P僅使得局域網(wǎng)內(nèi)部終端與之連接。從根源上避免了一些攻擊,有效地 提升單位無線網(wǎng)絡的安全性。通過構建的無線網(wǎng)絡動態(tài)密鑰雙向交互驗證的可信接入,能 夠解決局域網(wǎng)內(nèi)部信息系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?;保密性、完整性和不可抵賴性?br>【附圖說明】
[0040] 圖1為本發(fā)明一實施例提供的一種基于動態(tài)密鑰的無線熱點的接入控制方法的 流程示意圖;
[0041] 圖2為本發(fā)明另一實施例提供的一種基于動態(tài)密鑰的無線熱點的接入控制方法 的流程示意圖。
【具體實施方式】
[0042] 下面結合附圖,對發(fā)明的【具體實施方式】作進一步描述。W下實施例僅用于更加清 楚地說明本發(fā)明的技術方案,而不能W此來限制本發(fā)明的保護范圍。
[0043] 圖1示出了本發(fā)明實施例提供的一種基于動態(tài)密鑰的無線熱點的接入控制方法 的流程示意圖,如圖1所示,該方法包括如下步驟:
[0044] 101、無線熱點端與終端連接后,向所述終端發(fā)送第一公鑰和第一私鑰,同時所述 無線熱點端保存分別與所述第一公鑰和所述第一私鑰對應的第二私鑰和第二公鑰;
[0045] 102、所述終端在與所述無線熱點端連接后,在預設時間段內(nèi)未收到所述無線熱點 端發(fā)送第一公鑰和第一私鑰時,所述終端斷開與所述無線熱點端的連接;
[0046] 103、所述無線熱點端在接收到所述終端斷開的指令后,向所述終端發(fā)送獲取接入 密碼和MAC地址的請求;
[0047] 104、所述無線熱點端通過接收所述終端發(fā)送的接入密碼和MC地址,并將所述接 入密碼和MAC地址與預設數(shù)據(jù)庫中的接入密碼和MAC地址進行匹配,通過匹配結果判斷是 否允許所述終端訪問網(wǎng)絡。
[0048] 該方法通過對終端W及AP端進行擴展修改,增加一層新的動態(tài)密鑰雙向交互驗 證,終端和AP端相互認證。使得局域網(wǎng)內(nèi)的終端僅與局域網(wǎng)內(nèi)部架設的可信AP連接,局域 網(wǎng)內(nèi)部架設的可信AP僅使得局域網(wǎng)內(nèi)部終端與之連接。從根源上避免了一些攻擊,有效地 提升單位無線網(wǎng)絡的安全性。通過構建的無線網(wǎng)絡動態(tài)密鑰雙向交互驗證的可信接入,能 夠解決局域網(wǎng)內(nèi)部信息系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?;保密性、完整性和不可抵賴性?br>[0049] 上述步驟101中在無線熱點端與所述終端連接之前,所述方法還包括圖1中未示 出的步驟:
[0050] 所述無線熱點端通過獲取所述終端發(fā)送的連接密碼與所述無線熱點端連接; [0化1] 所述無線熱點端與所述終端連接后,不允許所述終端訪問網(wǎng)絡。
[005引具體的,所述無線熱點端根據(jù)向所述終端發(fā)送的時間W及連接的終端的不同,貝U向所述終端發(fā)送W及保存的所述第一公鑰、第一私鑰、第二公鑰和第二私鑰均不同。此種方 法使用動態(tài)密鑰,每次使用不同的配對公鑰私鑰,防御了暴力破解。
[0053] 上述步驟104具體包括W下幾種:
[0化4] 1041、所述無線熱點端向所述終端發(fā)送獲取接入密碼的第一請求,并對所述第一 請求通過所述第二公鑰進行加密;
[0化5] 1042、所述終端接收到所述無線熱點端發(fā)送的第一請求后,通過所述第一私鑰對 所述第一請求進行解密,并將接入密碼通過所述第一公鑰加密后發(fā)送給所述無線熱點端; [0化6] 1043、所述無線熱點端通過所述第二私鑰獲取所述接入密碼,并將所述接入密碼 與預設數(shù)據(jù)庫中的接入密碼進行匹配。
[0化7] 1044、所述接入密碼與預設數(shù)據(jù)庫中的接入密碼不匹配時,斷開與所述終端的連 接,如果匹配,則向所述終端發(fā)送接入MAC地址的第二請求,并對所述第二請求通過所述第 二公鑰進行加密;
[0化引 1045、所述終端接收到所述無線熱點端發(fā)送的第二請求后,通過所述第一私鑰對 所述第二請求進行解密,并將接入MAC地址通過所述第一公鑰加密后發(fā)送給所述無線熱點 端;
[0化9] 1046、所述無線熱點端通過所述第二私鑰獲取所述接入MAC地址,并將所述接入 MAC地址與預設數(shù)據(jù)庫中的接入MAC地址進行匹配,如果不匹配,則斷開與所述終端的連 接,如果匹配,則所述終端訪問網(wǎng)絡。
[0060] 上述方法使用動態(tài)密鑰雙向交互驗證的可信接入方法,對用戶設定的安全接入 APP密碼和MAC地址進行雙重驗證,增大了安全性。上述方法沒有修改網(wǎng)絡信令,能夠高效 地運行。在根源上對無線網(wǎng)絡安全性提供更高的安全保障,避免了中間人攻擊W及釣魚AP 等多種攻擊,解除了用戶的私人財產(chǎn)安全的威脅。
[0061] 下面對上述認證方法進行詳細說明:
[0062] 下述中的終端的動作均代表設置在終端中的第S方軟件或者APP的動作,無線熱 點端可W理解為AP端,也即路由器。
[006引如圖2所示,在認證過程中具體包括W下步驟:
[0064] (1)移動終端輸入正確的無線熱點密碼之后,無線熱點與之相連但是不授予該移 動終端訪問任何網(wǎng)絡的權限。
[0065] (2)服務器控制AP端向移動終端發(fā)送一組公鑰A和私鑰B,AP端保留與之對應的 私鑰A和公鑰B。其中公鑰A與私鑰A配對,公鑰B與私鑰B配對。
[0066] 做在一定時間范圍內(nèi),若移動終端未收到該組公鑰A和私鑰B,則移動終端APP 控制其斷開無線網(wǎng)絡連接。
[0067] (4)AP端向移動終端請求該無線接入APP的密碼。請求內(nèi)容用公鑰S進行加密。
[0068] (5)移動終端接收到密文后,用私鑰B對密文進行解密,得知請求密碼后,輸入用 戶自己設定的密碼。
[0069] (6)此密碼經(jīng)過公鑰A加密后將密文發(fā)送給AP端.
[0070] (7)AP端通過私鑰A對密文進行解密,得到的密碼與數(shù)據(jù)庫相對比,如果不相匹 配,則斷開與無線終端的連接。如果相匹配,則向移動終端請求MAC地址。將此信息通過公 鑰B進行加密,并將密文發(fā)送至移動終端。AP端數(shù)據(jù)庫內(nèi)容如表1所示:
[0071]表 1
[0072]
[007引 做移動終端收到密文后,用私鑰B對密文進行解密,得知請求MAC地址后,將自己 的MAC地址通過公鑰A加密后發(fā)送至AP端。
[0074] (9)AP端收到密文后,通過私鑰A對密文進行解密,得到的密碼與數(shù)據(jù)庫密碼相對 比,如果不相匹配,則斷開與無線終端的連接。如果相匹配,則允許該移動終端訪問網(wǎng)絡。
[0075] 上述步驟(2)的公鑰A和私鑰AW及公鑰B和私鑰B由服務器隨機分配,即不同 時間的不同客戶端收到的配對的公鑰、私鑰均不同,避免了通過暴力破解使得移動終端連 接AP。
[0076] 上述步驟(3)保證了單位內(nèi)部安裝安全接入APP的移動終端不能連接外部網(wǎng)絡。
[0077] 上述步驟(7)保證了非單位人員(也就是未安裝安全接入APP的移動終端)不可 W連接AP。
[007引上述步驟(7)和(9)兩步分別驗證了MAC地址W及用戶自己設定的密碼,防止了 通過暴力破解密碼連接,增大了安全性。
[0079] 上述方法在現(xiàn)有無線接入的基礎上,在移動終端添加應用對AP進行鑒權,同時對 AP進行擴展進行移動終端的鑒權識別,構建單位無線網(wǎng)絡動態(tài)密鑰雙向交互驗證的可信接 入,終端和可信接入網(wǎng)關相互認證,從根源上避免了一些攻擊,有效地提升了單位無線網(wǎng)絡 的安全性。
[0080] 本發(fā)明還提供了一種基于動態(tài)密鑰的無線熱點的接入控制系統(tǒng),該系統(tǒng)包括:終 端和無線熱點端;
[0081] 所述無線熱點端,用于在與終端連接后,向所述終端發(fā)送第一公鑰和第一私鑰, 同時所述無線熱點端保存分別與所述第一公鑰和所述第一私鑰對應的第二私鑰和第二公 鑰;
[0082] 所述終端,用于在與所述無線熱點端連接后,在預設時間段內(nèi)未收到所述無線熱 點端發(fā)送第一公鑰和第一私鑰時,所述終端斷開與所述無線熱點端的連接;
[0083] 所述無線熱點端,用于在接收到所述終端斷開的指令后,向所述終端發(fā)送獲取接 入密碼和MAC地址的請求;
[0084] 所述無線熱點端,用于通過接收所述終端發(fā)送的接入密碼和MAC地址,并將所述 接入密碼和MAC地址與預設數(shù)據(jù)庫中的接入密碼和MAC地址進行匹配,通過匹配結果判斷 是否允許所述終端訪問網(wǎng)絡。
[0085] 在本發(fā)明一個優(yōu)選的實施例中,所述無線熱點端,還用于:
[0086] 在與所述終端連接之前,通過獲取所述終端發(fā)送的連接密碼與所述無線熱點端連 接;
[0087] 在與所述終端連接后,不允許所述終端訪問網(wǎng)絡。
[008引在本發(fā)明一個優(yōu)選的實施例中,所述無線熱點端根據(jù)向所述終端發(fā)送的時間W及 連接的終端的不同,則向所述終端發(fā)送W及保存的所述第一公鑰、第一私鑰、第二公鑰和第 二私鑰均不同。
[00