CN108777843A - 基于位置信息的无线局域网认证方法 - Google Patents

基于位置信息的无线局域网认证方法 Download PDF

Info

Publication number
CN108777843A
CN108777843A CN201810509454.XA CN201810509454A CN108777843A CN 108777843 A CN108777843 A CN 108777843A CN 201810509454 A CN201810509454 A CN 201810509454A CN 108777843 A CN108777843 A CN 108777843A
Authority
CN
China
Prior art keywords
wireless terminal
terminal sta
verification
information
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810509454.XA
Other languages
English (en)
Other versions
CN108777843B (zh
Inventor
樊昭杉
张苇
张一苇
王怡凡
张俊伟
王丹丹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201810509454.XA priority Critical patent/CN108777843B/zh
Publication of CN108777843A publication Critical patent/CN108777843A/zh
Application granted granted Critical
Publication of CN108777843B publication Critical patent/CN108777843B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开一种基于位置信息的无线局域网认证方法,其方法步骤为:建立标准位置信息数据库、无线终端启动无线网络服务、无线终端提供自己的身份标识和位置信息、访问接入点认证无线终端的位置、认证服务器认证无线终端的身份。本发明通过访问接入点AP认证无线终端STA的位置,实现了对用户位置的安全验证,解决针对无线终端位置的主动攻击问题。本发明将位置认证与身份认证紧密结合,可以有效抵御中间人攻击,保证了用户位置验证的可靠性和真实性。本发明可应用于对工作环境保密性要求较高且位置敏感的无线局域网的用户访问和授权控制。

Description

基于位置信息的无线局域网认证方法
技术领域
本发明属于通信技术领域,更进一步涉及无线网络安全技术领域中的一种基于位置信息的无线局域网认证方法。本发明可用于对申请接入无线局域网的用户进行访问和授权控制。
背景技术
现行的网络认证方法一般是依赖于用户知道的信息(密码或密钥),对认证设备(访问令牌或加密卡)的拥有或从唯一的个人特征(生物测量学)派生出来的信息,并未考虑将用户的位置信息(经度、纬度、高度、时间等)作为网络访问控制的特性。目前,由于诸如金融事务、访问重要信息或远程控制重要系统等敏感操作产生了对终端接入网络进行地理区域限制的需求,地理位置信息和网络安全技术的结合势在必行;此外,由于无线网络相较有线网络接入终端的移动性和不可控性,使得无线网络安全结合地理位置信息更具意义,成为新的技术热点。
国家电网公司在其申请的专利文献“基于区域认证的电力专用无线网络系统及无线传输方法”(专利申请号:2013105800437,公开号:CN103686728A)中公开了一种基于位置信息的无线网络认证方法。该方法的步骤是:首先,无线终端在申请接入无线网络时,向无线网络交换机提供GPS卫星定位模块编号信息;然后,无线网络交换机将此信息发送至GPS区域认证网关;最后,由GPS认证网关比对无线终端的GPS坐标是否在有效的GPS区域坐标范围内,从而实现了基于无线终端位置信息的无线网络认证。虽然该方法能够引入无线终端的位置信息作为无线网络访问控制的认证方法,一定程度上可以防止区域外人员和非企业人员盗接无线网络,但是,该方法仍然存在的不足之处是,由于无线网络交换机和GPS区域认证网关未能对无线终端所提供的位置信息进行安全地验证,不能保证无线终端提供的位置信息的真实性和有效性,安全性低;此外,由于该方法中无线终端提供的全部信息未能与无线终端的身份进行绑定,无线网络交换机和GPS区域认证网关不能对无线终端的身份进行认证,极易被攻击者获取并加以利用,不能抵御中间人攻击。
发明内容
本发明的目的是针对上述现有技术存在的不足,提出一种可进行安全位置验证且位置认证与身份认证紧密结合的基于位置信息的无线局域网认证方法,可以解决针对无线终端位置的主动攻击问题并且能对无线终端的身份进行安全的认证,可应用于对工作环境保密性要求较高且位置敏感的无线局域网的用户访问和授权控制。
实现本发明目的的思路是,首先在认证服务器AS中建立标准位置信息数据库,其次无线终端STA提供自己的身份标识和位置信息,然后由访问接入点AP认证无线终端STA的位置,最后由认证服务器AS认证无线终端STA的身份,若无线终端STA的位置和身份均通过认证,则基于位置的无线局域网认证成功,否则,认证失败。
本发明的具体步骤包括如下:
(1)建立标准位置信息数据库:
(1a)在访问接入点AP的无线信号覆盖范围内,划定允许无线终端STA接入无线局域网的地理区域;
(1b)采集划定的地理区域中每个边界顶点的经纬度值,将采集到的所有地理坐标系下经纬度值组成位置信息集;
(1c)通过坐标转换,将位置信息集中的地理坐标系下的经纬度值转化成直角坐标系下的坐标值,生成标准位置信息集;
(1d)将标准位置信息集存入认证服务器AS的标准位置信息数据库;
(2)无线终端STA启动无线网络服务:
(2a)访问接入点AP接收无线终端STA发送的探测请求后,向无线终端STA发送探测响应;
(2b)访问接入点AP接收到无线终端STA发送的开放系统认证请求帧后,向无线终端STA发送开放系统认证响应帧,无线终端STA接收到开放系统认证响应帧,完成IEEE802.11的认证;
(2c)访问接入点AP接收到无线终端STA发送的关联请求帧后,向无线终端STA发送关联响应帧,无线终端STA接收到关联响应帧,完成IEEE 802.11的关联;
(3)无线终端STA提供自己的身份标识和位置信息:
(3a)无线终端STA向访问接入点AP发送EAPoL-start消息;
(3b)统一按照身份标识-位置信息格式,分别填充EAP-Request消息的载荷、EAP-Response消息的载荷和Access-Request消息的载荷;
(3c)无线终端STA接收到访问接入点AP发送的EAP-Request消息后,向访问接入点AP发送EAP-Response消息,访问接入点AP将接收到的EAP-Response消息封装成RADIUS协议格式的Access-Response消息后再发给认证服务器AS;
(3d)认证服务器AS收到Access-Request消息后,对Access-Request消息依照RADIUS协议解封装,得到EAP-Response消息,从EAP-Response消息的Packet Body字段中分别提取Identity字段和Position字段,得到无线终端的身份标识和位置信息;
(3e)认证服务器AS在认证服务器AS中的认证数据库中检索无线终端STA的身份标识,从认证数据库中找出与该身份标识匹配的EAP认证方法;
(3f)认证服务器AS判断无线终端STA是否处于合法区域,若是,则执行步骤(4);否则,执行步骤(3g);
(3g)认证服务器AS发送EAP-Failure消息至无线终端STA,无线终端STA的位置非法,认证失败;
(4)访问接入点AP认证无线终端STA的位置:
(4a)认证服务器AS向访问接入点AP发送Access-Challenge消息;
(4b)访问接入点AP接收到Access-Challenge信息后,对Access-Challenge消息,依照RADIUS协议解封装,得到EAP-Request信息,从EAP-Request信息的Packet Body字段中提取认证服务器AS对无线终端STA的挑战信息;
(4c)访问接入点AP分别向四个验证设备发送挑战信息和无线终端的位置信息;
(4d)前三个验证设备分别将设备的随机种子输入各自的随机数生成器,截取与挑战信息相同比特长度的三个验证信息,第四个验证设备将挑战信息作为自己的验证信息,前三个验证设备将各自的验证信息,发送给其余三个验证设备;
(4e)四个验证设备分别用无线终端STA到自己所处位置的距离,除以当前无线局域网中信息的传输速度,将商作为当前无线局域网中消息从无线终端STA到自己所处位置的传播时间;
(4f)由第二个、第三个、第四个验证设备,分别生成各自的长信息串和短信息串;
(4g)四个验证设备在T-t1、T-t2、T-t3、T-t4四个指定时刻分别广播信息串;其中,T表示四个验证设备的消息同时到达无线终端STA的时间;t1、t2、t3、t4分别表示当前无线局域网中消息从无线终端STA到第一个、第二个、第三个和第四个验证设备位置的传播时间;
(4h)无线终端STA使用接收到的全部信息串,利用正向加密公式的逆过程,恢复挑战信息;
(4i)无线终端STA利用可证身份的秘密信息,对挑战信息进行与无线终端STA身份标识匹配的EAP认证方法相关的变换,得到响应信息,按照EAPoL协议将响应信息封装成EAP-Response消息,在公开信道中广播EAP-Response消息;
(4j)分别在T+t1、T+t2、T+t3、T+t4四个指定时刻,检查四个验证设备是否均接收到无线终端STA的广播消息,若是,则执行步骤(5),否则,执行步骤(4k);
(4k)访问接入点AP发送EAP-Failure消息至无线终端STA,无线终端STA的位置未通过验证,认证失败;
(5)认证服务器AS认证无线终端STA的身份:
(5a)访问接入点AP将接收到的EAP-Response消息按照RADIUS协议封装成Access-Response消息后再发给认证服务器AS;
(5b)认证服务器AS对Access-Response消息,依照RADIUS协议解封装,得到EAP-Response信息,从EAP-Response信息的Packet Body字段中提取无线终端STA的对认证服务器AS的响应信息;
(5c)认证服务器AS依照与无线终端STA身份标识匹配的EAP认证方法判断无线终端STA的响应信息是否与认证服务器AS的期望信息一致,若是,则执行步骤(7),否则,执行步骤(6);
(6)认证服务器AS发送EAP-Failure消息至无线终端STA,无线终端STA的身份未通过验证,认证失败;
(7)认证服务器AS发送EAP-Success消息至无线终端STA,无线终端STA的位置和身份均通过验证,基于位置信息的无线局域网认证成功。
本发明与现有技术相比具有以下优点:
第一,由于本发明通过访问接入点AP认证无线终端STA的位置,克服了现有技术中的未能对无线终端所提供的位置信息进行安全地验证,不能保证无线终端提供的位置信息的真实性和有效性,安全性低的问题,使得本发明的方法实现了对用户位置的安全验证,解决针对无线终端位置的主动攻击问题,安全性高。
第二,由于本发明通过访问接入点AP认证无线终端STA的位置,认证服务器AS认证无线终端STA的身份,保证了无线终端STA的位置和身份均通过验证,基于位置信息的无线局域网认证成功,克服了现有技术中的无线终端提供的全部信息未能与无线终端的身份进行绑定的问题,使得本发明的方法实现了将无线终端的位置认证和身份认证紧密结合,可以有效抵御中间人攻击,保证了用户位置验证的可靠性和真实性。
附图说明
图1为本发明的流程图;
图2为本发明访问接入点AP认证无线终端STA位置的通信模型图。
具体实施方式
下面结合附图对本发明做进一步的详细描述。
参照附图1,对本发明的步骤做进一步的描述。
步骤1,建立标准位置信息数据库。
在访问接入点AP的无线信号覆盖范围内,划定允许无线终端STA接入无线局域网的地理区域。
采集划定的地理区域中每个边界顶点的经纬度值,将采集到的所有地理坐标系下经纬度值组成位置信息集。
通过坐标转换,将位置信息集中的地理坐标系下的经纬度值转化成直角坐标系下的坐标值,生成标准位置信息集。
将标准位置信息集存入认证服务器AS的标准位置信息数据库。
步骤2,无线终端STA启动无线网络服务。
访问接入点AP接收无线终端STA发送的探测请求后,向无线终端STA发送探测响应。
访问接入点AP接收到无线终端STA发送的开放系统认证请求帧后,向无线终端STA发送开放系统认证响应帧,无线终端STA接收到开放系统认证响应帧,完成IEEE802.11的认证。
访问接入点AP接收到无线终端STA发送的关联请求帧后,向无线终端STA发送关联响应帧,无线终端STA接收到关联响应帧,完成IEEE 802.11的关联。
步骤3,无线终端STA提供自己的身份标识和位置信息。
无线终端STA向访问接入点AP发送EAPoL-start消息。
统一按照身份标识-位置信息格式,分别填充EAP-Request消息的载荷、EAP-Response消息的载荷和Access-Request消息的载荷。
所述身份标识-位置信息格式是指,用Identity字段描述无线终端的身份标识,用Position字段描述无线终端的位置信息。
无线终端STA接收到访问接入点AP发送的EAP-Request消息后,向访问接入点AP发送EAP-Response消息,访问接入点AP将接收到的EAP-Response消息封装成RADIUS协议格式的Access-Response消息后再发给认证服务器AS。
认证服务器AS收到Access-Request消息后,对Access-Request消息依照RADIUS协议解封装,得到EAP-Response消息,从EAP-Response消息的Packet Body字段中分别提取Identity字段和Position字段,得到无线终端的身份标识和位置信息。
认证服务器AS在认证服务器AS中的认证数据库中检索无线终端STA的身份标识,从认证数据库中找出与该身份标识匹配的EAP认证方法。
本发明的实施例中从认证数据库中找出与该身份标识匹配的EAP认证方法,采取的是EAP-TLS认证方法。
在匹配到EAP-TLS认证方法后,需要在现有步骤基础上,增加一个握手请求的阶段:认证服务器AS发送EAP-TLS/TLS-Start信息给无线终端STA,无线终端STA用EAP-Response信息进行响应,启动EAP-TLS会话进程;其中,EAP-Response帧的数据字段内包含一个以上的TLS记录,其中包含Client-Hello消息,Client-Hello消息包括客户端的TLS版本、客户端的随机数、会话ID、可实现的算法套件、和压缩方法列表。
认证服务器AS判断无线终端STA是否处于合法区域,若是,则执行步骤4;否则,执行认证服务器AS发送EAP-Failure消息至无线终端STA的步骤。
所述合法区域是指,以标准位置信息数据库中标准位置信息集内各个坐标点为顶点确定的不规则多边形区域。
认证服务器AS发送EAP-Failure消息至无线终端STA,无线终端STA的位置非法,认证失败。
步骤4,访问接入点AP认证无线终端STA的位置。
参照附图2,对访问接入点AP认证无线终端STA的位置的信息交互描述如下:
认证服务器AS向访问接入点AP发送Access-Challenge消息。
在附图2中,由于Access-Challenge消息在访问接入点AP认证无线终端STA的位置这一过程中,主要用于封装认证服务器AS对无线终端STA的挑战信息,用挑战信息代指Access-Challenge消息。
在EAP-TLS认证方法中,认证服务器AS将从无线终端STA发送的可实现的算法套件中选取一个算法套件,该算法套件同时定义了密钥交换算法和密码规格,在本发明的实施例中选取基于暂态DH密钥交换作为密钥交换算法。
在基于暂态DH密钥交换的EAP-TLS认证方法中,Access-Challenge消息中包含以下几条TLS记录:服务器响应Sever-Hello,主要包含服务器的TLS版本、服务器的随机数、会话ID、选用的算法套件及压缩方法;认证服务器的数字证书Server-Certificate;服务器密钥交换Server-Key-Exchange,主要包含3个DH参数(DH_p(模数)、DH_g(生成元)、DH_Ys(服务器的DH公钥))及一个对这些参数的签名组成;以及申请者数字证书请求Client-Certificate-Request。
访问接入点AP接收到Access-Challenge信息后,对Access-Challenge消息,依照RADIUS协议解封装,得到EAP-Request信息,从EAP-Request信息的Packet Body字段中提取认证服务器AS对无线终端STA的挑战信息。
在基于暂态DH密钥交换的EAP-TLS认证方法中,访问接入点AP对认证服务器AS发送的Server-Key-Exchange消息进行处理,随后向无线终端STA依次发送EAP-Request/EAP-TLS/Sever-Hello,处理后的Server-Key-Exchange,以及Server-Certificate,Client-Certificate-Request。其中,经过处理的Server-Key-Exchange由2个DH参数(DH_p(模数)、DH_g(生成元))及原签名组成,认证服务器AS的公钥DH_Ys被截取,作为挑战信息。
访问接入点AP分别向四个验证设备发送挑战信息和无线终端的位置信息。
所述验证设备是指,具有随机数生成器且能在以访问接入点AP为中心的无线局域网中与无线终端STA直接进行通信的设备。
前三个验证设备分别将设备的随机种子输入各自的随机数生成器,截取与挑战信息相同比特长度的三个验证信息,第四个验证设备将挑战信息作为自己的验证信息,前三个验证设备将各自的验证信息,发送给其余三个验证设备。
四个验证设备分别用无线终端STA到自己所处位置的距离,除以当前无线局域网中信息的传输速度,将商作为当前无线局域网中消息从无线终端STA到自己所处位置的传播时间。
由第二个、第三个、第四个验证设备,分别生成各自的长信息串和短信息串。
所述长信息串是指,通过第二个、第三个和第四个验证设备别将设备的随机种子输入各自的随机数生成器,生成的大于无线终端STA的无线通信模块中缓存空间大小的信息串。
所述短信息串是由下述的正向加密公式生成的:
其中,K(i+1)'表示正向加密后的第i+1个验证设备的短信息串,1≤i≤3,f(·)表示生成有限存储模型BSM伪随机数的操作,Xi表示第i+1个验证设备利用随机数生成器生成的长信息串的比特流,Ki表示第i个验证设备的验证信息的比特流,表示异或操作,K(i+1)表示第i+1个验证设备的验证信息。
四个验证设备在T-t1、T-t2、T-t3、T-t4四个指定时刻分别广播信息串;其中,T表示四个验证设备的消息同时到达无线终端STA的时间;t1、t2、t3、t4分别表示当前无线局域网中消息从无线终端STA到第一个、第二个、第三个和第四个验证设备位置的传播时间。
所述信息串是指,第一个验证设备在T-t1时刻广播的信息串K1,第二个验证设备在T-t2时刻广播的信息串X1和K2',第三个验证设备在T-t3时刻广播的信息串X2和K3',第四个验证设备在T-t4时刻广播的信息串X3和K4';其中,K1、K2、K3、K4分别表示第一个、第二个、第三个和第四个验证设备各自的验证信息;X1、X2、X3分别表示第二个、第三个和第四个验证设备各自生成的长信息串;K2'、K3'、K4'分别表示第二个、第三个和第四个验证设备各自生成的短信息串。
无线终端STA使用接收到的全部信息串,利用正向加密公式的逆过程,恢复挑战信息。
无线终端STA利用可证身份的秘密信息,对挑战信息进行与无线终端STA身份标识匹配的EAP认证方法相关的变换,得到响应信息,按照EAPoL协议将响应信息封装成EAP-Response消息,在公开信道中广播EAP-Response消息。
在本发明的实施例中所述的相关的变换是指,无线终端STA随机选取私有随机数,以DH_p为模数、以DH_g为生成元、生成客户端的DH公钥DH_Yc后,根据DH密钥协商规则计算出PMS(Pre Master Secret)。
在本发明的实施例中所述的响应信息是指,无线终端STA将Client-Cert、Client-Key-Exchange、Client-Cert-verify、Change-Cipher-spec和Finished消息封装成EAP-Response消息,Client-Cert为申请者的数字证书;Client-Key-Exchange包含DH_Yc(客户端的DH公钥)、由信息完整性字段加密密钥K2保护的DH_Yc(客户端的DH公钥)和DH_Ys(服务器的DH公钥),其中信息完整性字段加密密钥K2由PMS(Pre Master Secret)生成;Client-Cert-Verify是证书验证消息,用于对客户端证书进行显示验证;Change-Cipher-spec为客户端能够支持的加密类型列表。
分别在T+t1、T+t2、T+t3、T+t4四个指定时刻,检查四个验证设备是否均接收到无线终端STA的广播消息,若是,则执行步骤5,否则,执行访问接入点AP发送EAP-Failure消息至无线终端STA的步骤。
访问接入点AP发送EAP-Failure消息至无线终端STA,无线终端STA的位置未通过验证,认证失败。
步骤5,认证服务器AS认证无线终端STA的身份。
访问接入点AP将接收到的EAP-Response消息按照RADIUS协议封装成Access-Response消息后再发给认证服务器AS。
认证服务器AS对Access-Response消息,依照RADIUS协议解封装,得到EAP-Response信息,从EAP-Response信息的Packet Body字段中提取无线终端STA的对认证服务器AS的响应信息。
认证服务器AS依照与无线终端STA身份标识匹配的EAP认证方法判断无线终端STA的响应信息是否与认证服务器AS的期望信息一致,若是,则执行步骤7,否则,执行步骤6。
所述的期望信息是指,认证服务器AS依照与无线终端STA身份标识匹配的EAP认证方法对挑战信息进行变换,得到的期望信息。
在基于暂态DH密钥交换的EAP-TLS认证方法中,认证服务器AS通过Client-Key-Exchange中的DH_Yc(客户端的DH公钥),计算PMS(Pre Master Secert),生成信息完整性字段加密密钥K2,进而可以计算出由信息完整性字段加密密钥K2保护的DH_Yc(客户端的DH公钥)和DH_Ys(服务器的DH公钥),作为期望信息;同时认证服务器AS还需要通过Client-Cert-verify对无线终端STA的证书Client-Certificate进行校验。
步骤6,认证服务器AS发送EAP-Failure消息至无线终端STA,无线终端STA的身份未通过验证,认证失败。
步骤7,认证服务器AS发送EAP-Success消息至无线终端STA,无线终端STA的位置和身份均通过验证,基于位置信息的无线局域网认证成功。
在基于暂态DH密钥交换的EAP-TLS认证方法中,需要在现有步骤基础上增加一个完成握手阶段,认证服务器AS发送将Change-Cipher-spec和Finished消息封装成EAP-Request消息,发送给无线终端STA,其中Change-Cipher-spec包含了认证服务器AS指定使用的加密类型,无线终端STA将TLS-ACK和Finished消息封装成EAP-Response消息,发送给认证服务器AS,作为EAP-TLS认证的完成标志。
认证服务器AS发送EAP-Success消息至无线终端STA,标志着无线终端STA位置通过验证,且利用与无线终端STA的身份标识匹配的基于暂态DH密钥交换的EAP-TLS认证方法,无线终端STA的身份通过验证,基于位置信息的无线局域网认证成功。

Claims (8)

1.一种基于位置信息的无线局域网认证方法,其特征在于,建立标准位置信息数据库,无线终端STA提供自己的身份标识和位置信息,访问接入点AP认证无线终端STA的位置,访问接入点AP分别向四个验证设备发送挑战信息和无线终端的位置信息,认证服务器AS认证无线终端STA的身份;该方法的具体步骤包括如下:
(1)建立标准位置信息数据库:
(1a)在访问接入点AP的无线信号覆盖范围内,划定允许无线终端STA接入无线局域网的地理区域;
(1b)采集划定的地理区域中每个边界顶点的经纬度值,将采集到的所有地理坐标系下经纬度值组成位置信息集;
(1c)通过坐标转换,将位置信息集中的地理坐标系下的经纬度值转化成直角坐标系下的坐标值,生成标准位置信息集;
(1d)将标准位置信息集存入认证服务器AS的标准位置信息数据库;
(2)无线终端STA启动无线网络服务:
(2a)访问接入点AP接收无线终端STA发送的探测请求后,向无线终端STA发送探测响应;
(2b)访问接入点AP接收到无线终端STA发送的开放系统认证请求帧后,向无线终端STA发送开放系统认证响应帧,无线终端STA接收到开放系统认证响应帧,完成IEEE 802.11的认证;
(2c)访问接入点AP接收到无线终端STA发送的关联请求帧后,向无线终端STA发送关联响应帧,无线终端STA接收到关联响应帧,完成IEEE 802.11的关联;
(3)无线终端STA提供自己的身份标识和位置信息:
(3a)无线终端STA向访问接入点AP发送EAPoL-start消息;
(3b)统一按照身份标识-位置信息格式,分别填充EAP-Request消息的载荷、EAP-Response消息的载荷和Access-Request消息的载荷;
(3c)无线终端STA接收到访问接入点AP发送的EAP-Request消息后,向访问接入点AP发送EAP-Response消息,访问接入点AP将接收到的EAP-Response消息封装成RADIUS协议格式的Access-Response消息后再发给认证服务器AS;
(3d)认证服务器AS收到Access-Request消息后,对Access-Request消息依照RADIUS协议解封装,得到EAP-Response消息,从EAP-Response消息的Packet Body字段中分别提取Identity字段和Position字段,得到无线终端的身份标识和位置信息;
(3e)认证服务器AS在认证服务器AS中的认证数据库中检索无线终端STA的身份标识,从认证数据库中找出与该身份标识匹配的EAP认证方法;
(3f)认证服务器AS判断无线终端STA是否处于合法区域,若是,则执行步骤(4);否则,执行步骤(3g);
(3g)认证服务器AS发送EAP-Failure消息至无线终端STA,无线终端STA的位置非法,认证失败;
(4)访问接入点AP认证无线终端STA的位置:
(4a)认证服务器AS向访问接入点AP发送Access-Challenge消息;
(4b)访问接入点AP接收到Access-Challenge信息后,对Access-Challenge消息,依照RADIUS协议解封装,得到EAP-Request信息,从EAP-Request信息的Packet Body字段中提取认证服务器AS对无线终端STA的挑战信息;
(4c)访问接入点AP分别向四个验证设备发送挑战信息和无线终端的位置信息;
(4d)前三个验证设备分别将设备的随机种子输入各自的随机数生成器,截取与挑战信息相同比特长度的三个验证信息,第四个验证设备将挑战信息作为自己的验证信息,前三个验证设备将各自的验证信息,发送给其余三个验证设备;
(4e)四个验证设备分别用无线终端STA到自己所处位置的距离,除以当前无线局域网中信息的传输速度,将商作为当前无线局域网中消息从无线终端STA到自己所处位置的传播时间;
(4f)由第二个、第三个、第四个验证设备,分别生成各自的长信息串和短信息串;
(4g)四个验证设备在T-t1、T-t2、T-t3、T-t4四个指定时刻分别广播信息串;其中,T表示四个验证设备的消息同时到达无线终端STA的时间;t1、t2、t3、t4分别表示当前无线局域网中消息从无线终端STA到第一个、第二个、第三个和第四个验证设备位置的传播时间;
(4h)无线终端STA使用接收到的全部信息串,利用正向加密公式的逆过程,恢复挑战信息;
(4i)无线终端STA利用可证身份的秘密信息,对挑战信息进行与无线终端STA身份标识匹配的EAP认证方法相关的变换,得到响应信息,按照EAPoL协议将响应信息封装成EAP-Response消息,在公开信道中广播EAP-Response消息;
(4j)分别在T+t1、T+t2、T+t3、T+t4四个指定时刻,检查四个验证设备是否均接收到无线终端STA的广播消息,若是,则执行步骤(5),否则,执行步骤(4k);
(4k)访问接入点AP发送EAP-Failure消息至无线终端STA,无线终端STA的位置未通过验证,认证失败;
(5)认证服务器AS认证无线终端STA的身份:
(5a)访问接入点AP将接收到的EAP-Response消息按照RADIUS协议封装成Access-Response消息后再发给认证服务器AS;
(5b)认证服务器AS对Access-Response消息,依照RADIUS协议解封装,得到EAP-Response信息,从EAP-Response信息的Packet Body字段中提取无线终端STA的对认证服务器AS的响应信息;
(5c)认证服务器AS依照与无线终端STA身份标识匹配的EAP认证方法判断无线终端STA的响应信息是否与认证服务器AS的期望信息一致,若是,则执行步骤(7),否则,执行步骤(6);
(6)认证服务器AS发送EAP-Failure消息至无线终端STA,无线终端STA的身份未通过验证,认证失败;
(7)认证服务器AS发送EAP-Success消息至无线终端STA,无线终端STA的位置和身份均通过验证,基于位置信息的无线局域网认证成功。
2.根据权利要求1所述的基于位置信息的无线局域网认证方法,其特征在于,步骤(3b)中所述身份标识-位置信息格式是指,用Identity字段描述无线终端的身份标识,用Position字段描述无线终端的位置信息。
3.根据权利要求1所述的基于位置信息的无线局域网认证方法,其特征在于,步骤(3f)中所述合法区域是指,以标准位置信息数据库中标准位置信息集内各个坐标点为顶点确定的不规则多边形区域。
4.根据权利要求1所述的基于位置信息的无线局域网认证方法,其特征在于,步骤(4c)中所述验证设备是指,具有随机数生成器且能在以访问接入点AP为中心的无线局域网中与无线终端STA直接进行通信的设备。
5.根据权利要求1所述的基于位置信息的无线局域网认证方法,其特征在于,步骤(4f)中所述长信息串是指,通过第二个、第三个和第四个验证设备别将设备的随机种子输入各自的随机数生成器,生成的大于无线终端STA的无线通信模块中缓存空间大小的信息串。
6.根据权利要求1所述的基于位置信息的无线局域网认证方法,其特征在于,步骤(4f)中所述短信息串是由下述的正向加密公式生成的:
其中,K(i+1)'表示正向加密后的第i+1个验证设备的短信息串,1≤i≤3,f(·)表示生成有限存储模型BSM伪随机数的操作,Xi表示第i+1个验证设备利用随机数生成器生成的长信息串的比特流,Ki表示第i个验证设备的验证信息的比特流,表示异或操作,K(i+1)表示第i+1个验证设备的验证信息。
7.根据权利要求1所述的基于位置信息的无线局域网认证方法,其特征在于,步骤(4g)中所述信息串是指,第一个验证设备在T-t1时刻广播的信息串K1,第二个验证设备在T-t2时刻广播的信息串X1和K2',第三个验证设备在T-t3时刻广播的信息串X2和K3',第四个验证设备在T-t4时刻广播的信息串X3和K4';其中,K1、K2、K3、K4分别表示第一个、第二个、第三个和第四个验证设备各自的验证信息;X1、X2、X3分别表示第二个、第三个和第四个验证设备各自生成的长信息串;K2'、K3'、K4'分别表示第二个、第三个和第四个验证设备各自生成的短信息串。
8.根据权利要求1所述的基于位置信息的无线局域网认证方法,其特征在于,步骤(5c)中所述的期望信息是指,认证服务器AS依照与无线终端STA身份标识匹配的EAP认证方法,对挑战信息进行变换后得到的期望信息。
CN201810509454.XA 2018-05-24 2018-05-24 基于位置信息的无线局域网认证方法 Active CN108777843B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810509454.XA CN108777843B (zh) 2018-05-24 2018-05-24 基于位置信息的无线局域网认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810509454.XA CN108777843B (zh) 2018-05-24 2018-05-24 基于位置信息的无线局域网认证方法

Publications (2)

Publication Number Publication Date
CN108777843A true CN108777843A (zh) 2018-11-09
CN108777843B CN108777843B (zh) 2019-12-24

Family

ID=64027761

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810509454.XA Active CN108777843B (zh) 2018-05-24 2018-05-24 基于位置信息的无线局域网认证方法

Country Status (1)

Country Link
CN (1) CN108777843B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111555884A (zh) * 2019-02-12 2020-08-18 富士施乐株式会社 用于位置感知双因素认证的系统和方法
CN113840223A (zh) * 2020-06-08 2021-12-24 中国移动通信有限公司研究院 位置定位方法、装置、终端及网络设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1444362A (zh) * 2002-03-08 2003-09-24 华为技术有限公司 无线局域网加密密钥的分发方法
WO2013188271A2 (en) * 2012-06-15 2013-12-19 Qualcomm Incorporated Indoor location server provision and discovery
CN104852896A (zh) * 2015-02-03 2015-08-19 四川通信科研规划设计有限责任公司 一种Wi-Fi无线节点入网方法及系统
CN105323074A (zh) * 2015-11-17 2016-02-10 西安电子科技大学 终端设备地理位置的可信验证方法
CN106652137A (zh) * 2016-12-27 2017-05-10 上海斐讯数据通信技术有限公司 一种基于wifi的景区门禁查验系统及其使用方法
CN106878936A (zh) * 2015-12-11 2017-06-20 北京奇虎科技有限公司 一种店铺WiFi网络的共享方法和装置
CN107637099A (zh) * 2015-03-18 2018-01-26 斯纳普公司 地理围栏认证提供

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1444362A (zh) * 2002-03-08 2003-09-24 华为技术有限公司 无线局域网加密密钥的分发方法
WO2013188271A2 (en) * 2012-06-15 2013-12-19 Qualcomm Incorporated Indoor location server provision and discovery
CN104852896A (zh) * 2015-02-03 2015-08-19 四川通信科研规划设计有限责任公司 一种Wi-Fi无线节点入网方法及系统
CN107637099A (zh) * 2015-03-18 2018-01-26 斯纳普公司 地理围栏认证提供
CN105323074A (zh) * 2015-11-17 2016-02-10 西安电子科技大学 终端设备地理位置的可信验证方法
CN106878936A (zh) * 2015-12-11 2017-06-20 北京奇虎科技有限公司 一种店铺WiFi网络的共享方法和装置
CN106652137A (zh) * 2016-12-27 2017-05-10 上海斐讯数据通信技术有限公司 一种基于wifi的景区门禁查验系统及其使用方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘会博: "一种身份和位置分离网络的接入认证方法", 《万方数据》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111555884A (zh) * 2019-02-12 2020-08-18 富士施乐株式会社 用于位置感知双因素认证的系统和方法
CN113840223A (zh) * 2020-06-08 2021-12-24 中国移动通信有限公司研究院 位置定位方法、装置、终端及网络设备
CN113840223B (zh) * 2020-06-08 2023-04-07 中国移动通信有限公司研究院 位置定位方法、装置、终端及网络设备

Also Published As

Publication number Publication date
CN108777843B (zh) 2019-12-24

Similar Documents

Publication Publication Date Title
Xu et al. A lightweight mutual authentication and key agreement scheme for medical Internet of Things
CN108270571B (zh) 基于区块链的物联网身份认证系统及其方法
US8726022B2 (en) Method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely
CN104754581B (zh) 一种基于公钥密码体制的lte无线网络的安全认证方法
Xu et al. A lightweight anonymous mutual authentication and key agreement scheme for WBAN
CN109618326A (zh) 用户动态标识符生成方法及服务注册方法、登录验证方法
Liu et al. A physically secure, lightweight three-factor and anonymous user authentication protocol for IoT
US20110320802A1 (en) Authentication method, key distribution method and authentication and key distribution method
CN105792194B (zh) 基站合法性的认证方法、认证装置、网络设备、认证系统
CN103634796B (zh) 一种空天信息网络漫游可信安全接入方法
US11722887B2 (en) Privacy protection authentication method based on wireless body area network
CN109496412A (zh) 使用隐私识别码的验证
CN108964897A (zh) 基于群组通信的身份认证系统和方法
CN108964896A (zh) 一种基于群组密钥池的Kerberos身份认证系统和方法
Chen et al. An efficient mutual authentication and key agreement scheme without password for wireless sensor networks
CN108964895A (zh) 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法
CN108777843A (zh) 基于位置信息的无线局域网认证方法
Prakash et al. Authentication protocols and techniques: a survey
JP2004088148A (ja) 無線lanシステム、移動体通信システム及び無線端末、並びに、端末認証方法
Moon et al. An AAA scheme using ID-based ticket with anonymity in future mobile communication
CN108965266A (zh) 一种基于群组密钥池和Kerberos的User-to-User身份认证系统和方法
CN108601024A (zh) 一种轻量级身份认证及平台鉴别评估方法
KR100667186B1 (ko) 무선 이동 단말의 인증 시스템 구현 장치 및 방법
CN106713222A (zh) 一种无线局域网络的接入认证方法、服务器和认证系统
Wei et al. On the security and improvement of privacy‐preserving 3‐factor authentication scheme for TMIS

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant