本发明专利技术公开了基于NFC认证的WLAN接入方法,其特征是,包括如下步骤:1)生成签名密钥对;2)建立安全通信隧道;3)进行身份验证;4)实现一次一密;5)进行WAP/WAP2接入。这种方法在进行WLAN接入时,做到了每个用户每一次接入所用PSK都是随机产生,也就是一次一密,这样可以很好的抵抗非法接入和窃听等攻击。
【技术实现步骤摘要】
本专利技术属于无线局域网(Wireless Local Area Networks,简称WLAN)安全
,具体是基于近场通信(Near Field Communicat1n,简称NFC)认证的WLAN接入方法。
技术介绍
随着物联网技术的广泛发展,WLAN得到了广泛的应用,而基于射频识别(Rad1Frequency Identificat1n,简称RFID)的NFC也逐步发展了起来。然而,WLAN却存在众多安全性问题,NFC虽然已经发展成熟,但安全性问题依旧不完善。从本世纪初开始,WLAN得到了愈加广泛的应用。从实验室走向民用,各种加密体制从没有到完善,认证协议和加密协议变得愈加复杂,也因此能够抵抗越来越多类型的攻击。在协议变得越发复杂的同时,配置难度也出现了急剧的增加,W1-Fi联盟为此开发了简化配置的协议W1-Fi受保护配置(W1-Fi Protected Setup,简称WPS)。然而简化配置的协议却存在各式各样的协议漏洞,尽管很多人针对WPS的协议漏洞提出了改进方案,却始终无法解决密钥更新的问题,更无法做到一次一密性。在简化配置的基础上提升安全性能,成为了目前WLAN应用中非常迫切的需求。目前主流的WLAN简化配置协议是基于WPS技术的密码串认证(PIN认证)和按钮认证(PBC认证)。但PIN认证模式存在巨大的问题,其一是协议漏洞导致有效密钥长度缩短,使非法用户可以在不超过11000次枚举内暴力破解,并且,基于这种破解方法,衍生了并行化的加速方法,使得PIN认证濒临崩溃;更糟糕的是,PIN认证模式只是使用一种明文密码传播方式取代了另一种明文密码传播方式,并不能解决密码传播中的保密问题,更无法做到一次一密。而PBC认证因为人员流动原因,使得非合法人员很容易接触到PCB认证按钮,从而完成非法接入。W1-Fi网络安全接入(W1-Fi Protected Access,简称WPA)认证中的“密码”--预共享密钥(Pre-Shared Key,简称PSK)通常是8位以上的字母、数字、特殊字符组合,靠人工记忆传递,这使得密码很容易被泄露,从而导致非法接入的发生。我国曾经提出过WLAN鉴别和保密基础结构(WLAN Authenticat1n and PrivacyInfrastructure,简称WAPI)加密体制。通过椭圆曲线加密和公开密码体制的办法,实现了很高的安全性。但遗憾的是,WAPI设备在接入点端的成本过高,与当下主导的W1-Fi体制并不能很好的兼容。并且,WAP1-PSK模式也没有解决PSK需要由人工进行传递的问题。
技术实现思路
本专利技术的目的是针对现有技术的不足,而提供基于NFC认证的WLAN接入方法。这种方法能够在使用近场通信点对点技术进行无线局域网接入时实现每一个用户每一次接入所使用的PSK都随机生成,有效的抵抗WLAN接入时产生的非法接入攻击和窃听攻击。实现本
技术实现思路
的技术方案是:基于NFC认证的WLAN接入方法,包括如下步骤:1)生成签名密钥对:用椭圆曲线加密算法生成签名密钥对,公钥储存在接入点设备AP数据库中,私钥储存在用户设备中;2)建立安全通信隧道:利用迪菲赫尔曼密钥交换算法(Diffie-Heilman keyexchange,简称DH)得到只有双方共知的因子K ;根据安全散列算法利用因子K得到对称密钥 AES ;3)进行身份验证:用步骤1)中得到的签名密钥对对对称密钥AES及用户身份进行验证;4)实现一次一密:接入设备ΑΡ随机生成包含PSK和扩展服务集标识(ExtendedService Set Identifier,简称 ESSID)的配置信息,记作 NPSK (New Pre-Shared Key,简称NPSK),利用步骤2)中的对称密钥AES对NPSK进行加密得到加密后的预共享密钥CPSK,并传输给用户设备,用户设备对CPSK进行解密;5)进行 WAP/WAP2 接入。所述的ESSID和PSK为随机生成。所述的实现一次一密为NFC在点对点模式下进行。用户的WLAN设备和NFC发起者在同一设备上,目标方与WLAN接入点在同一设备上,具体连接方式无要求。用户设备和AP都工作在NFC的点对点模式下。迪菲赫尔曼密钥交换算法时的信息交互可以由任何一方开始。这种方法在进行WLAN接入时,做到了每个用户每一次接入所用PSK都是随机产生,也就是一次一密,这样可以很好地抵抗非法接入和窃听等攻击。【附图说明】图1为实施例中方法流程示意图;图2为实施例中方法的时序图示意。【具体实施方式】下面结合附图和实施例对本
技术实现思路
进行阐述,但不是对本专利技术的限定。实施例:参照图1,基于NFC认证的WLAN接入方法,包括如下步骤:1)生成签名密钥对:用椭圆曲线加密算法生成签名密钥对,公钥储存在接入点设备AP数据库中,私钥储存在用户设备中;2)建立安全通信隧道:利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K ;根据安全散列算法利用因子K得到对称密钥AES ;3)进行身份验证:用步骤1)中得到的签名密钥对对对称密钥AES及用户身份进行验证;4)实现一次一密:接入设备AP随机生成包含PSK和扩展服务集标识(ExtendedService Set Identifier,简称 ESSID)的配置信息,记作 NPSK (New Pre-Shared Key,简称NPSK),利用步骤2)中的对称密钥AES对NPSK进行加密得到加密后的预共享密钥CPSK,并传输给用户设备,用户设备对CPSK进行解密;5)进行传统WAP/WAP2接入。所述的ESSID和PSK为随机生成。所述的实现一次一密为NFC在点对点模式下进行。具体地,参照图2,基于NFC认证的WLAN接入方法,包括如下步骤:1)生成签名密钥对:私钥(PrivKey)和公钥(PubKey)是由椭圆曲线加密算法生成的签名密钥对,用户使用自身设备或公司通过的电脑利用椭圆曲线加密算法生成签名密钥对,并将公钥储存在AP数据库中,私钥储存在用户设备中;2)建立安全通信隧道:利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K ;用户持设备,以发起者角色与认证方目标建立NFC会话,在此过程中,目标将随机生成的NFCID3发送给发起者;发起者随机生成大素数a、p,依照公式(1)计算A,并将A,p发送至目标;A = 2a mod p(1)目标随机生成大素数b,依照公式(2)计算B,并将B发送至发起者;B = 2b mod p(2)目标与发起者分别按照公式(3)与公式(4当前第1页1 2 本文档来自技高网...
【技术保护点】
基于NFC认证的WLAN接入方法,其特征是,包括如下步骤:1)生成签名密钥对:用椭圆曲线加密算法生成签名密钥对,公钥储存在接入点设备AP数据库中,私钥储存在用户设备中;2)建立安全通信隧道:利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K;根据安全散列算法利用因子K得到对称密钥AES;3)进行身份验证:用步骤1)中得到的签名密钥对对对称密钥AES及用户身份进行验证;4)实现一次一密:接入设备AP随机生成包含PSK和扩展服务集标识(Extended Service Set Identifier,简称ESSID)的配置信息,记作NPSK(New Pre‑Shared Key,简称NPSK),利用步骤2)中的对称密钥AES对NPSK进行加密得到加密后的预共享密钥CPSK,并传输给用户设备,用户设备对CPSK进行解密;5)进行WAP/WAP2接入。
【技术特征摘要】
【专利技术属性】
技术研发人员:孙山林,陈庞森,李云,周卓伟,
申请(专利权)人:桂林航天工业学院,
类型:发明
国别省市:广西;45
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。