CN106550362B

CN106550362B - 智能设备安全接入无线局域网络的方法和系统

Info

Publication number: CN106550362B
Application number: CN201510600497.5A
Authority: CN
Inventors: 钮玥; 李森
Original assignee: Datang Semiconductor Design Co Ltd
Current assignee: Datang Semiconductor Design Co Ltd
Priority date: 2015-09-18
Filing date: 2015-09-18
Publication date: 2020-06-19
Anticipated expiration: 2035-09-18
Also published as: CN106550362A

Abstract

本发明公开了一种智能设备安全接入无线局域网络的方法包括：辅助设备获取目的网关信息并进行拼接组合形成组合网关信息；辅助设备和智能设备分别派生密钥，辅助设备使用密钥对组合网关信息进行加密形成加密网关信息，根据加密网关信息构造辅助设备的SSID，并将SSID公告；智能设备获取该SSID，在确定合法后向辅助设备返回响应，以使辅助设备向智能设备发送加密网关信息；智能设备通过密钥解密加密网关信息获得组合网关信息，解析组合网关信息获取目的网关信息，并根据目的网关信息接入目的网关。本发明能够提高配置过程中的无线局域网络的接入安全。

Description

智能设备安全接入无线局域网络的方法和系统

技术领域

本发明涉及无线通信技术领域，尤指一种智能设备安全接入无线局域网络的方法和系统。

背景技术

随着物联网的概念的提出和发展，越来越多的智能设备走进了生活，从产品形态来看，这类设备普遍选择在传统产品的基础上通过增加接入网络的部分而实现智能交互功能，如智能插座、智能灯泡、智能家电等。无线局域网络(WLAN,Wireless Local AreaNetworks)作为传统的网络接入手段受到了青睐。和传统的智能终端不同，这类智能设备由于功能明确而单一，输入输出设备受限，往往不具备显示屏、键盘等常规的人机交互界面，而接入WLAN需要由智能设备提供无线接入点名称服务集标识(SSID，Service SetIdentifier)和密码才能连入。

最传统的方式是此类智能设备可以同时工作在站(STA，Station)和接入点(AP，Access Point)模式下，出厂默认工作在AP模式下，用户通过PC或者手机连接登陆配置SSID等必要的信息，该设备重启后进入STA模式，再主动连接实际的网关设备。从协议层面上看，WPS(WSC)技术可以大大简化接入WLAN的复杂程度，但仍需人的参与。除此之外，还有一些智能接入技术，通过第三方的设备和一些巧妙的手段将WLAN的SSID和密码(Passphrase)发送至智能设备端，这些方法大多数使用广播或者多播作为传输手段，SSID等信息则调制在长度或者特殊的媒体访问控制(MAC，Media Access Control)地址上，这些方法需要在网内大量广播数据包，对网内数据通信会造成一定影响。

发明内容

为了解决上述技术问题，本发明提供了一种智能设备安全接入无线局域网络的方法和系统，能够提高配置过程中的无线局域网络的接入安全。

为了达到本发明目的，本发明提供了一种智能设备安全接入无线局域网络的方法，该方法应用于包括目的网关，辅助设备和待接入的智能设备的系统中，包括：辅助设备获取目的网关信息，并对获取的目的网关信息进行拼接组合形成组合网关信息；辅助设备派生密钥，并使用密钥对组合网关信息进行加密，形成加密网关信息，根据加密网关信息构造辅助设备的服务集标识SSID，并将辅助设备的SSID进行广播公告；智能设备获取辅助设备的SSID，在确定合法后获取辅助设备的网络信息并向辅助设备返回响应，以使辅助设备向智能设备发送加密网关信息；智能设备解密加密网关信息，获得组合网关信息，解析组合网关信息获取目的网关信息，并根据目的网关信息接入目的网关。

进一步地，所述根据加密网关信息构造辅助设备的SSID，具体为：所述辅助设备使能接入点AP模式，根据加密网关信息构造辅助设备的SSID，所述辅助设备的SSID包括ID、LEN、Radom和MAC字段，其中，ID字段设置为约定值；LEN字段表示目的网关的SSID的长度；Radom字段表示随机值；MAC字段表示使用密钥生成的消息校验值。

进一步地，所述智能设备获取辅助设备的SSID，在确定合法后获取辅助设备的网络信息并向辅助设备返回响应，具体为：所述智能设备从beacon帧获取辅助设备的SSID，检查辅助设备的SSID中的ID字段是否符合约定；如果符合约定，通过密钥校验辅助设备的SSID是否合法；在确定合法后，获取辅助设备的SSID中的目的网关的SSID的长度，并获取beacon帧中BSSID；向辅助设备返回响应。

进一步地，所述辅助设备向智能设备发送加密网关信息，具体为：所述辅助设备将加密网关信息映射成一系列介于1-13的序列，记为SCH，其中每一个值记为CH；辅助设备切换BSS至信道CH上，并公告；智能设备收到辅助设备的BSSID任何MAC帧，记录当前信道号CH，将其加入序列S_CH’，并回复辅助设备一响应；辅助设备收到智能设备的响应，获取从序列SCH中新的CH值，重复辅助设备切换BSS至信道CH上并公告，直到整个SCH发送完毕。

进一步地，所述智能设备根据目的网关信息接入目的网关，具体为：所述智能设备从SCH还原出加密网关信息，并获得组合网关信息；根据组合网关信息的长度截取目的网关的SSID和PMK，其中PMK由SSID和Passphrase派生；智能设备通过SSID和PMK接入目的网关。

本发明还提供了一种用于智能设备安全接入无线局域网络的系统，包括：目的网关，辅助设备和待接入的智能设备，其中，辅助设备，用于获取目的网关信息，并对获取的目的网关信息进行拼接组合形成组合网关信息；派生密钥，并使用密钥对组合网关信息进行加密，形成加密网关信息，根据加密网关信息构造辅助设备的服务集标识SSID，并将辅助设备的SSID进行广播公告；智能设备，用于获取辅助设备的SSID，在确定合法后获取辅助设备的网络信息并向辅助设备返回响应，以使辅助设备向智能设备发送加密网关信息；解密加密网关信息，获得组合网关信息，解析组合网关信息获取目的网关信息，并根据目的网关信息接入目的网关。

进一步地，所述辅助设备根据加密网关信息构造辅助设备的SSID，具体为：所述辅助设备使能接入点AP模式，根据加密网关信息构造辅助设备的SSID，所述辅助设备的SSID包括ID、LEN、Radom和MAC字段，其中，ID字段设置为约定值；LEN字段表示目的网关的SSID的长度；Radom字段表示随机值；MAC字段表示使用密钥生成的消息校验值。

相比较于现有技术，在本发明在数据传输过程中，支持加密传输，防止无线网络的密码被泄露或破解，从而保证配置过程中无线网络的接入安全；通过辅助设施识别实现更加简单、快速、可靠的传输无线路由的配置信息；此外，将传递的信息调制在信道信息上而不是长度信息上，减少对网络的干扰，降低对网络的负载压力，提高了配置过程中的无线网络安全。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本发明的技术方案，并不构成对本发明技术方案的限制。

图1是本发明中用于智能设备安全接入无线局域网络的系统的示意图。

图2是本发明中智能设备安全接入无线局域网络的方法的流程示意图。

图3是本发明的具体实施例中智能设备安全接入无线局域网络的方法的流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是本发明的用于智能设备安全接入无线局域网络的系统的示意图。如图1所示，该系统包括目的网关，辅助设备和待接入的智能设备。

在本发明中，待接入的智能设备通过辅助设备获取目的网关的必要信息，在智能设备获取信息过程中不需要人的参与，同时整个过程直接、快速，对待连接网络没有干扰。辅助设备通常情况下是装有特定应用(APP)的智能终端，也可以是待接入的目的网关提供的隔离网络。

图2是本发明的智能设备安全接入无线局域网络的方法的流程示意图。如图2所示，包括：

步骤201，辅助设备获取目的网关信息，并对获取的目的网关信息进行拼接组合形成组合网关信息。

在本步骤中，辅助设备通过装载的特定APP获取目的网关信息，该特定APP在本发明中不做限定。

目的网关信息包括服务集标识SSID和密码Passphrase，辅助设备将获取的网关信息进行拼接组合形成组合网关信息SSID||PMK，其中||表示字符串的拼接操作；PMK由SSID和Passphrase派生，由于SSID最长不超过32byte，PMK固定为256bit，所以组合网关信息的最大不超过512bit。

步骤202，辅助设备和智能设备分别派生密钥，辅助设备使用密钥对组合网关信息进行加密，形成加密网关信息。

在本步骤中，既可以应用高级加密标准(AES，Advanced Encryption Standard)等对称加密体制，也可以使用如RSA，DH等非对称加密体制。在对称加密体制下，使用智能设备的特征信息作为种子作为输入，通过伪随机序列(PRF)派生密钥，特征信息可以是辅助设备能够获取而其他设备很难获取的数据，例如可以选择智能设备的设备ID作为种子；针对非对称体制，特征信息作为密钥派生的关键信息，例如RSA中的两个大素数p和q，保证智能设备和辅助设备都能派生相同的密钥，但辅助设备仅保留公钥，智能设备仅保留私钥。

在本发明的具体的实施例中，辅助设备和智能设备分别根据智能设备的特征信息生成密钥，具体地，通过智能设备的序列号(SN)作为种子，生成密钥。采用AES的加密方式进行加密，智能设备和辅助设备各自独立通过SN都可以派生密钥，具体可以采用SHA265_PRF算法派生密钥。

辅助设备将组合网关信息补齐512bit，并使用密钥对组合网关信息进行加密，获得加密网关信息。具体可以采用电码本(ECB，Electronic Codebook)进行加密，当然也可以使用其他模式，同时使用密钥以CBC-MAC方式对SSID生成MAC。

步骤203，辅助设备根据加密网关信息构造辅助设备的SSID，并将辅助设备的SSID在特定的信道序列上进行广播公告。

在本步骤中，辅助设备使能接入点(AP)模式，根据加密网关信息构造辅助设备的SSID，该SSID的格式如图3所示，包括ID、LEN、Radom和MAC字段，各字段的定义可以如表1所示。

表1

步骤204，在特定的信道序列上，智能设备获取辅助设备的SSID，在确定合法后获取辅助设备的网络信息，并向辅助设备返回响应。

在本步骤中，智能设备从beacon帧获取辅助设备的SSID，检查辅助设备的SSID中的ID字段是否符合约定；如果符合约定，通过密钥校验该辅助设备的SSID是否合法；在确定合法后，获取辅助设备的SSID中的待接入设备的SSID长度；获取beacon帧中BSSID。

智能设备向辅助设备返回响应，表示智能设备获取到辅助设备的网络。

步骤205，辅助设备收到来自智能设备的响应后，向智能设备发送加密网关信息。

在本步骤中，辅助设备收取到智能设备的响应后，将加密网关信息映射成一系列介于1-13的序列，记为SCH，其中每一个值记为CH。

辅助设备向智能设备发送加密网关信息，执行如下步骤：

a，辅助设备切换BSS至信道CH上，并发送beacon；

b，智能设备收到辅助设备的BSSID任何MAC帧(包括数据、帧管理帧和控制帧)，记录当前信道号CH，将其加入序列S_CH’，并回复辅助设备一响应；

c，辅助设备收到智能设备的响应，获取从序列SCH中新的CH值，重复步骤a，直到整个SCH发送完毕。

步骤206，智能设备解密加密网关信息，获得组合网关信息，解析组合网关信息获取目的网关信息，根据目的网关信息接入目的网关。

在本步骤中，智能设备从SCH还原出加密网关信息，并获得组合网关信息，再根据组合网关信息的长度截取SSID和PMK；智能设备通过SSID和PMK接入目的网关。

下面将列举一具体实施例对本发明做进一步的描述。

在该具体实施例中，包含一目的网络的路由设备，它提供安全接入的网络，记为Router；一辅助设施，即运行特定app的手机，记为AuxMobi；待接入的智能设备，记为Dev。

图3是本发明的具体实施例中智能设备安全接入无线局域网络的方法的流程示意图。如图3所示，包括：

AuxMobi获取Router的SSID和Passphrase信息，并派生PMK，记录SSID的长度，并完成SSID和PMK的拼接，并生成消息Si；

通过Dev的序列号SN作为种子，生成密钥Ki，在本实施例中采用了AES的加密方式，因此Dev和AuxMobi各自独立通过SN都可以派生Ki，本实施例中采用SHA265_PRF算法派生密钥Ki；

使用Ki对Si加密，生成Mi，由于仅有512bit，可以直接使用ECB加密，当然也可以使用其他模式，同时使用Ki以CBC-MAC方式对SSID生成MAC(可以仅取前两个字节)；

AuxMobi构造SSID，使能AP模式；

Dev扫描信道，记录所有扫描得到的BSS，对所有BSS做如下操作：

记录SSID，通过Ki校验SSID的MAC，如果通过则记录BSSID和SSID长度N，并回复AuxMobi一个ProbeRsq帧作为响应，其中RA字段不再填充广播地址，而是填充该BSSID；

如果校验未通过，则放弃；

AuxMobi收到该ProbeRsq帧后，记录Dev的MAC地址；

AuxMobi按照如下方式将Si展开成1-13的序列：

a，取Si的第一个字节，除13，取余，再除13，再取余，最后得到商数，两次余数和商数拼接成一个3位13进制数；

b，重复步骤a，直至所有Si都展开成3位13进制数，将所有数据拼接，即可得到一个序列Schi；

取Schi序列中的第一个CH，AuxMobi将BSS切换至该信道上；

AuxMobi通过Action宣告下一个信号的信道号；

当Dev收到该信道上任一来自该BSSID的帧时，记录信道号至序列Sch’,同时回复ProbeRsq帧，Dev可以通过扫描全信道得知新的BSS的信道，也可以通过接收AuxMobi的Action帧获取下一信道；

当AuxMobi收到ProbeRsq时，取下一个CH，AuxMobi通过Action宣告下一个信号的信道号，直到全部序列接收完毕。

Dev将接收到的序列还原成消息Mi，解密得到Si，再提取SSID和PMK，进而向Router发起连接。

本发明还提供了一种用于智能设备安全接入无线局域网络的系统，包括：目的网关，辅助设备和待接入的智能设备，其中，

辅助设备，用于获取目的网关信息，并对获取的目的网关信息进行拼接组合形成组合网关信息；派生密钥，并使用密钥对组合网关信息进行加密，形成加密网关信息，根据加密网关信息构造辅助设备的服务集标识SSID，并将辅助设备的SSID进行广播公告；

智能设备，用于获取辅助设备的SSID，在确定合法后获取辅助设备的网络信息并向辅助设备返回响应，以使辅助设备向智能设备发送加密网关信息；解密加密网关信息，获得组合网关信息，解析组合网关信息获取目的网关信息，并根据目的网关信息接入目的网关。

具体地，目的网关信息包括服务集标识SSID和密码Passphrase；辅助设备将获取的网关信息进行拼接组合形成组合网关信息SSID||PMK，其中，||表示字符串的拼接操作，PMK由SSID和Passphrase派生；辅助设备使能接入点AP模式，根据加密网关信息构造辅助设备的SSID，所述辅助设备的SSID包括ID、LEN、Radom和MAC字段，其中，ID字段设置为约定值；LEN字段表示目的网关的SSID的长度；Radom字段表示随机值；MAC字段表示使用密钥生成的消息校验值。

智能设备从beacon帧获取辅助设备的SSID，检查辅助设备的SSID中的ID字段是否符合约定；如果符合约定，通过密钥校验辅助设备的SSID是否合法；在确定合法后，获取辅助设备的SSID中的目的网关的SSID的长度，并获取beacon帧中BSSID；向辅助设备返回响应。

辅助设备将加密网关信息映射成一系列介于1-13的序列，记为SCH，其中每一个值记为CH；辅助设备切换BSS至信道CH上，并公告；智能设备收到辅助设备的BSSID任何MAC帧，记录当前信道号CH，将其加入序列S_CH’，并回复辅助设备一响应；辅助设备收到智能设备的响应，获取从序列SCH中新的CH值，重复辅助设备切换BSS至信道CH上并公告，直到整个SCH发送完毕。

智能设备从SCH还原出加密网关信息，并获得组合网关信息；根据组合网关信息的长度截取SSID和PMK；智能设备通过SSID和PMK接入目的网关。

本发明的用于智能设备安全接入无线局域网络的系统的具体技术细节可参考前述的智能设备安全接入无线局域网络的方法，故在此不赘述。

本发明在数据传输过程中，支持加密传输，防止无线网络的密码被泄露或破解，从而保证配置过程中无线网络的接入安全；通过辅助设施识别实现更加简单、快速、可靠的传输无线路由的配置信息；此外，将传递的信息调制在信道信息上而不是长度信息上，减少对网络的干扰，降低对网络的负载压力，提高了配置过程中的无线网络安全。

虽然本发明所揭露的实施方式如上，但所述的内容仅为便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。

Claims

1.一种智能设备安全接入无线局域网络的方法，该方法应用于包括目的网关，辅助设备和待接入的智能设备的系统中，其特征在于，该方法包括：

辅助设备获取目的网关信息，并对获取的目的网关信息进行拼接组合形成组合网关信息；

辅助设备派生密钥，并使用密钥对组合网关信息进行加密，形成加密网关信息，根据加密网关信息构造辅助设备的服务集标识SSID，并将辅助设备的SSID进行广播公告；

智能设备获取辅助设备的SSID，在确定合法后获取辅助设备的网络信息并向辅助设备返回响应，以使辅助设备向智能设备发送加密网关信息；

智能设备解密加密网关信息，获得组合网关信息，解析组合网关信息获取目的网关信息，并根据目的网关信息接入目的网关；

其中，所述辅助设备向智能设备发送加密网关信息，具体为：

所述辅助设备将加密网关信息映射成一系列介于1-13的序列，记为SCH，其中每一个值记为CH；辅助设备切换BSS至信道CH上，并通过发送beacon帧的方式进行公告；智能设备若收到辅助设备的BSSID的任何MAC帧，记录当前信道号CH，将其加入序列S_CH’，并回复辅助设备响应；辅助设备收到智能设备的响应，获取从序列SCH中新的CH值，重复辅助设备切换BSS至信道CH上并公告，直到整个SCH发送完毕。

2.根据权利要求1所述的智能设备安全接入无线局域网络的方法，其特征在于，所述根据加密网关信息构造辅助设备的SSID，具体为：

所述辅助设备使能接入点AP模式，根据加密网关信息构造辅助设备的SSID，所述辅助设备的SSID包括ID、LEN、Radom和MAC字段，其中，ID字段设置为约定值；LEN字段表示目的网关的SSID的长度；Radom字段表示随机值；MAC字段表示使用密钥生成的消息校验值。

3.根据权利要求2所述的智能设备安全接入无线局域网络的方法，其特征在于，所述智能设备获取辅助设备的SSID，在确定合法后获取辅助设备的网络信息并向辅助设备返回响应，具体为：

所述智能设备从beacon帧获取辅助设备的SSID，检查辅助设备的SSID中的ID字段是否符合约定；如果符合约定，通过密钥校验辅助设备的SSID是否合法；在确定合法后，获取辅助设备的SSID中的目的网关的SSID的长度，并获取beacon帧中BSSID；向辅助设备返回响应。

4.根据权利要求1所述的智能设备安全接入无线局域网络的方法，其特征在于，所述智能设备根据目的网关信息接入目的网关，具体为：

所述智能设备从SCH还原出加密网关信息，并获得组合网关信息；根据组合网关信息的长度截取目的网关的SSID和PMK，其中PMK由SSID和Passphrase派生，所述Passphrase为密码；智能设备通过SSID和PMK接入目的网关。

5.一种用于智能设备安全接入无线局域网络的系统，其特征在于，包括：目的网关，辅助设备和待接入的智能设备，其中，

智能设备，用于获取辅助设备的SSID，在确定合法后获取辅助设备的网络信息并向辅助设备返回响应，以使辅助设备向智能设备发送加密网关信息；解密加密网关信息，获得组合网关信息，解析组合网关信息获取目的网关信息，并根据目的网关信息接入目的网关；

其中，所述辅助设备向智能设备发送加密网关信息，具体为：所述辅助设备将加密网关信息映射成一系列介于1-13的序列，记为SCH，其中每一个值记为CH；辅助设备切换BSS至信道CH上，并通过发送bescon帧的方式进行公告；智能设备若收到辅助设备的BSSID的任何MAC帧，记录当前信道号CH，将其加入序列S_CH’，并回复辅助设备一响应；辅助设备收到智能设备的响应，获取从序列SCH中新的CH值，重复辅助设备切换BSS至信道CH上并公告，直到整个SCH发送完毕。

6.根据权利要求5所述的用于智能设备安全接入无线局域网络的系统，其特征在于，所述辅助设备根据加密网关信息构造辅助设备的SSID，具体为：所述辅助设备使能接入点AP模式，根据加密网关信息构造辅助设备的SSID，所述辅助设备的SSID包括ID、LEN、Radom和MAC字段，其中，ID字段设置为约定值；LEN字段表示目的网关的SSID的长度；Radom字段表示随机值；MAC字段表示使用密钥生成的消息校验值。

7.根据权利要求6所述的用于智能设备安全接入无线局域网络的系统，其特征在于，所述智能设备获取辅助设备的SSID，在确定合法后获取辅助设备的网络信息并向辅助设备返回响应，具体为：所述智能设备从beacon帧获取辅助设备的SSID，检查辅助设备的SSID中的ID字段是否符合约定；如果符合约定，通过密钥校验辅助设备的SSID是否合法；在确定合法后，获取辅助设备的SSID中的目的网关的SSID的长度，并获取beacon帧中BSSID；向辅助设备返回响应。

8.根据权利要求5所述的用于智能设备安全接入无线局域网络的系统，其特征在于，所述智能设备根据目的网关信息接入目的网关，具体为：所述智能设备从SCH还原出加密网关信息，并获得组合网关信息；根据组合网关信息的长度截取目的网关的SSID和PMK，其中PMK由SSID和Passphrase派生，所述Passphrase为密码；智能设备通过SSID和PMK接入目的网关。