CN104602231B - 一种更新预共享密钥的方法和装置 - Google Patents

一种更新预共享密钥的方法和装置 Download PDF

Info

Publication number
CN104602231B
CN104602231B CN201510069049.7A CN201510069049A CN104602231B CN 104602231 B CN104602231 B CN 104602231B CN 201510069049 A CN201510069049 A CN 201510069049A CN 104602231 B CN104602231 B CN 104602231B
Authority
CN
China
Prior art keywords
character strings
initial
psk
renewal
user equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510069049.7A
Other languages
English (en)
Other versions
CN104602231A (zh
Inventor
傅嘉嘉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN201510069049.7A priority Critical patent/CN104602231B/zh
Publication of CN104602231A publication Critical patent/CN104602231A/zh
Application granted granted Critical
Publication of CN104602231B publication Critical patent/CN104602231B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施方式提出一种更新预共享密钥(PSK)的方法和装置。该方法应用于无线接入点(AP),包括:当用户设备首次关联时,随机生成初始PSK字符串,保存生成初始PSK字符串时的时间戳和初始PSK字符串,并将初始PSK字符串发送到用户设备;接收用户设备发起的再次关联请求,再次关联请求包含第一更新PSK字符串,第一更新PSK字符串是用户设备根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和初始PSK字符串以预定算法确定的;基于生成初始PSK字符串时的时间戳、AP当前时间戳和初始PSK字符串以预定算法计算第二更新PSK字符串,并当第一更新PSK字符串与第二更新PSK字符串相同时,与用户设备相关联。

Description

一种更新预共享密钥的方法和装置
技术领域
本发明实施方式属于网络通信技术领域,特别是一种更新预共享密钥的方法和装置。
背景技术
诸如小型企业网络及公共场所的无线网络通常采用预共享密钥(pre-sharedkey,PSK)对用户进行鉴权和加密。PSK在这种网络中均为公开或半***息。网络攻击者很容易窃取PSK,通过窃取的PSK加入无线网络,监听无线网络并捕获用户的四次握手报文,即可对用户的加密数据进行解密。因此,需要一种方式动态更新PSK。
在现有技术中,网络管理员定期人工更新PSK,并且人工告知用户更新后的PSK密钥,从而增加了运行维护工作量。
而且,现有技术中不同用户共享相同的PSK密钥,无法实现真正的安全隔离。
发明内容
本发明实施方式提出一种更新预共享密钥的方法和装置,从而降低运行维护工作量。
本发明实施方式的技术方案如下:
根据本发明实施方式的一方面,提出一种更新PSK的方法,所述方法应用于无线接入点(AP),该方法包括:
当用户设备首次关联时,随机生成初始PSK字符串,保存生成初始PSK字符串时的时间戳和所述初始PSK字符串,并将所述初始PSK字符串发送到用户设备;
接收用户设备发起的再次关联请求,所述再次关联请求包含第一更新PSK字符串,所述第一更新PSK字符串是用户设备根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和所述初始PSK字符串以预定算法确定的;
基于所述生成初始PSK字符串时的时间戳、AP当前时间戳和所述初始PSK字符串以所述预定算法计算第二更新PSK字符串,并当所述第一更新PSK字符串与第二更新PSK字符串相同时,与所述用户设备相关联。
优选地,所述当用户设备首次关联时,随机生成初始PSK字符串包括:
接收用户设备发起的首次关联请求,重定向到预定Web页面;
接收用户设备通过所述Web页面发起的PSK获取请求,并基于AP当前时间随机生成所述初始PSK字符串。
优选地,所述基于生成初始PSK字符串时的时间戳、AP当前时间戳和所述初始PSK字符串以预定算法计算第二更新PSK字符串包括:
基于AP当前时间戳与生成初始PSK字符串时的时间戳的周数之差确定迭代轮数;
按照所述迭代次数,迭代计算所述初始PSK字符串的MD5摘要,并将所述迭代计算结果确定为所述第二更新PSK字符串。
优选地,该方法进一步包括:
利用计算第二更新PSK字符串时的时间戳更新保存所述生成初始PSK字符串时的时间戳,并利用第二更新PSK字符串更新保存所述初始PSK字符串。
优选地,保存生成初始PSK字符串时的时间戳和所述初始PSK字符串包括:
将所述用户设备的MAC地址,与所述生成初始PSK字符串时的时间戳和所述初始PSK字符串关联保存。
根据本发明实施方式的另一方面,提出一种更新PSK的方法,所述方法应用于用户设备(UE),该方法包括:
当首次关联接入点AP时,从所述AP接收随机生成的初始PSK字符串;
当向AP发出再次关联请求时,根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和所述初始PSK字符串以预定算法确定第一更新PSK字符串,并将所述第一更新PSK字符串携带在所述再次关联请求中;从而由AP基于生成初始PSK字符串时的时间戳、AP当前时间戳和所述初始PSK字符串以所述预定算法计算第二更新PSK字符串,并当所述第一更新PSK字符串与第二更新PSK字符串相同时,与所述AP相关联。
优选地,所述首次关联接入点AP时,从AP接收随机生成的初始PSK字符串包括:
基于默认PSK向AP发送首次关联请求,并被重定向到Web页面;
通过所述Web页面发起PSK获取请求,并从AP接收基于AP当前时间随机生成的初始PSK字符串。
优选地,所述根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和所述初始PSK字符串以预定算法确定第一更新PSK字符串包括:
基于用户设备当前时间戳与接收到初始PSK字符串时的时间戳的周数之差确定迭代轮数;
按照所述迭代次数,迭代计算所述初始PSK字符串的MD5摘要,并将所述迭代计算结果确定为所述第一更新PSK字符串。
优选地,该方法进一步包括:
利用计算第一更新PSK字符串时的时间戳更新保存接收到初始PSK字符串时的时间戳,并利用第一更新PSK字符串更新保存所述初始PSK字符串。
根据本发明实施方式的一方面,提出一种更新PSK的装置,所述方法应用于无线接入点(AP),该装置包括:
初始PSK发送模块,用于当用户设备首次关联时,随机生成初始PSK字符串,保存生成初始PSK字符串时的时间戳和所述初始PSK字符串,并将所述初始PSK字符串发送到用户设备;
接收模块,用于接收用户设备发起的再次关联请求,所述再次关联请求包含第一更新PSK字符串,所述第一更新PSK字符串是用户设备根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和所述初始PSK字符串以预定算法确定的;
关联模块,用于基于所述生成初始PSK字符串时的时间戳、AP当前时间戳和所述初始PSK字符串以所述预定算法计算第二更新PSK字符串,并当所述第一更新PSK字符串与第二更新PSK字符串相同时,与所述用户设备相关联。
优选地,初始PSK发送模块,用于接收用户设备发起的首次关联请求,重定向到预定Web页面;接收用户设备通过所述Web页面发起的PSK获取请求,并基于AP当前时间随机生成所述初始PSK字符串。
优选地,关联模块,用于基于AP当前时间戳与生成初始PSK字符串时的时间戳的周数之差确定迭代轮数;按照所述迭代次数,迭代计算所述初始PSK字符串的MD5摘要,并将所述迭代计算结果确定为所述第二更新PSK字符串。
优选地,进一步包括:
更新模块,用于利用计算第二更新PSK字符串时的时间戳更新保存所述生成初始PSK字符串时的时间戳,并利用第二更新PSK字符串更新保存所述初始PSK字符串。
优选地,初始PSK发送模块,用于将所述用户设备的MAC地址,与所述生成初始PSK字符串时的时间戳和所述初始PSK字符串关联保存。
根据本发明实施方式的一方面,提出一种更新PSK的装置,所述装置应用于用户设备(UE),该装置包括:
接收模块,用于当首次关联接入点AP时,从所述AP接收随机生成的初始PSK字符串;
更新模块,用于当向AP发出再次关联请求时,根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和所述初始PSK字符串以预定算法确定第一更新PSK字符串,并将所述第一更新PSK字符串携带在所述再次关联请求中;从而由AP基于所述生成初始PSK字符串时的时间戳、AP当前时间戳和所述初始PSK字符串以所述预定算法计算第二更新PSK字符串,并当所述第一更新PSK字符串与第二更新PSK字符串相同时,与所述AP相关联。
优选地,接收模块,用于基于默认PSK向AP发送首次关联请求,并被重定向到Web页面;通过所述Web页面发起PSK获取请求,并从AP接收基于当前时间随机生成的初始PSK字符串。
优选地,更新模块,用于基于用户设备当前时间戳与接收到初始PSK字符串时的时间戳的周数之差确定迭代轮数;按照所述迭代次数,迭代计算所述初始PSK字符串的MD5摘要,并将所述迭代计算结果确定为所述第一更新PSK字符串。
在本发明实施方式中,在用户登录时动态更新PSK,无需再人工告知用户更新后的PSK密钥,从而降低运行维护工作量。而且,本发明实施方式中每个用户都可以有不同的PSK,避免攻击者利用相同PSK窃听用户信息。另外,本发明实施方式可以基于用户登录时间以及上一次PSK迭代更新PSK,从而提高无线网络安全性。
附图说明
图1为根据本发明在AP侧更新PSK的方法流程图;
图2为根据本发明在用户设备侧更新PSK的方法流程图;
图3为根据本发明更新PSK的示范性方法流程图;
图4为根据本发明在AP侧更新PSK的装置结构图;
图5为根据本发明在用户设备侧更新PSK的装置结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
在本发明实施方式中,在用户登录时动态更新PSK,无需再人工告知用户更新后的PSK密钥,从而降低运行维护工作量。而且,本发明实施方式中每个用户都可以有不同的PSK,避免攻击者利用相同PSK窃听用户信息。另外,本发明实施方式可以基于用户登录时间以及上一次PSK迭代更新PSK,从而提高无线网络安全性。
本发明实施方式提出了一种在接入点(AP)侧更新PSK的方法。
图1为根据本发明在AP侧更新PSK的方法流程图,该方法应用于AP。
如图1所示,该方法包括:
步骤101:当用户设备首次关联时,随机生成初始PSK字符串,保存生成初始PSK字符串时的时间戳和初始PSK字符串,并将初始PSK字符串发送到用户设备。
在这里,当用户设备首次发起关联请求时,AP可以基于各种伪随机数生成算法随机生成初始PSK字符串。比如,AP可以采用直接法(Direct Method)、逆转法(InversionMethod、接受拒绝法(Acceptance-Rejection Method)等方式随机生成初始PSK字符串。
在一个实施方式中,AP接收用户设备发起的首次关联请求,重定向到预定Web页面;接收用户设备通过Web页面发起的PSK获取请求,并基于AP当前时间随机生成初始PSK字符串。
以上详细描述了AP随机生成初始PSK字符串的典型实例,本发明技术人员可以意识到,这种描述仅是示范性的,并不用于对本发明实施方式的保护范围构成限定。
具体地,生成初始PSK字符串时的时间戳为AP侧在生成初始PSK字符串时的***时间信息。AP在本地保存生成初始PSK字符串时的时间戳和初始PSK字符串,并将初始PSK字符串发送到用户设备。
在一个实施方式中,AP将用户设备的MAC地址,与生成初始PSK字符串时的时间戳和初始PSK字符串关联保存。
用户设备接收到初始PSK字符串之后,可以基于初始PSK字符串与AP四次握手,从而建立关联。
步骤102:接收用户设备发起的再次关联请求,再次关联请求包含第一更新PSK字符串,第一更新PSK字符串是用户设备根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和初始PSK字符串以预定算法确定的。
当用户设备利用初始PSK字符串与AP建立的关联过期之后,用户设备再次向AP设备发起关联请求,该关联请求包含第一更新PSK字符串,而且第一更新PSK字符串是用户设备根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和初始PSK字符串以预定算法确定的。
在一个实施方式中,用户设备基于用户设备当前时间戳与接收到初始PSK字符串时的时间戳的周数之差确定迭代轮数;按照迭代次数,迭代计算初始PSK字符串的MD5摘要,并将迭代计算结果确定为第一更新PSK字符串。
步骤103:基于生成初始PSK字符串时的时间戳、AP当前时间戳和初始PSK字符串以该预定算法计算第二更新PSK字符串,并当第一更新PSK字符串与第二更新PSK字符串相同时,与所述用户设备相关联。
在一个实施方式中,AP基于AP当前时间戳与生成初始PSK字符串时的时间戳的周数之差确定迭代轮数;按照迭代次数,迭代计算初始PSK字符串的MD5摘要,并将迭代计算结果确定为第二更新PSK字符串。
AP生成初始PSK字符串并发送到用户设备的时间可以忽略不计,AP生成初始PSK字符串的时间戳与用户设备接收到初始PSK字符串时的时间戳在天数和/或周数上实质相同。用户设备在计算第一更新PSK字符串时,将接收到初始PSK字符串时的时间戳转换为天数或周数,而且AP在计算第二更新PSK字符串时将生成初始PSK字符串时的时间戳转换为天数或周数。由于用户设备和AP所换算出的天数或周数相同,因此用户设备所计算出的第一更新PSK字符串和AP第二更新PSK字符串可以保持相同。
在一个实施方式中,该方法进一步包括:
利用计算第二更新PSK字符串时的时间戳更新保存生成初始PSK字符串时的时间戳,并利用第二更新PSK字符串更新保存初始PSK字符串。
基于上述说明,本发明还提出了一种在用户设备侧更新PSK的方法。
图2为根据本发明在用户设备侧更新PSK的方法流程图,该方法应用于用户设备。
如图2所示,该方法包括:
步骤201:当首次关联接入点AP时,从AP接收随机生成的初始PSK字符串;
步骤202:当向AP发出再次关联请求时,根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和初始PSK字符串以预定算法确定第一更新PSK字符串,并将第一更新PSK字符串携带在再次关联请求中;从而由AP基于生成初始PSK字符串时的时间戳、AP当前时间戳和初始PSK字符串以预定算法计算第二更新PSK字符串,并当第一更新PSK字符串与第二更新PSK字符串相同时,与所述AP相关联。
在一个实施方式中,首次关联接入点AP时,从AP接收随机生成的初始PSK字符串包括:基于默认PSK向AP发送首次关联请求,并被重定向到Web页面;通过Web页面发起PSK获取请求,并从AP接收基于AP当前时间随机生成的初始PSK字符串。
在一个实施方式中,根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和初始PSK字符串以预定算法确定第一更新PSK字符串包括:基于用户设备当前时间戳与接收到初始PSK字符串时的时间戳的周数之差确定迭代轮数;按照所述迭代次数,迭代计算初始PSK字符串的MD5摘要,并将所述迭代计算结果确定为所述第一更新PSK字符串。
在一个实施方式中,该方法进一步包括:
利用计算第一更新PSK字符串时的时间戳更新保存接收到初始PSK字符串时的时间戳,并利用第一更新PSK字符串更新保存初始PSK字符串。
图3为根据本发明更新PSK的示范性方法流程图。
如图3所示,该方法包括:
步骤301:用户设备基于默认PSK向AP发送首次关联请求。
步骤302:AP对于尝试首次关联的用户设备,使用默认PSK进行四次握手,并使用户设备关联。而且,AP记录用户设备的MAC地址,并标识该MAC地址所对应的用户设备为默认PSK用户,对其限制访问权限,仅允许用户设备访问AP的Web页面,将用户设备的所有HTTP请求均重定向到AP的Web页面上,并在该Web页面上向用户设备推送当前状态为“初始化密码”的触发控件。
步骤303:用户设备打开Web页面,触发Web页面上的“密码初始化”触发控件以与AP的Web服务器建立HTTPS连接,基于该HTTPS连接发送PSK初始化请求,以向AP请求初始化PSK。
步骤304:AP基于当前的本地***时间UTC(YYYYMMDD)为该用户设备随机生成初始PSK。而且,AP获取生成初始PSK字符串时的时间戳(优选为当前的本地***时间),并将生成初始PSK字符串时的时间戳换算为本年度的周数(YYYYWW)。
步骤305:AP将所换算的本年度的周数、初始PSK字符串与用户设备的MAC地址相关联记录在本地,并通过HTTPS连接将初始PSK字符串发送到用户设备。
步骤306:用户设备将接收到初始PSK字符串时的时间戳换算为本年度的周数(YYYYWW),而且在本地记录接收到的初始PSK字符串以及用户设备基于接收到初始PSK字符串时的时间戳所换算的周数。同时,在用户设备的界面上向用户显示初始PSK字符串,从而用户设备可以利用初始PSK字符串与AP四次握手以关联AP。此后,用户设备可以获取AP的完全访问权限。
步骤307:当用户设备利用初始PSK字符串与AP建立的关联过期之后,用户设备再次向AP设备发起关联请求,该关联请求包含第一更新PSK字符串,而且第一更新PSK字符串是用户设备根据用户设备基于接收到初始PSK字符串时的时间戳所换算的周数、用户设备当前时间戳所换算的周数和用户设备本地保存的初始PSK字符串以预定算法确定的。
举例,用户设备可以通过各种迭代算法计算第一更新PSK(PSKthisweek)。比如,用户设备以本地所保存的PSK(PSKold)作为原始的输入参数,计算下一轮PSK,并将计算出的PSK作为更新后的输入参数,再继续计算PSK,从而实现迭代计算;其中迭代轮次由用户设备的当前时间戳所换算的周数与用户设备将接收到初始PSK字符串时的时间戳所换算的周数之差所确定。
比如,迭代算法为CalculatePSK(),计算PSKthisweek的公式为:
PSKthisweek=CalculatePSK(PSKold);
举例说明:
假定用户设备与AP上一次关联时的PSK为PSKold,而且本次关联距离上一次关联有三周时间,即用户设备当前时间戳所换算的周数与用户设备将接收到初始PSK字符串时的时间戳所换算的周数的周数之差为3,即迭代轮次为3。
用户设备执行第一轮迭代:计算MD(PSKold);
用户设备执行第二轮迭代:计算:MD(MD(PSKold));
用户设备执行第三轮迭代:计算:MD(MD(MD(PSKold)))。
那么,第一更新PSK即为MD(MD(MD(PSKold)))。而且,在用户设备本地利用MD(MD(MD(PSKold)))更新PSKold
步骤308:用户设备基于第一更新PSK字符串向AP发送关联请求。
步骤309:AP利用在AP本地保存的初始PSK字符串、在AP本地保存的由生成初始PSK字符串时的时间戳所换算的周数和AP的当前时间戳所换算的周数计算第二更新PSK字符串。具体地,AP基于与用户设备相同的迭代算法计算第二更新PSK字符串。AP侧在每次用户重新关联时,若发现用户设备MAC地址为记录MAC地址,则实时计算该用户设备对应的第二更新PSK字符串。
承接上例,本次关联距离上一次关联有三周时间,即AP当前时间戳所换算的周数与AP将生成初始PSK字符串时的时间戳所换算的周数的周数之差为3,即迭代轮次为3,而且在AP本地保存有PSKold
AP执行第一轮迭代:计算MD(PSKold);
AP执行第二轮迭代:计算:MD(MD(PSKold));
AP执行第三轮迭代:计算:MD(MD(MD(PSKold)))。
那么,第二更新PSK即为MD(MD(MD(PSKold)))。而且,在AP本地利用MD(MD(MD(PSKold)))更新PSKold
步骤310:当第一更新PSK字符串与第二更新PSK字符串相同时,AP与用户设备通过该相同的PSK进行校验和握手,从而再次建立关联。
在本发明实施方式中,为支持用户由于重装而PSK遗失等情形,针对记录了MAC地址的用户且第一次四次握手校验失败时,AP在第二次用户重关联并进行四次握手校验时使用缺省PSK进行校验。若通过,则参照步骤303要求用户初始化用户PSK。
为了避免AP断电导致用户信息的丢失,AP可以将用户设备的MAC地址、生成初始PSK时的时间戳和初始PSK字符串加密后关联保存在本地Flash中。为了避免频繁操作Flash,此操作可以在公共场所的网络中关闭。
通过本发明实施方式,可以唯一获得基于绝对时间的动态PSK,并且此密钥更新过程不需要交互,确保不被监听。
基于上述分析,本发明实施方式还提出了一种在AP侧更新PSK的装置。
图4为根据本发明在AP侧更新PSK的装置结构图,该装置适用于AP。
如图4所示,该装置包括:
初始PSK发送模块401,用于当用户设备首次关联时,随机生成初始PSK字符串,保存生成初始PSK字符串时的时间戳和所述初始PSK字符串,并将所述初始PSK字符串发送到用户设备;
接收模块402,用于接收用户设备发起的再次关联请求,所述再次关联请求包含第一更新PSK字符串,所述第一更新PSK字符串是用户设备根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和所述初始PSK字符串以预定算法确定的;
关联模块403,用于基于所述生成初始PSK字符串时的时间戳、AP当前时间戳和所述初始PSK字符串以该预定算法计算第二更新PSK字符串,并当所述第一更新PSK字符串与第二更新PSK字符串相同时,与所述用户设备相关联。
在一个实施方式中:
初始PSK发送模块401,用于接收用户设备发起的首次关联请求,重定向到预定Web页面;接收用户设备通过Web页面发起的PSK获取请求,并基于AP当前时间随机生成初始PSK字符串。
在一个实施方式中:
关联模块403,用于基于AP当前时间戳与生成初始PSK字符串时的时间戳的周数之差确定迭代轮数;按照迭代次数,迭代计算初始PSK字符串的MD5摘要,并将迭代计算结果确定为第二更新PSK字符串。
在一个实施方式中,进一步包括:
更新模块404,用于利用计算第二更新PSK字符串时的时间戳更新保存生成初始PSK字符串时的时间戳,并利用第二更新PSK字符串更新保存初始PSK字符串。
在一个实施方式中:
初始PSK发送模块401,用于将用户设备的MAC地址,与生成初始PSK字符串时的时间戳和初始PSK字符串关联保存。
基于上述详细分析,本发明实施方式还提出了一种在用户设备侧更新PSK的装置。
图5为根据本发明在用户设备侧更新PSK的装置结构图,该装置应用于用户设备。
如图5所示,该装置500包括:
接收模块501,用于当首次关联接入点AP时,从所述AP接收随机生成的初始PSK字符串;
更新模块502,用于当向AP发出再次关联请求时,根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和初始PSK字符串以预定算法确定第一更新PSK字符串,并将第一更新PSK字符串携带在再次关联请求中;从而由AP基于生成初始PSK字符串时的时间戳、AP当前时间戳和初始PSK字符串以该预定算法计算第二更新PSK字符串,并当第一更新PSK字符串与第二更新PSK字符串相同时,与AP相关联。
在一个实施方式中:
接收模块501,用于基于默认PSK向AP发送首次关联请求,并被重定向到Web页面;通过Web页面发起PSK获取请求,并从AP接收基于当前时间随机生成的初始PSK字符串。
在一个实施方式中:
更新模块502,用于基于用户设备当前时间戳与接收到初始PSK字符串时的时间戳的周数之差确定迭代轮数;按照迭代次数,迭代计算初始PSK字符串的MD5摘要,并将迭代计算结果确定为所述第一更新PSK字符串。
综上所述,在本发明实施方式中,在用户登录时动态更新PSK,无需再人工告知用户更新后的PSK密钥,从而降低运行维护工作量。而且,本发明实施方式中每个用户都可以有不同的PSK,避免攻击者利用相同PSK窃听用户信息。另外,本发明实施方式可以基于用户登录时间以及上一次PSK迭代更新PSK,从而提高无线网络安全性。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (17)

1.一种更新预共享密钥PSK的方法,其特征在于,所述方法应用于无线接入点AP,该方法包括:
当用户设备首次关联时,随机生成初始PSK字符串,保存生成初始PSK字符串时的时间戳和所述初始PSK字符串,并将所述初始PSK字符串发送到用户设备;
接收用户设备发起的再次关联请求,所述再次关联请求包含第一更新PSK字符串,所述第一更新PSK字符串是用户设备根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和所述初始PSK字符串以预定算法确定的;
基于所述生成初始PSK字符串时的时间戳、AP当前时间戳和所述初始PSK字符串以所述预定算法计算第二更新PSK字符串,并当所述第一更新PSK字符串与第二更新PSK字符串相同时,与所述用户设备相关联。
2.根据权利要求1所述的方法,其特征在于,所述当用户设备首次关联时,随机生成初始PSK字符串包括:
接收用户设备发起的首次关联请求,重定向到预定Web页面;
接收用户设备通过所述Web页面发起的PSK获取请求,并基于AP当前时间随机生成所述初始PSK字符串。
3.根据权利要求1所述的方法,其特征在于,所述基于生成初始PSK字符串时的时间戳、AP当前时间戳和所述初始PSK字符串以预定算法计算第二更新PSK字符串包括:
基于AP当前时间戳与生成初始PSK字符串时的时间戳的周数之差确定迭代轮数;
按照所述迭代次数,迭代计算所述初始PSK字符串的MD5摘要,并将迭代计算出的MD5摘要确定为所述第二更新PSK字符串。
4.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
利用计算第二更新PSK字符串时的时间戳更新保存所述生成初始PSK字符串时的时间戳,并利用第二更新PSK字符串更新保存所述初始PSK字符串。
5.根据权利要求1所述的方法,其特征在于,所述保存生成初始PSK字符串时的时间戳和所述初始PSK字符串包括:
将所述用户设备的MAC地址,与所述生成初始PSK字符串时的时间戳和所述初始PSK字符串关联保存。
6.一种更新预共享密钥PSK的方法,其特征在于,所述方法应用于用户设备,该方法包括:
当首次关联接入点AP时,从所述AP接收随机生成的初始PSK字符串;
当向AP发出再次关联请求时,根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和所述初始PSK字符串以预定算法确定第一更新PSK字符串,并将所述第一更新PSK字符串携带在所述再次关联请求中;从而由AP基于生成初始PSK字符串时的时间戳、AP当前时间戳和所述初始PSK字符串以所述预定算法计算第二更新PSK字符串,并当所述第一更新PSK字符串与第二更新PSK字符串相同时,与所述AP相关联。
7.根据权利要求6所述的方法,其特征在于,所述首次关联接入点AP时,从AP接收随机生成的初始PSK字符串包括:
基于默认PSK向AP发送首次关联请求,并被重定向到Web页面;
通过所述Web页面发起PSK获取请求,并从AP接收基于AP当前时间随机生成的初始PSK字符串。
8.根据权利要求6所述的方法,其特征在于,所述根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和所述初始PSK字符串以预定算法确定第一更新PSK字符串包括:
基于用户设备当前时间戳与接收到初始PSK字符串时的时间戳的周数之差确定迭代轮数;
按照所述迭代次数,迭代计算所述初始PSK字符串的MD5摘要,并将迭代计算出的MD5摘要确定为所述第一更新PSK字符串。
9.根据权利要求6所述的方法,其特征在于,该方法进一步包括:
利用计算第一更新PSK字符串时的时间戳更新保存所述接收到初始PSK字符串时的时间戳,并利用第一更新PSK字符串更新保存所述初始PSK字符串。
10.一种更新预共享密钥PSK的装置,其特征在于,所述装置应用于无线接入点AP,该装置包括:
初始PSK发送模块,用于当用户设备首次关联时,随机生成初始PSK字符串,保存生成初始PSK字符串时的时间戳和所述初始PSK字符串,并将所述初始PSK字符串发送到用户设备;
接收模块,用于接收用户设备发起的再次关联请求,所述再次关联请求包含第一更新PSK字符串,所述第一更新PSK字符串是用户设备根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和所述初始PSK字符串以预定算法确定的;
关联模块,用于基于所述生成初始PSK字符串时的时间戳、AP当前时间戳和所述初始PSK字符串以所述预定算法计算第二更新PSK字符串,并当所述第一更新PSK字符串与第二更新PSK字符串相同时,与所述用户设备相关联。
11.根据权利要求10所述的装置,其特征在于,
初始PSK发送模块,用于接收用户设备发起的首次关联请求,重定向到预定Web页面;接收用户设备通过所述Web页面发起的PSK获取请求,并基于AP当前时间随机生成所述初始PSK字符串。
12.根据权利要求10所述的装置,其特征在于,
关联模块,用于基于AP当前时间戳与生成初始PSK字符串时的时间戳的周数之差确定迭代轮数;按照所述迭代次数,迭代计算所述初始PSK字符串的MD5摘要,并将迭代计算出的MD5摘要确定为所述第二更新PSK字符串。
13.根据权利要求10所述的装置,其特征在于,进一步包括:
更新模块,用于利用计算第二更新PSK字符串时的时间戳更新保存所述生成初始PSK字符串时的时间戳,并利用第二更新PSK字符串更新保存所述初始PSK字符串。
14.根据权利要求10所述的装置,其特征在于,
初始PSK发送模块,用于将所述用户设备的MAC地址,与所述生成初始PSK字符串时的时间戳和所述初始PSK字符串关联保存。
15.一种更新预共享密钥PSK的装置,其特征在于,所述装置应用于用户设备,该装置包括:
接收模块,用于当首次关联接入点AP时,从所述AP接收随机生成的初始PSK字符串;
更新模块,用于当向AP发出再次关联请求时,根据接收到初始PSK字符串时的时间戳、用户设备当前时间戳和所述初始PSK字符串以预定算法确定第一更新PSK字符串,并将所述第一更新PSK字符串携带在所述再次关联请求中;从而由AP基于生成初始PSK字符串时的时间戳、AP当前时间戳和所述初始PSK字符串以所述预定算法计算第二更新PSK字符串,并当所述第一更新PSK字符串与第二更新PSK字符串相同时,与所述AP相关联。
16.根据权利要求15所述的装置,其特征在于,
接收模块,用于基于默认PSK向AP发送首次关联请求,并被重定向到Web页面;通过所述Web页面发起PSK获取请求,并从AP接收基于当前时间随机生成的初始PSK字符串。
17.根据权利要求15所述的装置,其特征在于,
更新模块,用于基于用户设备当前时间戳与接收到初始PSK字符串时的时间戳的周数之差确定迭代轮数;按照所述迭代次数,迭代计算所述初始PSK字符串的MD5摘要,并将迭代计算出的MD5摘要确定为所述第一更新PSK字符串。
CN201510069049.7A 2015-02-10 2015-02-10 一种更新预共享密钥的方法和装置 Active CN104602231B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510069049.7A CN104602231B (zh) 2015-02-10 2015-02-10 一种更新预共享密钥的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510069049.7A CN104602231B (zh) 2015-02-10 2015-02-10 一种更新预共享密钥的方法和装置

Publications (2)

Publication Number Publication Date
CN104602231A CN104602231A (zh) 2015-05-06
CN104602231B true CN104602231B (zh) 2018-04-20

Family

ID=53127647

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510069049.7A Active CN104602231B (zh) 2015-02-10 2015-02-10 一种更新预共享密钥的方法和装置

Country Status (1)

Country Link
CN (1) CN104602231B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3174326B1 (en) * 2015-11-26 2019-11-06 ALSTOM Transport Technologies Method for providing a wireless user station for access to a telecommunication network through a network wireless access point, associated network wireless access point and wireless user station
EP3276875B1 (en) * 2016-07-29 2020-02-19 Nxp B.V. Method and apparatus for updating an encryption key
CN114694279A (zh) * 2020-12-28 2022-07-01 深圳Tcl新技术有限公司 离线密码的获取方法、计算机可读存储介质及终端设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080123852A1 (en) * 2006-11-28 2008-05-29 Jianping Jiang Method and system for managing a wireless network
CN101399661A (zh) * 2007-09-27 2009-04-01 华为技术有限公司 一种组密钥管理中的合法邻居认证方法和装置
CN101521882B (zh) * 2009-03-24 2014-03-12 中兴通讯股份有限公司南京分公司 一种预共享密钥的更新方法及***
JP2013106091A (ja) * 2011-11-10 2013-05-30 Toshiba Mitsubishi-Electric Industrial System Corp 事前共有鍵の更新システム
CN103987037A (zh) * 2014-05-28 2014-08-13 大唐移动通信设备有限公司 一种保密通信实现方法及装置

Also Published As

Publication number Publication date
CN104602231A (zh) 2015-05-06

Similar Documents

Publication Publication Date Title
CN106656476B (zh) 一种密码保护方法、装置及计算机可读存储介质
EP2634956B1 (en) Communicating an identity to a server
EP2950506B1 (en) Method and system for establishing a secure communication channel
EP3605942B1 (en) Key agreement for wireless communication
CN103795798B (zh) 一种手机考勤方法
CN106130716B (zh) 基于认证信息的密钥交换***及方法
EP2634954B1 (en) Identity of a group shared secret
CN104754581B (zh) 一种基于公钥密码体制的lte无线网络的安全认证方法
CN107404461A (zh) 数据安全传输方法、客户端及服务端方法、装置及***
CN104023013A (zh) 数据传输方法、服务端和客户端
CN104038934B (zh) Lte核心网实时信令监测的非接入层解密方法
CN105721153B (zh) 基于认证信息的密钥交换***及方法
CN103987037A (zh) 一种保密通信实现方法及装置
CN102625995A (zh) 无线网络中的伽罗瓦/计数器模式加密
CN108683510A (zh) 一种加密传输的用户身份更新方法
CN102348205A (zh) 中继装置、无线通信装置、网络***及其控制方法
CN111404664B (zh) 基于秘密共享和多个移动设备的量子保密通信身份认证***和方法
CN100488281C (zh) 一种目标基站获取鉴权密钥上下文信息的方法
CN105610848A (zh) 具备源数据安全保障机制的集中式数据保全方法及***
CN103313242A (zh) 密钥的验证方法及装置
CN103188229A (zh) 用于安全内容访问的方法和设备
CN104602231B (zh) 一种更新预共享密钥的方法和装置
CN107295508A (zh) 一种lte网络实体认证和密钥更新方法
Hwang et al. On the security of an enhanced UMTS authentication and key agreement protocol
CN111416712A (zh) 基于多个移动设备的量子保密通信身份认证***及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: Xinhua three Technology Co., Ltd.

Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant before: Huasan Communication Technology Co., Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant