基于WPA2-PSK模式的无线网络安全数据传输方法及系统技术方案

本发明专利技术涉及一种基于WPA2‑PSK模式的无线网络安全数据传输方法，包括：用户接入AP时，该用户生成对称密钥发送给该AP并确认该AP收到该对称密钥后，向该AP发出关联请求；该AP收到该关联请求后，与该用户进行使用该对称密钥进行加密的WPA2‑PSK模式四次握手操作，以建立该用户与该AP之间的无线网络安全数据传输。本发明专利技术的基于WPA2‑PSK认证模式的Wi‑Fi网络安全数据传输方法，不仅能防止外部用户而且能防止内部授权用户解密其他用户与接入点间的私密数据，具有便于实施且效率高的特点。

Wireless Network Secure Data Transmission Method and System Based on WPA2-PSK Mode

【技术实现步骤摘要】
基于WPA2-PSK模式的无线网络安全数据传输方法及系统
本专利技术属于无线通信
，具体涉及一种基于WPA2-PSK认证模式的无线网络安全数据传输方法和系统。
技术介绍
随着Wi-Fi无线网络使用的越发广泛，人们在享受其带来的便捷日常生活方式和高效办公的同时，备受关注公共Wi-Fi的安全问题。WPA2安全加密协议被认为是无线网络安全问题的最终解决方案，但在实际应用中，仍然存在一些缺陷可以被攻击者利用。WPA2有两种安全认证模式，分别是WPA2-Enterprise和WPA2-PSK。WPA2-Enterprise具有很高的安全性，但其配置和维护费用高昂，一般小型企业和个人难以承受。而WPA2-PSK常用于公共场所，比如咖啡厅、餐厅、旅店等，WPA2-PSK认证模式存在较大的缺陷，图1是WPA2-PSK模式中防止窃取会话密钥示意图。如图1所示，针对WPA2-PSK模式的无线网络，攻击者可以窃听动态密钥协商四次握手过程中的明文参数，进而破解口令、解密个人隐私信息等。为了解决上述问题，现有技术主要是针对外部攻击者(未拥有Wi-Fi口令)，通过口令衍生出的预共享密钥(Pre-SharedKey，简称PSK)，然后以PSK作为密钥对四次握手过程中的参数信息进行加解密，防止外部攻击者字典破解口令。“一种基于高保密无线通讯的家用智能开锁系统”(公开号：CN208110709U)，公开了一种基于高保密无线通讯的家用智能开锁系统，本技术采用基于WPA2/PSK协议和SSH安全协议的家用无线路由器的家用无线局域网进行双层加密实现无线开锁的高保密性，实现用户的安全、远距离开锁。“用于PSK和SAE安全模式的快速初始链路设立安全优化的系统和方法”(公开号：CN105532028A)，本文描述了用于在无线通信网络中传达数据的系统、方法和设备。在一些方面，接入点向站传送信标。该信标包括Wi-Fi受保护接入II预共享密钥(WPA2-PSK)认证类型。该接入点进一步从该站接收认证请求。该接入点进一步向该站传送认证响应。该认证响应包括WPA2-PSK认证类型。该接入点进一步取回PSK并基于该PSK来生成PMK。该接入点进一步在生成PMK之后从该站接收关联请求。该关联请求包括从PSK导出的密钥确认。该接入点进一步响应于接收到关联请求而向该站传送关联响应。该关联响应包括该密钥确认。“一种基于WPA/WPA2PSK多密码提升公用Wi-Fi网络安全性的方法”(公开号：CN105141629A)，通过单一Wi-Fi网络设置多组不同的WPA/WPA2PSK密码供用户使用，用户不知道其他人的密码，互相隔离，从而避免用户资料被窃取，提升公共场所Wi-Fi用户上网的保密性和网上交易的安全性，同时保持用户硬件、软件、连接方法均不变，保证了对原有用户端设备的兼容性。然而，这类技术无法防止内部攻击者窃听四次握手过程的参数以及获取其他用户的会话密钥，因为内部攻击者凭借已经拥有的Wi-Fi口令生成预共享密钥PSK，通过截取其他用户(用户/Station)四次握手过程的加密消息并用密钥PSK进行解密，最终获取其他用户的会话密钥。针对内部攻击者(即内容授权用户)，相关研究表明通过用户和接入点(AccessPoint，简称AP)共同协商产生密钥以代替PSK，防止内容攻击者窃取会话密钥。但这类技术应用依赖每个接入点需要安装数字证书，这对于家庭和小型办公使用场景是不太实际的，而且加解密四次握手过程中所有的参数造成效率较低。因此，有必要引入一种新方法，考虑实际实施的便捷以及加解密的效率，防止内部攻击者窃取会话密钥，最终保证用户和接入点间的安全数据传输。
技术实现思路
为解决上述WPA2-PSK模式的无线网络安全数据传输中面临的数据安全问题，本专利技术利用椭圆曲线加密算法生成对称密钥，提出了一种基于WPA2-PSK模式的无线网络安全数据传输方法。具体来说，本专利技术的无线网络安全数据传输方法包括：用户接入AP时，该用户生成对称密钥发送给该AP并确认该AP收到该对称密钥后，向该AP发出关联请求；该AP收到该关联请求后，与该用户进行使用该对称密钥进行加密的WPA2-PSK模式四次握手操作，以建立该用户与该AP之间的无线网络安全数据传输。本专利技术所述的无线网络安全数据传输方法，其中该用户生成对称密钥的步骤具体包括：该AP采用椭圆曲线加密算法生成第一公钥KSAP和第一私钥KSAP；当该用户接入AP时，该AP向该用户发送该第一公钥KSAP和该椭圆曲线加密算法的参数(p,a,b,G,n)；该用户根据该参数(p,a,b,G,n)生成第二公钥KUSta和第二私钥KSSta；该用户生成该对称密钥key作为传输消息m，并将m映射到椭圆曲线上的点Pm；该用户向该AP发送消息{KUSta,Pm+KSSta·KUAP}；该AP使用该第一私钥KSAP对消息{KUSta,Pm+KSSta·KUAP}解密以获得该对称密钥key，并向该用户回复经该对称密钥key加密的确认消息；该用户收到该确认消息后，向该AP发出关联请求；其中，a、b为有限域{0,1,……,p-1}上的取值，且满足4a2+27b3≠0，p为素数，G为椭圆曲线Ep(a,b)的基点，Ep(a,b)满足y2≡x3+ax+b(modp)，n为素数且满足n·G＝0。本专利技术所述的无线网络安全数据传输方法，其中满足KUAP＝KSAP·G，以及KUSta＝·G，KSAP、KSSta分别为区间[1,n-1]中随机选择的整数。本专利技术所述的无线网络安全数据传输方法，其中使用该对称密钥进行加密的WPA2-PSK模式四次握手操作具体包括：当该AP收到该用户发送的关联请求后，生成第一随机数ANonce为第一握手消息，将该第一握手消息以明文方式发送给该用户；该用户收到该第一握手消息后，获得该第一随机数ANonce，生成第二随机数SNonce，并根据该第一随机数ANonce、该第二随机数SNonce、该AP的物理地址APMac、该用户的物理地址SMac及PMK，通过PRF-X函数生成成对临时密钥PTK，通过该对称密钥key对Snonce参数进行加密以得到加密消息AES，以该加密消息AES和该用户的RSNIE为第二握手消息，通过确认密钥KCK对该第二握手消息进行MIC校验为MIC1；向该AP发送该第二握手消息和MIC1；该AP收到该第二握手消息后，通过该对称密钥key进行解密该加密消息AES得到该第二随机数SNonce，根据该第一随机数ANonce、该第二随机数SNonce、该AP的物理地址APMac、该用户的物理地址SMac及PMK，通过PRF-X函数生成成对临时密钥PTK，对该第二握手消息进行MIC校验，提取该用户的RSNIE1，以ANonce、该AP的RSNIE、GTK为第三握手消息，通过确认密钥KCK对该第三握手消息进行MIC校验为MIC2；并向该用户发送该第三握手消息和MIC2；该用户收到该第三握手消息消息，并对该第三握手消息消息进行MIC校验，安装临时密钥TK和组临时密钥GTK，然后向该AP发送第四握手消息，以确认该用户安装临时密钥TK和组临时密钥GTK；该AP收到该第四握手消息并校验后，安装临时密钥TK。本专利技术还提出一种基于WPA2-PSK模式的无线网络安本文档来自技高网...

【技术保护点】
1.一种基于WPA2‑PSK模式的无线网络安全数据传输方法，其特征在于，包括：用户接入AP时，该用户生成对称密钥发送给该AP并确认该AP收到该对称密钥后，向该AP发出关联请求；该AP收到该关联请求后，与该用户进行使用该对称密钥进行加密的WPA2‑PSK模式四次握手操作，以建立该用户与该AP之间的无线网络安全数据传输。

【技术特征摘要】
1.一种基于WPA2-PSK模式的无线网络安全数据传输方法，其特征在于，包括：用户接入AP时，该用户生成对称密钥发送给该AP并确认该AP收到该对称密钥后，向该AP发出关联请求；该AP收到该关联请求后，与该用户进行使用该对称密钥进行加密的WPA2-PSK模式四次握手操作，以建立该用户与该AP之间的无线网络安全数据传输。2.如权利要求1所述的无线网络安全数据传输方法，其特征在于，该用户生成对称密钥的步骤具体包括：该AP采用椭圆曲线加密算法生成第一公钥KSAP和第一私钥KSAP；当该用户接入AP时，该AP向该用户发送该第一公钥KSAP和该椭圆曲线加密算法的参数(p,a,b,G,n)；该用户根据该参数(p,a,b,G,n)生成第二公钥KUSta和第二私钥KSSta；该用户生成该对称密钥key作为传输消息m，并将m映射到椭圆曲线上的点Pm；该用户向该AP发送消息{KUSta,Pm+KSSta·KUAP}；该AP使用该第一私钥KSAP对消息{KUSta,Pm+KSSta·KUAP}解密以获得该对称密钥key，并向该用户回复经该对称密钥key加密的确认消息；该用户收到该确认消息后，向该AP发出关联请求；其中，a、b为有限域{0,1,……,p-1}上的取值，且满足4a2+27b3≠0，p为素数，G为椭圆曲线Ep(a,b)的基点，Ep(a,b)满足y2≡x3+ax+b(modp)，n为素数且满足n·G＝0。3.如权利要求2所述的无线网络安全数据传输方法，其特征在于，满足KUAP＝KSAP·G，以及KUSta＝·G，其中KSAP、KSSta分别为区间[1,n-1]中随机选择的整数。4.如权利要求1所述的无线网络安全数据传输方法，其特征在于，使用该对称密钥进行加密的WPA2-PSK模式四次握手操作具体包括：当该AP收到该用户发送的关联请求后，生成第一随机数ANonce为第一握手消息，将该第一握手消息以明文方式发送给该用户；该用户收到该第一握手消息后，获得该第一随机数ANonce，生成第二随机数SNonce，并根据该第一随机数ANonce、该第二随机数SNonce、该AP的物理地址APMac、该用户的物理地址SMac及PMK，通过PRF-X函数生成成对临时密钥PTK，通过该对称密钥key对Snonce参数进行加密以得到加密消息AES，以该加密消息AES和该用户的RSNIE为第二握手消息，通过确认密钥KCK对该第二握手消息进行MIC校验为MIC1；向该AP发送该第二握手消息和MIC1；该AP收到该第二握手消息后，通过该对称密钥key进行解密该加密消息AES得到该第二随机数SNonce，根据该第一随机数ANonce、该第二随机数SNonce、该AP的物理地址APMac、该用户的物理地址SMac及PMK，通过PRF-X函数生成成对临时密钥PTK，对该第二握手消息进行MIC校验，提取该用户的RSNIE1，以ANonce、该AP的RSNIE、GTK为第三握手消息，通过确认密钥KCK对该第三握手消息进行MIC校验为MIC2；并向该用户发送该第三握手消息和MIC2；该用户收到该第三握手消息消息，并对该第三握手消息消息进行MIC校验，安装临时密钥TK和组临时密钥GTK，然后向该AP发送第四握手消息，以确认该用户安装临时密钥TK和组临时密钥GTK；该AP收到该第四握手消息并校验后，安装临时密钥TK。5.一种基于WPA2-PSK模式的无线网络安全数据传输系统，其特征在于，包括：对称密钥生成模块，用于当用户接入AP时，该用户生成对称密钥发送给该AP并确认该AP收到该对称密钥后，向该AP发出关联请求；无线传输关联模块，用于当该AP收到该关联请求后，与该用户进行使用该对称密钥进行加...

【专利技术属性】
技术研发人员：郭江，王淼，石梦雨，张瀚文，张玉军，
申请(专利权)人：中国科学院计算技术研究所，
类型：发明
国别省市：北京,11