[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN105245532A - 基于nfc认证的wlan接入方法 - Google Patents

基于nfc认证的wlan接入方法 Download PDF

Info

Publication number
CN105245532A
CN105245532A CN201510694374.2A CN201510694374A CN105245532A CN 105245532 A CN105245532 A CN 105245532A CN 201510694374 A CN201510694374 A CN 201510694374A CN 105245532 A CN105245532 A CN 105245532A
Authority
CN
China
Prior art keywords
promoter
key
target
nfc
psk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510694374.2A
Other languages
English (en)
Other versions
CN105245532B (zh
Inventor
孙山林
陈庞森
李云
周卓伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guilin University of Aerospace Technology
Original Assignee
Guilin University of Aerospace Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guilin University of Aerospace Technology filed Critical Guilin University of Aerospace Technology
Priority to CN201510694374.2A priority Critical patent/CN105245532B/zh
Publication of CN105245532A publication Critical patent/CN105245532A/zh
Application granted granted Critical
Publication of CN105245532B publication Critical patent/CN105245532B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了基于NFC认证的WLAN接入方法,其特征是,包括如下步骤:1)生成签名密钥对;2)建立安全通信隧道;3)进行身份验证;4)实现一次一密;5)进行WAP/WAP2接入。这种方法在进行WLAN接入时,做到了每个用户每一次接入所用PSK都是随机产生,也就是一次一密,这样可以很好的抵抗非法接入和窃听等攻击。

Description

基于NFC认证的WLAN接入方法
技术领域
本发明属于无线局域网(WirelessLocalAreaNetworks,简称WLAN)安全技术领域,具体是基于近场通信(NearFieldCommunication,简称NFC)认证的WLAN接入方法。
背景技术
随着物联网技术的广泛发展,WLAN得到了广泛的应用,而基于射频识别(RadioFrequencyIdentification,简称RFID)的NFC也逐步发展了起来。然而,WLAN却存在众多安全性问题,NFC虽然已经发展成熟,但安全性问题依旧不完善。从本世纪初开始,WLAN得到了愈加广泛的应用。从实验室走向民用,各种加密体制从没有到完善,认证协议和加密协议变得愈加复杂,也因此能够抵抗越来越多类型的攻击。在协议变得越发复杂的同时,配置难度也出现了急剧的增加,Wi-Fi联盟为此开发了简化配置的协议Wi-Fi受保护配置(Wi-FiProtectedSetup,简称WPS)。然而简化配置的协议却存在各式各样的协议漏洞,尽管很多人针对WPS的协议漏洞提出了改进方案,却始终无法解决密钥更新的问题,更无法做到一次一密性。在简化配置的基础上提升安全性能,成为了目前WLAN应用中非常迫切的需求。
目前主流的WLAN简化配置协议是基于WPS技术的密码串认证(PIN认证)和按钮认证(PBC认证)。但PIN认证模式存在巨大的问题,其一是协议漏洞导致有效密钥长度缩短,使非法用户可以在不超过11000次枚举内暴力破解,并且,基于这种破解方法,衍生了并行化的加速方法,使得PIN认证濒临崩溃;更糟糕的是,PIN认证模式只是使用一种明文密码传播方式取代了另一种明文密码传播方式,并不能解决密码传播中的保密问题,更无法做到一次一密。而PBC认证因为人员流动原因,使得非合法人员很容易接触到PCB认证按钮,从而完成非法接入。
Wi-Fi网络安全接入(Wi-FiProtectedAccess,简称WPA)认证中的“密码”——预共享密钥(Pre-SharedKey,简称PSK)通常是8位以上的字母、数字、特殊字符组合,靠人工记忆传递,这使得密码很容易被泄露,从而导致非法接入的发生。
我国曾经提出过WLAN鉴别和保密基础结构(WLANAuthenticationandPrivacyInfrastructure,简称WAPI)加密体制。通过椭圆曲线加密和公开密码体制的办法,实现了很高的安全性。但遗憾的是,WAPI设备在接入点端的成本过高,与当下主导的Wi-Fi体制并不能很好的兼容。并且,WAPI-PSK模式也没有解决PSK需要由人工进行传递的问题。
发明内容
本发明的目的是针对现有技术的不足,而提供基于NFC认证的WLAN接入方法。这种方法能够在使用近场通信点对点技术进行无线局域网接入时实现每一个用户每一次接入所使用的PSK都随机生成,有效的抵抗WLAN接入时产生的非法接入攻击和窃听攻击。
实现本发明内容的技术方案是:
基于NFC认证的WLAN接入方法,包括如下步骤:
1)生成签名密钥对:用椭圆曲线加密算法生成签名密钥对,公钥储存在接入点设备AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:利用迪菲赫尔曼密钥交换算法(Diffie–Hellmankeyexchange,简称DH)得到只有双方共知的因子K;根据安全散列算法利用因子K得到对称密钥AES;
3)进行身份验证:用步骤1)中得到的签名密钥对对对称密钥AES及用户身份进行验证;
4)实现一次一密:接入设备AP随机生成包含PSK和扩展服务集标识(ExtendedServiceSetIdentifier,简称ESSID)的配置信息,记作NPSK(NewPre-SharedKey,简称NPSK),利用步骤2)中的对称密钥AES对NPSK进行加密得到加密后的预共享密钥CPSK,并传输给用户设备,用户设备对CPSK进行解密;
5)进行WAP/WAP2接入。
所述的ESSID和PSK为随机生成。
所述的实现一次一密为NFC在点对点模式下进行。
用户的WLAN设备和NFC发起者在同一设备上,目标方与WLAN接入点在同一设备上,具体连接方式无要求。
用户设备和AP都工作在NFC的点对点模式下。
迪菲赫尔曼密钥交换算法时的信息交互可以由任何一方开始。
这种方法在进行WLAN接入时,做到了每个用户每一次接入所用PSK都是随机产生,也就是一次一密,这样可以很好地抵抗非法接入和窃听等攻击。
附图说明
图1为实施例中方法流程示意图;
图2为实施例中方法的时序图示意。
具体实施方式
下面结合附图和实施例对本发明内容进行阐述,但不是对本发明的限定。
实施例:
参照图1,基于NFC认证的WLAN接入方法,包括如下步骤:
1)生成签名密钥对:用椭圆曲线加密算法生成签名密钥对,公钥储存在接入点设备AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K;根据安全散列算法利用因子K得到对称密钥AES;
3)进行身份验证:用步骤1)中得到的签名密钥对对对称密钥AES及用户身份进行验证;
4)实现一次一密:接入设备AP随机生成包含PSK和扩展服务集标识(ExtendedServiceSetIdentifier,简称ESSID)的配置信息,记作NPSK(NewPre-SharedKey,简称NPSK),利用步骤2)中的对称密钥AES对NPSK进行加密得到加密后的预共享密钥CPSK,并传输给用户设备,用户设备对CPSK进行解密;
5)进行传统WAP/WAP2接入。
所述的ESSID和PSK为随机生成。
所述的实现一次一密为NFC在点对点模式下进行。
具体地,参照图2,基于NFC认证的WLAN接入方法,包括如下步骤:
1)生成签名密钥对:私钥(PrivKey)和公钥(PubKey)是由椭圆曲线加密算法生成的签名密钥对,用户使用自身设备或公司通过的电脑利用椭圆曲线加密算法生成签名密钥对,并将公钥储存在AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:
利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K;
用户持设备,以发起者角色与认证方目标建立NFC会话,在此过程中,目标将随机生成的NFCID3发送给发起者;
发起者随机生成大素数a、p,依照公式(1)计算A,并将A,p发送至目标;
A=2amodp(1)
目标随机生成大素数b,依照公式(2)计算B,并将B发送至发起者;
B=2bmodp(2)
目标与发起者分别按照公式(3)与公式(4)计算各自生成K;
K=Abmodp(3)
K=Bamodp(4)
根据安全散列算法利用因子K得到对称密钥AES;
发起者随机生成随机数(INonce)并发送至目标;
目标随机生成随机数(TNonce)并发送至发起者;
发起者与目标各自按照公式(5)各自生成用于AES加密的256位对称密钥KEY,
KEY=SHA2(INonce:NFCID3:K:TNonce)(5)
式中,SHA为安全哈希算法(SecureHashAlgorithm,简称SHA);
3)进行身份验证:用椭圆曲线加密算法签名密钥对对对称密钥AES及用户身份进行验证;
发起者用自身的私钥(PrivKey)对KEY进行签名,生成签名结果sig;
发起者发送sig至目标;
目标使用用户事先申请上网时存储的公钥(PubKey),验证KEY的签名sig,此时NFC认证已经完成;
4)实现一次一密:NFC点对点模式下的一次一密,
AP随机生成包含PSK和ESSID配置信息的NPSK并利用AES对NPSK加密得到CPSK;
AP将CPSK传输给用户设备;
用户设备对CPSK进行解密;
5)进行WAP/WAP2接入:
发起者将解密所得到的PSK转交至WLAN联网模块STA(Station,简称STA),同时,AP/RADIUS完成了配置,并成功发送出AP产生的随机数ANounce与AMac(APMediumAccessControl,简称AMac)至STA;
STA承接AP/RADIUS发起的WPA/WPA2-PSK第一次握手,发送STA产生的随机数SNounce与SMac(STAMediumAccessControl,简称SMac);
STA与AP/RADIUS各自使用SNouce,SMac,ANouce,AMac,以及含有ESSID与PSK的NPSK按照WPA协议标准生成PTK,并完成后续的第三次与第四次握手。至此,基于NFC认证的WLAN接入方法已全部完成。

Claims (4)

1.基于NFC认证的WLAN接入方法,其特征是,包括如下步骤:
1)生成签名密钥对:用椭圆曲线加密算法生成签名密钥对,公钥储存在接入点设备AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K;根据安全散列算法利用因子K得到对称密钥AES;
3)进行身份验证:用步骤1)中得到的签名密钥对对对称密钥AES及用户身份进行验证;
4)实现一次一密:接入设备AP随机生成包含PSK和扩展服务集标识(ExtendedServiceSetIdentifier,简称ESSID)的配置信息,记作NPSK(NewPre-SharedKey,简称NPSK),利用步骤2)中的对称密钥AES对NPSK进行加密得到加密后的预共享密钥CPSK,并传输给用户设备,用户设备对CPSK进行解密;
5)进行WAP/WAP2接入。
2.根据权利要求1所述的基于NFC认证的WLAN接入方法,其特征是,所述的ESSID和PSK为随机生成。
3.根据权利要求1所述的基于NFC认证的WLAN接入方法,其特征在是,所述的实现一次一密为NFC在点对点模式下进行。
4.根据权利要求1所述的基于NFC认证的WLAN接入方法,其特征在是,包括如下步骤:
1)生成签名密钥对:私钥(PrivKey)和公钥(PubKey)是由椭圆曲线加密算法生成的签名密钥对,用户使用自身设备或公司通过的电脑利用椭圆曲线加密算法生成签名密钥对,并将公钥储存在AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:
利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K;
用户持设备,以发起者角色与认证方目标建立NFC会话,在此过程中,目标将随机生成的NFCID3发送给发起者;
发起者随机生成大素数a、p,依照公式(1)计算A,并将A,p发送至目标;
A=2amodp(1)
目标随机生成大素数b,依照公式(2)计算B,并将B发送至发起者;
B=2bmodp(2)
目标与发起者分别按照公式(3)与公式(4)计算各自生成K;
K=Abmodp(3)
K=Bamodp(4)
根据安全散列算法利用因子K得到对称密钥AES;
发起者随机生成随机数INounce并发送至目标;
目标随机生成随机数TNounce并发送至发起者;
发起者与目标各自按照公式(5)各自生成用于AES加密的256位对称密钥KEY,
KEY=SHA2(INonce:NFCID3:K:TNonce)(5)
式中,SHA为安全哈希算法(SecureHashAlgorithm,简称SHA);
3)进行身份验证:用椭圆曲线加密算法签名密钥对对对称密钥AES及用户身份进行验证;
发起者用自身的私钥(PrivKey)对KEY进行签名,生成签名结果sig;
发起者发送sig至目标;
目标使用用户事先申请上网时存储的公钥(PubKey),验证KEY的签名sig,此时NFC认证已经完成;
4)实现一次一密:NFC点对点模式下的一次一密,
AP随机生成包含PSK和ESSID配置信息的NPSK并利用AES对NPSK加密得到CPSK;
AP将CPSK传输给用户设备;
用户设备对CPSK进行解密;
5)进行WAP/WAP2接入:
发起者将解密所得到的PSK转交至WLAN联网模块STA(Station,简称STA),同时,AP/RADIUS(RemoteAuthenticationDialInUserService,远程用户拨号认证系统)完成了配置,并成功发送出AP产生的随机数ANounce与AMac(APMediumAccessControl,简称AMac)至STA;
STA承接AP/RADIUS发起的WPA/WPA2-PSK第一次握手,发送STA产生的随机数SNounce与SMac(STAMediumAccessControl,简称SMac);
STA与AP/RADIUS各自使用SNouce,SMac,ANouce,AMac,以及含有ESSID与PSK的NPSK按照WPA协议标准生成PTK,并完成后续的第三次与第四次握手。
CN201510694374.2A 2015-10-22 2015-10-22 基于nfc认证的wlan接入方法 Active CN105245532B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510694374.2A CN105245532B (zh) 2015-10-22 2015-10-22 基于nfc认证的wlan接入方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510694374.2A CN105245532B (zh) 2015-10-22 2015-10-22 基于nfc认证的wlan接入方法

Publications (2)

Publication Number Publication Date
CN105245532A true CN105245532A (zh) 2016-01-13
CN105245532B CN105245532B (zh) 2018-01-19

Family

ID=55043032

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510694374.2A Active CN105245532B (zh) 2015-10-22 2015-10-22 基于nfc认证的wlan接入方法

Country Status (1)

Country Link
CN (1) CN105245532B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105763318A (zh) * 2016-01-29 2016-07-13 杭州华三通信技术有限公司 一种预共享密钥获取、分配方法及装置
CN109327286A (zh) * 2018-12-08 2019-02-12 森大(深圳)技术有限公司 基于光纤的通信方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103002442A (zh) * 2012-12-20 2013-03-27 邱华 无线局域网密钥安全分发方法
CN103024743A (zh) * 2012-12-17 2013-04-03 北京航空航天大学 一种无线局域网可信安全接入方法
CN104780537A (zh) * 2015-04-09 2015-07-15 天津大学 一种无线局域网wlan身份验证方法
CN104796892A (zh) * 2015-04-09 2015-07-22 天津大学 基于近场通信nfc的无线局域网wlan身份验证方法
CN104902467A (zh) * 2015-04-09 2015-09-09 天津大学 基于近场通信nfc的无线局域网wlan接入方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103024743A (zh) * 2012-12-17 2013-04-03 北京航空航天大学 一种无线局域网可信安全接入方法
CN103002442A (zh) * 2012-12-20 2013-03-27 邱华 无线局域网密钥安全分发方法
CN104780537A (zh) * 2015-04-09 2015-07-15 天津大学 一种无线局域网wlan身份验证方法
CN104796892A (zh) * 2015-04-09 2015-07-22 天津大学 基于近场通信nfc的无线局域网wlan身份验证方法
CN104902467A (zh) * 2015-04-09 2015-09-09 天津大学 基于近场通信nfc的无线局域网wlan接入方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105763318A (zh) * 2016-01-29 2016-07-13 杭州华三通信技术有限公司 一种预共享密钥获取、分配方法及装置
CN105763318B (zh) * 2016-01-29 2018-09-04 新华三技术有限公司 一种预共享密钥获取、分配方法及装置
CN109327286A (zh) * 2018-12-08 2019-02-12 森大(深圳)技术有限公司 基于光纤的通信方法及系统

Also Published As

Publication number Publication date
CN105245532B (zh) 2018-01-19

Similar Documents

Publication Publication Date Title
Shen et al. Secure device-to-device communications over WiFi direct
US10931445B2 (en) Method and system for session key generation with diffie-hellman procedure
CN101527908B (zh) 一种无线局域网终端的预鉴别方法及无线局域网系统
CN101500229B (zh) 建立安全关联的方法和通信网络系统
US10305684B2 (en) Secure connection method for network device, related apparatus, and system
CN109923830A (zh) 用于配置无线网络接入设备的系统和方法
CN103415008A (zh) 一种加密通信方法和加密通信系统
CN105577680A (zh) 密钥生成方法、解析加密数据方法、装置及密钥管理中心
CN102045716B (zh) 一种无线局域网中端站的安全配置方法和系统
Khasawneh et al. A survey on Wi-Fi protocols: WPA and WPA2
CN105553981A (zh) 一种wlan网络快速认证和密钥协商方法
CN103795728A (zh) 一种隐藏身份且适合资源受限终端的eap认证方法
CN105323754A (zh) 一种基于预共享密钥的分布式鉴权方法
CN105577365A (zh) 一种用户接入wlan的密钥协商方法及装置
CN104683343A (zh) 一种终端快速登录WiFi热点的方法
CN101635922B (zh) 无线网状网络安全通信方法
CN105141629A (zh) 一种基于WPA/WPA2 PSK多密码提升公用Wi-Fi网络安全性的方法
CN103096307A (zh) 密钥验证方法及装置
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
CN106992866B (zh) 一种基于nfc无证书认证的无线网络接入方法
CN105245532B (zh) 基于nfc认证的wlan接入方法
CN104902467A (zh) 基于近场通信nfc的无线局域网wlan接入方法
CN103200004B (zh) 发送消息的方法、建立安全连接的方法、接入点和工作站
Jain et al. Penetration Testing of Wireless EncryptionProtocols
CN104796892A (zh) 基于近场通信nfc的无线局域网wlan身份验证方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant