基于近場通信nfc的無線局域網(wǎng)wlan接入方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種基于近場通信NFC的無線局域網(wǎng)WLAN接入方法。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)普及，無線局域網(wǎng)WLAN的使用越來越廣泛。目前應(yīng)用較為廣泛的WLAN認(rèn)證方式都是基于預(yù)共享秘鑰PSK。為了保證安全性，預(yù)共享秘鑰PSK應(yīng)該足夠復(fù)雜。但是復(fù)雜的預(yù)共享秘鑰PSK增加了人們記憶的難度，所以通過手寫等方式記錄密碼和人工傳遞密碼的情況屢見不鮮。尤其對于人流量大地方，可能招致各種攻擊。
[0003]對于應(yīng)用廣泛的W1-FI受保護(hù)接入?yún)f(xié)議WPA/WPA2-PSK認(rèn)證方式，傳遞預(yù)共享秘鑰PSK的方式主要靠人工傳遞。由于人們的安全意識較差，傳遞預(yù)共享秘鑰PSK方式隨意，且密碼設(shè)置簡單，密碼更換遲緩，導(dǎo)致安全隱患很大。雖然在預(yù)共享秘鑰PSK泄露的情況下仍可以保證信道隔離，但若受到竊聽四次握手包的攻擊，那么也無法保證信道隔離。
[0004]在W1-FI受保護(hù)接入?yún)f(xié)議WPA/WPA2-PSK基礎(chǔ)上，為了解決預(yù)共享秘鑰PSK人工傳遞不可靠，預(yù)共享秘鑰PSK配置復(fù)雜的問題，產(chǎn)生了 W1-Fi受保護(hù)配置WPS認(rèn)證方式。但是對W1-Fi受保護(hù)配置WPS認(rèn)證方式，只要能接觸到密碼或按鈕即可獲得聯(lián)網(wǎng)權(quán)限，實現(xiàn)其他攻擊，且W1-Fi受保護(hù)配置WPS的PIN認(rèn)證方式密碼更易破解。
[0005]近場通信NFC技術(shù)是一種短距離的高頻無線通信技術(shù)，允許電子設(shè)備之間進(jìn)行點(diǎn)對點(diǎn)的非接觸的數(shù)據(jù)傳輸，且可以設(shè)計復(fù)雜的交互協(xié)議。使用波特率106的主動模式可有效避免數(shù)據(jù)篡改攻擊。使NFC模塊接觸即可建立信道，但這種通訊有未加密和使用專業(yè)設(shè)備時可被竊聽的缺陷。通訊中雙方角色分為初始方和目標(biāo)方兩種。初始方主動發(fā)起通訊，目標(biāo)方被動響應(yīng)。

【發(fā)明內(nèi)容】

[0006]本發(fā)明的目的在于提供一個基于NFC點(diǎn)對點(diǎn)模式的WLAN接入方法，對NFC實現(xiàn)防止竊聽攻擊、重放攻擊、中間人攻擊，對WLAN實現(xiàn)防止竊聽和非法接入，加強(qiáng)WLAN安全性，同時省去繁瑣配置。為了達(dá)到上述目的，本發(fā)明采用如下的技術(shù)方案:
[0007]一種基于近場通信NFC的無線局域網(wǎng)WLAN接入方法，其特征在于，此種接入方法使用兩個NFC模塊:用戶設(shè)備采用的用戶NFC模塊和WLAN的NFC模塊；WLAN的NFC模塊WLAN中接受用戶連接的設(shè)備處于同一不會泄密范圍內(nèi)；用戶NFC模塊工作在NFC通信中的初始方身份，主動發(fā)起通訊；WLAN的NFC模塊為目標(biāo)方身份，被動響應(yīng)；所述的兩個NFC模塊工作在點(diǎn)對點(diǎn)模式，所使用的接入點(diǎn)AP分為兩類，一類為能夠同時配置多個虛擬服務(wù)集標(biāo)識SSID的接入點(diǎn)AP ;另一類為不能同時配置多個虛擬服務(wù)集標(biāo)識SSID的接入點(diǎn)APJt于第二類，在預(yù)設(shè)的固定時間內(nèi)更新擴(kuò)展服務(wù)集標(biāo)識ESSID和預(yù)共享秘鑰PSK ;當(dāng)用戶請求接入WLAN時，用戶的NFC模塊與WLAN的NFC模塊建立NFC通信，采用第一安全算法得到僅為雙方NFC模塊知曉的對稱密鑰KEY ;當(dāng)用戶通過身份驗證后，用對稱密鑰KEY對無線預(yù)共享秘鑰PSK和服務(wù)集標(biāo)識ESSID這兩個WLAN配置信息進(jìn)行加密傳輸，用戶獲得配置信息后即可接入WLAN。
[0008]其中，用戶獲取所述的配置信息后接入WLAN的過程可以如下:
[0009](I)WLAN的NFC模塊使用第二安全算法生成預(yù)共享秘鑰PSK，并隨機(jī)生成擴(kuò)展服務(wù)集標(biāo)識ESSID ；
[0010](2)將(I)中生成的預(yù)共享秘鑰PSK和擴(kuò)展服務(wù)集標(biāo)識ESSID使用高級加密算法AES,并使用所述的對稱秘鑰KEY加密后發(fā)送給用戶NFC模塊，同時配置WLAN的接入點(diǎn)AP和Radius服務(wù)器；
[0011](3)用戶用對稱密鑰KEY解密后得到預(yù)共享秘鑰PSK和服務(wù)集標(biāo)識ESSID，轉(zhuǎn)交至WLAN聯(lián)網(wǎng)模塊，然后按照W1-FI受保護(hù)接入?yún)f(xié)議WPA/WPA2-PSK接入WLAN。
[0012]本發(fā)明的有益效果是，NFC模塊之間的交互避免了配置信息的人工傳遞的繁瑣與風(fēng)險?；贜FC點(diǎn)對點(diǎn)模式的設(shè)計，使用NFC進(jìn)行WLAN配置信息的傳遞實現(xiàn)了保密傳輸。對用戶身份進(jìn)行驗證實現(xiàn)了用戶身份實名制，避免了中間人攻擊。對于用戶每一次聯(lián)網(wǎng)，都會進(jìn)行一次NFC認(rèn)證，生成新的不同的預(yù)共享秘鑰PSK和擴(kuò)展服務(wù)集標(biāo)識ESSID，實現(xiàn)了信道隔離，一次一密，避免對數(shù)據(jù)的竊聽。
【附圖說明】
[0013]圖1為本方法完整時序圖
[0014]參照圖1，初始方表示用戶的NFC模塊，與用戶的WLAN設(shè)備兩者在一個設(shè)備上；接入點(diǎn)AP表示W(wǎng)LAN中接受STA連接的設(shè)備，目標(biāo)方表示接受WLAN接入認(rèn)證請求的NFC模塊，即WLAN的NFC模塊，兩者至少處于一不會泄密范圍內(nèi)。
【具體實施方式】
[0015]下面結(jié)合附圖和實例對本發(fā)明進(jìn)行詳述。
[0016]本發(fā)明提出了一個基于近場通信NFC的無線局域網(wǎng)WLAN接入方法。使用兩個NFC模塊:用戶NFC模塊和WLAN的NFC模塊。當(dāng)用戶請求接入WLAN時，用戶手持NFC模塊輕觸WLAN的NFC模塊建立NFC通信，用某足夠安全算法得到僅為雙方NFC模塊知曉的對稱密鑰KEYo然后對用戶身份進(jìn)行驗證。身份驗證通過后，用某種足夠安全算法生成無線預(yù)共享秘鑰PSK，用安全密鑰加密無線預(yù)共享秘鑰PSK和服務(wù)集標(biāo)識ESSID等配置信息進(jìn)行傳輸，用戶獲得配置信息后即可接入WLAN。
[0017]對于所使用的兩個NFC模塊，用戶NFC模塊與用戶的WLAN設(shè)備處于同一設(shè)備內(nèi)；WLAN的NFC模塊至少與WLAN中接受用戶連接的設(shè)備處于同一不會泄密范圍內(nèi)。用戶NFC模塊工作在NFC通信中的初始方身份，主動發(fā)起通訊；WLAN的NFC模塊為目標(biāo)方身份，被動響應(yīng)。兩設(shè)備工作在點(diǎn)對點(diǎn)模式。使用的路由器等接入點(diǎn)AP為夠同時配置多個虛擬服務(wù)集標(biāo)識SSID的路由器。對于不能同時配置多個虛擬服務(wù)集標(biāo)識SSID的路由器等接入點(diǎn)AP，在每天固定時間更新擴(kuò)展服務(wù)集標(biāo)識ESSID和預(yù)共享秘鑰PSK。
[0018]下面結(jié)合附圖1說明一個基于近場通信NFC的無線局域網(wǎng)WLAN接入方法的實施過程，生成密鑰的算法以迪菲-赫爾曼算法為例，身份驗證以公鑰密碼證書系統(tǒng)為例，具體為數(shù)字簽名算法DSA公鑰認(rèn)證協(xié)議，無線預(yù)共享秘鑰PSK為隨機(jī)生成:
[0019](I)用戶使用自身設(shè)備用某一軟件算法得到用于認(rèn)證的數(shù)字簽名DSA秘鑰對，包括一個公鑰和一個私鑰，當(dāng)場將公鑰提交給WLAN管理員申請上網(wǎng)權(quán)限，由領(lǐng)導(dǎo)簽署電子簽名。
[0020](2)兩NFC模塊接觸，用戶NFC模塊與WLAN的NFC模塊建立通信，雙方分別用迪菲-赫爾曼算法交換信息并計算出對稱密鑰KEY。
[0021](3)使用數(shù)字簽名算法DSA證書，NFC通信中的初始方，即用戶NFC模塊
[0022]使用私鑰對(2)中的對稱密鑰KEY進(jìn)行簽名，將簽名sig發(fā)送給NFC通信中的目標(biāo)方，即WLAN的NFC模塊。
[0023](4)目標(biāo)方收到簽名后，利用用戶事先申請的私鑰相應(yīng)的公鑰對KEY的簽名Sig進(jìn)行驗證。驗證初始方身份的同時也驗證秘鑰的一致性。驗證無誤則用戶通過身份驗證進(jìn)行下一步；否則說明高級加密算法AES的秘鑰不一致、用戶身份不合法，通信停止。
[0024](5)目標(biāo)方生成某種足夠復(fù)雜的秘鑰，從Linux下的/dev/urandom設(shè)備中讀取，隨機(jī)出一串長度大于16位，包含大小寫字母、數(shù)字、特殊字符的預(yù)共享秘鑰PSK，并隨機(jī)生成擴(kuò)展服務(wù)集標(biāo)識ESSID。
[0025](6)將這兩項配置信息用高級加密算法AES經(jīng)對稱密鑰KEY加密后發(fā)送給初始方，同時按此信息配置路由器等接入點(diǎn)AP，準(zhǔn)備用戶接入。
[0026](7)初始方用對稱密鑰KEY解密配置信息后得到預(yù)共享秘鑰PSK和擴(kuò)展服務(wù)集標(biāo)識ESSID，移交聯(lián)網(wǎng)模塊，用戶的WLAN設(shè)備按照W1-FI受保護(hù)接入?yún)f(xié)WPA/WPA2-PSK協(xié)議聯(lián)網(wǎng)。
【主權(quán)項】
1.一種基于近場通信NFC的無線局域網(wǎng)WLAN接入方法，其特征在于，此種接入方法使用兩個NFC模塊:用戶設(shè)備采用的用戶NFC模塊和WLAN的NFC模塊；WLAN的NFC模塊WLAN中接受用戶連接的設(shè)備處于同一不會泄密范圍內(nèi)；用戶NFC模塊工作在NFC通信中的初始方身份，主動發(fā)起通訊；WLAN的NFC模塊為目標(biāo)方身份，被動響應(yīng)；所述的兩個NFC模塊工作在點(diǎn)對點(diǎn)模式，所使用的接入點(diǎn)AP分為兩類，一類為能夠同時配置多個虛擬服務(wù)集標(biāo)識SSID的接入點(diǎn)AP ;另一類為不能同時配置多個虛擬服務(wù)集標(biāo)識SSID的接入點(diǎn)AP，對于第二類，在預(yù)設(shè)的固定時間內(nèi)更新擴(kuò)展服務(wù)集標(biāo)識ESSID和預(yù)共享秘鑰PSK ;當(dāng)用戶請求接入WLAN時，用戶的NFC模塊與WLAN的NFC模塊建立NFC通信，采用第一安全算法得到僅為雙方NFC模塊知曉的對稱密鑰KEY ;當(dāng)用戶通過身份驗證后，用對稱密鑰KEY對無線預(yù)共享秘鑰PSK和服務(wù)集標(biāo)識ESSID這兩個WLAN配置信息進(jìn)行加密傳輸，用戶獲得配置信息后即可接入WLAN02.根據(jù)權(quán)利要求1所述的基于近場通信NFC的無線局域網(wǎng)WLAN接入方法，其特征在于，用戶獲取所述的配置信息后接入WLAN的過程如下: (1)WLAN的NFC模塊使用第二安全算法生成預(yù)共享秘鑰PSK，并隨機(jī)生成擴(kuò)展服務(wù)集標(biāo)識 ESSID ； (2)將(I)中生成的預(yù)共享秘鑰PSK和擴(kuò)展服務(wù)集標(biāo)識ESSID使用高級加密算法AES，并使用所述的對稱秘鑰KEY加密后發(fā)送給用戶NFC模塊，同時配置WLAN的接入點(diǎn)AP和Radius服務(wù)器； (3)用戶用對稱密鑰KEY解密后得到預(yù)共享秘鑰PSK和服務(wù)集標(biāo)識ESSID，轉(zhuǎn)交至WLAN聯(lián)網(wǎng)模塊，然后按照W1-FI受保護(hù)接入?yún)f(xié)議WPA/WPA2-PSK接入WLAN。
【專利摘要】本發(fā)明涉及一種基于近場通信NFC的無線局域網(wǎng)WLAN接入方法，此種接入方法使用兩個NFC模塊：用戶設(shè)備采用的用戶NFC模塊和WLAN的NFC模塊；用戶NFC模塊工作在點(diǎn)對點(diǎn)模式NFC通信中的初始方身份；WLAN的NFC模塊為目標(biāo)方身份；當(dāng)用戶通過身份驗證后，用對稱密鑰KEY對無線預(yù)共享秘鑰PSK和服務(wù)集標(biāo)識ESSID這兩個WLAN配置信息進(jìn)行加密傳輸，用戶獲得配置信息后即可接入WLAN。本發(fā)明對NFC實現(xiàn)防止竊聽攻擊、重放攻擊、中間人攻擊，對WLAN實現(xiàn)防止竊聽和非法接入，加強(qiáng)WLAN安全性，同時省去繁瑣配置。
【IPC分類】H04W76/02, H04W12/04, H04W12/02, H04W12/06
【公開號】CN104902467
【申請?zhí)枴緾N201510169069
【發(fā)明人】解冰珊, 金志剛, 李云
【申請人】天津大學(xué)
【公開日】2015年9月9日
【申請日】2015年4月9日