一种无线局域网可信安全接入方法技术

一种无线局域网可信安全接入方法，该方法有五大步骤：步骤一：接入激活阶段：步骤二：接入请求阶段：步骤三：证书认证请求阶段：步骤四：证书认证响应阶段：步骤五：接入响应阶段。本发明专利技术使用完整性测量芯片实现终端的完整性度量，使用数字证书技术实现身份认证，使用无证书公钥密码体制实现会话密钥的协商。本发明专利技术将完整性认证、身份认证和密钥协商过程充分的整合，仅需5轮交互即可实现接入过程，有很高的安全性的同时也节省了系统开销。

【技术实现步骤摘要】

本专利技术涉及一种无线局域网环境下无线终端可信安全的接入网络的方法，本方法将可信计算的概念引入到无线局域网中，实现了对终端的完整性度量和可信认证，属于无线局域网安全

技术介绍
随着无线通信技术的不断发展，WLAN ( (Wireless Local Area Networks,无线局域网)已经在军事和民用领域有了广泛的应用，然而由于其开放性带来的安全问题已成为其继续发展的瓶颈。WLAN必须针对不同的安全威胁采取相对的安全措施来保证其安全。安全协议是解决WLAN安全威胁的基础。IEEE (Institute of Electrical andElectronicsEngineers,美国电气和电子工程师协会)相继制定了 WEP (Wired EquivalentPrivacy,有线等效保密)、WPA (W1-Fi Protected Access, W1-Fi 网络安全接入)、802.1X、802.1li等协议标准来达到WLAN接入安全认证、传输数据的保密性和完整性等安全要求。中国也制定了自己在WLAN领域的安全标准WAPI (Wireless LAN Authenticationand Privacy Infrastructure,无线局域网认证与保密基础结构)，其中WAI (WirelessLANAuthentication Infrastructure,无线局域网认证基础结构)和 WPI (Wireless LANPrivacy Infrastructure,无线局域网保密基础结构)是两个重要的部分,分别实现身份认证和数据加密的功能。然而这些协议都忽略了对终端的保护，即无法验证终端的可信性，这使WLAN很容易遭受攻击。在WLAN实际的应用中，设计能够保证终端可信性的接入方法尤为重要。对于WLAN可信安全接入，一方面要考虑对终端的完整性检测而增加的开销，同时也要考虑接入过程会话密钥的安全性和隐私保护等问题。基于此考虑，我们专利技术了本方法。涉及的主要技术为可信计算技术和无证书公钥密码体制。可信计算的概念由可信计算组织(Trust Computing Group, TCG)提出，主要手段是进行身份确认和使用加密等手段进行存储保护以及使用完整性度量机制进行完整性保护。TPM (Trusted Platform Module,可信平台模块)是可信计算技术的核心。TPM是一个带有密码运算功能的处理器芯片，具有对称/非对称加密、安全存储、完整性度量和签名认证四项功能。TPM在网络中具有唯一的身份标识，其内部AIK密钥仅对产生此密钥的平台可用，平台的PCR值可以作为“可信完整性度量值”来保证平台的可信，与PCR值相应的日志信息可以保证完整性度量信息的“新鲜性”。无证书公钥密码体制(CertificatelessPublic Key Cryptography, CL-PKC)是在基于身份的公钥密码体制(Identity-based Public Key Cryptography, ID-PKC)的基础上由Al-Riyami和Paterson于2003年提出来的一种新型公钥密码体制。与基于PKI(Public Key Infrastructure,公钥基础设施)的传统公钥密码系统相比,无证书的公钥密码系统和基于身份的系统一样不需要公钥证书；同时，无证书密码系统消除了基于身份的系统中的私钥托管问题，是一种性能优良、便于应用的公钥密码系统。
技术实现思路
(I)专利技术目的本专利技术的目的是提出。它可用于解决传统无线局域网接入协议中无法对终端的完整性和可信性进行度量的缺陷。该方法要实现终端和无线接入点之间相互的身份认证和完整性度量功能，同时实现终端和无线接入点之间会话密钥的协商。(2)技术方案为了达到上述目的，本专利技术在WAPI标准的基础上结合可信计算技术和无证书公钥密码体制开展工作，其技术方案如下本专利技术，，包括三个实体，即无线终端(STA)、无 线接入点(AP)和认证服务器(AS)，其中无线终端STA和无线接入点AP硬件中嵌入有可信平台模块TPM，以实现对无线终端的完整性度量，认证服务器AS主要实现对无线终端STA和无线接入点AP的身份认证。本专利技术采用无证书公钥密码体制来实现无线终端STA和无线接入点AP之间的密钥协商。在无证书公钥密码体制中，由认证服务器AS作为密钥生成中心和认证服务器，它拥有系统主密钥sAS，然后根据无线终端STA和无线接入点AP的身份信息生成无线终端STA和无线接入点AP的部分私钥D，并安全的传送给用户，在安全的接收到自己的部分私钥后，无线终端STA和无线接入点AP使用自己的部分私钥和自己随机选择的秘密数生成自己完整的私钥。公钥则由各自的秘密数，身份信息和其他系统参数计算得出，并以可靠的方式公布。之后无线终端STA和无线接入点AP就可以使用对方的公钥和己方的私钥生成会话密钥K。由于认证服务器AS无法得知无线终端STA和无线接入点AP的私钥，这样就解决了基于证书公钥密码体制中的私钥托管的问题。以下将结合附图对所述的可信安全接入方案进行具体阐述，附图说明图1为本专利技术无线局域网可信安全接入的架构模型图；图2为本专利技术无线局域网可信安全接入方法流程图。如图2所示，本方法共包括5个步骤，分别为接入激活阶段、接入请求阶段、证书认证请求阶段、证书认证响应阶段和接入响应阶段。步骤一接入激活阶段无线接入点AP向无线终端STA发送接入认证挑战和自己的数字证书。步骤二 接入请求阶段无线终端STA向无线接入点AP发送接入认证挑战、无线终端STA的数字证书、无线终端STA的完整性度量信息和无线终端STA的公钥。步骤三证书认证请求阶段无线接入点AP验证无线终端STA的完整性度量信息，然后发送无线终端STA的数字证书、无线终端STA的公钥和身份信息、无线接入点AP的数字证书，无线接入点AP的公钥给认证服务器AS进行认证。步骤四证书认证响应阶段认证服务器AS验证无线终端STA和无线接入点AP的数字证书，认证通过后认证服务器AS利用无线终端STA和无线接入点AP的身份信息和系统主密钥s生成无线终端STA和无线接入点AP的部分私钥。然后将无线终端STA和无线接入点AP的部分私钥发送给无线接入点AP。步骤五接入响应阶段无线接入点AP根据认证服务器AS响应的认证结果将认证服务器AS生成的无线终端STA的部分私钥、无线接入点AP的公钥和无线接入点AP的完整性度量信息发送给无线终端STA，最后无线接入点AP和无线终端STA结合三部分密钥生成会话密钥。其中，步骤一所述的“接入激活阶段”，其具体实现过程如下首先是无线接入点AP通过其嵌入的TPM芯片中的随机数生成函数产生160bit的随机挑战Nap，然后连同无线接入点AP的AIK证书CertAP通过无线信道发送给无线终端STA，激活本次接入过程。其中，步骤二所述的“接入请求阶段”，其具体实现过程如下无线终端STA通过无线信道接收到无线接入点AP发送的接入激活数据后，首先利用TPM芯片中内置的随机数生成函数产生大小为160bits随机挑战Ns TA，然后通过TPM芯片中内置的杂凑函数对PCR的值进行拓展PCRsta=SHA I (PCRsta | | Nap)，然后再次利用TPM的杂凑函数计算本文档来自技高网...

【技术保护点】
一种无线局域网可信安全接入方法，其特征在于：该方法具体步骤如下：步骤一：接入激活阶段：无线接入点AP向无线终端STA发送接入认证挑战和自己的数字证书；步骤二：接入请求阶段：无线终端STA向无线接入点AP发送接入认证挑战、无线终端STA的数字证书、无线终端STA的完整性度量信息和无线终端STA的公钥；步骤三：证书认证请求阶段：无线接入点AP验证无线终端STA的完整性度量信息，然后发送无线终端STA的数字证书、无线终端STA的公钥和身份信息、无线接入点AP的数字证书，无线接入点AP的公钥给认证服务器AS进行认证；步骤四：证书认证响应阶段：认证服务器AS验证无线终端STA和无线接入点AP的数字证书，认证通过后认证服务器AS利用无线终端STA和无线接入点AP的身份信息和系统主密钥s生成无线终端STA和无线接入点AP的部分私钥，然后将无线终端STA和无线接入点AP的部分私钥发送给无线接入点AP；步骤五：接入响应阶段：无线接入点AP根据认证服务器AS响应的认证结果将认证服务器AS生成的无线终端STA的部分私钥、无线接入点AP的公钥和无线接入点AP的完整性度量信息发送给无线终端STA，最后无线接入点AP和无线终端STA结合三部分密钥生成会话密钥。...

【技术特征摘要】
1.一种无线局域网可信安全接入方法，其特征在于该方法具体步骤如下步骤一接入激活阶段无线接入点AP向无线终端STA发送接入认证挑战和自己的数字证书；步骤二 接入请求阶段无线终端STA向无线接入点AP发送接入认证挑战、无线终端 STA的数字证书、无线终端STA的完整性度量信息和无线终端STA的公钥；步骤三证书认证请求阶段无线接入点AP验证无线终端STA的完整性度量信息，然后发送无线终端STA的数字证书、无线终端STA的公钥和身份信息、无线接入点AP的数字证书，无线接入点AP的公钥给认证服务器AS进行认证；步骤四证书认证响应阶段认证服务器AS验证无线终端STA和无线接入点AP的数字证书，认证通过后认证服务器AS利用无线终端STA和无线接入点AP的身份信息和系统主密钥s生成无线终端STA和无线接入点AP的部分私钥，然后将无线终端STA和无线接入点 AP的部分私钥发送给无线接入点AP ；步骤五接入响应阶段无线接入点AP根据认证服务器AS响应的认证结果将认证服务器AS生成的无线终端STA的部分私钥、无线接入点AP的公钥和无线接入点AP的完整性度量信息发送给无线终端STA，最后无线接入点AP和无线终端STA结合三部分密钥生成会话密钥。2.根据权利要求1所述的一种无线局域网可信安全接入方法，其特征在于步骤一所述的“接入激活阶段”，其具体实现过程如下首先是无线接入点AP通过其嵌入的TPM芯片中的随机数生成函数产生160bit的随机挑战Nap，然后连同无线接入点AP的AIK证书CertAP 通过无线信道发送给无线终端STA，激活本次接入过程。3.根据权利要求1所述的一种无线局域网可信安全接入方法，其特征在于步骤二所述的“接入请求阶段”，其具体实现过程如下无线终端STA通过无线信道接收到无线接入点AP发送的接入激活数据后，首先利用TPM芯片中内置的随机数生成函数产生大小为160bits随机挑战Nsta，然后通过TPM芯片中内置的杂凑函数对PCR的值进行拓展 PCRsta=SHAI (PCRsta I I Nap)，然后再次利用 TPM 的杂凑函数计算 Qsta=H1 (CertSTA | Nap) e G1 ;接着无线终端STA收集自己的身份标志IDsta、系统度量日志MLsta、状态寄存器值PCRsta、随机挑战NSTA，NAP，部分密钥TSTA=aP(a e Z)、部分公钥PKsta=XstaP (xSTA e Z)信息，然后无线终端 STA加载平台的AIK私钥AIKprivstt到TPM芯片中，执行TPM的Quote命令对收集的信息进行签名生成办Oiesn =吨;最后无线终端STA 将收集的信息以及签名Quotesw通过无线信道发送给无线接入点AP进入证书认证阶段。4.根据权利要求1所述的一种无线局域网可信安全接入方法，其特征在于步骤三所述的“证书认证请求阶段”，其具体实现过程如下无线接入点AP通过无线信道收到无线终端STA发送的接入请求数据后，首先验证无线终端STA的完整性，无线接入点AP通过无线终端STA的系统度量日志MLsta根据可信计算技术要求的计算规则计算PCR丨STA，然后将Nap 和PCR ’ STA加载到TPM中执行杂凑函数计算PCR ’ sta=SHA1 (PCR ’ STA | | Nap)，比较无线终端STA发送的PCRsta和通过重新计算得到的PCR丨STA来验证PCRsta的有效...

【专利技术属性】
技术研发人员：刘建伟，赵朋川，王世帅，陈杰，刘哲，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：