论文部分内容阅读
[摘 要]在物联网飞速发展的现在,如何使传统的非物联网设备能够安全的接入物联网已经成为物联网研究的重要方向。本文主要针对WPA中对网络设备的接入认证流程进行研究改进,提出针对物联网设备的改进WPA流程,最后对其前景进行展望。
[关键词]WPA 物联网 网络层 改造
中图分类号:O856 文献标识码:A 文章编号:1009-914X(2016)04-0062-01
引言
物联网(IOT)即对物与物进行网络互联、信息交互和控制的网络。物联网由互联网发展而来,它将互联网中的终端设备由个人电脑和各类移动终端扩展到传统的非智能设备,使得各类设备更加智能化。
物联网的3层体系结构是现在最被认可的分层模型:感知层、传输层和应用层。处于在该体系结构中最底层的感知层由一系列的传感器构成,传感器会将如温度、湿度和酸碱度等信息编码后交由传输层传输,而应用层负责对数据进行处理。
众所周知,在网络技术飞速发展的今天,网络安全事件也多次出现,而物联网作为基于互联网发展起来的网络自然也面临着与互联网相同的安全问题。特别是物联网传输层的安全完全依赖于现有的网络安全策略。但是现在的物联网终端有其有别于pc的地方,很重要的一点在于PC还是有很多第三方安全软件支持,而现有物联网终端中的一部分是由現有电器加装控制模块组合而成,其运算和存储能力都远远弱于PC,所以,现行的物联网安全的重点应该放在网络层而非感知层。
一、WPA2的基本流程
Wi-Fi Protected Access是一种保护无线网络(WIFI)安全的系统,其流程如图1:
由于现有物联网接入设备参差不齐,如果允许所有的设备都接入的话,会造成较大的安全风险,例如,如果某些不法分子,很可能通过将假冒的物联网设备卖给用户(甚至送给用户),在设备接入后窃取用户信息,或者实施ARP攻击和DNS攻击等。特别是有可能会针对智能家居安防设备进行攻击,对用户的生命财产安全造成极大危害。
二、基于第三方认证的WPA在物联网网络层中的改造
传统的WPA如图1只是一种通过口令的两方认证协议,协议自身无法保证接入设备本身是否具有合法的身份。再此,笔者提出一种基于现有WPA的三方的物联网设备接入协议,以保证接入设备本身的合法性。
在原有的WPA-PSK中,接入设备与无线接入点之间需要经过4次握手:
第一次握手:接入点AP发送SSID,AP_MAC(接入点MAC地址)给接入设备。接入点使用passphrase0和SSID计算PMK,接入设备在接收到SSID和AP_MAC后,使用passphrase1和SSID计算PMK。
第二次握手:接入设备发送SNounce(接入设备随机数),Station_MAC(接入设备MAC地址)给接入点。接入点使用PMK,Station_MAC,AP_MAC,SNounce和ANounce(接入点随机数)计算PTK,取PTK前16位为MIC KEY。
第三次握手:接入点发送ANounce给接入设备。接入设备计算PTK,取PTK前16位为MIC KEY。接入设备使用MIC KEY,802.1x数据计算MIC。
第四次握手:接入设备发送802.1x数据和计算出的MIC给接入点。接入点使用第二次握手过程中计算的MIC KEY和获得的802.1x数据计算出MIC,。接入点比较MIC,和MIC,如果相同,则正确。
为了解决接入设备本身存在的风险,需要引入物联网设备认证服务器。
保持原有四次握手不变,在第二次握手后,接入点做以下处理:
第一步:连接P1= STATION_MAC||SNounce||AP_MAC||Systemtime;
使用AES加密P1,得C1=EK(P1);
使用物联网设备认证服务器的公钥PKAS对AES密钥K加密,表示为EPKAS(K);
使用SHA1对P1进行处理,表示为SHA1(P1),并使用接入点的公钥对其进行签名,表示为SignSKAP(SHA1(P1));
将(C1,EPKAS(K),SignSKAP(SHA1(P1)),AP的数字证书)发送给物联网设备认证服务器。
第二步:物联网设备认证服务器使用自身私钥解密EPKAS(K)得密钥K,再用K解密密文C1得到P1;
使用AP数字证书中的公钥验证签名SignSKAP(SHA1(P1));
签名验证通过后,将P1中的STATION_MAC||SNounce||AP_MAC||
Systemtime解开,首先验证STATION_MAC和AP_MAC是否为相关厂商已上报的设备MAC,若合法,验证STATION_MAC||SNounce||AP_MAC||Systemtime是否重复出现过。
第三步:若合法,连接P2=(P1||Systemtime||”legal”),并将相关信息添加入认证服务器;
若非法,连接P2=(P1||Systemtime||”illegal”);
使用SHA1对P2进行处理,表示为SignSKSP(SHA1(P2));
将(P2, SignSKSP(SHA1(P2)))发送给接入点AP;
第四步:接入点AP验证签名;
按照物联网认证服务器发送的信息,如果为合法,则进行第三次握手;
如果为非法,则结束握手,并将接入设备STATION_MAC列入黑名单。
三、结束语
物联网的安全问题威胁已经随着物联网的发展而越发凸显,传统的设备如何安全、经济的接入物联网已经成为需要仔细研究的课题。本文为保障接入设备和接入点的安全提出来一种思路,但是,如何去改进现有无线接入设备还需进一步研究。
参考文献:
[1] 赵伟艇,史玉珍. 基于802.11i的无线局域网安全加密技术研究[J].计算机工程与设计,2010,31(4).
[2] 高建华,鲁恩铭.无线局域网中WiFi安全技术研究[J].计算机安全,2013(4).
[3] 张筑生.物联网环境中的身份认证技术研究[D].北京:北京交通大学, 2011:18-22.
[4] 房沛荣,唐刚,程晓妮. WPA/WPA2协议安全性分析[J].软件,2015(1).
[5] 李益.张博. WLAN安全缺陷及解决方案的研究[J].信息安全与技术,2014,(7).
[关键词]WPA 物联网 网络层 改造
中图分类号:O856 文献标识码:A 文章编号:1009-914X(2016)04-0062-01
引言
物联网(IOT)即对物与物进行网络互联、信息交互和控制的网络。物联网由互联网发展而来,它将互联网中的终端设备由个人电脑和各类移动终端扩展到传统的非智能设备,使得各类设备更加智能化。
物联网的3层体系结构是现在最被认可的分层模型:感知层、传输层和应用层。处于在该体系结构中最底层的感知层由一系列的传感器构成,传感器会将如温度、湿度和酸碱度等信息编码后交由传输层传输,而应用层负责对数据进行处理。
众所周知,在网络技术飞速发展的今天,网络安全事件也多次出现,而物联网作为基于互联网发展起来的网络自然也面临着与互联网相同的安全问题。特别是物联网传输层的安全完全依赖于现有的网络安全策略。但是现在的物联网终端有其有别于pc的地方,很重要的一点在于PC还是有很多第三方安全软件支持,而现有物联网终端中的一部分是由現有电器加装控制模块组合而成,其运算和存储能力都远远弱于PC,所以,现行的物联网安全的重点应该放在网络层而非感知层。
一、WPA2的基本流程
Wi-Fi Protected Access是一种保护无线网络(WIFI)安全的系统,其流程如图1:
由于现有物联网接入设备参差不齐,如果允许所有的设备都接入的话,会造成较大的安全风险,例如,如果某些不法分子,很可能通过将假冒的物联网设备卖给用户(甚至送给用户),在设备接入后窃取用户信息,或者实施ARP攻击和DNS攻击等。特别是有可能会针对智能家居安防设备进行攻击,对用户的生命财产安全造成极大危害。
二、基于第三方认证的WPA在物联网网络层中的改造
传统的WPA如图1只是一种通过口令的两方认证协议,协议自身无法保证接入设备本身是否具有合法的身份。再此,笔者提出一种基于现有WPA的三方的物联网设备接入协议,以保证接入设备本身的合法性。
在原有的WPA-PSK中,接入设备与无线接入点之间需要经过4次握手:
第一次握手:接入点AP发送SSID,AP_MAC(接入点MAC地址)给接入设备。接入点使用passphrase0和SSID计算PMK,接入设备在接收到SSID和AP_MAC后,使用passphrase1和SSID计算PMK。
第二次握手:接入设备发送SNounce(接入设备随机数),Station_MAC(接入设备MAC地址)给接入点。接入点使用PMK,Station_MAC,AP_MAC,SNounce和ANounce(接入点随机数)计算PTK,取PTK前16位为MIC KEY。
第三次握手:接入点发送ANounce给接入设备。接入设备计算PTK,取PTK前16位为MIC KEY。接入设备使用MIC KEY,802.1x数据计算MIC。
第四次握手:接入设备发送802.1x数据和计算出的MIC给接入点。接入点使用第二次握手过程中计算的MIC KEY和获得的802.1x数据计算出MIC,。接入点比较MIC,和MIC,如果相同,则正确。
为了解决接入设备本身存在的风险,需要引入物联网设备认证服务器。
保持原有四次握手不变,在第二次握手后,接入点做以下处理:
第一步:连接P1= STATION_MAC||SNounce||AP_MAC||Systemtime;
使用AES加密P1,得C1=EK(P1);
使用物联网设备认证服务器的公钥PKAS对AES密钥K加密,表示为EPKAS(K);
使用SHA1对P1进行处理,表示为SHA1(P1),并使用接入点的公钥对其进行签名,表示为SignSKAP(SHA1(P1));
将(C1,EPKAS(K),SignSKAP(SHA1(P1)),AP的数字证书)发送给物联网设备认证服务器。
第二步:物联网设备认证服务器使用自身私钥解密EPKAS(K)得密钥K,再用K解密密文C1得到P1;
使用AP数字证书中的公钥验证签名SignSKAP(SHA1(P1));
签名验证通过后,将P1中的STATION_MAC||SNounce||AP_MAC||
Systemtime解开,首先验证STATION_MAC和AP_MAC是否为相关厂商已上报的设备MAC,若合法,验证STATION_MAC||SNounce||AP_MAC||Systemtime是否重复出现过。
第三步:若合法,连接P2=(P1||Systemtime||”legal”),并将相关信息添加入认证服务器;
若非法,连接P2=(P1||Systemtime||”illegal”);
使用SHA1对P2进行处理,表示为SignSKSP(SHA1(P2));
将(P2, SignSKSP(SHA1(P2)))发送给接入点AP;
第四步:接入点AP验证签名;
按照物联网认证服务器发送的信息,如果为合法,则进行第三次握手;
如果为非法,则结束握手,并将接入设备STATION_MAC列入黑名单。
三、结束语
物联网的安全问题威胁已经随着物联网的发展而越发凸显,传统的设备如何安全、经济的接入物联网已经成为需要仔细研究的课题。本文为保障接入设备和接入点的安全提出来一种思路,但是,如何去改进现有无线接入设备还需进一步研究。
参考文献:
[1] 赵伟艇,史玉珍. 基于802.11i的无线局域网安全加密技术研究[J].计算机工程与设计,2010,31(4).
[2] 高建华,鲁恩铭.无线局域网中WiFi安全技术研究[J].计算机安全,2013(4).
[3] 张筑生.物联网环境中的身份认证技术研究[D].北京:北京交通大学, 2011:18-22.
[4] 房沛荣,唐刚,程晓妮. WPA/WPA2协议安全性分析[J].软件,2015(1).
[5] 李益.张博. WLAN安全缺陷及解决方案的研究[J].信息安全与技术,2014,(7).