聶浩虹

[摘 要]在物聯(lián)網(wǎng)飛速發(fā)展的現(xiàn)在，如何使傳統(tǒng)的非物聯(lián)網(wǎng)設(shè)備能夠安全的接入物聯(lián)網(wǎng)已經(jīng)成為物聯(lián)網(wǎng)研究的重要方向。本文主要針對WPA中對網(wǎng)絡(luò)設(shè)備的接入認(rèn)證流程進(jìn)行研究改進(jìn)，提出針對物聯(lián)網(wǎng)設(shè)備的改進(jìn)WPA流程，最后對其前景進(jìn)行展望。

[關(guān)鍵詞]WPA 物聯(lián)網(wǎng) 網(wǎng)絡(luò)層 改造

中圖分類號：O856 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-914X（2016）04-0062-01

引言

物聯(lián)網(wǎng)（IOT）即對物與物進(jìn)行網(wǎng)絡(luò)互聯(lián)、信息交互和控制的網(wǎng)絡(luò)。物聯(lián)網(wǎng)由互聯(lián)網(wǎng)發(fā)展而來，它將互聯(lián)網(wǎng)中的終端設(shè)備由個人電腦和各類移動終端擴(kuò)展到傳統(tǒng)的非智能設(shè)備，使得各類設(shè)備更加智能化。

物聯(lián)網(wǎng)的3層體系結(jié)構(gòu)是現(xiàn)在最被認(rèn)可的分層模型：感知層、傳輸層和應(yīng)用層。處于在該體系結(jié)構(gòu)中最底層的感知層由一系列的傳感器構(gòu)成，傳感器會將如溫度、濕度和酸堿度等信息編碼后交由傳輸層傳輸，而應(yīng)用層負(fù)責(zé)對數(shù)據(jù)進(jìn)行處理。

眾所周知，在網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天，網(wǎng)絡(luò)安全事件也多次出現(xiàn)，而物聯(lián)網(wǎng)作為基于互聯(lián)網(wǎng)發(fā)展起來的網(wǎng)絡(luò)自然也面臨著與互聯(lián)網(wǎng)相同的安全問題。特別是物聯(lián)網(wǎng)傳輸層的安全完全依賴于現(xiàn)有的網(wǎng)絡(luò)安全策略。但是現(xiàn)在的物聯(lián)網(wǎng)終端有其有別于pc的地方，很重要的一點在于PC還是有很多第三方安全軟件支持，而現(xiàn)有物聯(lián)網(wǎng)終端中的一部分是由現(xiàn)有電器加裝控制模塊組合而成，其運算和存儲能力都遠(yuǎn)遠(yuǎn)弱于PC，所以，現(xiàn)行的物聯(lián)網(wǎng)安全的重點應(yīng)該放在網(wǎng)絡(luò)層而非感知層。

一、WPA2的基本流程

Wi-Fi Protected Access是一種保護(hù)無線網(wǎng)絡(luò)（WIFI）安全的系統(tǒng)，其流程如圖1：

由于現(xiàn)有物聯(lián)網(wǎng)接入設(shè)備參差不齊，如果允許所有的設(shè)備都接入的話，會造成較大的安全風(fēng)險，例如，如果某些不法分子，很可能通過將假冒的物聯(lián)網(wǎng)設(shè)備賣給用戶（甚至送給用戶），在設(shè)備接入后竊取用戶信息，或者實施ARP攻擊和DNS攻擊等。特別是有可能會針對智能家居安防設(shè)備進(jìn)行攻擊，對用戶的生命財產(chǎn)安全造成極大危害。

二、基于第三方認(rèn)證的WPA在物聯(lián)網(wǎng)網(wǎng)絡(luò)層中的改造

傳統(tǒng)的WPA如圖1只是一種通過口令的兩方認(rèn)證協(xié)議，協(xié)議自身無法保證接入設(shè)備本身是否具有合法的身份。再此，筆者提出一種基于現(xiàn)有WPA的三方的物聯(lián)網(wǎng)設(shè)備接入?yún)f(xié)議，以保證接入設(shè)備本身的合法性。

在原有的WPA-PSK中，接入設(shè)備與無線接入點之間需要經(jīng)過4次握手：

第一次握手：接入點AP發(fā)送SSID，AP_MAC（接入點MAC地址）給接入設(shè)備。接入點使用passphrase0和SSID計算PMK，接入設(shè)備在接收到SSID和AP_MAC后，使用passphrase1和SSID計算PMK。

第二次握手：接入設(shè)備發(fā)送SNounce（接入設(shè)備隨機(jī)數(shù)），Station_MAC（接入設(shè)備MAC地址）給接入點。接入點使用PMK，Station_MAC，AP_MAC，SNounce和ANounce（接入點隨機(jī)數(shù)）計算PTK，取PTK前16位為MIC KEY。

第三次握手：接入點發(fā)送ANounce給接入設(shè)備。接入設(shè)備計算PTK，取PTK前16位為MIC KEY。接入設(shè)備使用MIC KEY，802.1x數(shù)據(jù)計算MIC。

第四次握手：接入設(shè)備發(fā)送802.1x數(shù)據(jù)和計算出的MIC給接入點。接入點使用第二次握手過程中計算的MIC KEY和獲得的802.1x數(shù)據(jù)計算出MIC，。接入點比較MIC，和MIC，如果相同，則正確。

為了解決接入設(shè)備本身存在的風(fēng)險，需要引入物聯(lián)網(wǎng)設(shè)備認(rèn)證服務(wù)器。

保持原有四次握手不變，在第二次握手后，接入點做以下處理：

第一步：連接P1= STATION_MAC||SNounce||AP_MAC||Systemtime；

使用AES加密P1，得C1=EK（P1）；

使用物聯(lián)網(wǎng)設(shè)備認(rèn)證服務(wù)器的公鑰PKAS對AES密鑰K加密，表示為EPKAS（K）；

使用SHA1對P1進(jìn)行處理，表示為SHA1（P1），并使用接入點的公鑰對其進(jìn)行簽名，表示為SignSKAP（SHA1（P1））；

將（C1，EPKAS（K），SignSKAP（SHA1（P1）），AP的數(shù)字證書）發(fā)送給物聯(lián)網(wǎng)設(shè)備認(rèn)證服務(wù)器。

第二步：物聯(lián)網(wǎng)設(shè)備認(rèn)證服務(wù)器使用自身私鑰解密EPKAS（K）得密鑰K，再用K解密密文C1得到P1；

使用AP數(shù)字證書中的公鑰驗證簽名SignSKAP（SHA1（P1））；

簽名驗證通過后，將P1中的STATION_MAC||SNounce||AP_MAC||

Systemtime解開，首先驗證STATION_MAC和AP_MAC是否為相關(guān)廠商已上報的設(shè)備MAC，若合法，驗證STATION_MAC||SNounce||AP_MAC||Systemtime是否重復(fù)出現(xiàn)過。

第三步：若合法，連接P2=（P1||Systemtime||”legal”），并將相關(guān)信息添加入認(rèn)證服務(wù)器；

若非法，連接P2=（P1||Systemtime||”illegal”）；

使用SHA1對P2進(jìn)行處理，表示為SignSKSP（SHA1（P2））；

將（P2， SignSKSP（SHA1（P2）））發(fā)送給接入點AP；

第四步：接入點AP驗證簽名；

按照物聯(lián)網(wǎng)認(rèn)證服務(wù)器發(fā)送的信息，如果為合法，則進(jìn)行第三次握手；

如果為非法，則結(jié)束握手，并將接入設(shè)備STATION_MAC列入黑名單。

三、結(jié)束語

物聯(lián)網(wǎng)的安全問題威脅已經(jīng)隨著物聯(lián)網(wǎng)的發(fā)展而越發(fā)凸顯，傳統(tǒng)的設(shè)備如何安全、經(jīng)濟(jì)的接入物聯(lián)網(wǎng)已經(jīng)成為需要仔細(xì)研究的課題。本文為保障接入設(shè)備和接入點的安全提出來一種思路，但是，如何去改進(jìn)現(xiàn)有無線接入設(shè)備還需進(jìn)一步研究。

參考文獻(xiàn)：

[1] 趙偉艇，史玉珍. 基于802.11i的無線局域網(wǎng)安全加密技術(shù)研究[J].計算機(jī)工程與設(shè)計，2010，31（4）.

[2] 高建華，魯恩銘.無線局域網(wǎng)中WiFi安全技術(shù)研究[J].計算機(jī)安全，2013（4）.

[3] 張筑生.物聯(lián)網(wǎng)環(huán)境中的身份認(rèn)證技術(shù)研究[D].北京：北京交通大學(xué)， 2011：18-22.

[4] 房沛榮，唐剛，程曉妮. WPA/WPA2協(xié)議安全性分析[J].軟件，2015（1）.

[5] 李益.張博. WLAN安全缺陷及解決方案的研究[J].信息安全與技術(shù)，2014，（7）.