CN105245532B - 基于nfc认证的wlan接入方法 - Google Patents

基于nfc认证的wlan接入方法 Download PDF

Info

Publication number
CN105245532B
CN105245532B CN201510694374.2A CN201510694374A CN105245532B CN 105245532 B CN105245532 B CN 105245532B CN 201510694374 A CN201510694374 A CN 201510694374A CN 105245532 B CN105245532 B CN 105245532B
Authority
CN
China
Prior art keywords
key
promoter
target
random
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510694374.2A
Other languages
English (en)
Other versions
CN105245532A (zh
Inventor
孙山林
陈庞森
李云
周卓伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guilin University of Aerospace Technology
Original Assignee
Guilin University of Aerospace Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guilin University of Aerospace Technology filed Critical Guilin University of Aerospace Technology
Priority to CN201510694374.2A priority Critical patent/CN105245532B/zh
Publication of CN105245532A publication Critical patent/CN105245532A/zh
Application granted granted Critical
Publication of CN105245532B publication Critical patent/CN105245532B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了基于NFC认证的WLAN接入方法,其特征是,包括如下步骤:1)生成签名密钥对;2)建立安全通信隧道;3)进行身份验证;4)实现一次一密;5)进行WAP/WAP2接入。这种方法在进行WLAN接入时,做到了每个用户每一次接入所用PSK都是随机产生,也就是一次一密,这样可以很好的抵抗非法接入和窃听等攻击。

Description

基于NFC认证的WLAN接入方法
技术领域
本发明属于无线局域网(Wireless Local Area Networks,简称WLAN)安全技术领域,具体是基于近场通信(Near Field Communication,简称NFC)认证的WLAN接入方法。
背景技术
随着物联网技术的广泛发展,WLAN得到了广泛的应用,而基于射频识别(RadioFrequency Identification,简称RFID)的NFC也逐步发展了起来。然而,WLAN却存在众多安全性问题,NFC虽然已经发展成熟,但安全性问题依旧不完善。从本世纪初开始,WLAN得到了愈加广泛的应用。从实验室走向民用,各种加密体制从没有到完善,认证协议和加密协议变得愈加复杂,也因此能够抵抗越来越多类型的攻击。在协议变得越发复杂的同时,配置难度也出现了急剧的增加,Wi-Fi联盟为此开发了简化配置的协议Wi-Fi受保护配置(Wi-FiProtected Setup,简称WPS)。然而简化配置的协议却存在各式各样的协议漏洞,尽管很多人针对WPS的协议漏洞提出了改进方案,却始终无法解决密钥更新的问题,更无法做到一次一密性。在简化配置的基础上提升安全性能,成为了目前WLAN应用中非常迫切的需求。
目前主流的WLAN简化配置协议是基于WPS技术的密码串认证(PIN认证)和按钮认证(PBC认证)。但PIN认证模式存在巨大的问题,其一是协议漏洞导致有效密钥长度缩短,使非法用户可以在不超过11000次枚举内暴力破解,并且,基于这种破解方法,衍生了并行化的加速方法,使得PIN认证濒临崩溃;更糟糕的是,PIN认证模式只是使用一种明文密码传播方式取代了另一种明文密码传播方式,并不能解决密码传播中的保密问题,更无法做到一次一密。而PBC认证因为人员流动原因,使得非合法人员很容易接触到PCB认证按钮,从而完成非法接入。
Wi-Fi网络安全接入(Wi-Fi Protected Access,简称WPA)认证中的“密码”——预共享密钥(Pre-Shared Key,简称PSK)通常是8位以上的字母、数字、特殊字符组合,靠人工记忆传递,这使得密码很容易被泄露,从而导致非法接入的发生。
我国曾经提出过WLAN鉴别和保密基础结构(WLAN Authentication and PrivacyInfrastructure,简称WAPI)加密体制。通过椭圆曲线加密和公开密码体制的办法,实现了很高的安全性。但遗憾的是,WAPI设备在接入点端的成本过高,与当下主导的Wi-Fi体制并不能很好的兼容。并且,WAPI-PSK模式也没有解决PSK需要由人工进行传递的问题。
发明内容
本发明的目的是针对现有技术的不足,而提供基于NFC认证的WLAN接入方法。这种方法能够在使用近场通信点对点技术进行无线局域网接入时实现每一个用户每一次接入所使用的PSK都随机生成,有效的抵抗WLAN接入时产生的非法接入攻击和窃听攻击。
实现本发明内容的技术方案是:
基于NFC认证的WLAN接入方法,包括如下步骤:
1)生成签名密钥对:用椭圆曲线加密算法生成签名密钥对,公钥储存在接入点设备AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:利用迪菲赫尔曼密钥交换算法(Diffie–Hellman keyexchange,简称DH)得到只有双方共知的因子K;根据安全散列算法利用因子K得到对称密钥AES;
3)进行身份验证:用步骤1)中得到的签名密钥对对对称密钥AES及用户身份进行验证;
4)实现一次一密:接入设备AP随机生成包含PSK和扩展服务集标识(ExtendedService Set Identifier,简称ESSID)的配置信息,记作NPSK(New Pre-Shared Key,简称NPSK),利用步骤2)中的对称密钥AES对NPSK进行加密得到加密后的预共享密钥CPSK,并传输给用户设备,用户设备对CPSK进行解密;
5)进行WAP/WAP2接入。
所述的ESSID和PSK为随机生成。
所述的实现一次一密为NFC在点对点模式下进行。
用户的WLAN设备和NFC发起者在同一设备上,目标方与WLAN接入点在同一设备上,具体连接方式无要求。
用户设备和AP都工作在NFC的点对点模式下。
迪菲赫尔曼密钥交换算法时的信息交互可以由任何一方开始。
这种方法在进行WLAN接入时,做到了每个用户每一次接入所用PSK都是随机产生,也就是一次一密,这样可以很好地抵抗非法接入和窃听等攻击。
附图说明
图1为实施例中方法流程示意图;
图2为实施例中方法的时序图示意。
具体实施方式
下面结合附图和实施例对本发明内容进行阐述,但不是对本发明的限定。
实施例:
参照图1,基于NFC认证的WLAN接入方法,包括如下步骤:
1)生成签名密钥对:用椭圆曲线加密算法生成签名密钥对,公钥储存在接入点设备AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K;根据安全散列算法利用因子K得到对称密钥AES;
3)进行身份验证:用步骤1)中得到的签名密钥对对对称密钥AES及用户身份进行验证;
4)实现一次一密:接入设备AP随机生成包含PSK和扩展服务集标识(ExtendedService Set Identifier,简称ESSID)的配置信息,记作NPSK(New Pre-Shared Key,简称NPSK),利用步骤2)中的对称密钥AES对NPSK进行加密得到加密后的预共享密钥CPSK,并传输给用户设备,用户设备对CPSK进行解密;
5)进行传统WAP/WAP2接入。
所述的ESSID和PSK为随机生成。
所述的实现一次一密为NFC在点对点模式下进行。
具体地,参照图2,基于NFC认证的WLAN接入方法,包括如下步骤:
1)生成签名密钥对:私钥(PrivKey)和公钥(PubKey)是由椭圆曲线加密算法生成的签名密钥对,用户使用自身设备或公司通过的电脑利用椭圆曲线加密算法生成签名密钥对,并将公钥储存在AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:
利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K;
用户持设备,以发起者角色与认证方目标建立NFC会话,在此过程中,目标将随机生成的NFCID3发送给发起者;
发起者随机生成大素数a、p,依照公式(1)计算A,并将A,p发送至目标;
A=2a mod p (1)
目标随机生成大素数b,依照公式(2)计算B,并将B发送至发起者;
B=2b mod p (2)
目标与发起者分别按照公式(3)与公式(4)计算各自生成K;
K=Ab mod p (3)
K=Ba mod p (4)
根据安全散列算法利用因子K得到对称密钥AES;
发起者随机生成随机数(INonce)并发送至目标;
目标随机生成随机数(TNonce)并发送至发起者;
发起者与目标各自按照公式(5)各自生成用于AES加密的256位对称密钥KEY,
KEY=SHA 2(INonce:NFCID3:K:TNonce) (5)
式中,SHA为安全哈希算法(Secure Hash Algorithm,简称SHA);
3)进行身份验证:用椭圆曲线加密算法签名密钥对对对称密钥AES及用户身份进行验证;
发起者用自身的私钥(PrivKey)对KEY进行签名,生成签名结果sig;
发起者发送sig至目标;
目标使用用户事先申请上网时存储的公钥(PubKey),验证KEY的签名sig,此时NFC认证已经完成;
4)实现一次一密:NFC点对点模式下的一次一密,
AP随机生成包含PSK和ESSID配置信息的NPSK并利用AES对NPSK加密得到CPSK;
AP将CPSK传输给用户设备;
用户设备对CPSK进行解密;
5)进行WAP/WAP2接入:
发起者将解密所得到的PSK转交至WLAN联网模块STA(Station,简称STA),同时,AP/RADIUS完成了配置,并成功发送出AP产生的随机数ANounce与AMac(AP Medium AccessControl,简称AMac)至STA;
STA承接AP/RADIUS发起的WPA/WPA2-PSK第一次握手,发送STA产生的随机数SNounce与SMac(STA Medium Access Control,简称SMac);
STA与AP/RADIUS各自使用SNouce,SMac,ANouce,AMac,以及含有ESSID与PSK的NPSK按照WPA协议标准生成PTK,并完成后续的第三次与第四次握手。至此,基于NFC认证的WLAN接入方法已全部完成。

Claims (1)

1.基于NFC认证的WLAN接入方法,其特征是,包括如下步骤:
1)生成签名密钥对:用椭圆曲线加密算法生成签名密钥对,公钥储存在接入点设备AP数据库中,私钥储存在用户设备中,即私钥和公钥是由椭圆曲线加密算法生成的签名密钥对,用户使用自身设备或公司通过的电脑利用椭圆曲线加密算法生成签名密钥对,并将公钥储存在AP数据库中,私钥储存在用户设备中;
2)建立安全通信隧道:利用迪菲赫尔曼密钥交换算法得到只有双方共知的因子K,用户持设备,以发起者角色与认证方目标建立NFC会话,在此过程中,目标将随机生成的NFCID3发送给发起者;
发起者随机生成大素数a、p,依照公式(1)计算A,并将A,p发送至目标;
A=2a mod p (1)
目标随机生成大素数b,依照公式(2)计算B,并将B发送至发起者;
B=2b mod p (2)
目标与发起者分别按照公式(3)与公式(4)计算各自生成K;
K=Ab mod p (3)
K=Ba mod p (4)
根据安全散列算法利用因子K得到对称密钥AES;
发起者随机生成随机数INounce并发送至目标;
目标随机生成随机数TNounce并发送至发起者;
发起者与目标各自按照公式(5)各自生成用于AES加密的256位对称密钥KEY,
KEY=SHA 2(INonce:NFCID3:K:TNonce) (5)
式中,SHA为安全哈希算法;
3)进行身份验证:用步骤1)中得到的签名密钥对对对称密钥AES及用户身份进行验证,即用椭圆曲线加密算法签名密钥对对对称密钥AES及用户身份进行验证;
发起者用自身的私钥对KEY进行签名,生成签名结果sig;
发起者发送sig至目标;
目标使用用户事先申请上网时存储的公钥,验证KEY的签名sig,此时NFC认证已经完成;
4)实现一次一密:接入设备AP随机生成包含PSK和扩展服务集标识的配置信息ESSID,记作NPSK,利用步骤2)中的对称密钥AES对NPSK进行加密得到加密后的预共享密钥CPSK,并传输给用户设备,用户设备对CPSK进行解密,即:AP随机生成包含PSK和ESSID配置信息的NPSK并利用AES对NPSK加密得到CPSK;
AP将CPSK传输给用户设备;
用户设备对CPSK进行解密;
5)进行WAP/WAP2接入:发起者将解密所得到的PSK转交至WLAN联网模块STA,同时,远程用户拨号认证***AP/RADIUS完成了配置,并成功发送出AP产生的随机数ANounce与AMac至STA;
STA承接AP/RADIUS发起的WPA/WPA2-PSK第一次握手,发送STA产生的随机数SNounce与SMac;
STA与AP/RADIUS各自使用SNouce,SMac,ANouce,AMac,以及含有ESSID与PSK的NPSK按照WPA协议标准生成PTK,并完成后续的第三次与第四次握手。
CN201510694374.2A 2015-10-22 2015-10-22 基于nfc认证的wlan接入方法 Active CN105245532B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510694374.2A CN105245532B (zh) 2015-10-22 2015-10-22 基于nfc认证的wlan接入方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510694374.2A CN105245532B (zh) 2015-10-22 2015-10-22 基于nfc认证的wlan接入方法

Publications (2)

Publication Number Publication Date
CN105245532A CN105245532A (zh) 2016-01-13
CN105245532B true CN105245532B (zh) 2018-01-19

Family

ID=55043032

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510694374.2A Active CN105245532B (zh) 2015-10-22 2015-10-22 基于nfc认证的wlan接入方法

Country Status (1)

Country Link
CN (1) CN105245532B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105763318B (zh) * 2016-01-29 2018-09-04 新华三技术有限公司 一种预共享密钥获取、分配方法及装置
CN109327286A (zh) * 2018-12-08 2019-02-12 森大(深圳)技术有限公司 基于光纤的通信方法及***

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103002442A (zh) * 2012-12-20 2013-03-27 邱华 无线局域网密钥安全分发方法
CN103024743A (zh) * 2012-12-17 2013-04-03 北京航空航天大学 一种无线局域网可信安全接入方法
CN104780537A (zh) * 2015-04-09 2015-07-15 天津大学 一种无线局域网wlan身份验证方法
CN104796892A (zh) * 2015-04-09 2015-07-22 天津大学 基于近场通信nfc的无线局域网wlan身份验证方法
CN104902467A (zh) * 2015-04-09 2015-09-09 天津大学 基于近场通信nfc的无线局域网wlan接入方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103024743A (zh) * 2012-12-17 2013-04-03 北京航空航天大学 一种无线局域网可信安全接入方法
CN103002442A (zh) * 2012-12-20 2013-03-27 邱华 无线局域网密钥安全分发方法
CN104780537A (zh) * 2015-04-09 2015-07-15 天津大学 一种无线局域网wlan身份验证方法
CN104796892A (zh) * 2015-04-09 2015-07-22 天津大学 基于近场通信nfc的无线局域网wlan身份验证方法
CN104902467A (zh) * 2015-04-09 2015-09-09 天津大学 基于近场通信nfc的无线局域网wlan接入方法

Also Published As

Publication number Publication date
CN105245532A (zh) 2016-01-13

Similar Documents

Publication Publication Date Title
US10931445B2 (en) Method and system for session key generation with diffie-hellman procedure
JP6023152B2 (ja) ダイレクトリンク通信のための拡張されたセキュリティ
Shen et al. Secure device-to-device communications over WiFi direct
CN102843687A (zh) 智能手机便携式热点安全接入的方法及***
RU2008146960A (ru) Способ и система предоставления защищенной связи с использованием сотовой сети для множества устройств специализированной связи
CN106209360A (zh) 一种基于国密算法的预共享密钥的身份鉴别方法
CN105141629A (zh) 一种基于WPA/WPA2 PSK多密码提升公用Wi-Fi网络安全性的方法
CN111416712A (zh) 基于多个移动设备的量子保密通信身份认证***及方法
CN106992866A (zh) 一种基于nfc无证书认证的无线网络接入方法
CN105245532B (zh) 基于nfc认证的wlan接入方法
CN104902467A (zh) 基于近场通信nfc的无线局域网wlan接入方法
Kumar et al. Analysis and literature review of IEEE 802.1 x (Authentication) protocols
Dey et al. An efficient dynamic key based eap authentication framework for future ieee 802.1 x wireless lans
WO2013152653A1 (zh) 空中接口安全方法及设备
Guo et al. A secure session key negotiation scheme in wpa2-psk networks
CN104780537A (zh) 一种无线局域网wlan身份验证方法
Jain et al. Penetration Testing of Wireless EncryptionProtocols
KR20130046781A (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
KR100924315B1 (ko) 보안성이 강화된 무선랜 인증 시스템 및 그 방법
Sun A Study of Wireless Network Security
Bikov et al. Wireless network security and cracking security key
KR20130062965A (ko) 무선 네트워크 접속 인증 방법 및 그 시스템

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant