一种基于NFC的无线局域网络认证系统与方法与流程

本发明涉及无线局域网络wlan(wirelesslocalareanetwork，无线局域网络)的身份认证领域，特别涉及一种基于nfc(nearfieldcommunication，近距离无线通信技术)的wlan认证系统与方法。

背景技术：

目前，无线局域网络wlan已经在家庭、企业等场所得到了广泛的应用。用户将无线局域网络接入点ap(wirelessaccesspoint，无线访问接入点)或无线路由器连接到有线网络，用户设备通过向无线局域网络接入点ap或无线路由器发送认证请求，通过认证的用户设备即可方便地访问网络。目前无线局域网络接入点ap或无线路由器提供了wep(wiredequivalentprivacy，有线等效保密)、wpa/wpa2(wi-fiprotectedaccess，无线网络安全接入)、wps(wi-fiprotectedsetup，wi-fi保护设置)等安全模式。无线局域网络接入点ap或无线路由器应用上述模式，可以使拥有无线局域网络接入点ap或无线路由器的psk(pre-sharedkey,预共享密钥)或pin码的用户在认证过程中能够通过认证，获得会话密钥，最终使用户能够安全的访问网络。不具有psk或pin码的非法用户则无法通过认证。同时，在设置psk时，用户设置的psk越复杂，无线局域网络接入点ap或无线路由器的安全性越高。

用户在使用移动终端设备与公众场所或家庭提供的无线局域网络进行连接时，需要提供无线局域网络接入点ap或无线路由器提供的psk或pin码,作为合法用户的认证依据。但psk或是pin码容易通过共享的方式被他人获得。在获得无线局域网络接入点ap或无线路由器的psk或pin码的前提下，攻击者可以通过窃听的方式计算得到用户通信过程中使用的临时密钥，从而解密用户的通信数据。即上述技术未能解决psk的及时自动更新与一次一密问题，未能解决不同用户的通信信道隔离问题。

除此之外，一些攻击者常在公众场所放置隐蔽的非法无线局域网络接入点ap或无线路由器，通过配置非法无线局域网络接入点ap或无线路由器的ssid(servicesetidentifier，服务集标识)，与公众场所提供的无线局域网络接入点ap或无线路由器的ssid相似或相同。让用户无法区分合法与非法的无线局域网络接入点ap或无线路由器，部分用户可能无意识的接入非法无线局域网络接入点ap或无线路由器从而使自己的用户数据被窃取，或通过用户提供的合法无线局域网络接入点ap或无线路由器的psk窃取合法无线局域网络接入点ap或无线路由器的psk。

并且用户在使用用户终端设备向无线局域网络接入点ap或无线路由器认证时，需要通过手动的方式输入psk或是pin码，增加了用户的操作负担。对于一些不具备较大尺寸的输入终端设备，输入psk或是pin码的过程对于用户来说将变得更加复杂与难操作。

目前nfc技术得到了广泛的应用，基于rfid(radiofrequencyidentification，射频识别)技术的nfc具备通信距离短，安全性相对较高的特点，目前在支付领域已经得到了广泛的应用，将该技术应用于无线局域网络的认证过程中，将极大程度的增强认证过程的安全性。

技术实现要素：

本发明要解决的技术问题是提供一种基于nfc的无线局域网络wlan的认证系统与方法，实现用户设备在向无线局域网络接入点ap或无线路由器认证的过程中，免去用户的手动输入认证psk或pin码的过程，有效的降低了用户的操作负担。同时用户设备在向无线局域网络接入点ap或无线路由器认证时，可以解决psk的自动更新与一次一密问题。实现无线局域网络接入点ap或无线路由器与用户终端的双向认证，避免用户设备接入非法无线局域网络接入点ap或无线路由器以及无线局域网络接入点ap或无线路由器被非法用户设备接入。

为实现上述目的，本发明提供一种基于nfc的无线局域网络wlan的认证系统，包括无线局域网络接入点ap或无线路由器、认证设备和用户设备。

所述用户设备具有wifi通信模块与nfc通信模块。wifi通信模块用于与无线局域网络接入点ap或路由器的wifi通信模块进行通信；nfc通信模块用于与认证设备的nfc通信模块进行通信。

所述认证设备具有wifi通信模块与nfc通信模块，wifi通信模块用于与无线局域网络接入点ap或路由器的wifi通信模块进行通信；nfc通信模块用于与用户设备的nfc通信模块进行通信。

所述无线局域网络接入点ap或无线路由器具有wifi通信模块，用于与认证设备的wifi通信模块、用户设备的wifi通信模块进行通信。

进一步地，所述认证设备与无线局域网络接入点ap或无线路由器通信的数据通过对称密钥进行加密、解密。密钥e预先存储在认证设备以及无线局域网络接入点ap或无线路由器中。

进一步地，所述无线局域网络接入点ap或无线路由器中预先存储有认证设备信息。

针对上述设备与模块，本发明提供一种基于nfc的无线局域网络wlan认证方法，应用于具有上述结构的无线局域网络wlan认证系统中，本发明的无线局域网络wlan认证系统中，认证设备为本发明特有的装置。

所述方法包括以下步骤：

s1.用户设备通过自身的nfc通信模块向认证设备的nfc通信模块发送认证请求以及用户设备信息；

s2.认证设备通过自身的nfc通信模块接受步骤s1中用户设备nfc通信模块发送的用户设备信息，通过密钥e加密认证设备信息、用户设备信息，获得加密信息c1，将加密信息c1以及无线局域网络接入点ap或无线路由器信息通过自身的nfc通信模块发送至用户设备的nfc通信模块；

s3.用户设备通过自身的nfc通信模块接受步骤s2中认证设备的nfc通信模块发送的加密信息c1以及无线局域网络接入点ap或无线路由器信息，通过自身的wifi通信模块向无线局域网络接入点ap或无线路由器发送认证请求以及加密信息c1；

s4.无线局域网络接入点ap或无线路由器通过自身的wifi通信模块接收步骤s3中用户设备的wifi通信模块发送的加密信息c1，通过密钥e，解密加密信息c1，获得认证设备信息、用户设备信息；对比获得的认证设备信息与预先存储的认证设备信息是否匹配，如果不匹配，则向用户设备发送拒绝用户设备接入的响应；否则通过密钥e加密用户设备信息，获得加密信息c2，根据认证设备信息，向指定认证设备发送加密信息c2。

s5.认证设备通过自身的wifi模块接受步骤s4中无线局域网络接入点ap或无线路由器发送的加密信息c2。通过密钥e解密加密信息c2，获得用户设备信息，通过对比步骤s2与步骤s5中的用户设备信息，如果相同，通过密钥e加密认证通过结果与临时会话密钥，获得加密后的结果信息c3，通过wifi通信模块将加密的结果信息c3发送至无线局域网络接入点ap或无线路由器，通过nfc通信模块发送临时会话密钥至用户设备的nfc通信模块；如果不相同，通过密钥e加密认证失败结果，获得加密后的结果信息c3，通过wifi通信模块将加密的结果信息发送至无线局域网络接入点ap或无线路由器。

s6.无线局域网络接入点ap或无线路由器通过wifi通信模块接受步骤s5中认证设备发送的加密的结果信息c3，通过密钥e，解密结果信息，获得认证结果，认证通过，则通过wifi通信模块向用户设备发送认证通过结果，否则向用户设备发送认证不通过结果；

进一步地，步骤s1中用户设备通过自身的nfc通信模块向认证设备的nfc通信模块发送的用户设备信息中包括用户设备的mac地址信息、随机生成的信息；

进一步地，步骤s2中认证设备通过密钥e加密的认证设备信息为无线局域网络接入点ap或无线路由器中预先存储的认证设备信息。

与现有技术相比，本发明的优点在于：本发明不但能够保证用户设备在连接无线局域网络接入点ap或无线路由器时，避免繁琐的连接过程，简化了用户设备认证的过程。同时，还能够实现，用户连接过程中的一次一密，防止用户设备的会话密钥被窃听，保证了用户设备与无线局域网络接入点ap或无线路由器的安全。

附图说明

图1是本发明认证系统结构示意图

图2是本发明认证系统认证过程流程图

具体实现方式

以下通过特定的实例说明本发明的实施方式。

图1是本发明认证系统结构示意图。所述无线局域网络接入点ap1具有wifi通信模块2，wifi通信模块2与用户设备3的wifi通信模块4以及认证设备6的wifi通信模块7进行通信；所述用户设备3具有wifi通信模块4与nfc通信模块5，wifi通信模块4用于与无线局域网络接入点ap1的wifi通信模块2进行通信；nfc通信模块5用于与认证设备6的nfc通信模块8进行通信。所述认证设备6具有wifi通信模块7与nfc通信模块8，wifi通信模块7用于与无线局域网络接入点ap1的wifi通信模块2进行通信；nfc通信模块8用于与用户设备3的nfc通信模块5进行通信。所述认证设备6与无线局域网络接入点ap1通信的数据通过对称密钥进行加密，密钥e存储在认证设备6以及无线局域网络接入点ap1中。所述无线局域网络接入点ap1中含有认证设备6的认证设备信息。

图2是本发明认证系统认证过程流程图。如图所示，本发明的认证方法的具体步骤为：

s1.用户设备3通过自身的nfc通信模块5向认证设备6的nfc通信模块8发送认证请求以及用户设备信息；

s2.认证设备6通过自身的nfc通信模块8接受步骤s1中用户设备3的nfc通信模块5发送的用户设备信息，通过密钥e加密认证设备信息、用户设备信息，获得加密信息c1，将加密信息c1以及无线局域网络接入点ap1信息通过自身的nfc通信模块8发送至用户设备3的nfc通信模块5；

s3.用户设备3通过自身的nfc通信模块5接受步骤s2中认证设备6的nfc通信模块8发送的加密信息c1以及无线局域网络接入点ap1信息，通过自身的wifi通信模块4向无线局域网络接入点ap1的wifi通信模块2发送认证请求以及加密信息c1；

s4.无线局域网络接入点ap1通过自身的wifi通信模块2接收步骤s3中用户设备3的wifi通信模块4发送的加密信息c1，通过密钥e，解密加密信息c1，获得认证设备信息、用户设备信息；对比获得的认证设备信息与预存储的认证设备信息是否匹配，如果不匹配，则向用户设备3的wifi通信模块4发送拒绝用户设备接入的响应，结束请求过程；否则通过密钥e加密用户设备信息，获得加密信息c2，根据认证设备信息，向指定认证设备6发送加密信息c2。

s5.认证设备6通过自身的wifi通信模块7接受步骤s4中无线局域网络接入点ap1发送的加密信息c2。通过密钥e解密加密信息c2，获得用户设备信息，通过对比步骤s2与步骤s5中的用户设备信息，如果相同，通过密钥e加密认证通过结果与临时会话密钥，获得加密后的结果信息c3，通过wifi通信模块7将加密的结果信息c3发送至无线局域网络接入点ap1的wifi通信模块2，通过nfc通信模块8发送临时会话密钥至用户设备3的nfc通信模块5；如果不相同，通过密钥e加密认证失败结果，获得加密后的结果信息c3，通过wifi通信模块7将加密的结果信息发送至无线局域网络接入点ap1的wifi通信模块2。

s6.无线局域网络接入点ap1通过wifi通信模块2接受步骤s5中认证设备6的wifi通信模块7发送的加密的结果信息c3，通过密钥e，解密结果信息，获得认证结果，认证通过，则通过wifi通信模块2向用户设备3的wifi通信模块4发送认证通过结果，否则向用户设备3的wifi通信模块4发送认证不通过结果。

进一步地，步骤s1中用户设备3通过自身的nfc通信模块5向认证设备6的nfc通信模块8发送的用户设备信息中包括用户设备3的mac地址信息、随机生成的信息；

进一步地，步骤s2中认证设备6通过密钥e加密的认证设备信息为无线局域网络接入点ap1中预先存储的认证设备信息。