一種WiFi環(huán)境下安全通信的方法及裝置。
2.技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,具體而言,涉及無(wú)線通信特別是公共Wi-Fi環(huán)境下安全通信的方法和裝置。
3.
背景技術(shù):
隨著可隨身攜帶的移動(dòng)智能終端被大量的使用,如智能手機(jī)、平板電腦或者便攜超級(jí)本,上述終端在聯(lián)網(wǎng)的狀態(tài)下能夠?yàn)橛脩魩?lái)更多的方便。目前用戶上網(wǎng)的主要方法是通過(guò)WiFi上網(wǎng),然而大多數(shù)的公共Wi-Fi都是不安全的,例如WiFi不支持隔離,因此存在有數(shù)據(jù)被竊聽的風(fēng)險(xiǎn);移動(dòng)設(shè)備還沒有能力識(shí)別連接的Wi-Fi是否是偽造的,因此,存在透明轉(zhuǎn)發(fā)、攻擊者偽造的風(fēng)險(xiǎn),應(yīng)用TCP/IP中存在中間人攻擊等風(fēng)險(xiǎn)。
目前上述解決公共Wi-Fi問(wèn)題的主要方法有:
【1】采用WiFi本身提供的鏈路層加密技術(shù),如WEP2,WRAP、TKIP、CCMP等安全技術(shù),利用AES等加密技術(shù)對(duì)數(shù)據(jù)包進(jìn)行加密保護(hù)。但加密后的數(shù)據(jù)包可以被攻擊者捕獲,一些針對(duì)AES算法的攻擊算法可以對(duì)其進(jìn)行攻擊,最終獲取敏感信息。
【2】使用VPN(Virtual Private Network,虛擬專用網(wǎng)絡(luò)),通過(guò)與遠(yuǎn)程VPN服務(wù)器建立的加密信道,可以確保攻擊者無(wú)法竊聽和偽造數(shù)據(jù),但這種方法屬于網(wǎng)絡(luò)高層的加密技術(shù),需要VPN服務(wù)器的支持,終端一般也需要提供VPN的控制客戶端或硬件加密模塊,即使采用了VPN,在連接建立VPN服務(wù)之前的WiFi登陸會(huì)話過(guò)程等操作也存在風(fēng)險(xiǎn)。例如公開的專利“公共Wi-Fi環(huán)境下安全聯(lián)網(wǎng)方法和裝置”(申請(qǐng)?zhí)枺篊N201510395146.5)采用的方法是采用加密單元對(duì)公共WiFi的流量進(jìn)行高層加密。
【3】采用安全認(rèn)證的方法,路公開專利“基于物理層安全的異構(gòu)網(wǎng)絡(luò)統(tǒng)一認(rèn)證方法”(申請(qǐng)?zhí)枺?01410215922.4)提出的方法是采用物理層信道的測(cè)量,產(chǎn)生物理層隨機(jī)認(rèn)證參數(shù),屬于認(rèn)證方面的安全技術(shù)。
綜上所述,目前已有的安全方法主要集中在鏈路層和網(wǎng)絡(luò)層的加密手段,這些方法不能阻止通信鏈路中的物理層信號(hào)被攻擊者獲取,以用于后續(xù)的分析。目前針對(duì)這一問(wèn)題,尚未提出基于WiFi物理層安全的有效解決方案。
4.發(fā)明目的
本發(fā)明的目的在于提供一種WiFi環(huán)境下安全通信的方法及裝置,可以在終端發(fā)送數(shù)據(jù)時(shí),主動(dòng)地釋放隨機(jī)干擾信號(hào),使得攻擊者截獲的信號(hào)中疊加隨機(jī)干擾信號(hào),可以有效地防止攻擊者對(duì)終端與接入點(diǎn)之間的物理層信號(hào)進(jìn)行解調(diào),從而在源頭上防止了信息的泄漏,有效地提高了WiFi應(yīng)用環(huán)境中的安全。
5.
技術(shù)實(shí)現(xiàn)要素:
:
本發(fā)明的具體內(nèi)容如下:
本發(fā)明提供了一種WiFi環(huán)境下安全通信的方法,包括:
(一)在啟動(dòng)后,裝置廣播自身的指示信號(hào),終端根據(jù)該指示信號(hào),采用RTS/CTS或CSMA/CA兩種機(jī)制進(jìn)行通信,實(shí)現(xiàn)終端向裝置傳送數(shù)據(jù)。
(二)當(dāng)采用RTS/CTS機(jī)制進(jìn)行通信時(shí),終端向裝置發(fā)送聯(lián)網(wǎng)請(qǐng)求RTS幀。裝置收到終端發(fā)送的聯(lián)網(wǎng)請(qǐng)求RTS后,通過(guò)資源規(guī)劃,發(fā)送允許終端進(jìn)行數(shù)據(jù)傳輸?shù)捻憫?yīng)CTS幀。
(三)終端接收到CTS后,按照CTS所提供的信息比如時(shí)間窗口、調(diào)制格式等信息,發(fā)送數(shù)據(jù)幀DATA,該數(shù)據(jù)幀包含了待傳送的信息INFO,中間可能會(huì)含有需要保護(hù)的敏感信息,比如登陸時(shí)的認(rèn)證信息,交易時(shí)的賬號(hào)信息等。
(四)由于裝置具有CTS的全部信息,裝置在終端發(fā)送數(shù)據(jù)幀的同時(shí),根據(jù)相關(guān)信息,發(fā)送干擾信號(hào)幀JAM,在開放空間形成JAM+DATA的干擾疊加信號(hào)。
(五)裝置接收疊加了干擾信號(hào)的終端數(shù)據(jù)幀(JAM+DATA),由于JAM幀信號(hào)由裝置發(fā)送,裝置可以利用已知的干擾信號(hào)JAM的特性、波形等信息,消除所接收信號(hào)(JAM+DATA)中的干擾信號(hào)JAM,提取出數(shù)據(jù)幀DATA進(jìn)行后續(xù)的解調(diào),得到使得信息INFO,從而使裝置可以獲取終端發(fā)送的信息INFO。
(六)其他終端(竊聽者),接收的信號(hào)也是疊加了干擾的終端數(shù)據(jù)幀信號(hào)(JAM+DATA),但是由于這些終端對(duì)JAM的信號(hào)未知,因此將無(wú)法從JAM+DATA中,獲得DATA,并解調(diào)出INFO信息。具體參見圖2。
(七)如果終端采用基本的CSMA/CA模式,直接向裝置發(fā)送包含了信息INFO的數(shù)據(jù)幀DATA,該數(shù)據(jù)幀由包含了目標(biāo)地址和本幀持續(xù)長(zhǎng)度信息的幀頭DATA-HEADER,和調(diào)制了待傳輸信息INFO的DATA-PAYLOAD兩段組成,DATA-PAYLOAD在DATA-HEADER后面,組成了數(shù)據(jù)幀DATA。裝置在接收到終端發(fā)送數(shù)據(jù)幀DATA的前部幀頭DATA-HEADER后,可以得到本數(shù)據(jù)幀的持續(xù)長(zhǎng)度,如果需要對(duì)數(shù)據(jù)幀DATA的后續(xù)部分DATA-PAYLOAD進(jìn)行保護(hù),則發(fā)送相應(yīng)長(zhǎng)度的JAM信號(hào),該干擾信號(hào)將與剩余的DATA幀信號(hào)(DATA-PAYLOAD)疊加在一起,進(jìn)入裝置的接收通道,裝置采用前述的類似方法,消除上面疊加的JAM,實(shí)現(xiàn)DATA的解調(diào),得到終端需要傳送的信息INFO,而其他終端收到的是后半部分疊加了干擾信號(hào)的數(shù)字幀信號(hào)DATA-PAYLOAD+JAM,由于未知所加干擾信號(hào)JAM的特性,將無(wú)法實(shí)現(xiàn)對(duì)DATA-PAYLOAD的解調(diào),得到終端傳送的信息INFO。具體如圖3所示。
(八)進(jìn)一步的,裝置可以根據(jù)需要選擇對(duì)某個(gè)終端進(jìn)行安全防護(hù),具體實(shí)現(xiàn)方式為在該終端發(fā)送數(shù)據(jù)時(shí),裝置釋放干擾信號(hào)。裝置可以在針對(duì)不同的終端進(jìn)行通信時(shí),裝置釋放不一樣的干擾信號(hào),如果終端不需要防護(hù),則無(wú)須釋放干擾。
(九)進(jìn)一步的,裝置釋放的干擾可以根據(jù)防護(hù)強(qiáng)度的需要,改變干擾信號(hào)的特性,包括干擾信號(hào)強(qiáng)度,干擾信號(hào)釋放時(shí)刻,干擾信號(hào)頻譜范圍,干擾信號(hào)波形分布概率等各種干擾信號(hào)特性,以實(shí)現(xiàn)對(duì)終端發(fā)送數(shù)據(jù)的有效保護(hù),一般而言該干擾信號(hào)也應(yīng)該具有特定的隨機(jī)特性,因此其他終端無(wú)法進(jìn)行有效地消除。
(十)進(jìn)一步的,本方法可用于單天線的無(wú)線通信裝置,也可以用于多天線的無(wú)線通信裝置。
(十一)進(jìn)一步的,上述的終端信息INFO中,可以包含一個(gè)隨時(shí)間變化的值,裝置可以利用該值,作為一個(gè)加密的參數(shù),產(chǎn)生變化的加密參數(shù),對(duì)裝置發(fā)送回終端的數(shù)據(jù)進(jìn)行加密,從而實(shí)現(xiàn)裝置向終端傳送數(shù)據(jù)時(shí)的通信安全。
為了實(shí)施上述方法,該通信裝置由干擾發(fā)送模塊,干擾消除模塊,數(shù)據(jù)幀調(diào)制模塊,數(shù)據(jù)幀解調(diào)模塊,系統(tǒng)MAC控制模塊,應(yīng)用層模塊組成,其中干擾發(fā)送模塊根據(jù)系統(tǒng)MAC控制模塊給出的控制信號(hào)時(shí)序,在終端發(fā)送數(shù)據(jù)的同時(shí)發(fā)送干擾信號(hào),干擾消除模塊負(fù)責(zé)消除所接收物理層信號(hào)中的干擾信號(hào),送到相應(yīng)的解調(diào)模塊中進(jìn)行解調(diào),控制幀調(diào)制解調(diào)模塊負(fù)責(zé)控制幀的調(diào)制與解調(diào),數(shù)據(jù)幀調(diào)制模塊負(fù)責(zé)各種數(shù)據(jù)幀的調(diào)制,數(shù)據(jù)幀解調(diào)模塊負(fù)責(zé)對(duì)消除了干擾的數(shù)據(jù)幀進(jìn)行進(jìn)一步的干擾消除和最早的信號(hào)解調(diào),系統(tǒng)MAC控制模塊負(fù)責(zé)根據(jù)控制幀的解調(diào)信息進(jìn)行系統(tǒng)收發(fā)控制,應(yīng)用層模塊為裝置提供了上層的控制功能和應(yīng)用數(shù)據(jù)的數(shù)據(jù)傳送通道。該裝置的系統(tǒng)框圖如圖1所示,具體工作的時(shí)序如圖2所示。
有益的效果
采用本發(fā)明的方法,可以使竊聽者接收到的信號(hào)上疊加了本發(fā)明的裝置主動(dòng)釋放的干擾信號(hào),使其無(wú)法有效地解調(diào)終端發(fā)送的信號(hào),因此,在源頭上防止了信息的泄漏,保證了敏感數(shù)據(jù)的安全,從而可以提高WiFi環(huán)境下的安全性。
同時(shí),本方法無(wú)須對(duì)終端進(jìn)行改動(dòng),也無(wú)需在終端上安裝任何軟件模塊,與現(xiàn)有的WiFi系統(tǒng)完全兼容,可以非常方便地應(yīng)用在需要保密的應(yīng)用環(huán)境中。
6.附圖及圖面說(shuō)明
圖1裝置的系統(tǒng)框圖
圖2 RTS/CTS機(jī)制下的物理層保護(hù)的示意圖
圖3 CSMA/CA機(jī)制下的物理層保護(hù)示意圖
7.實(shí)施例
詳細(xì)描述申請(qǐng)人認(rèn)為實(shí)施本項(xiàng)發(fā)明最好的一個(gè)或幾個(gè)典型實(shí)例,列出與本發(fā)明要點(diǎn)有關(guān)的數(shù)據(jù)及條件,有附圖的對(duì)照附圖加以說(shuō)明。在權(quán)利要求保護(hù)比較寬的情況下,應(yīng)當(dāng)多舉幾個(gè)實(shí)施例。
本發(fā)明的一種實(shí)施例是應(yīng)用在WiFi的環(huán)境中,其中裝置是一個(gè)AP(Access Point)設(shè)備,具有本發(fā)明所提出的干擾消除、干擾發(fā)生等模塊,以下用AP來(lái)代表。
1.AP啟動(dòng)后,開始廣播自身的WiFi指示信號(hào),以便終端根據(jù)該指示信號(hào),發(fā)送聯(lián)網(wǎng)請(qǐng)求RTS幀。
2.AP收到終端的聯(lián)網(wǎng)請(qǐng)求RTS后,通過(guò)資源規(guī)劃,發(fā)送允許數(shù)據(jù)傳輸?shù)捻憫?yīng)CTS幀。
3.終端接收到CTS后,按照CTS所提供的信息,得出AP允許終端上傳數(shù)據(jù)的時(shí)間窗口,發(fā)送數(shù)據(jù)幀DATA,該數(shù)據(jù)幀由待傳送的信息INFO通過(guò)數(shù)據(jù)幀調(diào)制模塊生成,INFO中含有需要保護(hù)的敏感信息,比如登陸時(shí)的認(rèn)證信息,交易時(shí)的賬號(hào)信息等。
4.AP按照該數(shù)據(jù)幀對(duì)應(yīng)的CTS的相關(guān)信息,在終端發(fā)送數(shù)據(jù)幀DATA的同時(shí),發(fā)送干擾信號(hào)幀JAM,JAM為一串M序列的偽隨機(jī)噪聲,在開放空間形成JAM+DATA的干擾疊加信號(hào)。
5.AP接收疊加了干擾信號(hào)的終端數(shù)據(jù)幀(JAM+DATA),由于JAM幀信號(hào)也由AP發(fā)送,AP通過(guò)干擾消除模塊把接收到的(JAM+DATA),與JAM信號(hào)相減,也即(JAM+DATA)-JAM=DATA,提取出數(shù)據(jù)幀DATA,送到數(shù)據(jù)幀解調(diào)模塊,進(jìn)行后續(xù)的解調(diào),在解調(diào)中也可根據(jù)JAM信號(hào)的特性,消除殘余的干擾信號(hào),最終解調(diào)得到信息INFO,從而使AP可以獲取終端發(fā)送的信息INFO。
6.其他終端(竊聽者),接收的信號(hào)也是疊加了干擾的終端數(shù)據(jù)幀信號(hào)(JAM+DATA),但是由于這些終端對(duì)JAM的信號(hào)未知,因此將無(wú)法從JAM+DATA中,獲得DATA,并解調(diào)出INFO信息。
7.當(dāng)AP需要特別地對(duì)某個(gè)終端進(jìn)行保護(hù)時(shí),只要選擇該終端的數(shù)據(jù)發(fā)送窗口,進(jìn)行干擾釋放即可,而其他終端如果不需要防護(hù),則無(wú)須釋放干擾。
8.再者,AP釋放的干擾可以根據(jù)終端距離的遠(yuǎn)近,來(lái)控制所釋放干擾的強(qiáng)度,以保證在終端周圍進(jìn)行竊聽的其他終端也無(wú)法對(duì)終端信號(hào)進(jìn)行解調(diào),從而實(shí)現(xiàn)對(duì)終端所發(fā)送數(shù)據(jù)的物理層安全保護(hù)。