一種基于動態(tài)密鑰的無線熱點(diǎn)的接入控制方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及通信技術(shù)領(lǐng)域,具體設(shè)及一種基于動態(tài)密鑰的無線熱點(diǎn)的接入控制方 法及系統(tǒng)。
【背景技術(shù)】
[0002] 在信息化、網(wǎng)絡(luò)化、自動化不斷融入辦公體系的今天,局域網(wǎng)架設(shè)已經(jīng)成為一個單 位提升辦公效率的必然選擇,是內(nèi)部建設(shè)的重要組成部分,同時也是企業(yè)內(nèi)部員工及時獲 取資源和更新信息的直接途徑,而無線網(wǎng)絡(luò)技術(shù)的普及應(yīng)用,更是將整個企業(yè)內(nèi)部全部搭 建為辦公平臺,不論是在辦公室還是在生產(chǎn)車間及倉庫、室外空地,隨時隨地介入網(wǎng)絡(luò)實現(xiàn) 與內(nèi)網(wǎng)及互聯(lián)網(wǎng)的對接。由于傳統(tǒng)有線局域網(wǎng)的局限性,無線辦公顯得尤為重要,無線局域 網(wǎng)能夠非常方便的擴(kuò)容,對于傳統(tǒng)的有線局域網(wǎng)來講,改變往往意味著重新建設(shè),而重新進(jìn) 行布線將是一件非常費(fèi)時、費(fèi)力的事情,而無線局域網(wǎng)的搭建將有效避免該種情況的出現(xiàn)。 而無線局域網(wǎng)面臨著很多安全威脅,例如;通過身份假冒的中間人攻擊、釣魚AP等等。該些 攻擊可W帶來很多虛假信息并且竊取用戶資料,例如:上網(wǎng)賬號、密碼等等,從而威脅用戶 的私人財產(chǎn)安全。
[0003] 無線接入點(diǎn)攻擊是指在公眾場所攻擊者私自架設(shè)一個偽裝的無線接入點(diǎn),設(shè)置與 被攻擊無線接入點(diǎn)相同的服務(wù)組標(biāo)識符,使得受害者誤連接偽裝的無線接入點(diǎn),該樣,偽裝 的無線接入點(diǎn)可W攻擊受害者竊取賬號密碼等重要資料。該樣,在單位外部通過架設(shè)一個 與單位內(nèi)部相同的AP,就可W很簡單的實現(xiàn)釣魚,或者通過暴力破解竊取單位內(nèi)部無線熱 點(diǎn)的密碼,進(jìn)而實現(xiàn)中間人攻擊,威脅用戶的私人財產(chǎn)安全。
[0004] 針對網(wǎng)絡(luò)設(shè)備的可信接入方法,其中之一為驗證網(wǎng)絡(luò)設(shè)備的啟動過程,當(dāng)所述網(wǎng) 絡(luò)設(shè)備的啟動過程符合預(yù)設(shè)要求時,允許所述網(wǎng)絡(luò)設(shè)備完成啟動W使所述網(wǎng)絡(luò)設(shè)備接入網(wǎng) 絡(luò)。該方法并沒有指定特定的預(yù)設(shè)要求,因此不能確定它的安全性與性能穩(wěn)定性。另外預(yù) 設(shè)要求僅對網(wǎng)絡(luò)設(shè)備進(jìn)行驗證,而沒有對AP端的驗證,對于釣魚AP等攻擊,此種方法不能 進(jìn)行防御。
[0005] 另一種基于可信性驗證的可信接入網(wǎng)關(guān),認(rèn)證處理板、可信性度量處理板、完整性 修復(fù)處理板、訪問控制處理板、安全標(biāo)簽管理處理板通過交換控制板與網(wǎng)絡(luò)接口板連接W 此實現(xiàn)認(rèn)證。此種方法由于添加了硬件,帶來的可實施性的復(fù)雜度大大增加。并且不能對 局部范圍內(nèi)(例如設(shè)密場所)的無線連接設(shè)備W及AP進(jìn)行雙重安全保護(hù)。
【發(fā)明內(nèi)容】
[0006] 針對現(xiàn)有技術(shù)中的缺陷,本發(fā)明提供了一種基于動態(tài)密鑰的無線熱點(diǎn)的接入控制 方法及系統(tǒng),實現(xiàn)了局域網(wǎng)范圍內(nèi)信息系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩浴?br>[0007] 第一方面,本發(fā)明提供一種基于動態(tài)密鑰的無線熱點(diǎn)的接入控制方法,包括:
[000引無線熱點(diǎn)端與終端連接后,向所述終端發(fā)送第一公鑰和第一私鑰,同時所述無線 熱點(diǎn)端保存分別與所述第一公鑰和所述第一私鑰對應(yīng)的第二私鑰和第二公鑰;
[0009] 所述終端在與所述無線熱點(diǎn)端連接后,在預(yù)設(shè)時間段內(nèi)未收到所述無線熱點(diǎn)端發(fā) 送第一公鑰和第一私鑰時,所述終端斷開與所述無線熱點(diǎn)端的連接;
[0010] 所述無線熱點(diǎn)端在接收到所述終端斷開的指令后,向所述終端發(fā)送獲取接入密碼 和MAC地址的請求;
[001U 所述無線熱點(diǎn)端通過接收所述終端發(fā)送的接入密碼和MAC地址,并將所述接入密 碼和MAC地址與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼和MAC地址進(jìn)行匹配,通過匹配結(jié)果判斷是否允 許所述終端訪問網(wǎng)絡(luò)。
[0012] 可選的,在所述無線熱點(diǎn)端與所述終端連接之前,所述方法還包括:
[0013] 所述無線熱點(diǎn)端通過獲取所述終端發(fā)送的連接密碼與所述無線熱點(diǎn)端連接;
[0014] 所述無線熱點(diǎn)端與所述終端連接后,不允許所述終端訪問網(wǎng)絡(luò)。
[0015] 可選的,所述無線熱點(diǎn)端根據(jù)向所述終端發(fā)送的時間W及連接的終端的不同,貝U 向所述終端發(fā)送W及保存的所述第一公鑰、第一私鑰、第二公鑰和第二私鑰均不同。
[0016] 可選的,所述無線熱點(diǎn)端通過接收所述終端發(fā)送的接入密碼和MAC地址,并將所 述接入密碼和MAC地址與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼和MAC地址進(jìn)行匹配,通過匹配結(jié)果判 斷是否允許所述終端訪問網(wǎng)絡(luò),包括:
[0017] 所述無線熱點(diǎn)端向所述終端發(fā)送獲取接入密碼的第一請求,并對所述第一請求通 過所述第二公鑰進(jìn)行加密;
[001引所述終端接收到所述無線熱點(diǎn)端發(fā)送的第一請求后,通過所述第一私鑰對所述第 一請求進(jìn)行解密,并將接入密碼通過所述第一公鑰加密后發(fā)送給所述無線熱點(diǎn)端;
[0019] 所述無線熱點(diǎn)端通過所述第二私鑰獲取所述接入密碼,并將所述接入密碼與預(yù)設(shè) 數(shù)據(jù)庫中的接入密碼進(jìn)行匹配,根據(jù)匹配結(jié)果判斷是否允許所述終端訪問網(wǎng)絡(luò)。
[0020] 可選的,所述無線熱點(diǎn)端通過接收所述終端發(fā)送的接入密碼和MC地址,并將所 述接入密碼和MAC地址與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼和MAC地址進(jìn)行匹配,通過匹配結(jié)果判 斷是否允許所述終端訪問網(wǎng)絡(luò),還包括:
[0021] 所述接入密碼與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼不匹配時,斷開與所述終端的連接,如 果匹配,則向所述終端發(fā)送接入MC地址的第二請求,并對所述第二請求通過所述第二公 鑰進(jìn)行加密;
[0022] 所述終端接收到所述無線熱點(diǎn)端發(fā)送的第二請求后,通過所述第一私鑰對所述第 二請求進(jìn)行解密,并將接入MAC地址通過所述第一公鑰加密后發(fā)送給所述無線熱點(diǎn)端;
[0023] 所述無線熱點(diǎn)端通過所述第二私鑰獲取所述接入MAC地址,并將所述接入MAC地 址與預(yù)設(shè)數(shù)據(jù)庫中的接入MAC地址進(jìn)行匹配,如果不匹配,則斷開與所述終端的連接,如果 匹配,則所述終端訪問網(wǎng)絡(luò)。
[0024] 第二方面,本發(fā)明還提供了一種基于動態(tài)密鑰的無線熱點(diǎn)的接入控制系統(tǒng),包括: 終端和無線熱點(diǎn)端;
[0025] 所述無線熱點(diǎn)端,用于在與終端連接后,向所述終端發(fā)送第一公鑰和第一私鑰, 同時所述無線熱點(diǎn)端保存分別與所述第一公鑰和所述第一私鑰對應(yīng)的第二私鑰和第二公 鑰;
[0026] 所述終端,用于在與所述無線熱點(diǎn)端連接后,在預(yù)設(shè)時間段內(nèi)未收到所述無線熱 點(diǎn)端發(fā)送第一公鑰和第一私鑰時,所述終端斷開與所述無線熱點(diǎn)端的連接;
[0027] 所述無線熱點(diǎn)端,用于在接收到所述終端斷開的指令后,向所述終端發(fā)送獲取接 入密碼和MAC地址的請求;
[002引所述無線熱點(diǎn)端,用于通過接收所述終端發(fā)送的接入密碼和MAC地址,并將所述 接入密碼和MAC地址與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼和MAC地址進(jìn)行匹配,通過匹配結(jié)果判斷 是否允許所述終端訪問網(wǎng)絡(luò)。
[0029] 可選的,所述無線熱點(diǎn)端,還用于:
[0030] 在與所述終端連接之前,通過獲取所述終端發(fā)送的連接密碼與所述無線熱點(diǎn)端連 接;
[0031] 在與所述終端連接后,不允許所述終端訪問網(wǎng)絡(luò)。
[003引可選的,所述無線熱點(diǎn)端根據(jù)向所述終端發(fā)送的時間W及連接的終端的不同,貝U向所述終端發(fā)送W及保存的所述第一公鑰、第一私鑰、第二公鑰和第二私鑰均不同。
[0033] 可選的,所述無線熱點(diǎn)端,用于向所述終端發(fā)送獲取接入密碼的第一請求,并對所 述第一請求通過所述第二公鑰進(jìn)行加密;
[0034] 所述終端,用于接收到所述無線熱點(diǎn)端發(fā)送的第一請求后,通過所述第一私鑰對 所述第一請求進(jìn)行解密,并將接入密碼通過所述第一公鑰加密后發(fā)送給所述無線熱點(diǎn)端;
[0035] 所述無線熱點(diǎn)端,用于通過所述第二私鑰獲取所述接入密碼,并將所述接入密碼 與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼進(jìn)行匹配,根據(jù)匹配結(jié)果判斷是否允許所述終端訪問網(wǎng)絡(luò)。
[0036] 可選的,所述無線熱點(diǎn)端,還用于在所述接入密碼與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼不 匹配時,斷開與所述終端的連接,如果匹配,則向所述終端發(fā)送接入MAC地址的第二請求, 并對所述第二請求通過所述第二公鑰進(jìn)行加密;
[0037] 所述終端,用于接收到所述無線熱點(diǎn)端發(fā)送的第二請求后,通過所述第一私鑰對 所述第二請求進(jìn)行解密,并將接入MAC地址通過所述第一公鑰加密后發(fā)送給所述無線熱點(diǎn) 端;
[003引所述無線熱點(diǎn)端,用于通過所述第二私鑰獲取所述接入MC地址,并將所述接入MAC地址與預(yù)設(shè)數(shù)據(jù)庫中的接入MAC地址進(jìn)行匹配,如果不匹配,則斷開與所述終端的連 接,如果匹配,則所述終端訪問網(wǎng)絡(luò)。
[0039] 由上述技術(shù)方案可知,本發(fā)明提供的一種基于動態(tài)密鑰的無線熱點(diǎn)的接入控制方 法及系統(tǒng),該方法通過對終端W及AP端進(jìn)行擴(kuò)展修改,增加一層新的動態(tài)密鑰雙向交互驗 證,終端和AP端相互認(rèn)證。使得局域網(wǎng)內(nèi)的終端僅與局域網(wǎng)內(nèi)部架設(shè)的可信AP連接,局域 網(wǎng)內(nèi)部架設(shè)的可信A