【技术实现步骤摘要】
无线局域网安全通信方法及系统、认证服务器
本专利技术是关于无线通信
,特别是关于一种无线局域网安全通信方法及系统、认证服务器。
技术介绍
随着无线网络的迅速发展广泛应用,无线通信中的信息安全问题逐渐突显出来,并成为阻碍该技术普及的最大障碍之一。为满足新的网络环境对安全和可靠性越来越高的要求,无线网络的安全标准和协议也在不断更新和增强,由最先的WEP协议,到随后提出的WPA和802.11i安全体系,无线网络安全技术的设计原理和特点在不断变化着。为满足万物无缝互连的应用需求以及无线通信的安全,国际电机电子工程师学会(IEEE)提出新一代802.11ah标准。该标准采用1GHz以下频段,实现低功耗、远距离无线区域网路连接。为了满足数据安全传输的要求,IEEE802.11ah标准规定了基于CCMP(计数器模式密码块链消息完整码)协议的安全通信规则,CCMP协议采用AES块加密算法作为其核心算法,AES加密算法是由美国国家标准与技术研究院(NIST)于2001年发布的高级加密标准,该标准成为对称密钥加密中最流行的算法之一...
【技术保护点】
1.一种基于国密算法的无线局域网安全通信方法,其特征在于,所述无线局域网安全通信方法包括:/n认证节点向无线访问接入点发送基于局域网的可扩展认证协议启动消息;/n所述认证节点接收所述无线访问接入点发送的可扩展认证协议认证请求消息,其中,所述可扩展认证协议认证请求消息是所述无线访问接入点接收到所述可扩展认证协议启动消息之后发送的,所述可扩展认证协议认证请求消息中包括所述无线访问接入点的身份标识信息;/n所述认证节点向所述无线访问接入点发送一对基于国密SM2算法的第一公钥和第一私钥的信息;/n所述认证节点接收所述认证服务器的第一加密信息;/n所述认证节点采用所述认证服务器的第二...
【技术特征摘要】
1.一种基于国密算法的无线局域网安全通信方法,其特征在于,所述无线局域网安全通信方法包括:
认证节点向无线访问接入点发送基于局域网的可扩展认证协议启动消息;
所述认证节点接收所述无线访问接入点发送的可扩展认证协议认证请求消息,其中,所述可扩展认证协议认证请求消息是所述无线访问接入点接收到所述可扩展认证协议启动消息之后发送的,所述可扩展认证协议认证请求消息中包括所述无线访问接入点的身份标识信息;
所述认证节点向所述无线访问接入点发送一对基于国密SM2算法的第一公钥和第一私钥的信息;
所述认证节点接收所述认证服务器的第一加密信息;
所述认证节点采用所述认证服务器的第二公钥基于国密SM2算法对所述第一加密信息进行解密,若解密后的所述认证节点的身份标识信息正确,则所述认证节点采用所述第一私钥基于国密SM2算法对所述认证服务器的身份标识信息以及所述认证节点的身份标识信息进行加密,并将加密后的信息发送给所述无线访问接入点;
所述认证节点接收所述认证服务器的第二加密信息,其中,所述第二加密信息中包括第一PMK密钥信息;
所述认证节点采用所述第二公钥对所述第二加密信息进行解密,若解密后的第一PMK密钥信息正确,则所述认证节点生成第二PMK密钥信息,并采用所述第一私钥对所述第二PMK密钥信息进行加密,并将加密后的第二PMK密钥信息发送给所述无线访问接入点;
所述认证节点接收到第三消息,则所述认证节点将所述第一PMK密钥信息和所述第二PMK密钥信息结合形成第三PMK密钥信息进行存储,其中,所述第三消息为所述认证服务器解密的第二PMK密钥信息正确后发出的反馈消息。
2.如权利要求1所述的基于国密算法的无线局域网安全通信方法,其特征在于,所述无线局域网安全通信方法还包括:
所述认证节点接收所述无线访问接入点生成的第一随机数;
所述认证节点生成第二随机数,并根据所述第一随机数、所述第二随机数、所述第三PMK密钥信息生成第一PTK密钥;
所述认证节点采用所述第一PTK密钥的前128bit的密钥基于国密SM3算法对所述第二随机数和所述第一随机数的组合信息进行加密从而生成第一MIC信息;
所述认证节点将所述第二随机数以及所述第一MIC信息发送给所述无线访问接入点;
所述认证节点接收所述无线访问接入点发送的初次加密后的第一GIK密钥以及第二MIC信息,其中,所述无线访问接入点根据所述第一随机数、所述第二随机数、所述第三PMK信息生成第二PTK密钥,所述无线访问接入点采用所述第二PTK密钥的前128bit的密钥基于国密SM3算法对所述第一随机数和所述第二随机数的组合信息进行加密从而生成第二MIC信息,若所述第二MIC信息与所述无线访问接入点接收到的所述第一MIC信息相同,则所述无线访问接入点生成第一GTK密钥,所述无线访问接入点采用所述第二PTK密钥的128~256bit的密钥基于SM4算法对所述第一GTK密钥进行初次加密,所述无线访问接入点采用所述第二PTK密钥的前128bit的密钥基于SM3算法对初次加密后的第一GTK密钥再次加密生成第二MIC信息;
所述认证节点采用所述第一PTK密钥的前128bit的密钥基于SM3算法对所述初次加密后的第一GTK密钥进行再次加密,若所述认证节点再次加密后的第一GTK密钥信息与接收到的所述第二MIC信息相同,则所述认证节点采用所述第一PTK密钥的128—256bit的密钥基于SM4算法对所述认证节点再次加密后的第一GTK密钥进行解密,若解密后的第一GTK密钥正确,则所述认证节点生成密钥确认帧,并采用所述第一PTK密钥的前128bit的密钥基于SM3算法对该密钥确认帧中的信息进行加密生成第三MIC信息;
所述认证节点将所述密钥确认帧以及所述第三MIC信息发送给所述无线访问接入点;
所述认证节点接收到所述无线访问接入点发送的信息确认消息后存储所述第一PTK密钥与所述第一GTK密钥,其中,所述无线访问接入点采用所述第二PTK密钥的前128bit的密钥基于SM3算法对接收到的所述密钥确认帧中的信息进行加密,若所述无线访问接入点加密后的密钥确认帧中的信息与接收到的所述第三MIC信息相同,则发出所述信息确认消息。
3.一种基于国密算法的无线局域网安全通信方法,其特征在于,所述无线局域网安全通信方法包括:
所述认证服务器接收无线访问接入点解析的所述认证节点的可扩展认证协议认证响应消息,所述可扩展认证协议认证响应消息中包含所述认证节点的身份标识信息,所述认证节点的身份标识信息中包括一对基于国密SM2算法的第一公钥和第一私钥;
所述认证服务器根据所述认证节点的身份标识信息找出其中的所述第一公钥;
所述认证服务器采用自身的第二私钥基于国密SM2算法对所述认证服务器的身份标识信息以及所述认证节点的身份标识信息进行加密,并将加密后的信息发送给所述无线访问接入点;
所述认证服务器接收所述无线访问接入点转发的所述认证节点的第一加密信息;
所述认证服务器采用所述认证节点的所述第一公钥并基于国密SM2算法对所述认证节点加密后的信息进行解密,若解密后的所述认证服务器的身份标识信息正确,则所述认证服务器生成第一PMK密钥信息,并用所述认证服务器的所述第二私钥对所述第一PMK密钥信息进行加密,将加密后的第一PMK密钥信息发送给所述无线访问接入点;
所述认证服务器接收所述无线访问接入点转发的将所述认证节点加密后的第二PMK密钥信息;
所述认证服务器采用所述认证节点的所述第一公钥对所述认证节点加密后的第二PMK密钥信息进行解密,若解密后的第二PMK密钥信息正确,则所述认证服务器将所述第一PMK密钥信息和所述第二PMK密钥信息结合形成第三PMK密钥信息进行存储。
4.如权利要求1或3任一所述的基于国密算法的无线局域网安全通信方法,其特征在于,所述无线局域网安全通信方法还包括:基于国密SM3和SM4算法进行数据加密,所述基于国密SM3和SM4算法进行数据加密包括:
生成序列号PN,该序列号PN与上一序列号之间呈递增的规律;
根据数据发送方的服务集标识与PTK密钥生成一个临时密钥TK,其中所述数据发送方为所述认证节点、所述认证服务器或所述无线访问接入点;
根据所述数据发送方的地址和所述序列号PN生成随机数Nonce;
根据待发送的数据帧的帧头部信息生成身份认证附加数据AAD;
根据所述序列号PN的值生成SM头部;
采用所述临时密钥TK对所述身份认证附加数据AAD、所述随机数Nonce以及所述待发送的数据帧中的帧数据信息基于国密SM3进行加密得到MIC信息;
采用所述临时密钥TK对所述待发送的数据帧中的帧数据信息基于国密SM4算法进行加密,得到加密后的数据域;
将所述帧头部信息、所述SM头部信息、所述加密后的数据域以及所述MIC信息重新封装成新的帧进行数据发送。
5.如权利要求1或3任一所述的基于国密算法的无线局域网安全通信方法,其特征在于,所述无线局域网安全通信方法还包括:基于国密SM3和SM4算法进行数据解密,所述基于国密SM3和SM4算法进行数据解密包括:
根据接收到的数据帧中的SM头部信息解析出序列号PN;
若所述数据帧中的序列号PN与上一序列号之间呈递增的规律,则根据所述数据接收方的服务集标识和PTK密钥生成临时密钥TK,其中,所述数据接收方为所述认证节点、所述认证服务器或所述无线访问接入点;
根据数据发送方的地址以及所述序列号PN生成随机数Nonce;
根据所述接收到的数据帧的帧头部信息生成身份认证附加数据AAD;
采用所述临时密钥TK对所述接收到的数据帧中的帧数据信息基于国密SM4算法进行解密从而获得解密后的帧数据信息;
采用所述临时密钥TK对所述身份认证附加数据AAD、所述随机数Nonce以及所述解密后的帧数据信息基于国密SM3算法进行加密,若加密后的信息与所述接收到的数据帧中的MIC信息相同,则判定解密后的帧数据信息为正确的信息,数据解密成功。
6.一种基于国密算法的无线局域网安全通信系统,其特征在于,所述无线局域网安全通信系统包括:认证节点、无线访问接入点以及认证服务器,
所述认证节点用于向所述无线访问接入点发送基于局域网的可扩展认证协议启动消息;
所述无线访问接入点用于在接收到所述基于局域网的可扩展认证协议启动消息后向所述认证节点发送可扩展认证协议认证请求消息,其中,所述可扩展认证协议认证请求消息中包括所述无线访问接入点的身份标识信息;
所述认证节点还用于接收到所述可扩展认证协议认证请求消息后向所述无线访问接入点发送可扩展认证协议认证响应消息,其中,所述可扩展认证协议认证响应消息中包含一对基于国密SM2算法的第一公钥和第一私钥的信息;
所述无线访问接入点还用于将所述可扩展认证协议认证响应消息进行解析后转发给所述认证服务器;
所述认证服务器用于根据自身的第二私钥基于国密SM2算法对所述认证服务器的身份标识信息以及所述认证节点的身份标识信息进行加密产生第一加密信息;
所述无线访问接入点还用于将所述第一加密信息进行转发;
所述认证节点还用于采用所述认证服务器的第二公钥基于国密SM2算法对所述认证服务器的第一加密信息进行解密,若解密后的所述认证节点的身份标识信息正确,则所述认证节点采用自身的所述第一私钥基于国密SM2算法对所述认证服务器的身份标识信息以及所述认证节点的身份标识信息进行加密;
所述无线访问接入点还用于将该加密后的所述认证服务器的身份标识信息以及所述认证节点的身份标识信息转发给所述认证服务器;
所述认证服务器还用于采用所述认证节点的所述第一公钥并基于国密SM2算法对该加密后的所述认证服务器的身份标识信息以及所述认证节点的身份标识信息进行解密,若解密后的所述认证服务器的身份标识信息正确,则所述认证服务器生成第一PMK密钥信息,并且所述认证服务器采用自身的第二私钥对所述第一PMK密钥信息加密生成第二加密信息;
所述无线访问接入点还用于将所述第二加密信息转发给所述认证节点;
所述认证节点还用于采用所述认证服务器的所述第二公钥对所述认证服务器的第二加密信息进行解密,若解密后的第一PMK密钥信息正确,则所述认证节点生成第二PMK密钥信息,并采用所述认证节点的所述第一私钥对所述第二PMK密钥信息进行加密;
所述无线访问接入点还用于将该加密后的第二PMK密钥信息转发给所述认证服务器;
所述认证服务器还用于对所述第二PMK密钥信息进行解密,若解密正确则向所述无线访问接入点发送第三消息;
所述无线访问接入点还用于将所述第三消息转发给所述认证节点;
所述认证节点还用于接收到所述第三消息后将所述第一PMK密钥信息和所述第二PMK密钥信息结合形成第三PMK密钥...
【专利技术属性】
技术研发人员:王亮,崔文朋,乔磊,刘瑞,郑哲,庄黎明,
申请(专利权)人:北京智芯微电子科技有限公司,国网上海市电力公司,国网信息通信产业集团有限公司,国家电网有限公司,全球能源互联网研究院有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。