CN109561431B - 基于多口令身份鉴别的wlan接入访问控制系统及方法 - Google Patents
基于多口令身份鉴别的wlan接入访问控制系统及方法 Download PDFInfo
- Publication number
- CN109561431B CN109561431B CN201910043594.7A CN201910043594A CN109561431B CN 109561431 B CN109561431 B CN 109561431B CN 201910043594 A CN201910043594 A CN 201910043594A CN 109561431 B CN109561431 B CN 109561431B
- Authority
- CN
- China
- Prior art keywords
- requester
- key
- submodule
- identity
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提出了一种基于多口令身份鉴别的WLAN接入访问控制系统及方法,旨在兼顾对请求者的接入控制和访问控制特性,并提高请求者数据通信的安全性,同时降低控制系统成本,实现步骤为:身份配置模块配置请求者的身份标识符和对应的口令及网络访问权限;链路协商模块建立与请求者的链路;对主密钥计算子模块计算与口令集合对应的对主密钥集合;密钥协商子模块与请求者交换密钥材料并接收信息完整性校验码;对临时密钥计算子模块计算对临时密钥集合;身份比较子模块确定请求者的身份标识符;鉴别确认子模块向请求者确认身份鉴别通过;访问控制模块依据与请求者的身份标识符对应的网络访问权限对请求者进行访问控制。
Description
技术领域
本发明属于无线通信技术领域,涉及一种WLAN接入和访问控制系统及方法,具体涉及一种基于多口令身份鉴别和密钥协商的WLAN接入访问控制系统及方法。
背景技术
无线局域网WLAN(Wireless Local Area Network)是一种以无线信道为传输媒介构建的计算机局域网络,可分为个人和企业两种应用,其中个人WLAN的主要参与主体分为认证者和请求者,认证者是个人WLAN的控制者,请求者是个人WLAN的使用者。
基于口令的身份鉴别和密钥交换是一类解决了处于网络两端的双方确认对方身份并进行安全通信问题的协议。该类协议通常假设通信双方共享一个秘密值,实现对通信双方的身份鉴别和密钥交换。
使用个人WLAN的请求者在申请时需要经过基于口令的身份鉴别和密钥交换协议的接入控制系统,判断请求者是否有权限使用个人WLAN。接入控制系统使用单一口令对请求者进行身份鉴别和密钥协商。这使得恶意的请求者可以解密其他请求者的WLAN通信数据,或可对其他请求者进行中间人攻击。近年来,WLAN接入控制领域已经注意到只使用单一的口令对请求者进行身份鉴别与密钥交换的技术存在安全风险,例如,申请公布号为CN107182054A,名称为“无线热点连接控制方法、装置、设备及计算机存储介质”的专利申请,公开了一种WLAN的接入控制系统及方法。该发明的主要内容有:(1)关系获取模块获取设备标识与访客口令的对应关系;(2)信息更新模块将设备标识符与访客口令存储在配置文件中;(3)服务启动模块根据配置文件启动WLAN服务,允许与对应关系中的设备标识符和访客口令对应匹配的请求者接入WLAN。该发明的已知设备标识符的请求者可以使用不同口令,提高了请求者数据通信的安全性,但其存在的不足之处是,未知设备标识符的请求者只能使用相同口令,导致请求者数据通信的安全性不能得到保证。
有权限使用个人WLAN的请求者在使用时需要经过访问控制系统。访问控制系统使用请求者的设备标识符标记请求者,并依照请求者的身份类别限制请求者在使用个人WLAN时的网络访问权限。请求者的设备标识符在请求者申请接入之前难以获得,使得访问控制系统无法预先配置某一身份类别请求者的访问权限,而只能在请求者接入WLAN后配置,这样的配置方法是复杂的。近年来,WLAN访问控制领域已经注意到先获取设备标识符后再对请求者进行访问控制存在过程复杂的问题,例如,授权公告号为CN106471833B,名称为“用于访问无线局域网的方法和系统”的中国专利,公开了一种WLAN的访问控制系统及方法。该发明的主要内容有:(1)从请求者接收包含云服务账户凭证的验证请求;(2)将验证请求转发至验证服务器以验证凭证;(3)从验证服务器获取请求者的访问权限配置文件;(4)与请求者相关联并根据从验证服务器获取的访问权限配置文件配置请求者的访问权限。该方案的优点是,请求者的访问权限可以不依靠请求者的设备标识符预先配置,降低了访问权限的配置复杂度,但其存在的不足之处是,需要额外的验证服务器验证请求者身份并存储访问权限配置文件,增加了系统的成本。
此外,现有的接入控制系统只能判断请求者是否拥有接入权限,而无法向访问控制系统提供配置访问权限所需要的请求者的身份类别信息。使得访问控制系统只能在接入控制系统允许请求者接入后,再单独确认请求者的身份类别。导致接入控制系统和访问控制系统无法结合使用,缺少易用性。
发明内容
本发明的目的在于克服上述现有技术存在的不足,提出一种基于多口令身份鉴别和密钥协商的WLAN接入访问控制系统及方法,旨在兼顾对请求者的接入控制和访问控制特性,并提高请求者数据通信的安全性,同时降低控制系统成本。
为实现上述目的,本发明采取的技术方案是:
一种基于多口令身份鉴别和密钥协商的WLAN接入访问控制系统,包括身份配置模块、链路协商模块、多身份鉴别模块和访问控制模块,其中:
所述身份配置模块,用于配置接入访问控制系统的服务标识符和请求者的口令及访问权限描述符;
所述链路协商模块,用于建立接入访问控制系统与请求者的链路;
所述多身份鉴别模块,用于对请求者进行接入控制;
所述访问控制模块,用于对请求者进行访问控制。
上述基于多口令身份鉴别和密钥协商的WLAN接入访问控制系统,所述身份配置模块,包括服务配置子模块和口令及权限配置子模块,其中:
所述服务配置子模块,用于为接入访问控制系统配置服务标识符,服务标识符的长度根据IEEE 802.11标准确定;
所述口令及权限配置子模块,用于为请求者配置身份标识符和对应的口令及网络访问权限描述符,口令的长度根据IEEE 802.11标准确定。
上述基于多口令身份鉴别和密钥协商的WLAN接入访问控制系统,所述链路协商模块,包括网络发现子模块和终端关联子模块,其中:
所述网络发现子模块,用于向请求者广播服务标识符和系统的设备标识符;
所述链路认证子模块,用于接收请求者的设备标识符,并标记请求者的状态。
上述基于多口令身份鉴别和密钥协商的WLAN接入访问控制系统,所述多身份鉴别模块,包括对主密钥计算子模块、密钥协商子模块、对临时密钥计算子模块、身份比较子模块和鉴别确认子模块,其中:
所述对主密钥计算子模块,用于计算与口令配置子模块配置的口令对应的对主密钥;
所述密钥协商子模块,用于与请求者交换密钥材料并接收请求者的信息完整性校验码;
所述对临时密钥计算子模块,用于计算对临时密钥集合;
所述身份比较子模块,用于确定请求者所对应的身份标识符;
所述鉴别确认子模块,用于向请求者确认身份鉴别通过。
上述基于多口令身份鉴别和密钥协商的WLAN接入访问控制系统,所述访问控制模块,包括访问权限确定子模块、访问行为记录子模块和访问权限应用子模块,其中:
所述访问权限确定子模块,用于依据请求者的身份标识符获取网络访问权限描述符;
所述访问行为记录子模块,用于记录请求者的访问日志;
所述访问权限应用子模块,用于依照网络访问权限描述符限制请求者的网络访问权限。
一种基于多口令身份鉴别和密钥协商的WLAN接入访问控制方法,包括如下步骤:
(1)服务配置子模块配置系统的服务标识符sid:
服务配置子模块为系统配置长度小于32字节的服务标识符sid;
(2)口令及权限配置子模块为请求者配置身份标识符和口令,以及网络访问权限描述符:
口令及权限配置子模块为WLAN覆盖范围内的请求者集合{S}中的每一类请求者Si配置身份标识符idi,以及与idi对应的长度大于8小于64字节的口令ppi和网络访问权限描述符acpi,并将各类请求者的身份标识符组合成身份标识符集合{id},将所有口令组合成口令集合{pp},将所有网络访问权限描述符组合成网络访问权限描述符集合{acp},其中:{S}={S1,S2,…,Si,…,Sm},m表示请求者种类的总数,m≥2;
(3)链路协商模块与请求者交换数据并建立链路:
网络发现子模块向请求者集合{S}广播系统的服务标识符sid和设备标识符ada;终端关联子模块接收{S}中主动申请接入WLAN的请求者Sj发出的Sj的设备标识符ads,并标记请求者Sj的状态为关联;
(4)对主密钥计算子模块计算对主密钥集合{PMK}:
对主密钥计算子模块采用基于口令的密钥生成算法,通过口令集合{pp}中的每一条口令ppi分别与服务标识符sid计算对主密钥PMKi,得到对主密钥集合{PMK};
(5)密钥协商子模块与请求者Sj交换密钥材料,并接收请求者Sj发出的信息完整性校验码MICs:
密钥协商子模块将采用基于哈希的消息认证码算法计算的密钥材料AN发送至请求者Sj,并接收请求者Sj发送的包含密钥材料SN和信息完整性校验码MICs的数据包M2;
(6)对临时密钥计算子模块计算对临时密钥集合{PTK}:
对临时密钥计算子模块采用基于哈希的消息认证码算法,通过对主密钥集合{PMK}中的每一条对主密钥PMKi、密钥材料AN、密钥材料SN、请求者Sj的设备标识符ads和系统的设备标识符ada计算对临时密钥PTKi,得到对临时密钥集合{PTK};
(7)身份比较子模块获取信息完整性校验码集合{MIC}:
身份比较子模块将{PTK}中的每一个对临时密钥PTKi的前128bit的二进制串作为密钥确认密钥KCKi,得到密钥确认密钥集合{KCK},并采用基于哈希的消息认证码算法,通过KCKi和请求者Sj发送的数据包M2计算信息完整性校验码MICi,得到信息完整性校验码集合{MIC};
(8)身份比较子模块确定请求者Sj的身份标识符idsi:
身份比较子模块判断信息完整性校验码集合{MIC}中是否存在与请求者Sj发送的信息完整性校验码MICs相同的信息完整性校验码MICsi,若是,将请求者Sj的身份标记为身份标识符idsi,并执行步骤(9),否则,解除与请求者Sj的关联关系,并执行步骤(3);
(9)鉴别确认子模块向请求者Sj发送鉴别通过数据包M3:
鉴别确认子模块构造包含密钥材料AN和密钥材料SN的数据包M3,并采用基于哈希的消息认证码算法,通过MICsi对应的密钥确认密钥KCKsi与数据包M3计算信息完整性校验码MIC3,并将MIC3添加到数据包M3中后发送给请求者Sj,实现对请求者Sj接入WLAN的控制;
(10)访问控制模块对请求者Sj的网络访问权限进行控制:
(10a)访问权限确定子模块从访问权限描述符集合{acp}中选取与idsi对应的访问权限描述符acpsi;
(10b)访问行为记录子模块记录请求者Sj的访问日志,包括请求者Sj的设备标识符ads、请求者Sj的身份标识符idsi和访问时间,同时访问权限应用子模块依据访问权限描述符acpsi限制请求者Sj的网络访问权限,实现对请求者Sj访问WLAN的控制。
本发明与现有技术相比,具有如下优点:
1.本发明首先通过身份配置模块为请求者配置身份标识符和对应的口令及网络访问权限描述符,多身份鉴别模块得到请求者的身份标识符,并完成对请求者的接入控制,访问控制模块依据请求者的身份标识符获取网络访问权限描述符,从而对请求者进行访问控制。解决了接入控制和访问控制只能分开进行的问题,与现有技术相比,提升接入和访问控制系统的易用性,降低了系统的成本。
2.本发明基于多口令身份鉴别和密钥协商,在对请求者进行访问控制时,身份配置模块为请求者配置身份标识符和对应的网络访问权限描述符,多身份鉴别模块得到请求者的身份标识符,访问控制模块依照请求者的身份标识符获取网络访问权限描述符,从而对请求者进行访问控制。解决了访问控制系统成本高的问题,与现有技术相比,不需要额外的服务器,更进一步降低了系统的成本。
3.本发明基于多口令身份鉴别和密钥协商,在对请求者进行接入控制时,身份配置模块为未知设备标识符的请求者配置不同口令,多身份鉴别模块对未知设备标识符的请求者使用不同的口令进行接入控制。解决了接入控制系统不能保护未知设备标识符的请求者的问题,与现有技术相比,未知设备标识符的请求者可以使用不同口令,提高了请求者数据通信的安全性。
附图说明
图1是本发明控制系统的整体结构示意图;
图2是本发明控制方法的实现流程图。
具体实施方式
下面结合附图和具体实施例,对本发明作进一步的详细描述:
参照图1,本发明的WLAN接入访问控制系统,包括身份配置模块、链路协商模块、多身份鉴别模块和访问控制模块,其中:
所述身份配置模块,用于配置接入访问控制系统的服务标识符和请求者的口令及访问权限,包括服务配置子模块和口令及权限配置子模块,其中:所述服务配置子模块,用于为接入访问控制系统配置服务标识符,服务标识符的长度根据IEEE 802.11标准确定,服务标识符代表使用本系统的WLAN,用于网络发现子模块向处于WLAN范围内的请求者广播信标帧,并用于对主密钥计算子模块计算对主密钥。所述口令及权限配置子模块,用于为请求者配置身份标识符和对应的口令及网络访问权限描述符,口令的长度根据IEEE 802.11标准确定,口令长度需大于8小于64字节,不同的口令用于对主密钥计算子模块计算不同的对主密钥。网络权限描述符用于通过访问控制模块限制请求者使用WLAN的权限,包括但不限于请求者的上行和下行带宽以及所应被划分的虚拟局域网。身份标识符用于描述具有对应关系的口令和网络权限描述符。口令集合和身份标识符集合中不能出现重复。
所述链路协商模块,用于建立接入访问控制系统与请求者的链路,包括网络发现子模块和终端关联子模块,其中:所述网络发现子模块,用于向请求者广播服务配置子模块配置的服务标识符和系统的设备标识符,服务标识符和系统的设备标识符包含在IEEE802.11标准规定的信标帧中,该模块使得请求者可以发现该服务标识符代表的WLAN。所述链路认证子模块,用于接收请求者的设备标识符,并标记请求者的状态,链路认证子模块与请求者完成开放系统认证,获取请求者的设备标识符,并将请求者的设备标识符提供给对临时密钥计算子模块和访问控制模块。
所述多身份鉴别模块,用于对请求者进行接入控制,包括对主密钥计算子模块、密钥协商子模块、对临时密钥计算子模块、身份比较子模块和鉴别确认子模块,其中:所述对主密钥计算子模块,用于计算与口令及权限配置子模块配置的口令集合对应的对主密钥集合,对主密钥集合的计算可以在每次系统启动时完成,以降低请求者申请接入的等待时间,对主密钥集合用于对临时密钥计算子模块。所述密钥协商子模块,用于与请求者交换密钥材料并接收请求者的信息完整性校验码,生成密钥材料发给请求者,并接收包含在同一个数据包中的请求者的密钥材料和信息完整性校验码,两个密钥材料用于对临时密钥计算子模块,收到的信息完整性校验码用于身份比较子模块。所述对临时密钥计算子模块,用于计算对临时密钥集合,对临时密钥集合中的密钥都与口令集合一一对应,对临时密钥集合用于身份比较子模块确认请求者的身份类别。所述身份比较子模块,用于确定请求者所对应的由口令及权限配置子模块配置的身份标识符,由前文所述的口令与对临时密钥的对应关系,请求者使用口令集合中的一条口令计算得到请求者的对临时密钥应与对临时密钥计算子模块中计算的对临时密钥集合中的某一个相同,进一步可知,通过比较以相同方式生成的信息完整性校验码,可以确认请求者所使用的口令,从而确定其身份标识符,身份标识符用于权限确定子模块。所述鉴别确认子模块,用于向请求者确认身份鉴别通过,鉴别确认子模块构造包含双方密钥材料的数据包,并使用身份比较子模块确定的请求者所使用的对临时密钥计算该数据包的信息完整性校验码,将附加了信息完整性校验码的数据包发给请求者用于向请求者确认可以接入。
所述访问控制模块,用于对请求者进行访问控制,包括访问权限确定子模块、访问行为记录子模块和访问权限应用子模块,其中:所述访问权限确定子模块,用于依据身份比较子模块确定的请求者的身份标识符获取由口令及权限配置子模块配置的网络访问权限描述符,请求者由其设备标识符进行标记,身份标识符代表其类别。所述访问行为记录子模块,用于记录请求者的访问日志,访问日志包含请求者的设备标识符,身份标识符和访问的时间。所述访问权限应用子模块,用于依照网络访问权限描述符使用不同的工具限制请求者的网络访问权限。
本实例中,无线局域网接入访问控制系统的底层为Linux系统,身份配置模块提供可视化界面配置系统的服务标识符,请求者的身份标识符和对应的口令及网络访问权限描述符,并写入开源软件hostapd的配置文件hostapd.conf中,链路协商模块与请求者建立链路,多身份鉴别模块对开源软件hostapd进行修改,修改其读取配置文件的功能以支持新的配置内容,修改存储数据的结构体,扩展其只能验证单一口令的功能,并以请求者的设备标识符和身份标识符启动访问控制模块,访问控制模块依照请求者的身份标识符记录日志并从配置文件hostapd.conf获取访问权限描述符,然后使用流量控制软件tc等工具限制请求者的上下行带宽等网络访问权限。
参照图2,本发明的WLAN接入和访问控制方法,包括如下步骤:
步骤1)服务配置子模块配置系统的服务标识符sid:
服务配置子模块为系统配置长度小于32字节的服务标识符sid。
本实例中,服务配置子模块向开源软件hostapd的配置文件hostapd.conf中写入服务标识符“test”,服务标识符用于向请求者广播WLAN的存在以及其他表示本WLAN功能的相关信息。
步骤2)口令及权限配置子模块为请求者配置身份标识符和口令,以及网络访问权限:
口令及权限配置子模块为WLAN覆盖范围内的请求者集合{S}中的每一类请求者Si配置身份标识符idi,以及与idi对应的长度大于8小于64字节的口令ppi和网络访问权限描述符acpi,并将各类请求者的身份标识符组合成身份标识符集合{id},将所有口令组合成口令集合{pp},将所有网络访问权限描述符组合成网络访问权限描述符集合{acp},其中:{S}={S1,S2,…,Si,…,Sm},m表示请求者种类的总数,m≥2。
本实例中,口令及权限配置子模块提供可视化配置界面,并将输入内容第i类请求者的身份标识符idi,以及与idi对应的口令ppi和网络访问权限描述符acpi以行写入开源软件hostapd的配置文件hostapd.conf中。其中口令ppi满足IEEE 802.11标准,网络访问权限描述符acpi可包含单位为KB/S的对外访问网络的上行和下行带宽,带宽为0表示不限制。例如,配置文件hostapd.conf中的身份标识符idi,以及与idi对应的口令ppi和网络访问权限描述符acpi,有如下内容:
wpa_mpake=admin,11111111,0,0
wpa_mpake=friend,22222222,0,2048
wpa_mpake=iot,33333333,512,512
wpa_mpake=vistor,44444444,2048,1024
其中,每一行的wpa_mpake表示该条目为多口令身份鉴别和密钥协商技术的配置内容,等号到第一个逗号之间为身份标识符idi,第一个逗号到第二个逗号之间为与idi对应的口令ppi,第二个逗号之后为网络访问权限描述符acpi。
步骤3)链路协商模块与请求者交换数据并建立链路:
网络发现子模块向请求者集合{S}广播系统的服务标识符sid和设备标识符ada;终端关联子模块接收{S}中主动申请访问WLAN的请求者Sj发出的Sj的设备标识符ads,并标记请求者Sj的状态为关联。
本实例中,网络发现子模块与请求者交换数据并建立链路均依照IEEE802.11标准。网络发现子模块向请求者集合{S}广播包含系统的服务标识符sid和设备标识符ada的信标帧,终端关联子模块接收包含请求者Sj的设备标识符ads的认证请求帧,终端关联子模块在接收到请求者Sj的关联请求帧后,标记请求者Sj的状态为关联。
步骤4)对主密钥计算子模块计算对主密钥集合{PMK}:
对主密钥计算子模块采用基于口令的密钥生成算法,通过口令集合{pp}中的每一条口令ppi分别与服务标识符sid计算对主密钥PMKi,得到对主密钥集合{PMK}。
本实例中,基于口令的密钥生成算法采用PBKDF2算法。对开源软件hostapd进行修改,向用于读取配置文件的hostapd_config_fill添加处理配置文件中基于多口令身份鉴别与密钥协商条目的配置内容,并向函数SM_STATE(WPA_PTK,INITPMK)中用于计算对主密钥PMKi的函数wpa_auth_get_msk外添加循环结构,并向结构体wpa_state_machine添加存储对主密钥集合{PMK}的结构体链表,实现口令集合{pp}中的每一条口令ppi分别与服务标识符sid计算对主密钥PMKi,得到对主密钥集合{PMK}。
步骤5)密钥协商子模块与请求者Sj交换密钥材料,并接收请求者Sj发出的信息完整性校验码MICs:
密钥协商子模块将采用基于哈希的消息认证码算法计算的密钥材料AN发送至请求者Sj,并接收请求者Sj发送的包含密钥材料SN和信息完整性校验码MICs的数据包M2。
本实例中,密钥协商子模块依照依照IEEE 802.11标准,采用基于HMAC-SHA-1-256算法,通过随机数生成器和当前时间等信息计算密钥材料AN,密钥协商子模块构造包含密钥材料AN的EAPoL-Key数据包M1,并发送给请求者Sj。请求者Sj采用PBKDF2算法,通过预先共享的口令pps与系统的服务标识符sid,计算出对主密钥PMKs,并采用HMAC-SHA-1-256算法,通过随机数生成器和当前时间等信息计算密钥材料SN,然后采用HMAC-SHA-1-384算法,通过对主密钥PMKs、密钥材料AN、密钥材料SN、请求者Sj的设备标识符ads和系统的设备标识符ada计算对临时密钥PTKs,并将对临时密钥PTKs的前128bit的二进制串作为密钥确认密钥KCKs,请求者Sj构造包含密钥材料SN的EAPoL-Key数据包M2,并采用HMAC-SHA-1-128算法,通过密钥确认密钥KCKs和数据包M2,计算信息完整性校验码MICs,并添加到数据包M2中,然后将数据包M2发送到密钥协商子模块。
步骤6)对临时密钥计算子模块计算对临时密钥集合{PTK}:
对临时密钥计算子模块采用基于哈希的消息认证码算法,通过对主密钥集合{PMK}中的每一条对主密钥PMKi、密钥材料AN、密钥材料SN、请求者Sj的设备标识符ads和系统的设备标识符ada计算对临时密钥PTKi,得到对临时密钥集合{PTK}。
本实例中,基于哈希的消息认证码算法采用HMAC-SHA-1-384算法,对开源软件hostapd进行修改,向函数SM_STATE(WPA_PTK,PTKCALCNEGOTIATING)中用于计算对临时密钥PTK的函数wpa_derive_ptk外添加循环结构,并向结构体wpa_state_machine添加存储对临时密钥集合{PTK}的结构体链表,实现对主密钥集合{PMK}中的每一条对主密钥PMKi与密钥材料AN、密钥材料SN、请求者Sj的设备标识符ads和系统的设备标识符ada计算对临时密钥PTKi,得到对临时密钥集合{PTK}。
步骤7)身份比较子模块获取信息完整性校验码集合{MIC}:
身份比较子模块将{PTK}中的每一个对临时密钥PTKi的前128bit的二进制串作为密钥确认密钥KCKi,得到密钥确认密钥集合{KCK},并采用基于哈希的消息认证码算法,通过KCKi和请求者Sj发送的数据包M2计算信息完整性校验码MICi,得到信息完整性校验码集合{MIC}。
本实例中,基于哈希的消息认证码算法采用HMAC-SHA-1-128算法,对开源软件hostapd进行修改,向对收到的EAPoL-Key数据包进行处理的wpa_receive函数中用于认证数据包M2中的信息完整性校验码MICs的函数wpa_verify_key_mic外添加循环结构,该函数的参数中包含一个对临时密钥PTKi,所添加的循环结构使得在wpa_receive函数内可以遍历对临时密钥集合{PTK}中的每一个对临时密钥PTKi,从而实现对wpa_verify_key_mic函数中通过KCKi和请求者Sj发送的数据包M2计算信息完整性校验码MICi的函数wpa_eapol_key_mic的循环调用,得到信息完整性校验码集合{MIC}。
步骤8)身份比较子模块确定请求者Sj的身份标识符idsi:
身份比较子模块判断信息完整性校验码集合{MIC}中是否存在与请求者Sj发送的信息完整性校验码MICs相同的信息完整性校验码MICsi,若是,将请求者Sj的身份标记为身份标识符idsi,并执行步骤9),否则,解除与请求者Sj的关联关系,并执行步骤3)。
本实例中,通过修改开源软件hostapd中用于认证数据包M2中的信息完整性校验码MICs的函数wpa_verify_key_mic外添加循环结构,使得信息完整性校验码MICs可与步骤7)中得到信息完整性校验码集合{MIC}中的每一个比较,若存在与请求者Sj发送的信息完整性校验码MICs相同的信息完整性校验码MICsi,则依据计算MICsi的PTKsi可以得到对应的身份标识符idsi,若否,向请求者Sj发送IEEE 802.11标准中规定的解除关联帧。
步骤9)鉴别确认子模块向请求者Sj发送鉴别通过数据包M3:
鉴别确认子模块构造包含密钥材料AN和密钥材料SN的数据包M3,并采用基于哈希的消息认证码算法,通过MICsi对应的密钥确认密钥KCKsi与数据包M3计算信息完整性校验码MIC3,并将MIC3添加到数据包M3中后发送给请求者Sj,实现对请求者Sj接入WLAN的控制。
本实例中,基于哈希的消息认证码算法采用HMAC-SHA-1-128算法,对开源软件hostapd进行修改,向对收到的EAPoL-Key数据包进行处理的wpa_receive函数中用于认证数据包M2中的信息完整性校验码MICs的函数wpa_verify_key_mic外添加循环结构,通过步骤8)可以得到请求者Sj的身份标识符idsi对应的PTKsi和密钥确认密钥KCKsi,鉴别确认子模块构造包括密钥材料AN和密钥材料SN的EAPoL-Key数据包M3,并采用HMAC-SHA-1-128算法,通过密钥确认密钥KCKsi和数据包M3计算信息完整性校验码MIC3,并将MIC3添加到数据包M3中后发送给请求者Sj。
步骤10)访问控制模块对请求者Sj的网络访问权限进行控制:
步骤10a)访问权限确定子模块从访问权限描述符集合{acp}中选取与idsi对应的访问权限描述符acpsi。
本实例中,访问权限确定子模块根据请求者Sj的身份标识符idsi,从开源软件hostapd的配置文件hostapd.conf中读取访问权限描述符集合{acp},并选取与身份标识符idsi对应的访问权限描述符acpsi。
步骤10b)访问行为记录子模块记录请求者Sj的访问日志包括请求者Sj的设备标识符ads、请求者Sj的身份标识符idsi和访问时间,同时访问权限应用子模块依据访问权限描述符acpsi限制请求者Sj的网络访问权限,实现对请求者Sj访问WLAN的控制。
本实例中,访问行为记录子模块向日志文件host.log记录请求者Sj的设备标识符ads、身份标识符idsi和访问时间,该日志信息有如下内容:
10:20:30:40:50:60,admin,2019/1/1 10:00:00
11:21:31:41:51:61,friend,2019/1/1 11:00:00
12:22:32:42:52:62,iot,2019/1/1 12:00:00
13:23:33:43:53:63,vistor,2019/1/1 13:00:00
14:24:34:44:54:64,vistor,2019/1/1 13:01:00
其中,每一行第一个逗号之前表示请求者Sj的设备标识符ads,第一个逗号到第二个逗号之间表示该请求者Sj的身份标识符idsi,第二个逗号之后表示请求者Sj的接入时间。
本实例中,访问权限应用子模块依据请求者Sj的访问权限描述符acpsi,通过Linux下的流量控制软件tc对请求者Sj所能使用的网络带宽进行限制。
以上描述仅是本发明的一个具体实例,不构成对本发明的任何限制,显然对于本领域的专业人员来说,在了解了本发明内容和原理后,都可能在不背离本发明原理、结构的情况下,进行形式和细节上的各种修改和改变,但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。
Claims (5)
1.一种基于多口令身份鉴别和密钥协商的WLAN接入访问控制方法,其特征在于,是基于多口令身份鉴别和密钥协商的WLAN接入访问控制系统实现的,该系统包括身份配置模块、链路协商模块、多身份鉴别模块和访问控制模块;所述身份配置模块,包括服务配置子模块和口令及权限配置子模块;所述链路协商模块,包括网络发现子模块和终端关联子模块;所述多身份鉴别模块,包括对主密钥计算子模块、密钥协商子模块、对临时密钥计算子模块、身份比较子模块和鉴别确认子模块;所述访问控制模块,包括访问权限确定子模块、访问行为记录子模块和访问权限应用子模块,包括如下步骤:
(1)服务配置子模块配置系统的服务标识符sid:
服务配置子模块为系统配置长度小于32字节的服务标识符sid;
(2)口令及权限配置子模块为请求者配置身份标识符和口令,以及网络访问权限描述符:
口令及权限配置子模块为WLAN覆盖范围内的请求者集合{S}中的每一类请求者Si配置身份标识符idi,以及与idi对应的长度大于8小于64字节的口令ppi和网络访问权限描述符acpi,并将各类请求者的身份标识符组合成身份标识符集合{id},将所有口令组合成口令集合{pp},将所有网络访问权限描述符组合成网络访问权限描述符集合{acp},其中:{S}={S1,S2,...,Si,...,Sm},m表示请求者种类的总数,m≥2;
(3)链路协商模块与请求者交换数据并建立链路:
网络发现子模块向请求者集合{S}广播系统的服务标识符sid和设备标识符ada;终端关联子模块接收{S}中主动申请接入WLAN的请求者Sj发出的Sj的设备标识符ads,并标记请求者Sj的状态为关联;
(4)对主密钥计算子模块计算对主密钥集合{PMK}:
对主密钥计算子模块采用基于口令的密钥生成算法,通过口令集合{pp}中的每一条口令ppi分别与服务标识符sid计算对主密钥PMKi,得到对主密钥集合{PMK};
(5)密钥协商子模块与请求者Sj交换密钥材料,并接收请求者Sj发出的信息完整性校验码MICs:
密钥协商子模块将采用基于哈希的消息认证码算法计算的密钥材料AN发送至请求者Sj,并接收请求者Sj发送的包含密钥材料SN和信息完整性校验码MICs的数据包M2;
(6)对临时密钥计算子模块计算对临时密钥集合{PTK}:
对临时密钥计算子模块采用基于哈希的消息认证码算法,通过对主密钥集合{PMK}中的每一条对主密钥PMKi、密钥材料AN、密钥材料SN、请求者Sj的设备标识符ads和系统的设备标识符ada计算对临时密钥PTKi,得到对临时密钥集合{PTK};
(7)身份比较子模块获取信息完整性校验码集合{MIC}:
身份比较子模块将{PTK}中的每一个对临时密钥PTKi的前128bit的二进制串作为密钥确认密钥KCKi,得到密钥确认密钥集合{KCK},并采用基于哈希的消息认证码算法,通过KCKi和请求者Sj发送的数据包M2计算信息完整性校验码MICi,得到信息完整性校验码集合{MIC};
(8)身份比较子模块确定请求者Sj的身份标识符idsi:
身份比较子模块判断信息完整性校验码集合{MIC}中是否存在与请求者Sj发送的信息完整性校验码MICs相同的信息完整性校验码MICsi,若是,将请求者Sj的身份标记为身份标识符idsi,并执行步骤(9),否则,解除与请求者Sj的关联关系,并执行步骤(3);
(9)鉴别确认子模块向请求者Sj发送鉴别通过数据包M3:
鉴别确认子模块构造包含密钥材料AN和密钥材料SN的数据包M3,并采用基于哈希的消息认证码算法,通过MICsi对应的密钥确认密钥KCKsi与数据包M3计算信息完整性校验码MIC3,并将MIC3添加到数据包M3中后发送给请求者Sj,实现对请求者Sj接入WLAN的控制;
(10)访问控制模块对请求者Sj的网络访问权限进行控制:
(10a)访问权限确定子模块从访问权限描述符集合{acp}中选取与idsi对应的访问权限描述符acpsi;
(10b)访问行为记录子模块记录请求者Sj的访问日志,包括请求者Sj的设备标识符ads、请求者Sj的身份标识符idsi和访问时间,同时访问权限应用子模块依据访问权限描述符acpsi限制请求者Sj的网络访问权限,实现对请求者Sj访问WLAN的控制。
2.根据权利要求1所述的基于多口令身份鉴别和密钥协商的WLAN接入访问控制方法,其特征在于,步骤(4)中所述的基于口令的密钥生成算法,采用PBKDF2算法。
3.根据权利要求1所述的基于多口令身份鉴别和密钥协商的WLAN接入访问控制方法,其特征在于,步骤(5)中所述的基于哈希的消息认证码算法,采用HMAC-SHA-1-256算法。
4.根据权利要求1所述的基于多口令身份鉴别和密钥协商的WLAN接入访问控制方法,其特征在于,步骤(6)中所述的基于哈希的消息认证码算法,采用HMAC-SHA-1-384算法。
5.根据权利要求1所述的基于多口令身份鉴别和密钥协商的WLAN接入访问控制方法,其特征在于,步骤(7)和步骤(9)中所述的基于哈希的消息认证码算法,采用HMAC-SHA-1-128算法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910043594.7A CN109561431B (zh) | 2019-01-17 | 2019-01-17 | 基于多口令身份鉴别的wlan接入访问控制系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910043594.7A CN109561431B (zh) | 2019-01-17 | 2019-01-17 | 基于多口令身份鉴别的wlan接入访问控制系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109561431A CN109561431A (zh) | 2019-04-02 |
CN109561431B true CN109561431B (zh) | 2021-07-27 |
Family
ID=65873064
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910043594.7A Active CN109561431B (zh) | 2019-01-17 | 2019-01-17 | 基于多口令身份鉴别的wlan接入访问控制系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109561431B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109976239B (zh) * | 2019-04-29 | 2020-06-16 | 北京京航计算通讯研究所 | 工控系统终端安全防护系统 |
CN111464509B (zh) * | 2020-03-18 | 2022-02-01 | 珠海市鸿瑞信息技术股份有限公司 | 一种双处理系统用网络安全隔离系统 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101170409B (zh) * | 2006-10-24 | 2010-11-03 | 华为技术有限公司 | 实现设备访问控制的方法、系统、业务设备和认证服务器 |
CN101453394B (zh) * | 2007-12-03 | 2011-06-01 | 华为技术有限公司 | 一种接入控制方法、系统和设备 |
CN101183940A (zh) * | 2007-12-11 | 2008-05-21 | 中兴通讯股份有限公司 | 一种多应用系统对用户身份进行认证的方法 |
CN101631113B (zh) * | 2009-08-19 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种有线局域网的安全访问控制方法及其系统 |
GB2502781B8 (en) * | 2012-06-05 | 2016-09-07 | Global Reach Technology Ltd | Improvements in and relating to authentication |
CN104104654B (zh) * | 2013-04-07 | 2018-02-23 | 阿里巴巴集团控股有限公司 | 一种设置Wifi访问权限、Wifi认证的方法和设备 |
CN105007579B (zh) * | 2014-04-24 | 2019-03-15 | 中国移动通信集团广东有限公司 | 一种无线局域网接入认证方法及终端 |
US9055062B1 (en) * | 2014-08-08 | 2015-06-09 | Google Inc. | Per-user wireless traffic handling |
US10009337B1 (en) * | 2015-06-30 | 2018-06-26 | EMC IP Holding Company LLC | Child tenant revocation in a multiple tenant environment |
CN107182054A (zh) * | 2017-07-07 | 2017-09-19 | 广州视源电子科技股份有限公司 | 无线热点连接控制方法、装置、设备及计算机存储介质 |
CN108601024B (zh) * | 2018-05-10 | 2019-08-30 | 句容沣润塑料制品有限公司 | 一种轻量级身份认证及平台鉴别评估方法 |
-
2019
- 2019-01-17 CN CN201910043594.7A patent/CN109561431B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN109561431A (zh) | 2019-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
US10027664B2 (en) | Secure simple enrollment | |
US11075752B2 (en) | Network authentication method, and related device and system | |
CN105554747B (zh) | 无线网络连接方法、装置及系统 | |
JP4897215B2 (ja) | 通信システムにおけるキー発生方法及び装置 | |
US11044084B2 (en) | Method for unified network and service authentication based on ID-based cryptography | |
KR100704675B1 (ko) | 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법 | |
CN107040922A (zh) | 无线网络连接方法、装置及系统 | |
WO2022127434A1 (zh) | 无线局域网认证方法及装置、电子设备、存储介质 | |
CN108353279B (zh) | 一种认证方法和认证系统 | |
CN109561431B (zh) | 基于多口令身份鉴别的wlan接入访问控制系统及方法 | |
CN111866881A (zh) | 无线局域网认证方法与无线局域网连接方法 | |
US10834063B2 (en) | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel | |
WO2021120503A1 (zh) | 一种基于自组网络通信的产品激活认证方法 | |
WO2022048125A1 (zh) | 信息处理方法、装置、设备及存储介质 | |
KR101431010B1 (ko) | 하드웨어 인증 모듈을 이용한 액세스 포인트 인증 장치 및 방법 | |
KR20130046781A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
CN116028943A (zh) | 一种信息处理方法、设备和计算机可读存储介质 | |
CN117135634A (zh) | 无线网络接入方法、装置、系统、存储介质及电子设备 | |
CN117041965A (zh) | 摄像头的网络连接方法、装置、设备和存储介质 | |
CN117395656A (zh) | 适用于工控领域的wpa3-sae动态密钥系统及方法 | |
KR20130062965A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |