,并使用所述的对称秘钥KEY加密后发送给用户NFC模块,同时配置WLAN的接入点AP和Radius服务器;(3)用户用对称密钥KEY解密后得到预共享秘钥PSK和服务集标识ESSID,转交至WLAN联网模块,然后按照W1-FI受保护接入协议WPA/WPA2-PSK接入WLAN。本专利技术的有益效果是,NFC模块之间的交互避免了配置信息的人工传递的繁琐与风险。基于NFC点对点模式的设计,使用NFC进行WLAN配置信息的传递实现了保密传输。对用户身份进行验证实现了用户身份实名制,避免了中间人攻击。对于用户每一次联网,都会进行一次NFC认证,生成新的不同的预共享秘钥PSK和扩展服务集标识ESSID,实现了信道隔离,一次一密,避免对数据的窃听。【附图说明】图1为本方法完整时序图参照图1,初始方表示用户的NFC模块,与用户的WLAN设备两者在一个设备上;接入点AP表示WLAN中接受STA连接的设备,目标方表示接受WLAN接入认证请求的NFC模块,即WLAN的NFC模块,两者至少处于一不会泄密范围内。【具体实施方式】下面结合附图和实例对本专利技术进行详述。本专利技术提出了一个基于近场通信NFC的无线局域网WLAN接入方法。使用两个NFC模块:用户NFC模块和WLAN的NFC模块。当用户请求接入WLAN时,用户手持NFC模块轻触WLAN的NFC模块建立NFC通信,用某足够安全算法得到仅为双方NFC模块知晓的对称密钥KEYo然后对用户身份进行验证。身份验证通过后,用某种足够安全算法生成无线预共享秘钥PSK,用安全密钥加密无线预共享秘钥PSK和服务集标识ESSID等配置信息进行传输,用户获得配置信息后即可接入WLAN。对于所使用的两个NFC模块,用户NFC模块与用户的WLAN设备处于同一设备内;WLAN的NFC模块至少与WLAN中接受用户连接的设备处于同一不会泄密范围内。用户NFC模块工作在NFC通信中的初始方身份,主动发起通讯;WLAN的NFC模块为目标方身份,被动响应。两设备工作在点对点模式。使用的路由器等接入点AP为够同时配置多个虚拟服务集标识SSID的路由器。对于不能同时配置多个虚拟服务集标识SSID的路由器等接入点AP,在每天固定时间更新扩展服务集标识ESSID和预共享秘钥PSK。下面结合附图1说明一个基于近场通信NFC的无线局域网WLAN接入方法的实施过程,生成密钥的算法以迪菲-赫尔曼算法为例,身份验证以公钥密码证书系统为例,具体为数字签名算法DSA公钥认证协议,无线预共享秘钥PSK为随机生成:(I)用户使用自身设备用某一软件算法得到用于认证的数字签名DSA秘钥对,包括一个公钥和一个私钥,当场将公钥提交给WLAN管理员申请上网权限,由领导签署电子签名。(2)两NFC模块接触,用户NFC模块与WLAN的NFC模块建立通信,双方分别用迪菲-赫尔曼算法交换信息并计算出对称密钥KEY。(3)使用数字签名算法DSA证书,NFC通信中的初始方,即用户NFC模块使用私钥对(2)中的对称密钥KEY进行签名,将签名sig发送给NFC通信中的目标方,即WLAN的NFC模块。(4)目标方收到签名后,利用用户事先申请的私钥相应的公钥对KEY的签名Sig进行验证。验证初始方身份的同时也验证秘钥的一致性。验证无误则用户通过身份验证进行下一步;否则说明高级加密算法AES的秘钥不一致、用户身份不合法,通信停止。(5)目标方生成某种足够复杂的秘钥,从Linux下的/dev/urandom设备中读取,随机出一串长度大于16位,包含大小写字母、数字、特殊字符的预共享秘钥PSK,并随机生成扩展服务集标识ESSID。(6)将这两项配置信息用高级加密算法AES经对称密钥KEY加密后发送给初始方,同时按此信息配置路由器等接入点AP,准备用户接入。(7)初始方用对称密钥KEY解密配置信息后得到预共享秘钥PSK和扩展服务集标识ESSID,移交联网模块,用户的WLAN设备按本文档来自技高网...
【技术保护点】
一种基于近场通信NFC的无线局域网WLAN接入方法,其特征在于,此种接入方法使用两个NFC模块:用户设备采用的用户NFC模块和WLAN的NFC模块;WLAN的NFC模块WLAN中接受用户连接的设备处于同一不会泄密范围内;用户NFC模块工作在NFC通信中的初始方身份,主动发起通讯;WLAN的NFC模块为目标方身份,被动响应;所述的两个NFC模块工作在点对点模式,所使用的接入点AP分为两类,一类为能够同时配置多个虚拟服务集标识SSID的接入点AP;另一类为不能同时配置多个虚拟服务集标识SSID的接入点AP,对于第二类,在预设的固定时间内更新扩展服务集标识ESSID和预共享秘钥PSK;当用户请求接入WLAN时,用户的NFC模块与WLAN的NFC模块建立NFC通信,采用第一安全算法得到仅为双方NFC模块知晓的对称密钥KEY;当用户通过身份验证后,用对称密钥KEY对无线预共享秘钥PSK和服务集标识ESSID这两个WLAN配置信息进行加密传输,用户获得配置信息后即可接入WLAN。
【技术特征摘要】
【专利技术属性】
技术研发人员:解冰珊,金志刚,李云,
申请(专利权)人:天津大学,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。