[go: up one dir, main page]

CN105553981B - 一种wlan网络快速认证和密钥协商方法 - Google Patents

一种wlan网络快速认证和密钥协商方法 Download PDF

Info

Publication number
CN105553981B
CN105553981B CN201510949601.1A CN201510949601A CN105553981B CN 105553981 B CN105553981 B CN 105553981B CN 201510949601 A CN201510949601 A CN 201510949601A CN 105553981 B CN105553981 B CN 105553981B
Authority
CN
China
Prior art keywords
sqn
mobile terminal
ssid
access point
mac
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510949601.1A
Other languages
English (en)
Other versions
CN105553981A (zh
Inventor
曾勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CHENGDU 30RUITONG MOBILE COMMUNICATION Co Ltd
Original Assignee
CHENGDU 30RUITONG MOBILE COMMUNICATION Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CHENGDU 30RUITONG MOBILE COMMUNICATION Co Ltd filed Critical CHENGDU 30RUITONG MOBILE COMMUNICATION Co Ltd
Priority to CN201510949601.1A priority Critical patent/CN105553981B/zh
Publication of CN105553981A publication Critical patent/CN105553981A/zh
Application granted granted Critical
Publication of CN105553981B publication Critical patent/CN105553981B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种WLAN网络快速认证和密钥协商方法。该方法中,移动终端和无线接入点共享WLAN初始密钥,当移动终端申请接入无线网络时,移动终端与接入点基于对称密码算法实现快速双向认证,同时派生出双方通信时的会话密钥,以实现WLAN的安全接入和空口数据加密功能。本发明无需认证服务器和X.509证书机制实现了移动终端与SSID接入点的快速双向认证,具有安全快捷的特点,适合对安全性和接入时间有严格要求的WLAN应用场景。

Description

一种WLAN网络快速认证和密钥协商方法
技术领域
本发明涉及移动通信安全技术领域,具体涉及一种WLAN网络快速认证和密钥协商方法。
背景技术
在WLAN中也面临着网络非法访问和无线通信信息被窃听等安全威胁。因此WLAN提出了用户身份认证和数据加密的标准。
早期WLAN支持共享密钥认证和WEP(有线等效保密)数据加密。但共享密钥认证不支持双向认证,只支持AP对STA的认证,因此存在假冒AP的风险。其次WEP也存在加密密钥长度(40bit)和初始化向量IV(24bit)太短的问题。此外WEP的加密密钥固定不变,现在已经有软件可以轻易破解,因此不是很安全。
针对WEP的安全缺陷,IEEE制订了更安全的标准WPA(Wi-Fi受保护的访问),用于增强WLAN网络的安全性。WPA同时提供EAP(可扩展认证协议)认证和TKIP(临时密钥完整性协议)数据加密。但WPA也面临一些问题,如WPA认证需要使用认证服务器,不适合一些特殊的应用场景。认证使用X.509证书机制,过程复杂且效率低下,不能实现快速身份认证等。
上述安全方案使得WLAN不适合一些对认证时间要求严格、安全性要求高的特殊场合。
发明内容
为解决上述问题,本发明提供了一种WLAN网络快速认证和密钥协商方法,包括如下步骤:
步骤一:移动终端进入接入SSID接入点覆盖区域,产生随机数R1和序列号SQN。
步骤二:移动终端利用初始密钥Ki对MAC_Addr||R1||SQN进行加密,得到E(Ki,MAC_Addr||R1||SQN),然后将它作为认证请求发送给SSID接入点,其中,MAC_Addr为移动终端MAC地址。
步骤三:SSID接入点收到E(Ki,MAC_Addr||R1||SQN)后,进行如下处理:
S1.通过数据帧的MAC地址查找对应的移动终端的初始密钥Ki,并用Ki解密数据帧,得到MAC_Addr2、R1和SQN的值。MAC_Addr2为SSID端解密得到的移动终端MAC地址。
S2.比较收到数据帧的MAC_Addr与解密得到的MAC_Addr2,如果不等则终止认证。如果相等则证明移动终端是合法的,进行步骤S3。
S3.将本次解密的SQN与以前保存的SQN进行比较,如果相等则为重放攻击,如果不等则为正常的认证请求,进行步骤S4。
S4.SSID接入点通过对移动终端的认证,SSID接入点则保存R1和SQN,同时产生随机数R2。
步骤四:SSID接入点利用解密得到的R1作为密钥对SSID||R2||SQN进行加密,得到E(R1,SSID||R2||SQN),然后将它作为认证应答发送给移动终端。
步骤五:移动终端收到E(R1,SSID||R2||SQN)后,利用R1解密数据帧,得到SSID2、R2和SQN2的值。
步骤五:移动终端收到E(R1,SSID||R2||SQN)后,作如下处理:
S1.利用R1解密数据帧,得到SSID2、R2和SQN2的值, SSID2、SQN2均为解密得到的值。
S2.比较收到明文的SSID与解密得到的SSID2,如果不等则终止认证,如果相等则证明SSID接入点是合法的,进行步骤S3。
S3.比较原始的SQN与解密得到的SQN2,如果不等则终止认证,如果相等则表示收到的认证应答与认证请求对应,进行步骤S4。
S4.记录R2。
步骤六:完成双向认证,移动终端向SSID接入点发送确认消息ACK。
步骤七:移动终端和SSID接入点同时将R1||R2通过哈希函数(如SHA-1)派生出会话密钥SK,将SQN通过哈希函数(如SHA-1)派生出初始向量IV。
步骤八:移动终端和SSID接入点利用SK和IV对传输的数据进行加密,同时每加密一帧数据后IV加1。
进一步的,步骤二中移动终端采用AES加密算法对MAC_Addr||R1||SQN进行加密。
进一步的,步骤四中接入点采用AES加密算法对SSID||R2||SQN进行加密。
附图说明
图1为WLAN无线安全接入系统组成示意图。
图2是本发明流程图。
图3为密钥协商的层次结构示意图。
具体实施方式
本发明的设计构思为:如图1所示,WLAN无线安全接入系统由移动终端和无线接入点组成,移动终端通过无线接入点实现对IP网络的各种应用服务器的访问。移动终端和无线接入点共享WLAN初始密钥,当移动终端申请接入无线网络时,移动终端与接入点基于对称密码算法实现快速双向认证,同时派生出双方通信时的会话密钥,以实现WLAN的安全接入和空口数据加密功能。
图2所示为本发明的流程图。包含如下步骤:
步骤一:移动终端进入接入SSID接入点覆盖区域,产生随机数R1和序列号SQN。本领域技术人员应该知道,序列号是一次性的。
步骤二:移动终端利用初始密钥Ki对MAC_Addr||R1||SQN进行加密(可采用AES或其他对称加密算法),得到E(Ki,MAC_Addr||R1||SQN),然后将它作为认证请求发送给接入点。其中,MAC_Addr为MAC地址。
步骤三:SSID接入点收到E(Ki,MAC_Addr||R1||SQN)后,进行如下处理:
S1.通过数据帧的MAC地址查找对应的移动终端的初始密钥Ki,并用Ki解密数据帧,得到MAC_Addr2、R1和SQN的值。MAC_Addr2为SSID端解密得到的移动终端MAC地址。
S2.比较收到数据帧的MAC_Addr与解密得到的MAC_Addr2,如果不等则终止认证。如果相等则证明移动终端是合法的,进行步骤S3。
S3.将本次解密的SQN与以前保存的SQN进行比较,如果相等则为重放攻击,如果不等则为正常的认证请求,进行步骤S4。
S4.SSID接入点通过对移动终端的认证,SSID接入点则保存R1和SQN,同时产生随机数R2。
步骤四:SSID接入点利用解密得到的R1作为密钥对SSID||R2||SQN进行加密,得到E(R1,SSID||R2||SQN),然后将它作为认证应答发送给移动终端。KE 采用AES加密算或其他对此加密算法对SSID||R2||SQN进行加密。
步骤五:移动终端收到E(R1,SSID||R2||SQN)后,作如下处理:
S1.利用R1解密数据帧,得到SSID2、R2和SQN2的值, SSID2、SQN2均为解密得到的值。
S2.比较收到明文的SSID与解密得到的SSID2,如果不等则终止认证,如果相等则证明SSID接入点是合法的,进行步骤S3。
S3.比较原始的SQN与解密得到的SQN2,,如果不等则终止认证,如果相等则表示收到的认证应答与认证请求对应,进行步骤S4。
S4.记录R2。
步骤六:完成双向认证,移动终端向SSID接入点发送确认消息ACK。
步骤七:移动终端和SSID接入点同时将R1||R2通过哈希函数(如SHA-1)派生出会话密钥SK,将SQN通过哈希函数(如SHA-1)派生出初始向量IV。
步骤八:移动终端和SSID接入点利用SK和IV对传输的数据进行加密,同时每加密一帧数据后IV加1。
密钥协商的层次结构如图3所示。Ki实现对R1的加密保护。R1实现对R2的加密保护。R1与R2合并后通过哈希函数导出SK。Ki实现对SQN的加密保护。SQN通过哈希函数导出IV。SK与IV一起实现对WLAN的通信数据进行加密保护,每加密一帧数据IV加1。
本发明的有益效果为:
1.本发明无需认证服务器和X.509证书机制实现了移动终端与SSID接入点的快速双向认证,具有安全快捷的特点,适合对安全性和接入时间有严格要求的WLAN应用场景。
2.通过对MAC地址加密,SSID接入点可以将收到的数据帧的MAC地址与数据帧中解密提取的MAC地址进行比较,可以有效的抵御假冒移动终端接入WLAN网络。
3.通过对SSID加密,移动终端可以将收到的明文SSID与数据帧中解密提取的SSID进行比较,可以有效的抵御假冒SSID接入点对移动终端欺骗。
4.认证序列号SQN每次随机产生,可以有效的抵御重放攻击。
5.双方会话密钥通过双向认证时临时产生,实现一次一密安全机制,具有较高的安全性。
6.通过密钥协商机制导出的会话密钥SK和初始向量IV可以直接用于WPA和WPA2等WLAN加密协议中,兼容性好。

Claims (3)

1.一种WLAN网络快速认证和密钥协商方法,其特征在于,包括如下步骤:
步骤一:移动终端接入SSID接入点覆盖区域,产生随机数R1和序列号SQN;
步骤二:移动终端利用初始密钥Ki对MAC_Addr||R1||SQN进行加密,得到E(Ki,MAC_Addr||R1||SQN),然后将它作为认证请求发送给SSID接入点,其中,MAC_Addr为移动终端MAC地址;
步骤三:SSID接入点收到E(Ki,MAC_Addr||R1||SQN)后,进行如下处理:
S1.通过数据帧的MAC地址查找对应的移动终端的初始密钥Ki,并用Ki解密数据帧,得到MAC_Addr2、R1和SQN的值;MAC_Addr2为SSID端解密得到的移动终端MAC地址;
S2.比较收到数据帧的MAC_Addr与解密得到的MAC_Addr2,如果不等则终止认证;如果相等则证明移动终端是合法的,进行步骤三的步骤S3;
S3.将本次解密的SQN与以前保存的SQN进行比较,如果相等则为重放攻击,如果不等则为正常的认证请求,进行步骤三的步骤S4;
S4.SSID接入点通过对移动终端的认证,SSID接入点则保存R1和SQN,同时产生随机数R2;
步骤四:SSID接入点利用解密得到的R1作为密钥对SSID||R2||SQN进行加密,得到E(R1,SSID||R2||SQN),然后将它作为认证应答发送给移动终端;
步骤五:移动终端收到E(R1,SSID||R2||SQN)后,作如下处理:
B1.利用R1解密数据帧,得到SSID2、R2和SQN2的值,SSID2、SQN2均为解密得到的值;
B2.比较收到明文的SSID与解密得到的SSID2,如果不等则终止认证,如果相等则证明SSID接入点是合法的,进行步骤五的步骤S3;
B3.比较原始的SQN与解密得到的SQN2,如果不等则终止认证,如果相等则表示收到的认证应答与认证请求对应,进行步骤五的步骤S4;
B4.记录R2;
步骤六:完成双向认证,移动终端向SSID接入点发送确认消息ACK;
步骤七:移动终端和SSID接入点同时将R1||R2通过哈希函数派生出会话密钥SK,将SQN通过哈希函数派生出初始向量IV;
步骤八:移动终端和SSID接入点利用SK和IV对传输的数据进行加密,同时每加密一帧数据后IV加1。
2.如权利要求1所述的WLAN网络快速认证和密钥协商方法,其特征在于,步骤二中移动终端采用AES加密算法对MAC_Addr||R1||SQN进行加密。
3.如权利要求1或2所述的WLAN网络快速认证和密钥协商方法,其特征在于,步骤四中SSID接入点采用AES加密算法对SSID||R2||SQN进行加密。
CN201510949601.1A 2015-12-18 2015-12-18 一种wlan网络快速认证和密钥协商方法 Active CN105553981B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510949601.1A CN105553981B (zh) 2015-12-18 2015-12-18 一种wlan网络快速认证和密钥协商方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510949601.1A CN105553981B (zh) 2015-12-18 2015-12-18 一种wlan网络快速认证和密钥协商方法

Publications (2)

Publication Number Publication Date
CN105553981A CN105553981A (zh) 2016-05-04
CN105553981B true CN105553981B (zh) 2019-03-22

Family

ID=55832917

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510949601.1A Active CN105553981B (zh) 2015-12-18 2015-12-18 一种wlan网络快速认证和密钥协商方法

Country Status (1)

Country Link
CN (1) CN105553981B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12107965B2 (en) * 2018-06-18 2024-10-01 Koninklijke Philips N.V. Data encryption and integrity verification

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106375301B (zh) * 2016-08-30 2020-01-03 成都源知信息技术有限公司 一种网络设备认证方法及认证设备
CN108377495B (zh) * 2016-10-31 2021-10-15 华为技术有限公司 一种数据传输方法、相关设备及系统
CN107124724A (zh) * 2017-05-24 2017-09-01 中国运载火箭技术研究院 一种古籍保护箱系统跨网段多节点网络管理装置
CN107302544B (zh) * 2017-08-15 2019-09-13 迈普通信技术股份有限公司 证书申请方法、无线接入控制设备及无线接入点设备
CN111163468A (zh) * 2018-11-08 2020-05-15 北京华为数字技术有限公司 一种通信连接方法及设备
CN109474438B (zh) * 2018-12-24 2021-08-17 公安部第三研究所 一种基于选择性泄露的智能终端接入认证方法
CN111800788B (zh) * 2020-09-08 2021-02-02 全讯汇聚网络科技(北京)有限公司 用于Wi-Fi连接管理的方法、终端及系统
CN112260987B (zh) * 2020-09-10 2021-12-21 西安电子科技大学 一种数字内容保护系统中双向安全认证方法及系统
CN114698056B (zh) * 2020-12-31 2025-03-21 奇点新源国际技术开发(北京)有限公司 一种基于物联网信道接入无线网络的方法及通信系统
CN113573307B (zh) * 2021-07-28 2024-01-30 西安热工研究院有限公司 一种基于可扩展认证协议的快速认证方法
CN115811751A (zh) * 2022-11-03 2023-03-17 广州芯德通信科技股份有限公司 一种配置信息的获取、配置方法及终端设备、接入点设备
CN117641339B (zh) * 2024-01-18 2024-04-09 中国电子科技集团公司第三十研究所 快速应用层认证与密钥协商系统及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003077467A1 (en) * 2002-03-08 2003-09-18 Huawei Technologies Co., Ltd. The method for distributes the encrypted key in wireless lan
CN1534935A (zh) * 2003-03-31 2004-10-06 华为技术有限公司 一种基于预共享密钥的密钥分发方法
CN102223633A (zh) * 2011-07-06 2011-10-19 华为技术有限公司 一种wlan认证的方法,装置和系统
CN103002442A (zh) * 2012-12-20 2013-03-27 邱华 无线局域网密钥安全分发方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003077467A1 (en) * 2002-03-08 2003-09-18 Huawei Technologies Co., Ltd. The method for distributes the encrypted key in wireless lan
CN1534935A (zh) * 2003-03-31 2004-10-06 华为技术有限公司 一种基于预共享密钥的密钥分发方法
CN102223633A (zh) * 2011-07-06 2011-10-19 华为技术有限公司 一种wlan认证的方法,装置和系统
CN103002442A (zh) * 2012-12-20 2013-03-27 邱华 无线局域网密钥安全分发方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12107965B2 (en) * 2018-06-18 2024-10-01 Koninklijke Philips N.V. Data encryption and integrity verification

Also Published As

Publication number Publication date
CN105553981A (zh) 2016-05-04

Similar Documents

Publication Publication Date Title
CN105553981B (zh) 一种wlan网络快速认证和密钥协商方法
CN107005927B (zh) 用户设备ue的接入方法、设备及系统
US9392453B2 (en) Authentication
CN112566119B (zh) 终端认证方法、装置、计算机设备及存储介质
US20060094401A1 (en) Method and apparatus for authentication of mobile devices
WO2010012203A1 (zh) 鉴权方法、重认证方法和通信装置
KR20120101523A (ko) 안전한 멀티 uim 인증 및 키 교환
Wong The evolution of wireless security in 802.11 networks: WEP, WPA and 802.11 standards
Kwon et al. Evolution of Wi-Fi protected access: Security challenges
WO2014180198A1 (zh) 终端接入方法、系统、设备和计算机存储介质
WO2017080136A1 (zh) 密钥分发和接收方法、第一密钥管理中心和第一网元
CN103795728A (zh) 一种隐藏身份且适合资源受限终端的eap认证方法
CN109075973A (zh) 一种使用基于id的密码术进行网络和服务统一认证的方法
JP2000115161A (ja) 移動体匿名性を保護する方法
CN105141629A (zh) 一种基于WPA/WPA2 PSK多密码提升公用Wi-Fi网络安全性的方法
WO2015180399A1 (zh) 一种认证方法及装置系统
CN105591748B (zh) 一种认证方法和装置
CN101192927B (zh) 基于身份保密的授权与多重认证方法
CN102685742A (zh) 一种wlan接入认证方法和装置
Jain et al. Penetration Testing of Wireless EncryptionProtocols
Moroz et al. Methods for ensuring data security in mobile standards
CN109743716A (zh) 一种基于nfc的无线局域网络认证系统与方法
Liu et al. Extensible authentication protocols for IEEE standards 802.11 and 802.16
Gu et al. A green and secure authentication for the 4th generation mobile network
CN101730093A (zh) 安全切换方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant