[0027] 以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
[0028] 需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
[0029] 本发明提供了无线保护设置协商方法及系统,可以很好地防止攻击者进行破解,并能防止攻击者使用非法的PIN码进行连接,以提供很高的安全性。方法包括:工作站向访问点发送第一认证阶段请求。所述访问点收到所述第一认证阶段请求后向所述工作站发送访问点公钥及随机数。所述工作站通过所述访问点公钥对第一消息摘要加密后发送至所述访问点,所述第一消息摘要是由所述工作站的PIN码、MAC信息及所述随机数通过第一加密算法生成的。所述访问点将通过访问点私钥解密所述第一消息摘要后得到的内容与预设消息摘要作比对。若比对结果一致,通过所述第一认证阶段,待通过第二认证阶段后完成所述工作站与访问点间无线保护设置协商;若比对结果不一致,则将本次验证记录至黑名单。
[0030] 以下将结合附图给出详细的实施例对本发明进行阐述:
[0031] 本发明提供一种无线保护设置协商方法,主要包括五个阶段:802.11链路层协商阶段、第一认证阶段、第二认证阶段、正式连接访问点阶段。
[0032] 在802.11链路层协商阶段中,管理帧的Beacon帧中设置有可以区分现有的无线保护设置的元素,使得不支持本方法的设备可以继续使用原有方法,支持本方法的设备优先选择使用本方法,然后进行probe、auth、association协商已完成链路层的连接。对于不支持本发明所提方法的设备,可以通过对其安装定制的驱动使之可以在不增加硬件成本的情况下使用。
[0033] 请参阅图1,在第一认证阶段中,主要包括如下步骤:
[0034] 步骤S1:工作站向访问点发送第一认证阶段请求。第一认证阶段的作用即为身份认证。工作站可以是待接入网的终端设备,例如:智能手机、平板电脑等。访问点可以是路由器。
[0035] 步骤S2:所述访问点收到所述第一认证阶段请求后向所述工作站发送访问点公钥及随机数。需要说明的是,工作站、访问点都应当设置有属于自己的公钥和私钥。
[0036] 步骤S3:所述工作站根据其PIN码、MAC信息及访问点发来的随机数生成第一消息摘要,再利用所述访问点公钥将第一消息摘要加密,发送给所述访问点。一般的PIN码为8位数字,前7位是有效数字,最后一位是校验码,本实施例中的随机数可以包括8位16进制数,也就是说,8位数字中可以有大写、小写字母,特别的,还可以包括特殊字符,例如:+,-,/、*等。随机数优选为16位2进制数。加密算法优选为HASH算法,例如:MD5算法、SHA-1算法等。
[0037] 步骤S4:所述访问点收到加密的第一消息摘要后,利用访问点私钥对其解密,将解密得到的内容与预设消息摘要作比对。若比对结果一致,则执行步骤S5,反之,执行步骤S6。
[0038] 步骤S5:通过所述第一认证阶段,待通过第二认证阶段后完成所述工作站与访问点间无线保护设置协商。
[0039] 步骤S6:将本次验证记录至黑名单以供实时监控,进行防护。
[0040] 在第二认证阶段中,使用Diffie-Hellman方法交换工作站和访问点的公钥,二者分别根据自己公钥与私钥计算出一相同的密钥值,再分别利用该密钥值再次不可逆的计算出消息摘要值。之后,分别利用两种加密算法对该消息摘要值加密,以产生两个加密值。最后,将工作站和访问点分别计算出的两个加密值按照加密算法的不同分别比对。其中,一加密值用于鉴权所述工作站及访问点间报文的完整性和两者PIN码的一致性,另一加密值用于鉴权所述工作站及访问点间报文的无线配置参数的一致性。无线配置参数包括:SSID、无线认证方式、密码信息等。
[0041] 在正式连接访问点阶段中,所述工作站与访问点间断开802.11链路层的连接后重新建立连接,重新连接时使用无线保护设置协商完成后的SSID、无线认证方式、密码信息等。特别的,为防止访问点处理延迟,如果工作站使用协商的无线保护设置无法连接成功,工作站需要再次使用该无线保护设置的模版再次连接,通过验证后可以进行正常的业务数据收发。
[0042] 请参阅图2,与方法实施例原理相似的是,本发明提供一种无线保护设置协商系统1,包括:通信模块11和处理模块12。由于前述方法实施例中的技术特征也可以应用到本系统实施例,因而不再重复赘述。
[0043] 通信模块11用于工作站向访问点发送第一认证阶段请求,所述访问点收到所述第一认证阶段请求后向所述工作站发送访问点公钥及随机数。处理模块12用于所述工作站通过所述访问点公钥对第一消息摘要加密后发送至所述访问点,所述第一消息摘要是由所述工作站的PIN码、MAC信息及所述随机数通过第一加密算法生成的,所述访问点将通过访问点私钥解密所述第一消息摘要后得到的内容与预设消息摘要作比对;,若比对结果一致,通过所述第一认证阶段,待通过第二认证阶段后完成所述工作站与访问点间无线保护设置协商,若比对结果不一致,则将本次验证记录至黑名单。
[0044] 在一实施例中,处理模块12还用于所述第二认证阶段,包括:所述工作站及访问点分别根据密钥值生成第二消息摘要,所述密钥值是根据所述工作站和访问点各自的公钥及私钥经Diffie-Hellman加密算法得出的,所述工作站及访问点分别利用第二加密算法和第三加密算法对所述第二消息摘要加密生成第二密文和第三密文。其中,所述第二密文用于鉴权所述工作站及访问点间报文的完整性和两者PIN码的一致性,所述第三密文用于鉴权所述工作站及访问点间报文的无线配置参数的一致性。无线配置参数包括:SSID、无线认证方式、密码信息等。所述第一加密算法、第二加密算法和第三加密算法包括哈希算法等。
[0045] 可选的,工作站与访问点间完成所述无线保护设置协商后重新建立二者的链路层连接。
[0046] 与前述实施例原理相似的是,本发明一种无线保护设置协商装置2,包括如上所述的任一项无线保护设置协商系统。装置2包括终端21和路由装置22。终端21可以是手机、电脑等待接入网的设备,路由装置22可以为SOHO路由器、企业路由器等。终端21和路由装置22分别设置有通信单元,以及与通信单元相连的处理单元。通信单元可以包括WIFI模块、GPRS模块等结构及电路实现,处理单元可以包括MCU、SOC及相关电路实现等。由于前述实施例中的技术特征可以用于本实施例中,因而不再重复赘述。
[0047] 综上所述,本发明有效改善了传统的无线保护设置易破解、不安全的弊端,克服了现有技术中的种种缺点而具高度产业利用价值。
[0048] 上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。