CN105245532A - 基于nfc认证的wlan接入方法 - Google Patents
基于nfc认证的wlan接入方法 Download PDFInfo
- Publication number
- CN105245532A CN105245532A CN201510694374.2A CN201510694374A CN105245532A CN 105245532 A CN105245532 A CN 105245532A CN 201510694374 A CN201510694374 A CN 201510694374A CN 105245532 A CN105245532 A CN 105245532A
- Authority
- CN
- China
- Prior art keywords
- promoter
- key
- target
- nfc
- psk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了基于NFC认证的WLAN接入方法,其特征是,包括如下步骤:1)生成签名密钥对;2)建立安全通信隧道;3)进行身份验证;4)实现一次一密;5)进行WAP/WAP2接入。这种方法在进行WLAN接入时,做到了每个用户每一次接入所用PSK都是随机产生,也就是一次一密,这样可以很好的抵抗非法接入和窃听等攻击。
Description
技术领域
本发明属于无线局域网(WirelessLocalAreaNetworks,简称WLAN)安全技术领域,具体是基于近场通信(NearFieldCommunication,简称NFC)认证的WLAN接入方法。
背景技术
随着物联网技术的广泛发展,WLAN得到了广泛的应用,而基于射频识别(RadioFrequencyIdentification,简称RFID)的NFC也逐步发展了起来。然而,WLAN却存在众多安全性问题,NFC虽然已经发展成熟,但安全性问题依旧不完善。从本世纪初开始,WLAN得到了愈加广泛的应用。从实验室走向民用,各种加密体制从没有到完善,认证协议和加密协议变得愈加复杂,也因此能够抵抗越来越多类型的攻击。在协议变得越发复杂的同时,配置难度也出现了急剧的增加,Wi-Fi联盟为此开发了简化配置的协议Wi-Fi受保护配置(Wi-FiProtectedSetup,简称WPS)。然而简化配置的协议却存在各式各样的协议漏洞,尽管很多人针对WPS的协议漏洞提出了改进方案,却始终无法解决密钥更新的问题,更无法做到一次一密性。在简化配置的基础上提升安全性能,成为了目前WLAN应用中非常迫切的需求。
目前主流的WLAN简化配置协议是基于WPS技术的密码串认证(PIN认证)和按钮认证(PBC认证)。但PIN认证模式存在巨大的问题,其一是协议漏洞导致有效密钥长度缩短,使非法用户可以在不超过11000次枚举内暴力破解,并且,基于这种破解方法,衍生了并行化的加速方法,使得PIN认证濒临崩溃;更糟糕的是,PIN认证模式只是使用一种明文密码传播方式取代了另一种明文密码传播方式,并不能解决密码传播中的保密问题,更无法做到一次一密。而PBC认证因为人员流动原因,使得非合法人员很容易接触到PCB认证按钮,从而完成非法接入。
Wi-Fi网络安全接入(Wi-FiProtectedAccess,简称WPA)认证中的“密码”——预共享密钥(Pre-SharedKey,简称PSK)通常是8位以上的字母、数字、特殊字符组合,靠人工记忆传递,这使得密码很容易被泄露,从而导致非法接入的发生。
我国曾经提出过WLAN鉴别和保密基础结构(WLANAuthenticationandPrivacyInfrastructure,简称WAPI)加密体制。通过椭圆曲线加密和公开密码体制的办法,实现了很高的安全性。但遗憾的是,WAPI设备在接入点端的成本过高,与当下主导的Wi-Fi体制并不能很好的兼容。并且,WAPI-PSK模式也没有解决PSK需要由人工进行传递的问题。
发明内容
本发明的目的是针对现有技术的不足,而提供基于NFC认证的WLAN接入方法。这种方法能够在使用近场通信点对点技术进行无线局域网接入时实现每一个用户每一次接入所使用的PSK都随机生成,有效的抵抗WLAN接入时产生的非法接入攻击和窃听攻击。
实现本发明内容的技术方案是:
基于NFC认证的WLAN接入方法,包括如下步骤:
1)生成签名密钥对:用椭圆曲线加密算法生成签名密钥对,公钥储存在接入点设备AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:利用迪菲赫尔曼密钥交换算法(Diffie–Hellmankeyexchange,简称DH)得到只有双方共知的因子K;根据安全散列算法利用因子K得到对称密钥AES;
3)进行身份验证:用步骤1)中得到的签名密钥对对对称密钥AES及用户身份进行验证;
4)实现一次一密:接入设备AP随机生成包含PSK和扩展服务集标识(ExtendedServiceSetIdentifier,简称ESSID)的配置信息,记作NPSK(NewPre-SharedKey,简称NPSK),利用步骤2)中的对称密钥AES对NPSK进行加密得到加密后的预共享密钥CPSK,并传输给用户设备,用户设备对CPSK进行解密;
5)进行WAP/WAP2接入。
所述的ESSID和PSK为随机生成。
所述的实现一次一密为NFC在点对点模式下进行。
用户的WLAN设备和NFC发起者在同一设备上,目标方与WLAN接入点在同一设备上,具体连接方式无要求。
用户设备和AP都工作在NFC的点对点模式下。
迪菲赫尔曼密钥交换算法时的信息交互可以由任何一方开始。
这种方法在进行WLAN接入时,做到了每个用户每一次接入所用PSK都是随机产生,也就是一次一密,这样可以很好地抵抗非法接入和窃听等攻击。
附图说明
图1为实施例中方法流程示意图;
图2为实施例中方法的时序图示意。
具体实施方式
下面结合附图和实施例对本发明内容进行阐述,但不是对本发明的限定。
实施例:
参照图1,基于NFC认证的WLAN接入方法,包括如下步骤:
1)生成签名密钥对:用椭圆曲线加密算法生成签名密钥对,公钥储存在接入点设备AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K;根据安全散列算法利用因子K得到对称密钥AES;
3)进行身份验证:用步骤1)中得到的签名密钥对对对称密钥AES及用户身份进行验证;
4)实现一次一密:接入设备AP随机生成包含PSK和扩展服务集标识(ExtendedServiceSetIdentifier,简称ESSID)的配置信息,记作NPSK(NewPre-SharedKey,简称NPSK),利用步骤2)中的对称密钥AES对NPSK进行加密得到加密后的预共享密钥CPSK,并传输给用户设备,用户设备对CPSK进行解密;
5)进行传统WAP/WAP2接入。
所述的ESSID和PSK为随机生成。
所述的实现一次一密为NFC在点对点模式下进行。
具体地,参照图2,基于NFC认证的WLAN接入方法,包括如下步骤:
1)生成签名密钥对:私钥(PrivKey)和公钥(PubKey)是由椭圆曲线加密算法生成的签名密钥对,用户使用自身设备或公司通过的电脑利用椭圆曲线加密算法生成签名密钥对,并将公钥储存在AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:
利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K;
用户持设备,以发起者角色与认证方目标建立NFC会话,在此过程中,目标将随机生成的NFCID3发送给发起者;
发起者随机生成大素数a、p,依照公式(1)计算A,并将A,p发送至目标;
A=2amodp(1)
目标随机生成大素数b,依照公式(2)计算B,并将B发送至发起者;
B=2bmodp(2)
目标与发起者分别按照公式(3)与公式(4)计算各自生成K;
K=Abmodp(3)
K=Bamodp(4)
根据安全散列算法利用因子K得到对称密钥AES;
发起者随机生成随机数(INonce)并发送至目标;
目标随机生成随机数(TNonce)并发送至发起者;
发起者与目标各自按照公式(5)各自生成用于AES加密的256位对称密钥KEY,
KEY=SHA2(INonce:NFCID3:K:TNonce)(5)
式中,SHA为安全哈希算法(SecureHashAlgorithm,简称SHA);
3)进行身份验证:用椭圆曲线加密算法签名密钥对对对称密钥AES及用户身份进行验证;
发起者用自身的私钥(PrivKey)对KEY进行签名,生成签名结果sig;
发起者发送sig至目标;
目标使用用户事先申请上网时存储的公钥(PubKey),验证KEY的签名sig,此时NFC认证已经完成;
4)实现一次一密:NFC点对点模式下的一次一密,
AP随机生成包含PSK和ESSID配置信息的NPSK并利用AES对NPSK加密得到CPSK;
AP将CPSK传输给用户设备;
用户设备对CPSK进行解密;
5)进行WAP/WAP2接入:
发起者将解密所得到的PSK转交至WLAN联网模块STA(Station,简称STA),同时,AP/RADIUS完成了配置,并成功发送出AP产生的随机数ANounce与AMac(APMediumAccessControl,简称AMac)至STA;
STA承接AP/RADIUS发起的WPA/WPA2-PSK第一次握手,发送STA产生的随机数SNounce与SMac(STAMediumAccessControl,简称SMac);
STA与AP/RADIUS各自使用SNouce,SMac,ANouce,AMac,以及含有ESSID与PSK的NPSK按照WPA协议标准生成PTK,并完成后续的第三次与第四次握手。至此,基于NFC认证的WLAN接入方法已全部完成。
Claims (4)
1.基于NFC认证的WLAN接入方法,其特征是,包括如下步骤:
1)生成签名密钥对:用椭圆曲线加密算法生成签名密钥对,公钥储存在接入点设备AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K;根据安全散列算法利用因子K得到对称密钥AES;
3)进行身份验证:用步骤1)中得到的签名密钥对对对称密钥AES及用户身份进行验证;
4)实现一次一密:接入设备AP随机生成包含PSK和扩展服务集标识(ExtendedServiceSetIdentifier,简称ESSID)的配置信息,记作NPSK(NewPre-SharedKey,简称NPSK),利用步骤2)中的对称密钥AES对NPSK进行加密得到加密后的预共享密钥CPSK,并传输给用户设备,用户设备对CPSK进行解密;
5)进行WAP/WAP2接入。
2.根据权利要求1所述的基于NFC认证的WLAN接入方法,其特征是,所述的ESSID和PSK为随机生成。
3.根据权利要求1所述的基于NFC认证的WLAN接入方法,其特征在是,所述的实现一次一密为NFC在点对点模式下进行。
4.根据权利要求1所述的基于NFC认证的WLAN接入方法,其特征在是,包括如下步骤:
1)生成签名密钥对:私钥(PrivKey)和公钥(PubKey)是由椭圆曲线加密算法生成的签名密钥对,用户使用自身设备或公司通过的电脑利用椭圆曲线加密算法生成签名密钥对,并将公钥储存在AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:
利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K;
用户持设备,以发起者角色与认证方目标建立NFC会话,在此过程中,目标将随机生成的NFCID3发送给发起者;
发起者随机生成大素数a、p,依照公式(1)计算A,并将A,p发送至目标;
A=2amodp(1)
目标随机生成大素数b,依照公式(2)计算B,并将B发送至发起者;
B=2bmodp(2)
目标与发起者分别按照公式(3)与公式(4)计算各自生成K;
K=Abmodp(3)
K=Bamodp(4)
根据安全散列算法利用因子K得到对称密钥AES;
发起者随机生成随机数INounce并发送至目标;
目标随机生成随机数TNounce并发送至发起者;
发起者与目标各自按照公式(5)各自生成用于AES加密的256位对称密钥KEY,
KEY=SHA2(INonce:NFCID3:K:TNonce)(5)
式中,SHA为安全哈希算法(SecureHashAlgorithm,简称SHA);
3)进行身份验证:用椭圆曲线加密算法签名密钥对对对称密钥AES及用户身份进行验证;
发起者用自身的私钥(PrivKey)对KEY进行签名,生成签名结果sig;
发起者发送sig至目标;
目标使用用户事先申请上网时存储的公钥(PubKey),验证KEY的签名sig,此时NFC认证已经完成;
4)实现一次一密:NFC点对点模式下的一次一密,
AP随机生成包含PSK和ESSID配置信息的NPSK并利用AES对NPSK加密得到CPSK;
AP将CPSK传输给用户设备;
用户设备对CPSK进行解密;
5)进行WAP/WAP2接入:
发起者将解密所得到的PSK转交至WLAN联网模块STA(Station,简称STA),同时,AP/RADIUS(RemoteAuthenticationDialInUserService,远程用户拨号认证系统)完成了配置,并成功发送出AP产生的随机数ANounce与AMac(APMediumAccessControl,简称AMac)至STA;
STA承接AP/RADIUS发起的WPA/WPA2-PSK第一次握手,发送STA产生的随机数SNounce与SMac(STAMediumAccessControl,简称SMac);
STA与AP/RADIUS各自使用SNouce,SMac,ANouce,AMac,以及含有ESSID与PSK的NPSK按照WPA协议标准生成PTK,并完成后续的第三次与第四次握手。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510694374.2A CN105245532B (zh) | 2015-10-22 | 2015-10-22 | 基于nfc认证的wlan接入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510694374.2A CN105245532B (zh) | 2015-10-22 | 2015-10-22 | 基于nfc认证的wlan接入方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105245532A true CN105245532A (zh) | 2016-01-13 |
| CN105245532B CN105245532B (zh) | 2018-01-19 |
Family
ID=55043032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510694374.2A Active CN105245532B (zh) | 2015-10-22 | 2015-10-22 | 基于nfc认证的wlan接入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105245532B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763318A (zh) * | 2016-01-29 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种预共享密钥获取、分配方法及装置 |
| CN109327286A (zh) * | 2018-12-08 | 2019-02-12 | 森大(深圳)技术有限公司 | 基于光纤的通信方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103002442A (zh) * | 2012-12-20 | 2013-03-27 | 邱华 | 无线局域网密钥安全分发方法 |
| CN103024743A (zh) * | 2012-12-17 | 2013-04-03 | 北京航空航天大学 | 一种无线局域网可信安全接入方法 |
| CN104780537A (zh) * | 2015-04-09 | 2015-07-15 | 天津大学 | 一种无线局域网wlan身份验证方法 |
| CN104796892A (zh) * | 2015-04-09 | 2015-07-22 | 天津大学 | 基于近场通信nfc的无线局域网wlan身份验证方法 |
| CN104902467A (zh) * | 2015-04-09 | 2015-09-09 | 天津大学 | 基于近场通信nfc的无线局域网wlan接入方法 |
-
2015
- 2015-10-22 CN CN201510694374.2A patent/CN105245532B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103024743A (zh) * | 2012-12-17 | 2013-04-03 | 北京航空航天大学 | 一种无线局域网可信安全接入方法 |
| CN103002442A (zh) * | 2012-12-20 | 2013-03-27 | 邱华 | 无线局域网密钥安全分发方法 |
| CN104780537A (zh) * | 2015-04-09 | 2015-07-15 | 天津大学 | 一种无线局域网wlan身份验证方法 |
| CN104796892A (zh) * | 2015-04-09 | 2015-07-22 | 天津大学 | 基于近场通信nfc的无线局域网wlan身份验证方法 |
| CN104902467A (zh) * | 2015-04-09 | 2015-09-09 | 天津大学 | 基于近场通信nfc的无线局域网wlan接入方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763318A (zh) * | 2016-01-29 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种预共享密钥获取、分配方法及装置 |
| CN105763318B (zh) * | 2016-01-29 | 2018-09-04 | 新华三技术有限公司 | 一种预共享密钥获取、分配方法及装置 |
| CN109327286A (zh) * | 2018-12-08 | 2019-02-12 | 森大(深圳)技术有限公司 | 基于光纤的通信方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105245532B (zh) | 2018-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10931445B2 (en) | Method and system for session key generation with diffie-hellman procedure | |
| Shen et al. | Secure device-to-device communications over WiFi direct | |
| CN101527908B (zh) | 一种无线局域网终端的预鉴别方法及无线局域网系统 | |
| CN101500229B (zh) | 建立安全关联的方法和通信网络系统 | |
| CN109923830A (zh) | 用于配置无线网络接入设备的系统和方法 | |
| CN102843687A (zh) | 智能手机便携式热点安全接入的方法及系统 | |
| US20170099137A1 (en) | Secure connection method for network device, related apparatus, and system | |
| CN103415008A (zh) | 一种加密通信方法和加密通信系统 | |
| Khasawneh et al. | A survey on Wi-Fi protocols: WPA and WPA2 | |
| CN102045716B (zh) | 一种无线局域网中端站的安全配置方法和系统 | |
| CN105553981A (zh) | 一种wlan网络快速认证和密钥协商方法 | |
| CN103795728A (zh) | 一种隐藏身份且适合资源受限终端的eap认证方法 | |
| CN105323754A (zh) | 一种基于预共享密钥的分布式鉴权方法 | |
| CN105577365A (zh) | 一种用户接入wlan的密钥协商方法及装置 | |
| CN105141629A (zh) | 一种基于WPA/WPA2 PSK多密码提升公用Wi-Fi网络安全性的方法 | |
| CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
| CN103096307A (zh) | 密钥验证方法及装置 | |
| CN104683343A (zh) | 一种终端快速登录WiFi热点的方法 | |
| CN106992866B (zh) | 一种基于nfc无证书认证的无线网络接入方法 | |
| CN101635922B (zh) | 无线网状网络安全通信方法 | |
| Zisiadis et al. | Enhancing WPS security | |
| CN105245532B (zh) | 基于nfc认证的wlan接入方法 | |
| CN104902467A (zh) | 基于近场通信nfc的无线局域网wlan接入方法 | |
| CN103200004B (zh) | 发送消息的方法、建立安全连接的方法、接入点和工作站 | |
| CN104796892A (zh) | 基于近场通信nfc的无线局域网wlan身份验证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |