[发明专利]一种基于量子密钥分发的无线局域网安全通信方法在审
| 申请号: | 201310226205.7 | 申请日: | 2013-06-07 |
| 公开(公告)号: | CN103338448A | 公开(公告)日: | 2013-10-02 |
| 发明(设计)人: | 雷煜卿;周静;陈希 | 申请(专利权)人: | 国家电网公司;中国电力科学研究院;北京市电力公司 |
| 主分类号: | H04W12/04 | 分类号: | H04W12/04;H04W12/06;H04L9/08 |
| 代理公司: | 北京安博达知识产权代理有限公司 11271 | 代理人: | 徐国文 |
| 地址: | 100031 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 量子 密钥 分发 无线 局域网 安全 通信 方法 | ||
1.一种基于量子密钥分发的无线局域网安全通信方法,其特征在于,所述方法包括以下步骤:
(1)进行基于量子密钥的身份认证;
(2)进行量子密钥协商;
(3)开始加密。
2.如权利要求1所述的安全通信方法,其特征在于:所述方法包括生成组密钥GTK以进行所述加密。
3.如权利要求1所述的安全通信方法,其特征在于,所述身份认证包括如下步骤:(1.1)申请者通过无线接入点AP实现和认证服务器AS之间的双向认证;(1.2)申请者和无线接入点AP之间通过交换信息确立量子成对主密钥PMK。
4.如权利要求3所述的安全通信方法,其特征在于,所述确立量子成对主密钥包括以下步骤:
(1.2.1)检测申请者和无线接入点AP之间是否存在共享的量子密钥库;若不存在则进行量子密钥分发,生成共享的量子密钥库;若存在则执行步骤(1.2.2);
(1.2.2)申请者和无线接入点AP交换各自生成的随机数,并根据所述随机数计算密钥库中指针的指向,确定双方共享的成对主密钥PMK;
(1.2.3)无线接入点AP产生随机数randomB并发给申请者,申请者产生随机数randomA,并利用伪随机函数PRF对randomA、randomB、申请者的MAC地址、无线接入点AP的MAC地址和所述成对主密钥PMK进行计算得到申请者的密钥确认密钥KCK;
(1.2.4)申请者将自己的KCK和所述PMK经Hmac算法得到自己的消息完整性认证码MIC,并将该MIC和randomA发送给无线接入点AP;
(1.2.5)无线接入点AP利用伪随机函数PRF将randomA、randomB、申请者的MAC地址、无线接入点AP的MAC地址和所述PMK进行计算得到无线接入点AP的密钥确认密钥KCK;(1.2.6)无线接入点AP将自己的KCK和所述PMK经Hmac算法得到自己的消息完整性认证码MIC;
(1.2.7)无线接入点AP将自己的MIC和申请者的MIC进行比较,若一致,则身份认证成功;若不一致,则终止身份认证。
5.如权利要求1所述的安全通信方法,其特征在于,所述量子密钥协商包括如下步骤:(2.1)无线接入点AP和申请者交换量子密钥协商的控制消息;(2.2)双方根据BB84协议产生量子密钥;(2.3)双方得到共享的量子分段传输密钥Q-PTK,进一步将Q-PTK分解为密钥加密密钥KEK和临时密钥TK。
6.如权利要求2或5所述的安全通信方法,其特征在于,所述密钥加密密钥KEK加密所述组密钥GTK,所述临时密钥TK加密申请者和无线接入点AP之间的通信数据;无线接入点AP分配由KEK加密的所述组密钥GTK以实现加密过程。
7.如权利要求5所述的安全通信方法,其特征在于,所述根据BB84协议产生量子密钥包括以下步骤:
(2.3.1)申请者向无线接入点AP发送极化光子,并于所述光子极化态上加载信息;
(2.3.2)无线接入点AP接收所述光子并解码以提取所述信息;
(2.3.3)无线接入点AP向申请者发送第1条消息,公布其在步骤(2.3.2)的光子接收中所使用的基;
(2.3.4)申请者根据该第1条消息,比对无线接入点AP公布的基与其发送极化光子所选用的基,并将比对一致的基通过第2条消息返回给无线接入点AP;
(2.3.5)无线接入点AP选取测试基,并发送第3条消息向申请者公布该测试值;
(2.3.6)申请者将收到的测试值与其在步骤(2.3.1)中发送的所述极化光子的原始值进行比较,并发送第4条消息向无线接入点AP确认所述测试值;
(2.3.7)用下式估算错误率:
式中,p为测试用的总比特数;若错误率Er低于阈值Emax,则没有窃听存在,该步骤完成;否则存在窃听,丢弃全部光子信息,终止量子握手;
所述第1-4条消息均包括:基于该条消息内容和根据申请者与无线接入点AP预共享的密钥所计算出的消息完整性认证码MIC。
8.如权利要求3所述的安全通信方法,其特征在于,所述双向认证包括以下步骤:
(1.1.1)所述申请者通过客户端发起连接请求;
(1.1.2)无线接入点AP收到请求认证,回应一个请求帧要求传输用户名;
(1.1.3)客户端响应无线接入点AP发出的请求,无线接入点AP收到信息后传给认证服务器AS进行处理;
(1.1.4)认证服务器AS将收到的信息与数据库中用户名信息进行比对,找到该用户名对应的口令信息,用随机生成的加密字对其进行加密处理,同时将该加密字传给无线接入点AP,并通过无线接入点AP传给客户端;
(1.1.5)客户端收到无线接入点AP转传来的加密字后,用该加密字对口令信息进行加密处理,并通过无线接入点AP转发给认证服务器AS;
(1.1.6)认证服务器AS将送上来的加密后的口令信息和之前自身加密运算后的口令信息进行对比;如果相同,则认为该用户为合法用户,发出认证通过信息,并向无线接入点AP发出打开控制端口的命令,允许申请者的业务流通过端口访问网络;否则,保持无线接入点AP的端口关闭,只允许认证信息数据流通过而不允许业务数据流通过;
(1.1.7)认证成功后,认证服务器AS向无线接入点AP发送信息确认认证成功,完成认证,并执行所述步骤(1.2)。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家电网公司;中国电力科学研究院;北京市电力公司,未经国家电网公司;中国电力科学研究院;北京市电力公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310226205.7/1.html,转载请声明来源钻瓜专利网。
- 上一篇:基于业务量预测的网络规划方法及装置
- 下一篇:MEMS芯片以及MEMS麦克风
