本發(fā)明屬于無線通信技術(shù)領(lǐng)域，更進(jìn)一步涉及無線局域網(wǎng)絡(luò)安全技術(shù)領(lǐng)域中的一種基于物理層密鑰協(xié)商增強(qiáng)wlan安全性的方法。本發(fā)明以基于無線信道物理參數(shù)的密鑰協(xié)商技術(shù)為基礎(chǔ)，提出了一種可用于無線局域網(wǎng)絡(luò)中，實(shí)現(xiàn)無線局域網(wǎng)絡(luò)中的各個(gè)通信節(jié)點(diǎn)安全通信的方法。

背景技術(shù)：

如何保證公共wlan中的各個(gè)通信節(jié)點(diǎn)與接入點(diǎn)之間直接安全可靠地進(jìn)行信息傳輸是無線網(wǎng)絡(luò)安全領(lǐng)域中的一個(gè)重要的議題，也是解決當(dāng)下公共wlan安全隱患的核心任務(wù)之一。基于無線信道物理參數(shù)的密鑰協(xié)商技術(shù)是實(shí)現(xiàn)兩個(gè)無線設(shè)備之間不依賴于傳統(tǒng)密碼學(xué)方法便能生成共享密鑰的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)，能夠?qū)崿F(xiàn)用于解決公共wlan中通信節(jié)點(diǎn)的安全通信需求。

李興華和尚朝暉在其發(fā)表的論文“利用無線物理層密鑰增強(qiáng)802.11i的安全性”(江蘇大學(xué)學(xué)報(bào)，2013)中提出了無線局域網(wǎng)安全性增強(qiáng)技術(shù)。該方法的主要步驟是：(1)在移動站點(diǎn)和接入點(diǎn)之間生成物理層密鑰pk；(2)使用生成的pk保護(hù)數(shù)據(jù)幀和管理幀；(3)參與加密密鑰的生成，在后續(xù)認(rèn)證過程中對消息加密。該方法存在的不足之處是，使用網(wǎng)絡(luò)層的數(shù)據(jù)探針生成物理層密鑰pk，密鑰匹配率低，密鑰生成速率低。生成的物理層密鑰pk沒有更新機(jī)制，長時(shí)間使用會增加泄露的風(fēng)險(xiǎn)。

皇家飛利浦電子股份有限公司在其申請的專利文獻(xiàn)“增強(qiáng)無線局域網(wǎng)安全的方法”(申請?zhí)?31249124，申請日期2003.09.19，公開日期2005.03.23)中提出了一種增強(qiáng)無線局域網(wǎng)安全的方法。該方法的主要步驟是：(1)讀取存儲在身份卡中的密鑰；(2)根據(jù)讀取到的密鑰以及相應(yīng)的加密算法請求無線接入點(diǎn)進(jìn)行身份認(rèn)證處理；(3)如果身份認(rèn)證成功，接入無線局域網(wǎng)。利用該方法，可以對即將接入無線局域網(wǎng)的無線終端進(jìn)行強(qiáng)制身份認(rèn)證以防止未經(jīng)授權(quán)的無線終端進(jìn)入網(wǎng)絡(luò)而導(dǎo)致網(wǎng)絡(luò)不安全。該方法存在的不足之處是：該方法主要是增強(qiáng)認(rèn)證的安全性，并不能保護(hù)通信的安全性，并且需要使用到身份卡來預(yù)先存儲一個(gè)安全密鑰，然而現(xiàn)在無線局域網(wǎng)中的大多數(shù)設(shè)備并不存在這樣一個(gè)身份卡，這會大大限制該方法的適用性。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于克服上述現(xiàn)有技術(shù)的不足，提出一種基于物理層密鑰協(xié)商的wlan安全增強(qiáng)方法，以保護(hù)認(rèn)證流程，保證wlan中的各個(gè)通信節(jié)點(diǎn)的安全通信，防范當(dāng)前wlan存在的安全隱患，增強(qiáng)wlan的安全性。

為實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案包括物理層加密密鑰協(xié)商，加密通信數(shù)據(jù)包，更新加密密鑰三個(gè)階段。

第一階段：物理層加密密鑰協(xié)商的步驟如下：

(1)數(shù)據(jù)鏈路層采集信號強(qiáng)度值：

(1a)接入點(diǎn)ap在100到200的范圍內(nèi)隨機(jī)選擇一個(gè)整數(shù)m作為數(shù)據(jù)包交互總次數(shù)，發(fā)送給站點(diǎn)sta，將接入點(diǎn)ap初次交互次數(shù)設(shè)置為1；

(1b)在數(shù)據(jù)鏈路層，接入點(diǎn)ap向站點(diǎn)sta發(fā)送請求數(shù)據(jù)包，站點(diǎn)sta接收到請求數(shù)據(jù)包之后向接入點(diǎn)ap發(fā)送響應(yīng)數(shù)據(jù)包，站點(diǎn)sta記錄無線信道的信號強(qiáng)度值，接入點(diǎn)ap在接受到響應(yīng)數(shù)據(jù)包之后記錄無線信道的信號強(qiáng)度值；

(1c)接入點(diǎn)ap判斷當(dāng)前交互次數(shù)是否等于總交互次數(shù)m，若是，則執(zhí)行步驟(1d)，否則，接入點(diǎn)ap將當(dāng)前交互次數(shù)加1，執(zhí)行步驟(1b)；

(1d)將接入點(diǎn)ap的信號強(qiáng)度值組成信號強(qiáng)度序列，將站點(diǎn)sta的信號強(qiáng)度值組成信號強(qiáng)度序列，執(zhí)行步驟(2)；

(2)篩選信號強(qiáng)度值序列：

(2a)采用閾值計(jì)算方法，分別計(jì)算接入點(diǎn)ap信號強(qiáng)度值序列的上閾值和下閾值以及站點(diǎn)sta信號強(qiáng)度值序列的上閾值和下閾值；

(2b)篩選接入點(diǎn)ap的信號強(qiáng)度值序列，得到接入點(diǎn)ap的閾值外信號強(qiáng)度值序列和閾值內(nèi)信號強(qiáng)度值序列，篩選站點(diǎn)sta的信號強(qiáng)度值序列，得到站點(diǎn)sta的閾值外信號強(qiáng)度值序列和閾值內(nèi)信號強(qiáng)度值序列；

(2c)采用閾值計(jì)算方法，分別計(jì)算接入點(diǎn)ap閾值外信號強(qiáng)度值序列的上閾值和下閾值以及接入點(diǎn)ap閾值內(nèi)信號強(qiáng)度值序列的上閾值和下閾值；

(3)量化閾值外信號強(qiáng)度序列：

(3a)將接入點(diǎn)ap的初次量化次數(shù)設(shè)置為1；

(3b)將滿足下式的當(dāng)前量化次數(shù)記錄到接入點(diǎn)ap的序列號數(shù)組：

a[i]＜q+且a[i]＞q-

其中，a表示接入點(diǎn)ap的信號強(qiáng)度值序列，[·]表示數(shù)組取值操作，i表示入點(diǎn)ap的當(dāng)前量化次數(shù)，q+表示接入點(diǎn)ap閾值外信號強(qiáng)度序列的上閾值，q-表示接入點(diǎn)ap閾值外信號強(qiáng)度序列的下閾值；

(3c)判斷接入點(diǎn)ap當(dāng)前量化次數(shù)是否大于接入點(diǎn)ap閾值外信號強(qiáng)度序列的長度值，若是，執(zhí)行步驟(3d)，否則，將接入點(diǎn)ap當(dāng)前量化次數(shù)加1，執(zhí)行步驟(3b)；

(3d)將接入點(diǎn)ap的序列號數(shù)組發(fā)送給站點(diǎn)sta作為站點(diǎn)sta的序列號數(shù)組，將站點(diǎn)sta的初次量化次數(shù)設(shè)置為1；

(3e)按照下式，得到站點(diǎn)sta的序列號：

s＝b[j]

其中，s表示站點(diǎn)sta的序列號，b表示站點(diǎn)sta的序列號數(shù)組，[·]表示數(shù)組取值操作，j表示站點(diǎn)站點(diǎn)sta的當(dāng)前量化次數(shù)；

(3f)將滿足下式的站點(diǎn)sta的序列號記錄到站點(diǎn)sta的最終序列號數(shù)組：

c[s]＜q+且c[s]＞q-

其中，c表示站點(diǎn)sta的閾值外信號強(qiáng)度序列，s表示站點(diǎn)sta的序列號，q+表示接入點(diǎn)站點(diǎn)sta閾值外信號強(qiáng)度序列的上閾值，q-表示站點(diǎn)sta閾值外信號強(qiáng)度序列的下閾值；

(3g)判斷站點(diǎn)sta的當(dāng)前量化次數(shù)是否大于站點(diǎn)sta閾值外信號強(qiáng)度序列的長度值，若是，執(zhí)行步驟(3h)，否則，將站點(diǎn)sta當(dāng)前量化次數(shù)下標(biāo)加1，執(zhí)行步驟(3e)；

(3h)將站點(diǎn)sta的最終序列號數(shù)組發(fā)送給接入點(diǎn)ap作為接入點(diǎn)ap的最終序列號數(shù)組；

(3i)利用序列號轉(zhuǎn)換方法，分別將接入點(diǎn)ap和站點(diǎn)sta的最終序列號數(shù)組和閾值外信號強(qiáng)度值序列，轉(zhuǎn)換成接入點(diǎn)ap的比特序列以及站點(diǎn)sta的比特序列；

(4)量化閾值內(nèi)信號強(qiáng)度序列：

(4a)按照下式，計(jì)算接入點(diǎn)ap和站點(diǎn)sta信號強(qiáng)度值序列的信號強(qiáng)度值：

r＝max(x)-min(x)

其中，r表示信號強(qiáng)度范圍值，x表示信號強(qiáng)度值序列，max表示最大值操作，min表示最小值操作；

(4b)按照下式，分別計(jì)算接入點(diǎn)ap和站點(diǎn)sta的信號強(qiáng)度值序列的等分間隔數(shù)：

其中，k表示等分間隔數(shù)，表示向下取整操作，log2表示以2為底的對數(shù)操作；

(4c)將初次循環(huán)次數(shù)設(shè)置為1；

(4d)按照下式，分別計(jì)算接入點(diǎn)ap和站點(diǎn)sta的信號強(qiáng)度值：

s＝d[p]

其中，s表示信號強(qiáng)度值，d表示閾值內(nèi)信號強(qiáng)度值序列，p表示當(dāng)前循環(huán)次數(shù)；

(4e)按照下式，分別計(jì)算接入點(diǎn)ap和站點(diǎn)sta的信號強(qiáng)度值所在區(qū)間編號：

其中，n表示，s表示信號強(qiáng)度值，k為接入點(diǎn)ap的區(qū)間間隔數(shù)；

(4f)分別將接入點(diǎn)ap的信號強(qiáng)度值所在區(qū)間編號和站點(diǎn)sta的信號強(qiáng)度值所在區(qū)間編號轉(zhuǎn)化為格雷碼；

(4g)將接入點(diǎn)ap的格雷碼存入接入點(diǎn)ap的閾值內(nèi)比特序列,將站點(diǎn)sta的格雷碼存入站點(diǎn)sta的閾值內(nèi)比特序列；

(4h)判斷當(dāng)前循環(huán)次數(shù)是否等于接入點(diǎn)ap閾值內(nèi)信號強(qiáng)度值序列的長度值，若是，則分別得到接入點(diǎn)ap和站點(diǎn)sta的閾值內(nèi)比特序列，執(zhí)行步驟(5)，否則，將當(dāng)前循環(huán)次數(shù)加1后執(zhí)行步驟(4d)；

(5)生成物理層密鑰：

將接入點(diǎn)ap的閾值外比特序列和閾值內(nèi)比特序列拼接成接入點(diǎn)ap的物理層密鑰pk，將站點(diǎn)sta的閾值外比特序列和閾值內(nèi)比特序列拼接成站點(diǎn)sta的物理層密鑰pk；

(6)擴(kuò)展物理層密鑰：

(6a)利用密鑰擴(kuò)展算法，將物理層密鑰pk擴(kuò)展為384bit的主密鑰pmk；

(6b)利用密鑰擴(kuò)展算法，將物理層密鑰pk擴(kuò)展為256bit的組密鑰gk；

第二階段加密通信數(shù)據(jù)包步驟如下：

(7)加密數(shù)據(jù)包：

(7a)將會話密鑰sk作為加密密鑰，利用高級加密標(biāo)準(zhǔn)aes，加密wlan管理幀數(shù)據(jù)包；

(7b)將會話密鑰sk作為加密密鑰，利用高級加密標(biāo)準(zhǔn)aes，加密認(rèn)證數(shù)據(jù)包；

(7c)站點(diǎn)sta向接入點(diǎn)ap的發(fā)起身份認(rèn)證；

(7d)使用會話密鑰sk作為加密密鑰，利用高級加密標(biāo)準(zhǔn)aes，加密wlan通信數(shù)據(jù)包；

第三階段更新加密密鑰步驟如下：

(8)定時(shí)更新加密密鑰：

每30分鐘執(zhí)行第一階段物理層加密密鑰協(xié)商，重新生成物理層加密密鑰。

本發(fā)明與現(xiàn)有技術(shù)相比具有如下優(yōu)點(diǎn)：

第一，由于本發(fā)明通過生成物理層密鑰，擴(kuò)展物理層密鑰，加密數(shù)據(jù)包，保護(hù)了數(shù)據(jù)通信，克服了現(xiàn)有技術(shù)主要是增強(qiáng)認(rèn)證的安全性，并不能保護(hù)通信的安全性的不足，使得本發(fā)明提升通信安全性。

第二，由于本發(fā)明通過數(shù)據(jù)鏈路層采集信號強(qiáng)度值，克服了現(xiàn)有技術(shù)中使用網(wǎng)絡(luò)層的數(shù)據(jù)探針生成物理層密鑰，密鑰匹配率低，密鑰生成速率低的不足本發(fā)明具有提高物理層密鑰生成速率和密鑰匹配率的優(yōu)點(diǎn)。

第三，由于本發(fā)明通過定時(shí)更新加密密鑰，克服了現(xiàn)有技術(shù)中生成的物理層密鑰pk沒有更新機(jī)制，長時(shí)間使用會增加泄露的風(fēng)險(xiǎn)，使得本發(fā)明具有防止加密密鑰泄露的優(yōu)點(diǎn)。

附圖說明

圖1是本發(fā)明的流程圖；

圖2是鏈路層數(shù)據(jù)包格式示意圖；

圖3是數(shù)據(jù)包交互示意圖；

圖4是信道強(qiáng)度值序列采集示意圖。

具體實(shí)施方式

下面結(jié)合附圖對本發(fā)明作進(jìn)一步的描述：

參照圖1，本發(fā)明包括物理層加密密鑰協(xié)商，加密通信數(shù)據(jù)包，更新加密密鑰三個(gè)階段，第一階段：物理層加密密鑰協(xié)商的步驟如下。

步驟1，數(shù)據(jù)鏈路層采集信號強(qiáng)度值。

第1步，接入點(diǎn)ap在100到200的范圍內(nèi)隨機(jī)選擇一個(gè)整數(shù)m作為數(shù)據(jù)包交互總次數(shù)，發(fā)送給站點(diǎn)sta，將接入點(diǎn)ap初次交互次數(shù)設(shè)置為1。

第2步，在數(shù)據(jù)鏈路層，接入點(diǎn)ap向站點(diǎn)sta發(fā)送請求數(shù)據(jù)包，站點(diǎn)sta接收到請求數(shù)據(jù)包之后向接入點(diǎn)ap發(fā)送響應(yīng)數(shù)據(jù)包，站點(diǎn)sta記錄無線信道的信號強(qiáng)度值，接入點(diǎn)ap在接受到響應(yīng)數(shù)據(jù)包之后記錄無線信道的信號強(qiáng)度值。

第3步，接入點(diǎn)ap判斷當(dāng)前交互次數(shù)是否等于總交互次數(shù)m，若是，則執(zhí)行本步驟的第4步，否則，接入點(diǎn)ap將當(dāng)前交互次數(shù)加1，執(zhí)行本步驟的第2步。

第4步，將接入點(diǎn)ap的信號強(qiáng)度值組成信號強(qiáng)度序列，將站點(diǎn)sta的信號強(qiáng)度值組成信號強(qiáng)度序列。

下面結(jié)合附圖2對步驟(1b)中的數(shù)據(jù)鏈路層請求數(shù)據(jù)包和響應(yīng)數(shù)據(jù)包的格式進(jìn)行描述。

對原有數(shù)據(jù)鏈路層beacon幀進(jìn)行修改，使用原本閑置的字段作為seq字段用于樣本配對。

其中，framecontrol表示幀控制字段，duration表示發(fā)包間隔，da表示目的地址，sa表示源地址，bssid表示基本服務(wù)集，sequencecontrol表示序列控制字段，framebody表示幀體，seq表示序列號，fcs表示幀校檢序列

下面結(jié)合附圖3對步驟(1b)中的數(shù)據(jù)包交互過程進(jìn)行描述。

數(shù)據(jù)包交互過程有正常流程和數(shù)據(jù)包丟失兩種情況。

正常流程中，ap向sta發(fā)送請求請求數(shù)據(jù)包，sta在接收到請求數(shù)據(jù)包之后記錄下數(shù)據(jù)包中的信號強(qiáng)度值，并向ap回復(fù)響應(yīng)數(shù)據(jù)包。ap接收到響應(yīng)數(shù)據(jù)包之后記錄下數(shù)據(jù)包中的信號強(qiáng)度值。其中request為請求數(shù)據(jù)包的序列號，ack為響應(yīng)數(shù)據(jù)包的序列號。

數(shù)據(jù)包丟失情況分為兩種，如果ap向sta發(fā)送的請求數(shù)據(jù)包丟失，則ap在定時(shí)器超時(shí)后再次發(fā)送。如果sta向ap回復(fù)的響應(yīng)數(shù)據(jù)包丟失，則只有sta記錄數(shù)據(jù)包中的信號強(qiáng)度值。

下面結(jié)合附圖4對步驟(1b)中的記錄無線信道的信號強(qiáng)度值進(jìn)行描述。

ap和sta開啟無線網(wǎng)卡的偵聽接口mon0，并設(shè)置過濾規(guī)則，在應(yīng)用層使用數(shù)據(jù)包抓捕函數(shù)庫libpcap抓取數(shù)據(jù)包，記錄數(shù)據(jù)包中的信號強(qiáng)度ssisignal字段作為信號強(qiáng)度值。

其中，radiotapheader表示無線信號頭部，ieee802.11data表示802.11數(shù)據(jù)字段，llc表示邏輯鏈路控制，upperlayerdata表示上層數(shù)據(jù)，ethernet表示以太網(wǎng)，headerversion表示頭部版本號，headerdata表示頭部數(shù)據(jù)，headerlength表示頭部長度，presentflags表示現(xiàn)有標(biāo)志，timestamp表示時(shí)間戳，flags表示標(biāo)志，daterate表示數(shù)據(jù)速率，channelfrequency表示信道頻率，ssisignal表示信號強(qiáng)度指標(biāo)，libpcap表示數(shù)據(jù)包抓捕函數(shù)庫，mon0表示零號偵聽接口，ieee8023_parser表示802.3格式轉(zhuǎn)換。

步驟2，篩選信號強(qiáng)度值序列。

采用閾值計(jì)算方法，分別計(jì)算接入點(diǎn)ap信號強(qiáng)度值序列的上閾值和下閾值以及站點(diǎn)sta信號強(qiáng)度值序列的上閾值和下閾值。

所述閾值計(jì)算方法的具體步驟如下：

第1步，按照下式，計(jì)算信號強(qiáng)度值序列的均值：

其中，m表示信號強(qiáng)度值序列的平均值，n表示信號強(qiáng)度值序列的長度，∑表示求和操作，si表示信號強(qiáng)度值序列中的第i個(gè)信號強(qiáng)度值。

第2步，按照下式，計(jì)算強(qiáng)度值序列的標(biāo)準(zhǔn)差：

其中，d表示信號強(qiáng)度值序列的標(biāo)準(zhǔn)差，√表示開方操作。

第3步，按照下式，計(jì)算信號強(qiáng)度序列的上閾值和下閾值：

q+＝m+0.5d

q-＝m-0.5d

其中，q+和q-分別表示信號強(qiáng)度序列的上閾值和下閾值。

篩選接入點(diǎn)ap的信號強(qiáng)度值序列，得到接入點(diǎn)ap的閾值外信號強(qiáng)度值序列和閾值內(nèi)信號強(qiáng)度值序列，篩選站點(diǎn)sta的信號強(qiáng)度值序列，得到站點(diǎn)sta的閾值外信號強(qiáng)度值序列和閾值內(nèi)信號強(qiáng)度值序列。

所述的篩選過程的具體步驟描述如下。

將信號強(qiáng)度序列中的每一個(gè)信號強(qiáng)度序列與信號強(qiáng)度值序列的上閾值和下閾值進(jìn)行比較，如果信號強(qiáng)度值大于上閾值或信號強(qiáng)度值小于下閾值，將該信號強(qiáng)度值記錄到閾值外信號強(qiáng)度值序列，否則將該信號強(qiáng)度值記錄到閾值內(nèi)信號強(qiáng)度值序列。

采用閾值計(jì)算方法，分別計(jì)算接入點(diǎn)ap閾值外信號強(qiáng)度值序列的上閾值和下閾值以及接入點(diǎn)ap閾值內(nèi)信號強(qiáng)度值序列的上閾值和下閾值。

所述閾值計(jì)算方法的具體步驟如下：

第1步，按照下式，計(jì)算信號強(qiáng)度值序列的均值：

其中，m表示信號強(qiáng)度值序列的平均值，n表示信號強(qiáng)度值序列的長度，∑表示求和操作，si表示信號強(qiáng)度值序列中的第i個(gè)信號強(qiáng)度值。

第2步，按照下式，計(jì)算強(qiáng)度值序列的標(biāo)準(zhǔn)差：

其中，d表示信號強(qiáng)度值序列的標(biāo)準(zhǔn)差，√表示開方操作。

第3步，按照下式，計(jì)算信號強(qiáng)度序列的上閾值和下閾值：

q+＝m+0.5d

q-＝m-0.5d

其中，q+和q-分別表示信號強(qiáng)度序列的上閾值和下閾值。

步驟3，量化閾值外信號強(qiáng)度序列。

第1步，將接入點(diǎn)ap的初次量化次數(shù)設(shè)置為1。

第2步，將滿足下式的當(dāng)前量化次數(shù)記錄到接入點(diǎn)ap的序列號數(shù)組：

a[i]＜q+且a[i]＞q-

其中，a表示接入點(diǎn)ap的信號強(qiáng)度值序列，[]表示數(shù)組取值操作，i表示入點(diǎn)ap的當(dāng)前量化次數(shù)，q+表示接入點(diǎn)ap閾值外信號強(qiáng)度序列的上閾值，q-表示接入點(diǎn)ap閾值外信號強(qiáng)度序列的下閾值。

第3步，判斷接入點(diǎn)ap當(dāng)前量化次數(shù)是否大于接入點(diǎn)ap閾值外信號強(qiáng)度序列的長度值，若是，執(zhí)行本步驟的第4步，否則，將接入點(diǎn)ap當(dāng)前量化次數(shù)加1，執(zhí)行本步驟的第2步。

第4步，將接入點(diǎn)ap的序列號數(shù)組發(fā)送給站點(diǎn)sta作為站點(diǎn)sta的序列號數(shù)組。將站點(diǎn)sta的初次量化次數(shù)設(shè)置為1。

第1步，按照下式，得到站點(diǎn)sta的序列號：

s＝b[j]

其中，s表示站點(diǎn)sta的序列號，b表示站點(diǎn)sta的序列號數(shù)組，[·]表示數(shù)組取值操作，j表示站點(diǎn)站點(diǎn)sta的當(dāng)前量化次數(shù)。

第2步，將滿足下式的站點(diǎn)sta的序列號記錄到站點(diǎn)sta的最終序列號數(shù)組：

c[s]＜q+且c[s]＞q-

其中，c表示站點(diǎn)sta的閾值外信號強(qiáng)度序列，s表示站點(diǎn)sta的序列號，q+表示接入點(diǎn)站點(diǎn)sta閾值外信號強(qiáng)度序列的上閾值，q-表示站點(diǎn)sta閾值外信號強(qiáng)度序列的下閾值。

第3步，判斷站點(diǎn)sta的當(dāng)前量化次數(shù)是否大于站點(diǎn)sta閾值外信號強(qiáng)度序列的長度值，若是，執(zhí)行本步驟的第4步，否則，將站點(diǎn)sta當(dāng)前量化次數(shù)下標(biāo)加1，執(zhí)行本步驟的第2步。

第4步，將站點(diǎn)sta的最終序列號數(shù)組發(fā)送給接入點(diǎn)ap作為接入點(diǎn)ap的最終序列號數(shù)組。

利用序列號轉(zhuǎn)換方法，分別將接入點(diǎn)ap和站點(diǎn)sta的最終序列號數(shù)組和閾值外信號強(qiáng)度值序列，轉(zhuǎn)換成接入點(diǎn)ap的比特序列以及站點(diǎn)sta的比特序列。

所述序列號轉(zhuǎn)換方法的具體步驟如下：

第1步，將初次轉(zhuǎn)換次數(shù)設(shè)置為1。

第2步，將當(dāng)前轉(zhuǎn)換次數(shù)作為序列號數(shù)組的下標(biāo)，取出序列號，將該序列號作為信號強(qiáng)度值序列的序列下標(biāo)，取出信號強(qiáng)度值。

第3步，將大于信號強(qiáng)度值序列上閾值的信號強(qiáng)度值以整數(shù)1存入到比特序列，其余的以整數(shù)0存到比特序列中。

第4步，判斷當(dāng)前轉(zhuǎn)換次數(shù)是否等于序列號數(shù)組的長度值，若是，得到閾值外比特序列，否則，將當(dāng)前轉(zhuǎn)換次數(shù)加1，執(zhí)行本步驟的第2步。

步驟4，量化閾值內(nèi)信號強(qiáng)度序列。

按照下式，計(jì)算接入點(diǎn)ap和站點(diǎn)sta的信號強(qiáng)度值序列的信號強(qiáng)度值：

r＝max(x)-min(x)

其中，r表示信號強(qiáng)度值，x表示信號強(qiáng)度值序列，max表示最大值操作，min表示最小值操作。

按照下式，分別計(jì)算接入點(diǎn)ap和站點(diǎn)sta的信號強(qiáng)度值序列的等分間隔數(shù)：

其中，k表示等分間隔數(shù)，表示向下取整操作，log2表示以2為底的對數(shù)操作。

第1步，將初次循環(huán)次數(shù)設(shè)置為1。

第2步，按照下式，分別計(jì)算接入點(diǎn)ap和站點(diǎn)sta的信號強(qiáng)度值：

s＝d[p]

其中，s表示信號強(qiáng)度值，d表示閾值內(nèi)信號強(qiáng)度值序列，p表示當(dāng)前循環(huán)次數(shù)。

第3步，按照下式，分別計(jì)算接入點(diǎn)ap和站點(diǎn)sta的信號強(qiáng)度值所在區(qū)間編號：

其中，n表示，s表示信號強(qiáng)度值，k為接入點(diǎn)ap的區(qū)間間隔數(shù)；

第4步，分別將接入點(diǎn)ap的信號強(qiáng)度值所在區(qū)間編號和站點(diǎn)sta的信號強(qiáng)度值所在區(qū)間編號轉(zhuǎn)化為格雷碼。

第5步，將接入點(diǎn)ap的格雷碼存入接入點(diǎn)ap的閾值內(nèi)比特序列,將站點(diǎn)sta的格雷碼存入站點(diǎn)sta的閾值內(nèi)比特序列。

第6步，判斷當(dāng)前循環(huán)次數(shù)是否等于接入點(diǎn)ap閾值內(nèi)信號強(qiáng)度值序列的長度值，若是，則分別得到接入點(diǎn)ap和站點(diǎn)sta的閾值內(nèi)比特序列，執(zhí)行步驟5，否則，將當(dāng)前循環(huán)次數(shù)加1后執(zhí)行本步驟的第2步。

步驟5，生成物理層密鑰。

將接入點(diǎn)ap的閾值外比特序列和閾值內(nèi)比特序列拼接成接入點(diǎn)ap的物理層密鑰pk，將站點(diǎn)sta的閾值外比特序列和閾值內(nèi)比特序列拼接成站點(diǎn)sta的物理層密鑰pk。

步驟6，擴(kuò)展物理層密鑰。

利用密鑰擴(kuò)展算法，將物理層密鑰pk擴(kuò)展為384bit的主密鑰pmk。所述的主密鑰pmk包括128bit的消息完整性校驗(yàn)碼mic以及128bit的密鑰加密密鑰kek128bit的會話密鑰sk。

利用密鑰擴(kuò)展算法，將物理層密鑰pk擴(kuò)展為256bit的組密鑰gk。

所述的組密鑰gk包括128bit的組加密密鑰gek以及128bit的消息完整性校驗(yàn)碼mic。

第二階段加密通信數(shù)據(jù)包步驟如下。

步驟7，加密數(shù)據(jù)包。

將會話密鑰sk作為加密密鑰，利用高級加密標(biāo)準(zhǔn)aes，加密wlan管理幀數(shù)據(jù)包。

將會話密鑰sk作為加密密鑰，利用高級加密標(biāo)準(zhǔn)aes，加密認(rèn)證數(shù)據(jù)包。

站點(diǎn)sta向接入點(diǎn)ap的發(fā)起身份認(rèn)證。

使用會話密鑰sk作為加密密鑰，利用高級加密標(biāo)準(zhǔn)aes，加密wlan通信數(shù)據(jù)包。

第三階段更新加密密鑰步驟如下。

步驟8，定時(shí)更新加密密鑰。

每30分鐘執(zhí)行第一階段物理層加密密鑰協(xié)商，重新生成物理層加密密鑰。

以上描述僅是本發(fā)明的一個(gè)具體實(shí)例，不構(gòu)成對本發(fā)明的任何限制，顯然對于本領(lǐng)域的專業(yè)人員來說，在了解本發(fā)明內(nèi)容和原理后，都可能在不背離本發(fā)明原理、結(jié)構(gòu)的情況下，進(jìn)行形式上和細(xì)節(jié)上的各種修正和改變，但是這些基于本發(fā)明思想的修正和改變在本發(fā)明的權(quán)利要求保護(hù)范圍之內(nèi)。