[0039] 下面结合附图和具体实施例对本发明一种无线局域网认证机制的改进方法进行详细说明。
[0040] 一种无线局域网认证机制的改进方法,应用于客户端通过无线访问接入点与认证服务器之间进行基于数字证书的双向认证,其中,如图1所示,双向认证过程中无线访问接入点向客户端明文发送认证成功报文后,还包括以下步骤:
[0041] 步骤S1、客户端将一第一加密参数,利用预设的加密算法加密将第一加密算法加密形成一第一报文发送至无线访问接入点;
[0042] 步骤S2、无线访问接入点收到第一报文后根据上述加密算法对该第一报文解密以获得第一加密参数,并将该第一加密参数与一第二加密参数分别以上述加密算法加密后组合形成一第二报文发送至客户端;
[0043] 步骤S3、客户端根据加密算法解密收到的第二报文,以获得第二报文中的第一加密参数以及第二加密参数;
[0044] 步骤S4、客户端判断第一加密参数与第二报文中获得的第一加密参数是否相同,如不同判断无线访问接入点非法,并退出;
[0045] 步骤S5、客户端将第二报文中获得的第二加密参数以加密算法加密后形成一第三报文发送至无线访问接入点;
[0046] 步骤S6、无线访问接入点根据加密算法解密收到的第三报文,以获得第三报文中的第二参数;
[0047] 步骤S7、无线访问接入点判断第二加密参数与第三报文中的第二加密参数是否相同,如不相同向客户端返回认证失败,并退出;
[0048] 步骤S8、无线访问接入点向客户端返回认证成功。
[0049] 具体来说,上述提出的无线局域网认证机制的改进方法中,首先利用客户端将一第一加密参数以一预定的加密算法进行加密处理,以形成一第一报文,并将该第一报文发送至无线访问接入点。之后,无线访问接入点根据加密算法对该第一报文进行解密处理,以获取第一加密参数。然后,再提供一第二加密参数,将第一加密参数和第二加密参数分别以上述加密算法进行加密,将加密结果组合后形成一第二报文,将该第二报文发送至客户端。客户端收到该第二报文后,进行解密处理,以获得第二报文中的第一加密参数和第二加密参数。此时,客户端需要判断第二报文中解密后获取的第一加密参数是否与开始提供的第一加密参数相同,若不相同,说明该无线访问接入点非法,退出整个操作;若相同,继续执行后续步骤。简单来说,即客户端提供一第一加密参数,该第一加密参数经客户端加密、无线访问接入点解密、无线访问接入点加密以及客户端解密处理后,仍然没有发生改变,则此时判定该无线访问接入点合法。
[0050] 但是,判定无线访问接入点合法还不能够保证认证过程的可靠性,所以在无线访问接入点对第一报文解密获得第一加密参数的同时,还需要提供一第二加密参数,在无线访问接入点对该第二加密参数进行加密、客户端解密、客户端再加密以及无线访问接入点再解密处理后,仍然没有发生改变,则此时判定整个认证过程完成。
[0051] 值得指出的是,在判定无线访问接入点不合法时,不再对解密后的第二加密参数进行加密处理,即在判定无线访问接入点不合法时,不再进行后续的认证过程,直接判定认证失败。
[0052] 此外,在通过第二加密参数进行验证时,首先要通过无线访问接入点将第一加密参数和第二加密参数分别以加密算法加密后组合形成一第二报文,并将该第二报文发送至客户端。然后客户端再根据该第二报文,解析出第一加密参数和第二加密参数,当此时判断从第二报文中解析出的第一加密参数与之前提供的第一加密参数相同时,再将该第二加密参数以加密算法加密,形成一第三报文,并发送至无线访问接入点。然后,无线访问接入点根据加密算法解密接收到的第三报文,获取该第三报文中的第二加密参数。最后,无线访问接入点判断第三报文中的第二加密参数是否与之前预设的第二加密参数相同。不相同,则说明认证失败,向客户端返回认证失败信息,并退出;若不相同,则该无线访问接入点向客户端返回认证成功信息。
[0053] 于优选的实施例,上述预设的加密算法可通过客户端和无线访问输入端事先约定秘钥的形式实现。
[0054] 进一步优选的实施例中,上述第一加密参数是客户端随机生产的。
[0055] 进一步优选的实施例中,上述第二加密参数是无线访问接入点随机生产。
[0056] 进一步优选的实施例中,加密算法为客户端与无线访问接入点事先约定的。
[0057] 进一步优选的实施例中,如图2所示,在步骤S8中,具体包括以下步骤:
[0058] 步骤S81、无线访问接入点将一安全密钥及认证成功报文通过加密算法形成一第四报文发送至客户端;
[0059] 步骤S82、客户端根据加密算法解密收到的第四报文,以获得安全密钥及认证成功报文;
[0060] 步骤S83、客户端向用户显示该认证成功报文,并将该安全密钥与该无线访问接入点之间进行通信。
[0061] 具体来说,在判定无线访问接入点认证成功的同时,该无线访问接入点将一安全密钥及认证成功报文通过加密算法形成一第四报文发送至客户端,客户端根据加密算法解密该第四报文,以获取安全密钥和认证成功报文。最后,在客户端显示该认证成功报文,并将该安全密钥与该无线访问接入点之间进行通信。
[0062] 进一步优选的实施例中,上述安全密钥是无线访问接入点通过哈希算法生成的。
[0063] 进一步优选的实施例中,上述哈希算法可以为MD5算法。
[0064] 进一步优选的实施例中,在本实施例提供的方法中,还包括步骤:
[0065] 于认证失败后,返回至步骤客户端生成一第一加密参数,以进行下一轮认证过程。
[0066] 通过对AP—STA的双向认证方式,可以防止遭到非法AP的劫持和可能产生的中间人攻击。
[0067] 此外,上述方法是客户端对无线访问接入点的认证,除此之外,在经数字证书的双向认证过程中,还需要对客户端进行认证。具体来说,认证服务器提供一口令规则,如图3所示,双向认证过程中无线访问接入点向客户端明文发送认证成功报文之前还包括步骤:
[0068] 步骤S01、认证服务器向客户端发送身份请求及关联于该口令规则的请求口令;
[0069] 步骤S02、客户端接收身份请求后,返回客户端的身份以及对应请求口令的应答口令;
[0070] 步骤S03、认证服务器根据口令规则判断接收到的应答口令是否正确,如正确执行步骤S05;
[0071] 步骤S04、判断客户端应答口令不正确的次数是否达到一预设值;如未达到则记录客户端对应的应答口令不正确次数后返回步骤S01,如达到则于一预定时间周期内忽略客户端的请求,并退出;
[0072] 步骤S05、继续认证过程。
[0073] 具体来说,为了防止恶意客户端加入无线访问接入点,则在可靠的客户端和认证服务器中都预先存储一口令规则。即在认证服务器通过安全方式预先共享一份口令规则,该口令规则中包括一一对应的口令请求和应答口令。所以在对客户端进行认证过程中,先由认证服务器向客户端发送身份请求以及关联该口令规则的请求口令,客户端接收到该身份请求后,将客户端的身份和对应请求口令的应答口令发送至认证服务器。认证服务器计算该口令的哈希值,并哈希值和口令规则中该请求口令对应的应答口令是否相同,若相同,则证明该客户端身份合法,则继续执行上述认证过程。简单来说,在认证服务器中通过安全方式预先共享一份口令规则,以认证服务器发出身份请求和请求口令——返回客户端的额身份以及请求口令对应的应答口令——认证服务器判断该应答口令是否正确这一过程,完成对客户端的认证。
[0074] 值得指出的是,如果口令不正确,还需要判断客户端应答口令不正确的次数是否达到一预设值,如未达到则记录客户端对应的应答口令不正确次数,然后返回执行步骤S01;如果达到,则于一预定时间周期内忽略客户端的请求,并退出。
[0075] 通过于预定时间周期内忽略多次认证失败的客户端的请求,可防止具有恶意的客户端发起拒绝攻击。
[0076] 进一步优选的实施例中,上述提出的口令规则为:提供一与客户端共享的口令表,该口令表中储存至少一个请求口令及与该请求口令一一对应的应答口令。认证服务器发送请求口令后判断接收到的应答口令是否与口令表中请求口令对应的应答口令一致,如一致判断应答口令正确;如不一致则判断应答口令不正确。
[0077] 进一步优选的实施例中,还可以提供一静默表,将客户端加入静默列表,认证服务器忽略静默列表中所有终端的请求,于预定时间周期后将客户端于静默列表中删除。通过该静默表,实现了于预定时间周期内忽略客户端请求的效果。
[0078] 近一步来讲,预设值可以为3。
[0079] 近一步来讲,预定时间周期可以为3分钟。
[0080] 本发明通过对客户端和无线访问接入点的双向认证,能够有效防止“中间人攻击”。同时,增加对用户身份的第一时间识别,判定攻击者,从而阻止它们的攻击行为。简言之,本发明提供了一种对802.1X认证的改进方案,使得无线设备能更加安全稳定地运行,不会因为来自其它恶意非法无线设备的攻击,出现正常用户无法接入网络、上网体验下降,甚至设备死机瘫痪、重启等故障。
[0081] 对于本领域的技术人员而言,阅读上述说明后,各种变化和修正无疑将显而易见。因此,所附的权利要求书应看作是涵盖本发明的真实意图和范围的全部变化和修正。在权利要求书范围内任何和所有等价的范围与内容,都应认为仍属本发明的意图和范围内。