[发明专利]一种基于量子密钥分发的无线局域网安全通信方法

说明书

技术领域

本发明属于通信领域，具体涉及一种基于量子密钥技术实现电力系统无线局域网安全通信的身份认证和密钥协商实现方法。

背景技术

在无线局域网中，申请者（无线接入终端STA）和无线接入点（AP）之间的信息是通过无线传播的，因此STA和AP之间信息极容易被截获、窃听、篡改和伪造，需要对传输的信息进行加密，认证等操作，以保证通信安全性。然而，目前被广泛使用的无线局域网通信标准IEEE802.11从诞生那一刻起在安全性上就存在很大的隐患，虽然工作组陆续推出多种方案进行补充和完善，但仍然被认为是没有足够安全保障的通信协议。为了增强WLAN的数据加密和认证性能，国际上提出802.11i标准，而国内则提出WAPI标准。

802.11i标准的认证和密钥管理流程如下：

1.AP和认证服务器（AS）通过相互认证，创建一个安全通道，一般推荐使用RADIUS。

2.STA和AS通过相互认证，产生一个EAP主密钥。

3.STA和AP通过各自EAP主密钥产生对等主密钥（Pairwise Master Key,PMK）。AP是在认证成功后，由认证服务器向申请者发送EAP主密钥时得到主密钥的。

4.STA和AP之间采用四步握手，确认PMK的存在性及正确性，并由PMK产生对等传输密钥（Pairwise Transient Key,PTK），同时按需要加载加密/整体性校验。

5.无线接入点通过二次握手协议将组密钥（Group Transient Key,GTK）分发给申请者，以允许申请者传送和接收广播消息。

WAPI的身份认证基于公钥密码技术，其认证机制是完整的无线用户和无线接入点的双向认证，身份凭证为基于公钥密码体系的公钥数字证书；采用192/224/256位的椭圆曲线签名算法；集中式或分布集中式认证管理，认证过程简单。WAPI的密钥协商过程非常简单，仅需要两个步骤，在协商双方交换两串随机数后，通过异或随机数，即可得到会话密钥。

802.11i在安全性方面的局限性在于：

1.在身份认证阶段，其实现的是STA和AS之间的单向或者双向认证，STA无法认证AP的身份，对于假AP的攻击没有抵御能力。

2.在密钥协商阶段，其安全性基于计算安全，一旦窃听者具有非常强的计算能力，例如量子计算机，则可以在短时间内破解加密密钥，使得无线局域网的通信安全受到威胁。

WAPI在安全性方面的局限性在于：

1.认证与密钥协商部分脱节，缺乏密钥确认的过程。

2.在STA和AP之间进行密钥协商的过程过于简单，缺乏相应的安全性质，不能抵抗重放攻击、中间人攻击等常见的攻击手段。

发明内容

为了克服上述现有技术的不足，本发明提供一种基于量子密钥分发的安全通信方法。

为了实现上述发明目的，本发明采取如下技术方案：

本发明提供一种基于量子密钥分发的无线局域网安全通信方法，其特征在于，所述方法包括以下步骤：

(1)进行基于量子密钥的身份认证；

(2)进行量子密钥协商；

(3)开始加密。

优选地，所述方法包括生成组密钥GTK以进行所述加密。

优选地，所述身份认证包括如下步骤：（1.1）申请者通过无线接入点AP实现和认证服务器AS之间的双向认证；（1.2）申请者和无线接入点AP之间通过交换信息确立量子成对主密钥PMK。

优选地，所述确立量子成对主密钥包括以下步骤：

（1.2.1）检测申请者和无线接入点AP之间是否存在共享的量子密钥库；若不存在则进行量子密钥分发，生成共享的量子密钥库；若存在则执行步骤（1.2.2）；

（1.2.2）申请者和无线接入点AP交换各自生成的随机数，并根据所述随机数计算密钥库中指针的指向，确定双方共享的成对主密钥PMK；

（1.2.3）无线接入点AP产生随机数randomB并发给申请者，申请者产生随机数randomA，并利用伪随机函数PRF对randomA、randomB、申请者的MAC地址、无线接入点AP的MAC地址和所述成对主密钥PMK进行计算得到申请者的密钥确认密钥KCK；

（1.2.4）申请者将自己的KCK和所述PMK经Hmac算法得到自己的消息完整性认证码MIC，并将该MIC和randomA发送给无线接入点AP；