基于近场通信nfc的无线局域网wlan接入方法
基于近场通信nfc的无线局域网wlan接入方法
【技术领域】
[0001]本发明涉及一种基于近场通信NFC的无线局域网WLAN接入方法。
【背景技术】
[0002]随着网络普及,无线局域网WLAN的使用越来越广泛。目前应用较为广泛的WLAN认证方式都是基于预共享秘钥PSK。为了保证安全性,预共享秘钥PSK应该足够复杂。但是复杂的预共享秘钥PSK增加了人们记忆的难度,所以通过手写等方式记录密码和人工传递密码的情况屡见不鲜。尤其对于人流量大地方,可能招致各种攻击。
[0003]对于应用广泛的W1-FI受保护接入协议WPA/WPA2-PSK认证方式,传递预共享秘钥PSK的方式主要靠人工传递。由于人们的安全意识较差,传递预共享秘钥PSK方式随意,且密码设置简单,密码更换迟缓,导致安全隐患很大。虽然在预共享秘钥PSK泄露的情况下仍可以保证信道隔离,但若受到窃听四次握手包的攻击,那么也无法保证信道隔离。
[0004]在W1-FI受保护接入协议WPA/WPA2-PSK基础上,为了解决预共享秘钥PSK人工传递不可靠,预共享秘钥PSK配置复杂的问题,产生了 W1-Fi受保护配置WPS认证方式。但是对W1-Fi受保护配置WPS认证方式,只要能接触到密码或按钮即可获得联网权限,实现其他攻击,且W1-Fi受保护配置WPS的PIN认证方式密码更易破解。
[0005]近场通信NFC技术是一种短距离的高频无线通信技术,允许电子设备之间进行点对点的非接触的数据传输,且可以设计复杂的交互协议。使用波特率106的主动模式可有效避免数据篡改攻击。使NFC模块接触即可建立信道,但这种通讯有未加密和使用专业设备时可被窃听的缺陷。通讯中双方角色分为初始方和目标方两种。初始方主动发起通讯,目标方被动响应。
【发明内容】
[0006]本发明的目的在于提供一个基于NFC点对点模式的WLAN接入方法,对NFC实现防止窃听攻击、重放攻击、中间人攻击,对WLAN实现防止窃听和非法接入,加强WLAN安全性,同时省去繁琐配置。为了达到上述目的,本发明采用如下的技术方案:
[0007]一种基于近场通信NFC的无线局域网WLAN接入方法,其特征在于,此种接入方法使用两个NFC模块:用户设备采用的用户NFC模块和WLAN的NFC模块;WLAN的NFC模块WLAN中接受用户连接的设备处于同一不会泄密范围内;用户NFC模块工作在NFC通信中的初始方身份,主动发起通讯;WLAN的NFC模块为目标方身份,被动响应;所述的两个NFC模块工作在点对点模式,所使用的接入点AP分为两类,一类为能够同时配置多个虚拟服务集标识SSID的接入点AP ;另一类为不能同时配置多个虚拟服务集标识SSID的接入点APJt于第二类,在预设的固定时间内更新扩展服务集标识ESSID和预共享秘钥PSK ;当用户请求接入WLAN时,用户的NFC模块与WLAN的NFC模块建立NFC通信,采用第一安全算法得到仅为双方NFC模块知晓的对称密钥KEY ;当用户通过身份验证后,用对称密钥KEY对无线预共享秘钥PSK和服务集标识ESSID这两个WLAN配置信息进行加密传输,用户获得配置信息后即可接入WLAN。
[0008]其中,用户获取所述的配置信息后接入WLAN的过程可以如下:
[0009](I)WLAN的NFC模块使用第二安全算法生成预共享秘钥PSK,并随机生成扩展服务集标识ESSID ;
[0010](2)将(I)中生成的预共享秘钥PSK和扩展服务集标识ESSID使用高级加密算法AES,并使用所述的对称秘钥KEY加密后发送给用户NFC模块,同时配置WLAN的接入点AP和Radius服务器;
[0011](3)用户用对称密钥KEY解密后得到预共享秘钥PSK和服务集标识ESSID,转交至WLAN联网模块,然后按照W1-FI受保护接入协议WPA/WPA2-PSK接入WLAN。
[0012]本发明的有益效果是,NFC模块之间的交互避免了配置信息的人工传递的繁琐与风险。基于NFC点对点模式的设计,使用NFC进行WLAN配置信息的传递实现了保密传输。对用户身份进行验证实现了用户身份实名制,避免了中间人攻击。对于用户每一次联网,都会进行一次NFC认证,生成新的不同的预共享秘钥PSK和扩展服务集标识ESSID,实现了信道隔离,一次一密,避免对数据的窃听。
【附图说明】
[0013]图1为本方法完整时序图
[0014]参照图1,初始方表示用户的NFC模块,与用户的WLAN设备两者在一个设备上;接入点AP表示WLAN中接受STA连接的设备,目标方表示接受WLAN接入认证请求的NFC模块,即WLAN的NFC模块,两者至少处于一不会泄密范围内。
【具体实施方式】
[0015]下面结合附图和实例对本发明进行详述。
[0016]本发明提出了一个基于近场通信NFC的无线局域网WLAN接入方法。使用两个NFC模块:用户NFC模块和WLAN的NFC模块。当用户请求接入WLAN时,用户手持NFC模块轻触WLAN的NFC模块建立NFC通信,用某足够安全算法得到仅为双方NFC模块知晓的对称密钥KEYo然后对用户身份进行验证。身份验证通过后,用某种足够安全算法生成无线预共享秘钥PSK,用安全密钥加密无线预共享秘钥PSK和服务集标识ESSID等配置信息进行传输,用户获得配置信息后即可接入WLAN。
[0017]对于所使用的两个NFC模块,用户NFC模块与用户的WLAN设备处于同一设备内;WLAN的NFC模块至少与WLAN中接受用户连接的设备处于同一不会泄密范围内。用户NFC模块工作在NFC通信中的初始方身份,主动发起通讯;WLAN的NFC模块为目标方身份,被动响应。两设备工作在点对点模式。使用的路由器等接入点AP为够同时配置多个虚拟服务集标识SSID的路由器。对于不能同时配置多个虚拟服务集标识SSID的路由器等接入点AP,在每天固定时间更新扩展服务集标识ESSID和预共享秘钥PSK。
[0018]下面结合附图1说明一个基于近场通信NFC的无线局域网WLAN接入方法的实施过程,生成密钥的算法以迪菲-赫尔曼算法为例,身份验证以公钥密码证书系统为例,具体为数字签名算法DSA公钥认证协议,无线预共享秘钥PSK为随机生成:
[0019](I)用户使用自身设备用某一软件算法得到用于认证的数字签名DSA秘钥对,包括一个公钥和一个私钥,当场将公钥提交给WLAN管理员申请上网权限,由领导签署电子签名。
[0020](2)两NFC模块接触,用户NFC模块与WLAN的NFC模块建立通信,双方分别用迪菲-赫尔曼算法交换信息并计算出对称密钥KEY。
[0021](3)使用数字签名算法DSA证书,NFC通信中的初始方,即用户NFC模块
[0022]使用私钥对(2)中的对称密钥KEY进行签名,将签名sig发送给NFC通信中的目标方,即WLAN的NFC模块。
[0023](4)目标方收到签名后,利用用户事先申请的私钥相应的公钥对KEY的签名Sig进行验证。验证初始方身份的同时也验证秘钥的一致性。验证无误则用户通过身份验证进行下一步;否则说明高级加密算法AES的秘钥不一致、用户身份不合法,通信停止。
[0024](5)目标方生成某种足够复杂的秘钥,从Linux下的/dev/urandom设备中读取,随机出一串长度大于16位,包含大小写字母、数字、特殊字符的预共享秘钥PSK,并随机生成扩展服务集标识ESSID。
[0025](6)将这两项配置信息用高级加密算法AES经对称密钥KEY加密后发送给初始方,同时按此信息配置路由器等接入点AP,准备用户接入。
[0026](7)初始方用对称密钥KEY解密配置信息后得到预共享秘钥PSK和扩展服务集标识ESSID,移交联网模块,用户的WLAN设备按照W1-FI受保护接入协WPA/WPA2-PSK协议联网。
【主权项】
1.一种基于近场通信NFC的无线局域网WLAN接入方法,其特征在于,此种接入方法使用两个NFC模块:用户设备采用的用户NFC模块和WLAN的NFC模块;WLAN的NFC模块WLAN中接受用户连接的设备处于同一不会泄密范围内;用户NFC模块工作在NFC通信中的初始方身份,主动发起通讯;WLAN的NFC模块为目标方身份,被动响应;所述的两个NFC模块工作在点对点模式,所使用的接入点AP分为两类,一类为能够同时配置多个虚拟服务集标识SSID的接入点AP ;另一类为不能同时配置多个虚拟服务集标识SSID的接入点AP,对于第二类,在预设的固定时间内更新扩展服务集标识ESSID和预共享秘钥PSK ;当用户请求接入WLAN时,用户的NFC模块与WLAN的NFC模块建立NFC通信,采用第一安全算法得到仅为双方NFC模块知晓的对称密钥KEY ;当用户通过身份验证后,用对称密钥KEY对无线预共享秘钥PSK和服务集标识ESSID这两个WLAN配置信息进行加密传输,用户获得配置信息后即可接入WLAN02.根据权利要求1所述的基于近场通信NFC的无线局域网WLAN接入方法,其特征在于,用户获取所述的配置信息后接入WLAN的过程如下: (1)WLAN的NFC模块使用第二安全算法生成预共享秘钥PSK,并随机生成扩展服务集标识 ESSID ; (2)将(I)中生成的预共享秘钥PSK和扩展服务集标识ESSID使用高级加密算法AES,并使用所述的对称秘钥KEY加密后发送给用户NFC模块,同时配置WLAN的接入点AP和Radius服务器; (3)用户用对称密钥KEY解密后得到预共享秘钥PSK和服务集标识ESSID,转交至WLAN联网模块,然后按照W1-FI受保护接入协议WPA/WPA2-PSK接入WLAN。
【专利摘要】本发明涉及一种基于近场通信NFC的无线局域网WLAN接入方法,此种接入方法使用两个NFC模块:用户设备采用的用户NFC模块和WLAN的NFC模块;用户NFC模块工作在点对点模式NFC通信中的初始方身份;WLAN的NFC模块为目标方身份;当用户通过身份验证后,用对称密钥KEY对无线预共享秘钥PSK和服务集标识ESSID这两个WLAN配置信息进行加密传输,用户获得配置信息后即可接入WLAN。本发明对NFC实现防止窃听攻击、重放攻击、中间人攻击,对WLAN实现防止窃听和非法接入,加强WLAN安全性,同时省去繁琐配置。
【IPC分类】H04W76/02, H04W12/04, H04W12/02, H04W12/06
【公开号】CN104902467
【申请号】CN201510169069
【发明人】解冰珊, 金志刚, 李云
【申请人】天津大学
【公开日】2015年9月9日
【申请日】2015年4月9日
【技术领域】
[0001]本发明涉及一种基于近场通信NFC的无线局域网WLAN接入方法。
【背景技术】
[0002]随着网络普及,无线局域网WLAN的使用越来越广泛。目前应用较为广泛的WLAN认证方式都是基于预共享秘钥PSK。为了保证安全性,预共享秘钥PSK应该足够复杂。但是复杂的预共享秘钥PSK增加了人们记忆的难度,所以通过手写等方式记录密码和人工传递密码的情况屡见不鲜。尤其对于人流量大地方,可能招致各种攻击。
[0003]对于应用广泛的W1-FI受保护接入协议WPA/WPA2-PSK认证方式,传递预共享秘钥PSK的方式主要靠人工传递。由于人们的安全意识较差,传递预共享秘钥PSK方式随意,且密码设置简单,密码更换迟缓,导致安全隐患很大。虽然在预共享秘钥PSK泄露的情况下仍可以保证信道隔离,但若受到窃听四次握手包的攻击,那么也无法保证信道隔离。
[0004]在W1-FI受保护接入协议WPA/WPA2-PSK基础上,为了解决预共享秘钥PSK人工传递不可靠,预共享秘钥PSK配置复杂的问题,产生了 W1-Fi受保护配置WPS认证方式。但是对W1-Fi受保护配置WPS认证方式,只要能接触到密码或按钮即可获得联网权限,实现其他攻击,且W1-Fi受保护配置WPS的PIN认证方式密码更易破解。
[0005]近场通信NFC技术是一种短距离的高频无线通信技术,允许电子设备之间进行点对点的非接触的数据传输,且可以设计复杂的交互协议。使用波特率106的主动模式可有效避免数据篡改攻击。使NFC模块接触即可建立信道,但这种通讯有未加密和使用专业设备时可被窃听的缺陷。通讯中双方角色分为初始方和目标方两种。初始方主动发起通讯,目标方被动响应。
【发明内容】
[0006]本发明的目的在于提供一个基于NFC点对点模式的WLAN接入方法,对NFC实现防止窃听攻击、重放攻击、中间人攻击,对WLAN实现防止窃听和非法接入,加强WLAN安全性,同时省去繁琐配置。为了达到上述目的,本发明采用如下的技术方案:
[0007]一种基于近场通信NFC的无线局域网WLAN接入方法,其特征在于,此种接入方法使用两个NFC模块:用户设备采用的用户NFC模块和WLAN的NFC模块;WLAN的NFC模块WLAN中接受用户连接的设备处于同一不会泄密范围内;用户NFC模块工作在NFC通信中的初始方身份,主动发起通讯;WLAN的NFC模块为目标方身份,被动响应;所述的两个NFC模块工作在点对点模式,所使用的接入点AP分为两类,一类为能够同时配置多个虚拟服务集标识SSID的接入点AP ;另一类为不能同时配置多个虚拟服务集标识SSID的接入点APJt于第二类,在预设的固定时间内更新扩展服务集标识ESSID和预共享秘钥PSK ;当用户请求接入WLAN时,用户的NFC模块与WLAN的NFC模块建立NFC通信,采用第一安全算法得到仅为双方NFC模块知晓的对称密钥KEY ;当用户通过身份验证后,用对称密钥KEY对无线预共享秘钥PSK和服务集标识ESSID这两个WLAN配置信息进行加密传输,用户获得配置信息后即可接入WLAN。
[0008]其中,用户获取所述的配置信息后接入WLAN的过程可以如下:
[0009](I)WLAN的NFC模块使用第二安全算法生成预共享秘钥PSK,并随机生成扩展服务集标识ESSID ;
[0010](2)将(I)中生成的预共享秘钥PSK和扩展服务集标识ESSID使用高级加密算法AES,并使用所述的对称秘钥KEY加密后发送给用户NFC模块,同时配置WLAN的接入点AP和Radius服务器;
[0011](3)用户用对称密钥KEY解密后得到预共享秘钥PSK和服务集标识ESSID,转交至WLAN联网模块,然后按照W1-FI受保护接入协议WPA/WPA2-PSK接入WLAN。
[0012]本发明的有益效果是,NFC模块之间的交互避免了配置信息的人工传递的繁琐与风险。基于NFC点对点模式的设计,使用NFC进行WLAN配置信息的传递实现了保密传输。对用户身份进行验证实现了用户身份实名制,避免了中间人攻击。对于用户每一次联网,都会进行一次NFC认证,生成新的不同的预共享秘钥PSK和扩展服务集标识ESSID,实现了信道隔离,一次一密,避免对数据的窃听。
【附图说明】
[0013]图1为本方法完整时序图
[0014]参照图1,初始方表示用户的NFC模块,与用户的WLAN设备两者在一个设备上;接入点AP表示WLAN中接受STA连接的设备,目标方表示接受WLAN接入认证请求的NFC模块,即WLAN的NFC模块,两者至少处于一不会泄密范围内。
【具体实施方式】
[0015]下面结合附图和实例对本发明进行详述。
[0016]本发明提出了一个基于近场通信NFC的无线局域网WLAN接入方法。使用两个NFC模块:用户NFC模块和WLAN的NFC模块。当用户请求接入WLAN时,用户手持NFC模块轻触WLAN的NFC模块建立NFC通信,用某足够安全算法得到仅为双方NFC模块知晓的对称密钥KEYo然后对用户身份进行验证。身份验证通过后,用某种足够安全算法生成无线预共享秘钥PSK,用安全密钥加密无线预共享秘钥PSK和服务集标识ESSID等配置信息进行传输,用户获得配置信息后即可接入WLAN。
[0017]对于所使用的两个NFC模块,用户NFC模块与用户的WLAN设备处于同一设备内;WLAN的NFC模块至少与WLAN中接受用户连接的设备处于同一不会泄密范围内。用户NFC模块工作在NFC通信中的初始方身份,主动发起通讯;WLAN的NFC模块为目标方身份,被动响应。两设备工作在点对点模式。使用的路由器等接入点AP为够同时配置多个虚拟服务集标识SSID的路由器。对于不能同时配置多个虚拟服务集标识SSID的路由器等接入点AP,在每天固定时间更新扩展服务集标识ESSID和预共享秘钥PSK。
[0018]下面结合附图1说明一个基于近场通信NFC的无线局域网WLAN接入方法的实施过程,生成密钥的算法以迪菲-赫尔曼算法为例,身份验证以公钥密码证书系统为例,具体为数字签名算法DSA公钥认证协议,无线预共享秘钥PSK为随机生成:
[0019](I)用户使用自身设备用某一软件算法得到用于认证的数字签名DSA秘钥对,包括一个公钥和一个私钥,当场将公钥提交给WLAN管理员申请上网权限,由领导签署电子签名。
[0020](2)两NFC模块接触,用户NFC模块与WLAN的NFC模块建立通信,双方分别用迪菲-赫尔曼算法交换信息并计算出对称密钥KEY。
[0021](3)使用数字签名算法DSA证书,NFC通信中的初始方,即用户NFC模块
[0022]使用私钥对(2)中的对称密钥KEY进行签名,将签名sig发送给NFC通信中的目标方,即WLAN的NFC模块。
[0023](4)目标方收到签名后,利用用户事先申请的私钥相应的公钥对KEY的签名Sig进行验证。验证初始方身份的同时也验证秘钥的一致性。验证无误则用户通过身份验证进行下一步;否则说明高级加密算法AES的秘钥不一致、用户身份不合法,通信停止。
[0024](5)目标方生成某种足够复杂的秘钥,从Linux下的/dev/urandom设备中读取,随机出一串长度大于16位,包含大小写字母、数字、特殊字符的预共享秘钥PSK,并随机生成扩展服务集标识ESSID。
[0025](6)将这两项配置信息用高级加密算法AES经对称密钥KEY加密后发送给初始方,同时按此信息配置路由器等接入点AP,准备用户接入。
[0026](7)初始方用对称密钥KEY解密配置信息后得到预共享秘钥PSK和扩展服务集标识ESSID,移交联网模块,用户的WLAN设备按照W1-FI受保护接入协WPA/WPA2-PSK协议联网。
【主权项】
1.一种基于近场通信NFC的无线局域网WLAN接入方法,其特征在于,此种接入方法使用两个NFC模块:用户设备采用的用户NFC模块和WLAN的NFC模块;WLAN的NFC模块WLAN中接受用户连接的设备处于同一不会泄密范围内;用户NFC模块工作在NFC通信中的初始方身份,主动发起通讯;WLAN的NFC模块为目标方身份,被动响应;所述的两个NFC模块工作在点对点模式,所使用的接入点AP分为两类,一类为能够同时配置多个虚拟服务集标识SSID的接入点AP ;另一类为不能同时配置多个虚拟服务集标识SSID的接入点AP,对于第二类,在预设的固定时间内更新扩展服务集标识ESSID和预共享秘钥PSK ;当用户请求接入WLAN时,用户的NFC模块与WLAN的NFC模块建立NFC通信,采用第一安全算法得到仅为双方NFC模块知晓的对称密钥KEY ;当用户通过身份验证后,用对称密钥KEY对无线预共享秘钥PSK和服务集标识ESSID这两个WLAN配置信息进行加密传输,用户获得配置信息后即可接入WLAN02.根据权利要求1所述的基于近场通信NFC的无线局域网WLAN接入方法,其特征在于,用户获取所述的配置信息后接入WLAN的过程如下: (1)WLAN的NFC模块使用第二安全算法生成预共享秘钥PSK,并随机生成扩展服务集标识 ESSID ; (2)将(I)中生成的预共享秘钥PSK和扩展服务集标识ESSID使用高级加密算法AES,并使用所述的对称秘钥KEY加密后发送给用户NFC模块,同时配置WLAN的接入点AP和Radius服务器; (3)用户用对称密钥KEY解密后得到预共享秘钥PSK和服务集标识ESSID,转交至WLAN联网模块,然后按照W1-FI受保护接入协议WPA/WPA2-PSK接入WLAN。
【专利摘要】本发明涉及一种基于近场通信NFC的无线局域网WLAN接入方法,此种接入方法使用两个NFC模块:用户设备采用的用户NFC模块和WLAN的NFC模块;用户NFC模块工作在点对点模式NFC通信中的初始方身份;WLAN的NFC模块为目标方身份;当用户通过身份验证后,用对称密钥KEY对无线预共享秘钥PSK和服务集标识ESSID这两个WLAN配置信息进行加密传输,用户获得配置信息后即可接入WLAN。本发明对NFC实现防止窃听攻击、重放攻击、中间人攻击,对WLAN实现防止窃听和非法接入,加强WLAN安全性,同时省去繁琐配置。
【IPC分类】H04W76/02, H04W12/04, H04W12/02, H04W12/06
【公开号】CN104902467
【申请号】CN201510169069
【发明人】解冰珊, 金志刚, 李云
【申请人】天津大学
【公开日】2015年9月9日
【申请日】2015年4月9日
最新回复(0)