一种用户接入wlan的密钥协商方法及装置的制造方法
【技术领域】
[0001]本发明涉及WLAN领域,特别是一种用户接入WLAN的密钥协商方法及装置。
【背景技术】
[0002]WLAN以IEEE 802.11为基础,属于移动无线数据网络,用于“热点”场所通信,能够在较小的区域提供高带宽,典型的应用场景包括会议中心、机场、饭店、咖啡馆和娱乐场所等公共场所。
[0003]现行WLAN技术,按照是否在空口对通信数据进行加密,分为两类:一是不对空口加密的开放系统(Open System), 二是对空口加密的WEP (Wired Equivalent Privacy的缩写,有线等效保密)、WPA(W1-Fi Protected Access的缩写,W1-Fi保护访问)/WPA2,其中WEP(Wired Equivalent Privacy的缩写,有线等效协议)加密强度较低,WPA/WPA2的加密强度较高。
[0004]对于开放系统WLAN,用户在接入时不需要输入任何密码,即可连接到WLAN网络。对于WEP、WPA/WPA2方式加密的WLAN网络,需要事先向服务提供者索取预共享密钥PSK(Preshared Key的缩写,接入密码),并在接入时输入PSK才能使用WLAN服务。同一SSID (Service Set Identifier的缩写,服务集标识)的PSK是相同的,所以对于接入到同一SSID下的不同用户来说,PSK是共知的。
[0005]WEP的加密/解密流程如下:
[0006]1.利用PSK计算一个伪随机序列;
[0007]2.发送端将明文与伪随机序列进行异或操作,得到密文;
[0008]3.接收端将密文与伪随机序列进行异或操作,得到明文。
[0009]未加密的WLAN服务没有提供对通信数据的空口加密,由于无线信号本身的开放特性,任何第三方都可以使用简单的设备监听无线信号,窃取用户的通信数据,存在泄密风险。
[0010]WPA/WPA2的加密/解密流程如下:
[0011]1.生成主对称密钥PMK(Pairwise Master Key),生成方式有两种:一是以PSK为主要参数计算得到,二是在认证过程中生成,生成方法取决于认证方法;
[0012]2.由 PMK 计算得到对称传输密钥 PTK (Pairwise Transient Key);
[0013]3.对PTK进行分段,得到加密所需的多个加密密钥;
[0014]4.发送端利用加密密钥对明文进行加密;
[0015]5.接受端利用加密密钥对明文进行解密;
[0016]加密密钥生成过程中所需的参数,除了 PSK,均为已知固定值或在计算时通过空口协商而被监听到。因此只有PSK是加密密钥生成过程中唯一的安全因子。
[0017]采用WEP、WPA/WPA2方式加密的WLAN服务,用户需要向服务提供者索取PSK,否则无法使用WLAN服务。对于公共WLAN服务,用户可能不清楚如何获得PSK或不清楚如何配置密钥而放弃使用,用户体验不友好,不利于公共WLAN业务的推广。
[0018]采用WEP、WPA/WPA2方式进行加密的WLAN服务,对接入后的通信数据进行空口加密。对基于PSK生成PMK的情况,由于PSK是相同的,窃听者也能够通过合法渠道获得PSK,并通过监听获取生成加密密钥所需的其他参数,能够计算出用户的加密密钥,进而对窃听到的通信数据进行解密。WEP、WAP/WPA2方式无法真正实现通信数据的加密保护。
[0019]现有WLAN技术中,WEP、WPA/WPA2虽具备加密功能,但加密安全性差,且需要预共享密钥PSK,使用体验较差。都不适用于公共场所的WLAN服务。
[0020]综上所述,现有WLAN技术的问题是需要预先获取预共享密钥PSK,用户接入体验差,且通信数据加密依赖于共用的PSK,保密性差。
【发明内容】
[0021]本发明的目的在于提供一种用户接入WLAN的密钥协商方法及装置,解决用户接入WLAN环境时,索取接入密码的过程使得用户接入体验差的问题。
[0022]为了解决上述技术问题,本发明实施例提供的一种用户接入WLAN的密钥协商方法,应用于WLAN终端,其中,所述方法包括:
[0023]向WLAN接入的目标设备发送密钥协商请求,其中所述目标设备为无线访问节点AP或者与AP连接的密钥协商服务器;
[0024]获取到来自所述目标设备响应所述密钥协商请求的响应消息,其中所述响应消息中携带有WLAN接入的目标设备的公钥;
[0025]在收到所述响应消息后,随机生成临时密钥,将所述临时密钥利用所述公钥进行加密处理生成第一密文,并将所述第一密文发送至所述目标设备,其中所述临时密钥用于所述WLAN终端接入WLAN环境的密码;
[0026]根据所述临时密钥处理得到第一处理数值;
[0027]获取来自所述目标设备的第二处理数值,其中所述第二处理数值是所述目标设备根据所述第一密文中的临时密钥处理得到的数值;
[0028]若所述第一处理数值与获取到的所述第二处理数值相匹配时,向所述目标设备发送协商密钥成功的确认信息。
[0029]进一步的,所述向WLAN接入的目标设备发送密钥协商请求,具体为:
[0030]接收到探测响应Probe Response之后,向WLAN接入的目标设备发送密钥协商请求。
[0031]进一步的,所述在收到所述响应消息后,随机生成临时密钥,将所述临时密钥利用所述公钥进行加密处理生成第一密文,并将所述第一密文发送至所述目标设备的步骤包括:
[0032]获取所述Probe Response中的时间戮;
[0033]将所述临时密钥利用所述公钥进行加密处理生成第一密文,并将所述时间戳和所述第一密文给所述目标设备,其中所述时间戳用于所述目标设备对接收到的所述第一密文进行过滤处理。
[0034]其中,所述若所述第一处理数值与获取到的所述第二处理数值相匹配时,向所述目标设备发送协商密钥成功的确认信息之后,还包括:
[0035]根据所述临时密钥生成对所述WLAN终端与AP之间的通信数据进行加密/解密的加密密钥。
[0036]进一步的,若所述目标设备为与AP连接的密钥协商服务器时,所述向WLAN接入的目标设备发送密钥协商请求,具体为:
[0037]向与所述密钥协商服务器连接的AP发送密钥协商请求,通过所述AP将所述密钥协商请求转发给所述密钥协商服务器。
[0038]进一步的,所述根据所述临时密钥处理得到第一处理数值,具体为:
[0039]通过散列函数对所述临时密钥进行处理得到所述第一处理数值。
[0040]为了解决上述技术问题,本发明实施例还提供一种用户接入WLAN的密钥协商方法,应用于目标设备,其中所述目标设备为无线访问节点AP或者为与AP连接的密钥协商服务器,所述密钥协商方法包括:
[0041]接收来自WLAN终端的密钥协商请求后,向所述WLAN终端发送携带有WLAN接入的目标设备的公钥的响应消息;
[0042]获取所述WLAN终端发送的第一密文,其中所述第一密文是所述WLAN终端利用所述公钥对所述WLAN终端随机生成的临时密钥进行加密得到的,所述临时密钥用于所述WLAN终端接入WLAN环境的密码;
[0043]对所述第一密文中的临时密钥进行处理得到的第二处理数值;
[0044]将所述第二处理数值发送给所述WLAN终端,由所述WLAN终端对本地根据所述临时密钥生成的第一处理数值和接收的所述第二处理数值进行匹配处理,若所述第一处理数值与获取到的所述第二处理数值相匹配时,向WLAN终端生成并会发送协商密钥成功的确认信息;
[0045]获取所述WLAN终端发送的确认信息。
[0046]进一步的,若所述目标设备为密钥协商服务器时,相应的,所述接收来自WLAN终端的密钥协商请求后,向所述WLAN终端发送携带有WLAN接入的目标设备的公钥的响应消息的步骤包括:
[0047]接收通过与所述密钥协商服务器连接的AP转发的来自所述WLAN终端的密钥协商请求;
[0048]在接收到所述密钥协商请求后,向所述WLAN终端发送携带有WLAN接入的目标设备的公钥的响应消息。
[0049]进一步的,所述获取所述WLAN终端发送的第一密文的步骤包括:
[0050]获取所述WLAN终端发送的消息,所述消息包括:利用所述公钥对临时密钥加密的所述第一密文和所述终端接收到的探测请求Probe Request中的时间戳:
[0051]根据所述消息中的时间戳,对接收到的所述第一密文进行过滤处理。
[0052]进一步的,所述对所述第一密文中的临时密钥进行处理得到的第二处理数值,具体为:对所述第一密文进行解密处理得到所述临时密钥,并将所述临时密钥通过散列函数进行处理得到所述第二处理数值。
[0053]其中,若所述目标设备为密钥协商服务器时,相应的,所述发送所述第二处理数值后,获取所述WLAN终端确认过所述处理数值的协商密钥成功的确认信息之后,还包括:
[0054]所述密钥协商服务器向所述AP发送所述WLAN终端确认过的临时密钥。
[0055]相应的,为了解决上述技术问题,本发明实施例还提供一种用户接入WLAN的密钥协商装置,应用于WLAN终端,其中,所述密钥协商装置包括:
[0056]启动模块,用于向WLAN接入的目