李云 陳龐森 孫山林

摘要：針對(duì)基于近場(chǎng)通信（NFC）認(rèn)證的無(wú)線(xiàn)局域網(wǎng)（WLAN）無(wú)線(xiàn)接入?yún)f(xié)議點(diǎn)對(duì)點(diǎn)通信模式存在的問(wèn)題，如明文傳輸、用戶(hù)接入匿名性、數(shù)據(jù)易于被竊聽(tīng)、易于被篡改等，提出基于NFC認(rèn)證的WLAN無(wú)線(xiàn)接入?yún)f(xié)議安全性的設(shè)計(jì)。該協(xié)議采用DiffieHellman 密鑰交換算法與第二代安全散列算法（SHA）建立安全隧道來(lái)完成隨機(jī)信息的交換；采用橢圓曲線(xiàn)數(shù)字簽名算法來(lái)消除用戶(hù)的匿名性。從協(xié)議需求分析、架構(gòu)設(shè)計(jì)與協(xié)議時(shí)序步驟三個(gè)方面入手，給出了一個(gè)計(jì)算機(jī)上的原型實(shí)現(xiàn)。通過(guò)有色Petri網(wǎng)（CPN）建模，實(shí)驗(yàn)仿真結(jié)果表明：基于NFC認(rèn)證的WLAN接入?yún)f(xié)議對(duì)于無(wú)線(xiàn)局域網(wǎng)的非法接入攻擊與竊聽(tīng)攻擊有著良好的抵抗效果。

關(guān)鍵詞：

近場(chǎng)通信；無(wú)線(xiàn)局域網(wǎng)；有色Petri網(wǎng)；橢圓曲線(xiàn)數(shù)字簽名算法

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)志碼：A

Abstract：Aiming at the problems existing in pointtopoint communication model of Wireless Local Area Network （WLAN） protocol via Near Field Communication （NFC） authentication， such as plaintext transferring， users anonymous access， data being easily tapped and tampered， a security design of WLAN protocol via NFC was put forward. The security tunnel was built using DiffieHellman key exchange algorithm and second generation Secure Hash Algorithm （SHA） to transfer the random information， and the users anonymity was eliminated using Elliptic Curve Digital Signature Algorithm （ECDSA）. A prototype implementation on computer was given from requirement analysis， architecture design and sequence steps of the protocol. The experimental results by using Colored Petri Net （CPN） modeling show that the proposed protocol can execute stably and deal with the unauthorized access and eavesdropping problems of WLAN.

Key words：Near Field Communication （NFC）； Wireless Local Area Network （WLAN）； Colored Petri Net （CPN）； Elliptic Curve Digital Signature Algorithm （ECDSA）

0 引言

無(wú)線(xiàn)局域網(wǎng)（Wireless Local Area Network， WLAN）具有傳輸速率高、使用靈活等特性。目前，WLAN在大學(xué)校園、公共場(chǎng)所和企業(yè)等得到了一定應(yīng)用。未來(lái)具有多跳功能的WLAN將會(huì)在一些特定的應(yīng)用領(lǐng)域變得越來(lái)越普及，如無(wú)線(xiàn)城市、無(wú)線(xiàn)校園等。然而，無(wú)線(xiàn)傳輸介質(zhì)的開(kāi)放接入特性，使WLAN的安全性成為一個(gè)亟待解決的問(wèn)題，特別是在重要的國(guó)家安全機(jī)構(gòu)，解決無(wú)線(xiàn)局域網(wǎng)的安全問(wèn)題迫在眉睫[1-3]。WLAN的認(rèn)證協(xié)議主要有有線(xiàn)等效保密協(xié)議（Wired Equivalent Privacy， WEP）、WiFi網(wǎng)絡(luò)安全接入（WiFi Protected Access/ WiFi Protected Access2PreShared Key， WPA/WPA2PSK）、WiFi保護(hù)設(shè)置（WiFi Protected Setup， WPS）三種[4-6]。然而，WLAN中的三種認(rèn)證協(xié)議都有自身的缺陷。例如：在WEP認(rèn)證過(guò)程中，RC4算法常常作為數(shù)據(jù)加密算法。然而，這種加密算法的弱點(diǎn)是當(dāng)收集足夠的初始向量（Initialization Vector，IV）與RC4字節(jié)流的第一個(gè)字節(jié)時(shí)，key就可以被獲取[7]。WPA/WPA2PSK認(rèn)證方式使用較為廣泛，目前也較為安全；但是，在預(yù)共享密鑰（PreShared Key， PSK）不是足夠長(zhǎng)的情況下，如果能夠收集用戶(hù)在初始認(rèn)證時(shí)的四次握手包，用字典攻擊或暴力猜解等方法就可以在等待的時(shí)間內(nèi)破解PSK[8]。在WPA/WPA2PSK的基礎(chǔ)上，文獻(xiàn)[9]提出WPS認(rèn)證方式；然而，這種認(rèn)證方式無(wú)法用制度或者規(guī)則去判斷獲得PSK的用戶(hù)的合法性。

針對(duì)以上的問(wèn)題，本文提出基于近場(chǎng)通信（Near Field Communication， NFC）認(rèn)證的WLAN無(wú)線(xiàn)接入?yún)f(xié)議。NFC是一種工作頻率為13.56MHz，工作距離只有0～20cm（實(shí)際產(chǎn)品大部分都在10cm以?xún)?nèi)）的近距離無(wú)線(xiàn)通信技術(shù)，允許電子設(shè)備通過(guò)簡(jiǎn)單觸碰的方式完成信息交換及內(nèi)容與服務(wù)的訪(fǎng)問(wèn)。NFC技術(shù)已經(jīng)應(yīng)用到文件傳輸、移動(dòng)支付、智能海報(bào)等領(lǐng)域[10-11]。NFC由三種工作模式構(gòu)成，分別是卡模式、標(biāo)簽讀寫(xiě)模式以及用于高級(jí)協(xié)議通信的點(diǎn)對(duì)點(diǎn)模式。本文提出基于NFC認(rèn)證的WLAN無(wú)線(xiàn)接入?yún)f(xié)議是基于點(diǎn)對(duì)點(diǎn)模式上開(kāi)發(fā)的協(xié)議。然而，NFC的點(diǎn)對(duì)點(diǎn)模式在交互過(guò)程中也存在竊聽(tīng)的問(wèn)題。文獻(xiàn)[12]闡述在10m距離內(nèi)，NFC的點(diǎn)對(duì)點(diǎn)模式的數(shù)據(jù)可以被竊聽(tīng)。文獻(xiàn)[13]描述了在NFC點(diǎn)對(duì)點(diǎn)的工作模式中，數(shù)據(jù)常常被篡改；雖然采用波特率為106Kb/s的主動(dòng)通信方式有效地避免了數(shù)據(jù)篡改，但是，這種方式非常易于受中間人攻擊。

為提高NFC接入WLAN協(xié)議的安全性，本文采用DiffieHellman密鑰交換算法與第二代安全散列算法（Secure Hash Algorithm，SHA）建立基于NFC協(xié)議棧的安全隧道來(lái)完成隨機(jī)信息的交換。由于接入用戶(hù)存在匿名性等不安全隱患，本文采用橢圓曲線(xiàn)數(shù)字簽名算法（Elliptic Curve Digital Signature Algorithm， ECDSA）來(lái)消除用戶(hù)身份的匿名性。最后，采用有色Petri網(wǎng)（Colored Petri Net， CPN）建模，在協(xié)議需求分析與架構(gòu)設(shè)計(jì)的基礎(chǔ)上，給出了一個(gè)計(jì)算機(jī)上的原型實(shí)現(xiàn)。仿真驗(yàn)證表明，基于NFC認(rèn)證的WLAN接入?yún)f(xié)議對(duì)于無(wú)線(xiàn)局域網(wǎng)的非法接入攻擊與竊聽(tīng)攻擊有著良好的抵抗效果，協(xié)議本身也可以抵抗針對(duì)近場(chǎng)通信的竊聽(tīng)攻擊、數(shù)據(jù)篡改攻擊、重放攻擊和中間人攻擊。

1 建立安全隧道算法與消除匿名性算法

針對(duì)企業(yè)等人員流動(dòng)相對(duì)緩慢，上網(wǎng)人群相對(duì)固定，但保密意識(shí)較差的應(yīng)用場(chǎng)景，本文提出基于NFC認(rèn)證的WLAN接入?yún)f(xié)議，實(shí)現(xiàn)較好的安全性接入。該協(xié)議利用DiffieHellman密鑰交換算法和第二代SHA建立安全隧道傳遞預(yù)共享密鑰，同時(shí)利用ECDSA消除在DiffieHellman密鑰交換算法中的匿名性問(wèn)題，并對(duì)每個(gè)用戶(hù)進(jìn)行一次上網(wǎng)權(quán)限的初始化。

1.1 DiffieHellman密鑰交換算法與SHA

DiffieHellman密鑰交換算法是Whitefield與Martin Hellman在1976年提出了一個(gè)奇妙的密鑰交換協(xié)議，它可以確保預(yù)共享密鑰安全的穿過(guò)不安全的網(wǎng)絡(luò)。SHA主要適用于數(shù)字簽名標(biāo)準(zhǔn)（Digital Signature Standard，DSS）里面定義的數(shù)字簽名算法（Digital Signature Algorithm，DSA）。SHA是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所發(fā)布的國(guó)家標(biāo)準(zhǔn)FIPS PUB 180，最新的標(biāo)準(zhǔn)已經(jīng)于2008年更新到FIPS PUB 1803。其中規(guī)定了SHA1、SHA224、SHA256、SHA384和SHA512這幾種單向散列算法。本文利用DiffieHellman密鑰交換算法和第二代SHA建立安全隧道完成預(yù)共享密鑰的傳遞。

在基于NFC認(rèn)證的WLAN接入?yún)f(xié)議中，首先本文需要建立安全的通信隧道。本文主要提出了采用DiffieHellman密鑰交換算法和第二代SHA來(lái)實(shí)現(xiàn)。步驟如下：

在各自計(jì)算出K之后，Alice作為NFC會(huì)話(huà)的Initiator在用戶(hù)設(shè)備（Station， STA）中生成一段隨機(jī)的INounce，通過(guò)Trans Alice變遷發(fā)送到接入點(diǎn)設(shè)備（Access Device，AP），即NFC會(huì)話(huà)中的Target。

AP接收到INounce之后，生成隨機(jī)的TNounce，通過(guò)Trans AP變遷發(fā)送至STA；同時(shí)，Target的NFCID3在通過(guò)近距離碰觸建立NFC會(huì)話(huà)時(shí)，已經(jīng)由Target傳遞向Initiator。TNounce與NFCID3，經(jīng)由Trans AP變遷完成傳送。

隨后，在CPN模型中的Hash變遷中，Alice與AP各自使用和第二代SHA的SHA256算法利用式（6）計(jì)算生成KEY：

KEY=SHA2（INounce：NFCID3：K：TNounce）（6）

KEY是用于高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）加解密算法的AES 256位對(duì)稱(chēng)密鑰。由于雙方都采用了相同的算法，因而雙方計(jì)算出的KEY是相同的，計(jì)算AES 256位對(duì)稱(chēng)密鑰中的基礎(chǔ)元素K是通過(guò)DiffieHellman算法各自計(jì)算生成的，攻擊者（Eve）無(wú)法截獲K。因而盡管Eve能夠及時(shí)截獲INounce、TNounce和NFCID3，也會(huì)因?yàn)槿鄙貹無(wú)法用Hash函數(shù)計(jì)算出正確的AES 256位對(duì)稱(chēng)密鑰，即CPN模型中的AES KEY。

在得出AES 256位對(duì)稱(chēng)密鑰之后，基于NFC的安全信道已經(jīng)成功建立。但是，此信道卻是匿名的。對(duì)于接入請(qǐng)求而言，需要使用ECDSA證書(shū)對(duì)用戶(hù)的身份進(jìn)一步認(rèn)證。

1.2 橢圓曲線(xiàn)數(shù)字簽名算法橢圓曲線(xiàn)

ECDSA是使用橢圓曲線(xiàn)對(duì)數(shù)字簽名算法（DSA）的模擬，它先后成為ANSI（American National Standards Institute）、NIST（National Institute of Standards and Technology）、IEEE和ISO的標(biāo)準(zhǔn)。與普通的離散對(duì)數(shù)問(wèn)題和因數(shù)分解問(wèn)題不同，橢圓曲線(xiàn)離散對(duì)數(shù)問(wèn)題沒(méi)有已知的亞指數(shù)算法，所以使用橢圓曲線(xiàn)的算法在密鑰的位強(qiáng)度是足夠高的。

用戶(hù)可以通過(guò)軟件算法生成用于認(rèn)證的ECDSA公鑰，產(chǎn)生認(rèn)證公鑰的主要目的是消除用戶(hù)身份的匿名性。在用戶(hù)使用自身的設(shè)備或公司提供的電腦生成ECDSA密鑰對(duì)之后，需要將ECDSA公鑰當(dāng)場(chǎng)提交給WLAN管理員以申請(qǐng)上網(wǎng)權(quán)限，因?yàn)檫@個(gè)過(guò)程是由WLAN管理員當(dāng)面認(rèn)證的，因而可以保證ECDSA證書(shū)的絕對(duì)可信性。由于協(xié)議采用了公鑰密碼證書(shū)體制，合法用戶(hù)也可以通過(guò)向主管領(lǐng)導(dǎo)申請(qǐng)證書(shū)簽名的方式來(lái)增強(qiáng)申請(qǐng)者的可信性。這樣，領(lǐng)導(dǎo)對(duì)證書(shū)簽署電子簽名即表示上級(jí)同意了該申請(qǐng)者的聯(lián)網(wǎng)申請(qǐng)，這與組織機(jī)構(gòu)的權(quán)力控制機(jī)制保持了一致。此時(shí)，對(duì)ECDSA證書(shū)進(jìn)行簽名的主管領(lǐng)導(dǎo)必須對(duì)申請(qǐng)者的合法性審核負(fù)全責(zé)。

同時(shí)使用ECDSA證書(shū)對(duì)AES密鑰進(jìn)行簽名具備四個(gè)好處：一是NFC協(xié)議被設(shè)計(jì)為近距離低速數(shù)據(jù)傳輸協(xié)議，AES是雙方各自計(jì)算得出的，對(duì)AES進(jìn)行簽名可以利用現(xiàn)有的數(shù)據(jù)減少一次協(xié)議數(shù)據(jù)的傳輸，進(jìn)而減少用戶(hù)等待時(shí)間。二是前面所述步驟有極低的概率因?yàn)橛?jì)算機(jī)故障導(dǎo)致計(jì)算出不一致的AES 256位對(duì)稱(chēng)密鑰。通過(guò)公鑰簽名進(jìn)行驗(yàn)證可以檢驗(yàn)并確定AES對(duì)稱(chēng)密鑰的一致性。三是ECDSA公鑰密碼體制足夠安全，即使簽名在E3區(qū)域被Eve竊聽(tīng)，也不足以通過(guò)簽名反向破解出AES對(duì)稱(chēng)密鑰。四是通過(guò)對(duì)AES簽名的驗(yàn)證，可以避免中間人攻擊。這樣就解決了NFC的竊聽(tīng)、中間人攻擊問(wèn)題。

2 基于NFC認(rèn)證的WLAN無(wú)線(xiàn)接入?yún)f(xié)議設(shè)計(jì)

基于NFC認(rèn)證的WLAN無(wú)線(xiàn)接入?yún)f(xié)議設(shè)計(jì)，本文從協(xié)議需求、架構(gòu)設(shè)計(jì)和協(xié)議具體步驟三個(gè)方面分別進(jìn)行闡述。

2.1 協(xié)議需求

基于NFC認(rèn)證的WLAN接入?yún)f(xié)議，本文采用WAVNAP（WLAN Access Via NFC Authentication Protocol）作為標(biāo)識(shí)。

由于基于NFC認(rèn)證的WLAN接入?yún)f(xié)議涉及了較多的算法，因此本協(xié)議對(duì)其他組件庫(kù)有較多的依賴(lài)。必備庫(kù)的依賴(lài)關(guān)系如圖1所示。

組件中的libnfc是用于實(shí)現(xiàn)NFC點(diǎn)對(duì)點(diǎn)模式通信的核心庫(kù)。libnfc在點(diǎn)對(duì)點(diǎn)模式中提供了對(duì)近場(chǎng)通信接口和協(xié)議（Near Field Communication Interface and Protocol，NFCIP1）及邏輯鏈路控制協(xié)議（Logical Link Control Protocol， LLCP）的支持，同時(shí)它也支持卡模擬模式和讀寫(xiě)模式；并且在實(shí)現(xiàn)驅(qū)動(dòng)原型時(shí)所采用的PN532芯片也需要libnfc中的pn532_uart驅(qū)動(dòng)程序支持。本文采用的libnfc版本是1.7.0，該版本需要配置環(huán)境變量以支持對(duì)PN532芯片的自動(dòng)加載。

Wpa_supplicant是GNU/Linux操作系統(tǒng)下的常用于WPA/WPA2連接網(wǎng)絡(luò)的服務(wù)程序，可以通過(guò)解析配置文件的方式連接到不同的網(wǎng)絡(luò)。因此，在實(shí)現(xiàn)時(shí)需驅(qū)動(dòng)wpa_supplicant以連接相應(yīng)的網(wǎng)絡(luò)。

hostapd是GNU/Linux操作系統(tǒng)下常用的軟AP驅(qū)動(dòng)程序，它可以支持master模式的網(wǎng)卡充當(dāng)接入點(diǎn)，也支持以配置文件的方式進(jìn)行設(shè)置。這為動(dòng)態(tài)地設(shè)置擴(kuò)展服務(wù)集標(biāo)識(shí)（Extended Service Set Identifier，ESSID）與PSK提供了便利，也減少了購(gòu)置專(zhuān)業(yè)可編程AP的資金需求。

libgcrypt是GNU/Linux系統(tǒng)中最常用的密碼學(xué)算法庫(kù)。它提供了AES、ECDSA、ECDH、DSA、RSA、DES等幾乎所有已公開(kāi)的密碼學(xué)算法的實(shí)現(xiàn)。著名的密鑰管理軟件GNU PG就是依賴(lài)于libgcrypt實(shí)現(xiàn)的。這為本文解決ECDSA與AES的計(jì)算需求提供了便捷。

DB是數(shù)據(jù)庫(kù)開(kāi)發(fā)組件，本文采用的是PostgreSQL數(shù)據(jù)庫(kù)，libpq是程序庫(kù)，用于連接數(shù)據(jù)庫(kù)并存儲(chǔ)用戶(hù)的公鑰信息。

此外，本文還實(shí)現(xiàn)了如下功能：大質(zhì)數(shù)的生成，可以采用從Linux隨機(jī)設(shè)備/dev/urandom中讀取，隨后通過(guò)自行實(shí)現(xiàn)的MillerRabin素?cái)?shù)測(cè)試來(lái)實(shí)現(xiàn)；而DiffieHellman算法，由于沒(méi)有現(xiàn)成的算法可以使用，也需要由軟件自行實(shí)現(xiàn)，在必要的情況下，也可以選配GNU高精度庫(kù)（GNU MultiPrecision， GMP）來(lái)輔助實(shí)現(xiàn)。

在完成上述庫(kù)的編譯與安裝之后，即可對(duì)協(xié)議整體進(jìn)行架構(gòu)設(shè)計(jì)。

2.2 架構(gòu)設(shè)計(jì)

協(xié)議實(shí)現(xiàn)分為兩個(gè)部分，分別是用于STA/Alice/Initiator的WAVNAPSTA和用于AP/Bob/Target的WAVNAPAP。

本協(xié)議屬于空中認(rèn)證協(xié)議，由于WAVNAPSTA與WAVNAPAP扮演的角色不同，并且二者之間的行為存在明顯的差異，因此協(xié)議的整體架構(gòu)需要針對(duì)WAVNAPSTA與WAVNAPAP分別進(jìn)行設(shè)計(jì)。

對(duì)于WAVNAPSTA部分，用類(lèi)WAVNAP_STA作為對(duì)外接口，如圖2所示。因?yàn)镈iffieHellman加密算法的相關(guān)運(yùn)算需要完全由自己來(lái)實(shí)現(xiàn)，所以需要構(gòu)建專(zhuān)門(mén)用于計(jì)算DiffieHellman數(shù)據(jù)的DH類(lèi)。DH類(lèi)的init調(diào)用用于生成式（1）中p與a，并按照式（1）計(jì)算出A；init_p調(diào)用則在已知p的基礎(chǔ)上生成式（2）中的b，并按照式（2）生成B；最后genK調(diào)用則可以由A與b按照式（3）生成K或由B與a按照式（4）生成K。DH類(lèi)中的類(lèi)型mpz_t是高精度整數(shù)類(lèi)型。

DiffieHellman算法需要對(duì)素?cái)?shù)進(jìn)行冪及模運(yùn)算，所以針對(duì)素?cái)?shù)方面的運(yùn)算，本文專(zhuān)門(mén)設(shè)計(jì)了Prime類(lèi)。Prime類(lèi)主要用于生成素?cái)?shù)，進(jìn)行millerrabin素?cái)?shù)測(cè)試等工作。密碼學(xué)的算法多數(shù)基于大素?cái)?shù)，因而必須要使用高精度整數(shù)類(lèi)型mpz_t來(lái)存儲(chǔ)這些數(shù)字。

在生成K結(jié)束之后，WAVNAPSTA與WAVNAPAP進(jìn)行了數(shù)據(jù)交互，隨后需要計(jì)算SHA2256以生成AES對(duì)稱(chēng)密鑰，相關(guān)的算法實(shí)現(xiàn)在SHA2類(lèi)中。實(shí)際上SHA2類(lèi)僅是一個(gè)接口，最后真正調(diào)用的是libgcrypt中預(yù)先實(shí)現(xiàn)好的庫(kù)函數(shù)。

此后的鑒權(quán)則需要用到ECDSA簽名算法和驗(yàn)證簽名算法，在版本大于1.5.0的libgcrypt中提供了對(duì)于ECDSA這兩類(lèi)算法的實(shí)現(xiàn)。ECDSA接口提供了對(duì)libgcrypt的調(diào)用，除此之外也可以采用自行實(shí)現(xiàn)的ECDSA進(jìn)行簽名或者驗(yàn)證簽名。這個(gè)接口需要將文本型的密鑰信息與簽名信息轉(zhuǎn)化為libgcrypt需求的形式，并進(jìn)行調(diào)用。

通過(guò)AES進(jìn)行PSK配置信息的傳遞，需要用到AES算法，在WAVNAPSTA中需要用到AES中的decrypt調(diào)用。而decrypt調(diào)用需要用到具體的AES解密算法，這需要調(diào)用libgcrypt庫(kù)中相關(guān)的函數(shù)。

在接收到PSK后，WAVNAPSTA就可以通過(guò)STA類(lèi)設(shè)置essid與psk，并通過(guò)connect連接到AP。connect調(diào)用的主要功能是實(shí)現(xiàn)生成wpa_supplicant的配置文件，并通過(guò)執(zhí)行wpa_supplicant發(fā)起WPA/WPA2認(rèn)證。私鑰信息在STA上以文件的形式存儲(chǔ)即可。

對(duì)于WAVNAPAP部分的設(shè)計(jì)，如圖3所示，類(lèi)WAVNAP_AP是根類(lèi)，作為對(duì)外的接口。圖中，DH類(lèi)、ECDSA類(lèi)、Prime類(lèi)AES類(lèi)、SHA2類(lèi)都與STA部分的相同，只是針對(duì)WAVNAPAP中的ECDSA類(lèi)使用的是chksign調(diào)用而非WAVNAPSTA中的mksign調(diào)用。對(duì)于AES而言，WAVNAPAP部分的AES類(lèi)調(diào)用的是encrypt，用于加密PSK和ESSID等配置信息；而WAVNAPSTA部分調(diào)用的則是decrypt，用于解密PSK和ESSID等配置信息。

WAVNAPAP在完成對(duì)ESSID與PSK等配置信息的生成之后，需要及時(shí)地針對(duì)網(wǎng)卡進(jìn)行相應(yīng)的配置。應(yīng)用AP類(lèi)生成配置信息與設(shè)置網(wǎng)絡(luò)，該類(lèi)中g(shù)en_psk調(diào)用用于生成隨機(jī)的ESSID與PSK等配置信息，而set_ap調(diào)用則生成hostapd配置文件并對(duì)hostapd服務(wù)進(jìn)行配置，其中的onconnect是STA成功連接后觸發(fā)的回調(diào)函數(shù)指針，該函數(shù)指針主要用于在STA首次連接成功后拒絕對(duì)同一個(gè)網(wǎng)段的其他連接請(qǐng)求。hostapd則用于啟動(dòng)網(wǎng)卡的軟AP模式。

由于WAVNAPAP需要處理多個(gè)用戶(hù)的認(rèn)證接入請(qǐng)求，通過(guò)數(shù)據(jù)庫(kù)進(jìn)行公鑰的管理是非常有必要的，因此設(shè)計(jì)了數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)類(lèi)DB。DB主要用于建立或關(guān)閉數(shù)據(jù)庫(kù)連接并處理查詢(xún)，保證數(shù)據(jù)庫(kù)線(xiàn)程安全。

通過(guò)這樣的設(shè)計(jì)，即可較好地實(shí)現(xiàn)基于NFC認(rèn)證的WLAN接入?yún)f(xié)議。

2.3 協(xié)議具體步驟

圖4是基于NFC認(rèn)證的WLAN接入?yún)f(xié)議的時(shí)序圖，其中STA代表用戶(hù)的WLAN設(shè)備和用戶(hù)的NFC設(shè)備。因?yàn)樘幱贜FC中的Initiator角色和密碼學(xué)中Alice的地位相同，所以用Initiator/Alice表示。STA與Initiator/Alice在同一設(shè)備上。

相應(yīng)的接受WLAN接入認(rèn)證請(qǐng)求的NFC設(shè)備處于NFC會(huì)話(huà)中的Target角色，也就是密碼學(xué)中的Bob角色，這個(gè)設(shè)備一般與AP在一個(gè)設(shè)備上，所以在圖4中命名為T(mén)arget/AP/Bob。WLAN中接受STA連接的設(shè)備為AP，認(rèn)證部分有時(shí)候會(huì)交由Radius服務(wù)器進(jìn)行，一般情況下，它們是綁定在一起的，因此命名為AP/Radius。Target/AP/Bob與AP/Radius的最低要求是處在同一個(gè)不會(huì)泄密的區(qū)域內(nèi)，這樣可以保證支持NFC認(rèn)證的服務(wù)器不會(huì)在與AP通信的過(guò)程中發(fā)生信息泄密。

序列圖中的時(shí)間流從上向下進(jìn)行，其中在同一個(gè)大邊框內(nèi)的可以認(rèn)為是共終端的設(shè)備，在沒(méi)有人攻破的條件下可以認(rèn)為不會(huì)發(fā)生泄密事件，也無(wú)法被竊聽(tīng)；而跨越大邊框的箭頭是協(xié)議的空中通信通訊，這種跨越終端的通信通訊可以通過(guò)特制的天線(xiàn)因此必須通過(guò)協(xié)議加密的方式保障空中通信通訊的安全。

基于NFC認(rèn)證的WLAN接入?yún)f(xié)議從NFC接觸到獲取最終的PTK共有15步協(xié)議操作。這15步協(xié)議操作分別是：

1）用戶(hù)持設(shè)備，以Initiator角色與認(rèn)證方Target建立NFC會(huì)話(huà)，在此過(guò)程中，Target將NFCID3發(fā)送給Initiator。

2）Initiator隨機(jī)生成a、 p，依照式（1）計(jì)算A，并將A、 p發(fā)送至Target。

3）Target隨機(jī)生成b，依照式（2）計(jì)算B，并將B發(fā)送至Initiator。

4）Target與Initiator分別按照式（3）與式（4）計(jì)算各自生成K。

5）Initiator隨機(jī)生成INounce并發(fā)送至Target。

6）Target隨機(jī)生成TNounce并發(fā)送至Initiator。

7）Initiator與Target各自按照式（6）各自生成用于AES加密的256位對(duì)稱(chēng)密鑰KEY。

8）Initiator用自身的私鑰PrivKey對(duì)KEY進(jìn)行簽名，生成簽名結(jié)果sig。

9）Initiator發(fā)送sig至Target。

10）Target使用用戶(hù)事先申請(qǐng)上網(wǎng)時(shí)存儲(chǔ)的公鑰PubKey，驗(yàn)證KEY的簽名sig。如果通過(guò)，則生成包含隨機(jī)的PSK與隨機(jī)的ESSID的配置信息，記作MPSK。

11）Target用KEY對(duì)第9）步生成的含配置信息的PSK進(jìn)行AES加密，生成加密數(shù)據(jù)CPSK。

12）Target將CPSK發(fā)送至Initiator，同時(shí)將用PSK所定義的配置信息配置AP/Radius，準(zhǔn)備接受用戶(hù)的接入。

13）Initiator將CPSK用KEY進(jìn)行AES解密，將得到的PSK轉(zhuǎn)交至WLAN聯(lián)網(wǎng)模塊STA。同時(shí)，AP/Radius完成了配置，并成功發(fā)送出ANounce與AMac至STA。

14）STA承接AP/Radius發(fā)起的WPA/WPA2PSK第一次握手，發(fā)送SNounce與SMac。

15）STA與AP/Radius各自使用SNounce、SMac、ANounce、AMac，以及具有ESSID與PSK的MPSK按照WPA協(xié)議標(biāo)準(zhǔn)生成PTK，并完成后續(xù)的第三次與第四次握手，至此，基于NFC認(rèn)證的WLAN接入?yún)f(xié)議已全部完成。

通過(guò)上面的步驟，即可在非明文傳遞PSK的基礎(chǔ)上，實(shí)現(xiàn)WLAN的安全接入；并且PSK在傳遞過(guò)程中利用了DiffieHellman算法生成了難以攻破的NFC安全隧道，竊聽(tīng)者幾乎不可能在有效時(shí)間內(nèi)完成對(duì)PSK的破解。

3 協(xié)議驗(yàn)證

在協(xié)議驗(yàn)證方面，本文從CPN仿真和實(shí)際運(yùn)行兩個(gè)方面進(jìn)行了描述。

3.1 基于NFC認(rèn)證的WLAN接入?yún)f(xié)議的仿真分析

基于NFC認(rèn)證的WLAN接入?yún)f(xié)議的仿真分析中，本文針對(duì)當(dāng)前WLAN用戶(hù)容易受到非法接入攻擊和竊聽(tīng)攻擊的情況分別作了仿真分析。

為了分析基于NFC認(rèn)證的WLAN接入?yún)f(xié)議對(duì)于非法接入攻擊的抵抗能力，本文建立了圖5的CPN仿真模型。圖5中，區(qū)域E4的庫(kù)所Eve中用“0”表示攻擊者Eve的身份，區(qū)域A中的庫(kù)所Alice中用“1”表示合法用戶(hù)Alice。Eve在認(rèn)證中的每一個(gè)有可能竊聽(tīng)的環(huán)節(jié)即CPN模型中的E1、E2、E3、E4區(qū)域都進(jìn)行了竊聽(tīng)，竊聽(tīng)發(fā)生在信息空中傳遞的過(guò)程中，即模型中的Trans Alice、 Trans AP、 Trans sig、 Trans PSK四個(gè)變遷。為了達(dá)到一次一密的效果并且避免重放攻擊。區(qū)域B中庫(kù)所AP PSK在每一次成功的認(rèn)證之后都將拒絕第二次認(rèn)證，即B區(qū)域中的Auth變遷。認(rèn)證成功的用戶(hù)將進(jìn)入Auth Pass庫(kù)所，而認(rèn)證失敗的用戶(hù)將進(jìn)入Fail庫(kù)所。

圖6所示的仿真結(jié)果表明：盡管Eve截獲了大量的數(shù)據(jù)，但由于缺乏K而無(wú)法推算出AES對(duì)稱(chēng)密鑰KEY，進(jìn)而無(wú)法對(duì)加密后的CPSK進(jìn)行解密，最終在Auth變遷中由于使用了錯(cuò)誤的配置信息而被拒絕，進(jìn)入了Fail狀態(tài)；而合法用戶(hù)Alice因?yàn)榭梢哉_地解密出配置信息PSK，因而成功地進(jìn)入了Auth Pass狀態(tài)?？梢?jiàn)，基于NFC認(rèn)證的WLAN接入?yún)f(xié)議對(duì)于非法接入攻擊的抵抗是有效的。

為了分析基于NFC認(rèn)證的WLAN接入?yún)f(xié)議對(duì)于竊聽(tīng)攻擊的抵抗能力，本文建立了圖7的CPN仿真模型。模型中各區(qū)域代表含義與圖5一致，在待發(fā)送的數(shù)據(jù)在區(qū)域A底部的庫(kù)所Data Send中，值為9999，該值將在WLAN連接完成后進(jìn)行發(fā)送以驗(yàn)證協(xié)議對(duì)竊聽(tīng)攻擊的抵抗能力。

仿真結(jié)果圖8表明，區(qū)域A與區(qū)域B通過(guò)NFC安全隧道加密傳輸了隨機(jī)生成的WLAN接入配置信息。在此過(guò)程中，Eve在E1、E2、E3區(qū)域竊聽(tīng)到了NFC交互數(shù)據(jù)，但無(wú)法利用這些竊聽(tīng)到的交互數(shù)據(jù)反推出AES對(duì)稱(chēng)密鑰，因而在Trans PSK變遷中只能截獲加密后的配置信息，無(wú)法對(duì)配置信息進(jìn)行解密。

在區(qū)域A中Alice PSK庫(kù)所得到解密后配置信息后，A區(qū)域與B區(qū)域各自通過(guò)to PTK變遷計(jì)算出一致的PTK。隨后A區(qū)域中Data Send庫(kù)所中的數(shù)據(jù)將采用該P(yáng)TK進(jìn)行加密，而B(niǎo)區(qū)域中也將使用該P(yáng)TK進(jìn)行解密并放入Data Recv庫(kù)所中。二者PTK一致，因而Data Recv中的最終數(shù)據(jù)將與Data Send中的原始數(shù)據(jù)相同。E4區(qū)域中Eve由于缺少PSK，因而盡管通過(guò)Trans A和Trans S兩個(gè)變遷從空中截獲了區(qū)域A與區(qū)域B互換的公開(kāi)信息SNounce、ANounce、SMac、AMac，卻無(wú)法生成正確的PTK。Eve在TD變遷中同樣截獲了區(qū)域A用PTK加密的數(shù)據(jù)，但由于區(qū)域E4中的PTK與區(qū)域A中的PTK不同，經(jīng)過(guò)區(qū)域E4中Eavesdropping變遷的解密后，Data Eaves庫(kù)所只能得到錯(cuò)誤的解密數(shù)據(jù)，從圖8可看出，Data Eaves中的數(shù)據(jù)域Data Recv中的數(shù)據(jù)有所不同。這表明，基于NFC認(rèn)證的WLAN接入?yún)f(xié)議對(duì)于竊聽(tīng)攻擊的抵抗是有效的。

同時(shí)，由于每次認(rèn)證都會(huì)產(chǎn)生隨機(jī)的全新ESSID與PSK進(jìn)行配置，保證了一次一密性。由于不同的用戶(hù)間相互不清楚他人的配置信息，因而攻擊者無(wú)法依賴(lài)自身的PSK推算其他人的PSK，從而做到了用戶(hù)信道的隔離。這與Eve無(wú)法竊聽(tīng)圖8中區(qū)域A與區(qū)域B的通信的原理是一樣的。因?yàn)椴煌挠脩?hù)獲得的PSK不同，導(dǎo)致他們?cè)谄渌畔⑾嗤臈l件下計(jì)算出的PTK不同，從而抵抗了內(nèi)部人員基于相同PSK進(jìn)行的竊聽(tīng)攻擊。

3.2 基于NFC認(rèn)證的WLAN接入?yún)f(xié)議的實(shí)際運(yùn)行分析

圖9是基于NFC認(rèn)證的WLAN接入?yún)f(xié)議在AP端的實(shí)現(xiàn)的WAVNAPAP運(yùn)行時(shí)的運(yùn)行效果截圖。

從圖9中可以看到，WAVNAP_AP首先要對(duì)NFC設(shè)備進(jìn)行初始化，隨后檢查了WLAN適配器的存在性，并完成了對(duì)公鑰數(shù)據(jù)庫(kù)authdb的連接，便開(kāi)始等待STA/Initiator的連接。

圖10是協(xié)議在STA端的實(shí)現(xiàn)的WAVNAPSTA運(yùn)行后的運(yùn)行效果截圖。

此時(shí)，WAVNAPSTA已經(jīng)可以啟動(dòng)，WAVNAPSTA則需要指定進(jìn)行連接的用戶(hù)名和連接WLAN所用的設(shè)備。這些私鑰和設(shè)備的配置信息被寫(xiě)在了用戶(hù)主目錄下的.wavnap.conf中，當(dāng)WAVNAPSTA啟動(dòng)后，這些信息被自動(dòng)加載以用于初始化WLAN適配器和ESDSA私鑰。配置加載完成后，WAVNAPSTA初始化NFC設(shè)備與指定的WLAN設(shè)備ra0，并讀入相應(yīng)的私鑰6524be98。初始化完成后，WAVNAPSTA提示用戶(hù)將NFC設(shè)備與AP的NFC認(rèn)證設(shè)備authpad進(jìn)行接觸。

在NFC接觸發(fā)生后，NFC連接被迅速建立，STA獲取到了AP的NFCID3。隨后，Initiator發(fā)送DiffieHellman算法所需的p與A，Target接收后發(fā)送了B。隨后雙方根據(jù)此次交換各自計(jì)算出了DiffieHellman算法的秘密會(huì)話(huà)種子K，成功地建立了DiffieHellman安全隧道。

隨后，Initiator發(fā)送了INounce，Target收到后回復(fù)了TNounce。依賴(lài)于K、INounce和TNounce，雙方各自計(jì)算出了256位的AES對(duì)稱(chēng)密鑰KEY。

Initiator使用自己的私鑰對(duì)AES對(duì)稱(chēng)密鑰進(jìn)行了簽名，并將簽名進(jìn)行了發(fā)送。Target收到了簽名后，依照用戶(hù)名（即私鑰指紋）從數(shù)據(jù)庫(kù)authdb中獲取了對(duì)應(yīng)的公鑰信息，并利用該公鑰信息對(duì)簽名進(jìn)行了驗(yàn)證。

驗(yàn)證通過(guò)后，WAVNAPAP生成了隨機(jī)的ESSID與PSK并用這兩項(xiàng)信息配置了hostapd.conf，隨后利用該配置文件在wlan0上啟動(dòng)了hostapd。此時(shí)，AP已經(jīng)可以接受STA的WLAN連接。

隨后，WAVNAPAP將加密后的ESSID與PSK發(fā)送至WAVNAPSTA。WAVNAPSTA進(jìn)行了相應(yīng)的解密，成功的獲取了ESSID與PSK。此時(shí)，基于NFC認(rèn)證的WLAN接入?yún)f(xié)議在NFC設(shè)備上的交互已經(jīng)全部結(jié)束，可以隨時(shí)將用戶(hù)的NFC設(shè)備移開(kāi)，AP端出現(xiàn)了認(rèn)證與授權(quán)結(jié)束的字樣。WAVNAPSTA利用解密出的配置信息并啟動(dòng)了wpa_supplicant工具。

在WAVNAPSTA啟動(dòng)wpa_supplicant之后，WAVNAPAP顯示STA已連接，同時(shí)WAVNAPSTA也顯示用戶(hù)已經(jīng)可以將NFC設(shè)備移開(kāi)了。

在用戶(hù)移開(kāi)NFC設(shè)備之后，雙方顯示NFC會(huì)話(huà)中斷，WAVNAPSTA程序結(jié)束，而WAVNAPAP則進(jìn)入了新一輪循環(huán)，等待下一個(gè)NFC認(rèn)證請(qǐng)求。

此時(shí)，盡管基于NFC認(rèn)證的WLAN接入?yún)f(xié)議已經(jīng)結(jié)束，但基于WPA體制的WLAN連接卻已經(jīng)建立，后續(xù)的網(wǎng)絡(luò)通信不再需要該協(xié)議進(jìn)行維護(hù)。只有在用戶(hù)斷開(kāi)WLAN連接之后，才需要重新刷NFC設(shè)備以再次建立WLAN連接。

4 結(jié)語(yǔ)

針對(duì)基于NFC認(rèn)證的WLAN接入?yún)f(xié)議安全性的分析，本文采用DiffieHellman密鑰交換算法與第二代SHA建立基于NFC協(xié)議棧的安全隧道來(lái)完成隨機(jī)信息的交換，采用橢圓曲線(xiàn)數(shù)字簽名算法消除用戶(hù)接入匿名性的問(wèn)題，并從協(xié)議需求分析、架構(gòu)設(shè)計(jì)與協(xié)議時(shí)序步驟三個(gè)方面入手，給出了一個(gè)計(jì)算機(jī)上的原型實(shí)現(xiàn)。通過(guò)CPN建模，實(shí)驗(yàn)結(jié)果表明：基于NFC認(rèn)證的WLAN接入?yún)f(xié)議對(duì)于無(wú)線(xiàn)局域網(wǎng)的非法接入攻擊與竊聽(tīng)攻擊有著良好的抵抗效果；協(xié)議本身也可以抵抗針對(duì)近場(chǎng)通信的竊聽(tīng)攻擊、數(shù)據(jù)篡改攻擊、重放攻擊和中間人攻擊。

參考文獻(xiàn)：

[1]李興華， 尚昭輝， 楊丹， 等.利用無(wú)線(xiàn)物理層密鑰增強(qiáng)802.11i的安全性[J].江蘇大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2013， 34（4）：416-421.（LI X H， SHANG Z H， YANG D， et al. Security enhancement of 802.11i by wireless physical layer key[J]. Journal of Jiangsu University （Natural Science Edition）， 2013， 34（4）：416-421.）

[2]陳卓， 金豪， 張正文.一種無(wú)線(xiàn)局域網(wǎng)多安全域間的密鑰共識(shí)協(xié)議[J].計(jì)算機(jī)應(yīng)用， 2006， 26（9）： 2121-2123.（CHEN Z， JING H， ZHANG Z W. Multidomain key agreement protocol for WLAN[J]. Journal of Computer Applications， 2006， 26（9）： 2121-2123.）

[3]豐江帆， 王倩， 劉兆宏.無(wú)線(xiàn)局域網(wǎng)環(huán)境下的圖書(shū)館定位系統(tǒng)研究與實(shí)現(xiàn)[J].現(xiàn)代圖書(shū)情報(bào)技術(shù)， 2012（4）：79-83.（FENG J F， WANG Q， LIU Z H. Research and implement of library positioning system in wireless LAN environment[J]. New Technology of Library and Information Service， 2012（4）：79-83.）

[4]李勤， 張浩軍， 楊峰， 等. 無(wú)線(xiàn)局域網(wǎng)安全協(xié)議的研究和實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用， 2005， 25（1）： 160-162.（LIN Q， ZHANG H J， YANG F， et al. Study and implementation of security protocols for wireless local network[J]. Journal of Computer Applications， 2005， 25（1）： 160-162.）

[5]劉永磊， 金志剛.無(wú)線(xiàn)局域網(wǎng)WPS安全性分析[J].計(jì)算機(jī)工程與應(yīng)用， 2013， 49（21）：87-89.（LIU Y L， JIN Z G. Analysis of WPS security in WLAN[J]. Computer Engineering and Applications， 2013， 49（21）：87-89.）

[6]劉安， 金志剛， 王穎.MACH：針對(duì)WLAN中WPS認(rèn)證高速攻擊方案[J].計(jì)算機(jī)應(yīng)用研究， 2014， 31（8）：2488-2496.（LIU A， JIN Z G， WANG Y. MACH： hightspeed cracking scheme to WPS authentication mechanism if WLAN[J]. Application Research of Computers， 2014， 31（8）：2488-2496.）

[7]吳國(guó)鳳， 胡德啟， 王培東.RC4算法引起的WEP協(xié)議安全性的研究與改進(jìn)[J].合肥工業(yè)大學(xué)學(xué)報(bào)， 2012， 35（5）：617-620.（WU G F， HU D Q， WANG P D. Research and improvement in the security of WEP protocol based on RC4 algorithm[J]. Journal of Hefei University of Technology， 2012， 35（5）：617-620.）

[8]劉永磊， 金志剛， 陳喆， 等.wpa/wpa2psk高速暴力破解器的設(shè)計(jì)和實(shí)現(xiàn)[J].計(jì)算機(jī)工程， 2011， 37（10）：125-127.（LIU Y L， JIN Z G， CHEN Z， et al. Design and implementation of highspeed brute forcer for wap/wap2psk[J]. Computer Engineering， 2011， 37（10）：125-127.）

[9]周超， 周城， 郭亮.IEEE 802.1X的安全性分析及改進(jìn)[J].計(jì)算機(jī)應(yīng)用， 2011， 31（5）： 1265-1270.（ZHOU C， ZHOU C， GUO L. Security analysis and improvement of IEEE 802.1X[J]. Journal of Computer Applications， 2011， 31（5）： 1265-1270.）

[10]王鵑， 唐西銘， 王勇， 等.一種基于手機(jī)令牌和NFC技術(shù)的身份認(rèn)證系統(tǒng)[J].武漢大學(xué)學(xué)報(bào)（理學(xué)版）， 2013， 59（5）：403-410.（WANG J， TANG X M， WANG Y， et al. An identity authentication system based on mobiletoken and NFC technology[J]. Journal of Wuhan University （Natural Science Edition）， 2013， 59（5）：403-410.）

[11]孫權(quán).一種基于NFC的安全非接觸式跨行取款系統(tǒng)[J].計(jì)算機(jī)應(yīng)用與軟件， 2015， 32（8）：76-79.（SUN Q. A secure contactless crossbank ATM withdrawals system based on NFC[J]. Computer Applications and Software， 2015， 32（8）：76-79.）

[12]ECMA. Near field communication — interface and protocol （NFCIP1）： ECMA 340-2004 [S]. 2nd ed. [S. l.]：ECMA， 2004.

[13]HASELSTEINER E， BREITFUB K. Security in Near Field Communication （NFC）[EB/OL].[20101010].