一種基于動態(tài)密鑰的無線熱點(diǎn)的接入控制方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及通信技術(shù)領(lǐng)域�,具體設(shè)及一種基于動態(tài)密鑰的無線熱點(diǎn)的接入控制方 法及系統(tǒng)�����。
【背景技術(shù)】
[0002] 在信息化、網(wǎng)絡(luò)化��、自動化不斷融入辦公體系的今天��,局域網(wǎng)架設(shè)已經(jīng)成為一個(gè)單 位提升辦公效率的必然選擇�,是內(nèi)部建設(shè)的重要組成部分,同時(shí)也是企業(yè)內(nèi)部員工及時(shí)獲 取資源和更新信息的直接途徑���,而無線網(wǎng)絡(luò)技術(shù)的普及應(yīng)用����,更是將整個(gè)企業(yè)內(nèi)部全部搭 建為辦公平臺��,不論是在辦公室還是在生產(chǎn)車間及倉庫���、室外空地�,隨時(shí)隨地介入網(wǎng)絡(luò)實(shí)現(xiàn) 與內(nèi)網(wǎng)及互聯(lián)網(wǎng)的對接�。由于傳統(tǒng)有線局域網(wǎng)的局限性,無線辦公顯得尤為重要���,無線局域 網(wǎng)能夠非常方便的擴(kuò)容,對于傳統(tǒng)的有線局域網(wǎng)來講���,改變往往意味著重新建設(shè)���,而重新進(jìn) 行布線將是一件非常費(fèi)時(shí)���、費(fèi)力的事情,而無線局域網(wǎng)的搭建將有效避免該種情況的出現(xiàn)�。 而無線局域網(wǎng)面臨著很多安全威脅,例如����;通過身份假冒的中間人攻擊、釣魚AP等等���。該些 攻擊可W帶來很多虛假信息并且竊取用戶資料�,例如:上網(wǎng)賬號����、密碼等等,從而威脅用戶 的私人財(cái)產(chǎn)安全��。
[0003] 無線接入點(diǎn)攻擊是指在公眾場所攻擊者私自架設(shè)一個(gè)偽裝的無線接入點(diǎn)����,設(shè)置與 被攻擊無線接入點(diǎn)相同的服務(wù)組標(biāo)識符��,使得受害者誤連接偽裝的無線接入點(diǎn)�,該樣���,偽裝 的無線接入點(diǎn)可W攻擊受害者竊取賬號密碼等重要資料��。該樣����,在單位外部通過架設(shè)一個(gè) 與單位內(nèi)部相同的AP�,就可W很簡單的實(shí)現(xiàn)釣魚,或者通過暴力破解竊取單位內(nèi)部無線熱 點(diǎn)的密碼�����,進(jìn)而實(shí)現(xiàn)中間人攻擊�����,威脅用戶的私人財(cái)產(chǎn)安全�����。
[0004] 針對網(wǎng)絡(luò)設(shè)備的可信接入方法��,其中之一為驗(yàn)證網(wǎng)絡(luò)設(shè)備的啟動過程��,當(dāng)所述網(wǎng) 絡(luò)設(shè)備的啟動過程符合預(yù)設(shè)要求時(shí)����,允許所述網(wǎng)絡(luò)設(shè)備完成啟動W使所述網(wǎng)絡(luò)設(shè)備接入網(wǎng) 絡(luò)。該方法并沒有指定特定的預(yù)設(shè)要求��,因此不能確定它的安全性與性能穩(wěn)定性�。另外預(yù) 設(shè)要求僅對網(wǎng)絡(luò)設(shè)備進(jìn)行驗(yàn)證,而沒有對AP端的驗(yàn)證�,對于釣魚AP等攻擊,此種方法不能 進(jìn)行防御�。
[0005] 另一種基于可信性驗(yàn)證的可信接入網(wǎng)關(guān),認(rèn)證處理板�����、可信性度量處理板����、完整性 修復(fù)處理板、訪問控制處理板�����、安全標(biāo)簽管理處理板通過交換控制板與網(wǎng)絡(luò)接口板連接W 此實(shí)現(xiàn)認(rèn)證。此種方法由于添加了硬件�����,帶來的可實(shí)施性的復(fù)雜度大大增加��。并且不能對 局部范圍內(nèi)(例如設(shè)密場所)的無線連接設(shè)備W及AP進(jìn)行雙重安全保護(hù)�����。
【發(fā)明內(nèi)容】
[0006] 針對現(xiàn)有技術(shù)中的缺陷�����,本發(fā)明提供了一種基于動態(tài)密鑰的無線熱點(diǎn)的接入控制 方法及系統(tǒng)��,實(shí)現(xiàn)了局域網(wǎng)范圍內(nèi)信息系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩浴?br>[0007] 第一方面��,本發(fā)明提供一種基于動態(tài)密鑰的無線熱點(diǎn)的接入控制方法����,包括:
[000引無線熱點(diǎn)端與終端連接后,向所述終端發(fā)送第一公鑰和第一私鑰�����,同時(shí)所述無線 熱點(diǎn)端保存分別與所述第一公鑰和所述第一私鑰對應(yīng)的第二私鑰和第二公鑰;
[0009] 所述終端在與所述無線熱點(diǎn)端連接后�����,在預(yù)設(shè)時(shí)間段內(nèi)未收到所述無線熱點(diǎn)端發(fā) 送第一公鑰和第一私鑰時(shí)�����,所述終端斷開與所述無線熱點(diǎn)端的連接�����;
[0010] 所述無線熱點(diǎn)端在接收到所述終端斷開的指令后�,向所述終端發(fā)送獲取接入密碼 和MAC地址的請求�����;
[001U 所述無線熱點(diǎn)端通過接收所述終端發(fā)送的接入密碼和MAC地址�����,并將所述接入密 碼和MAC地址與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼和MAC地址進(jìn)行匹配���,通過匹配結(jié)果判斷是否允 許所述終端訪問網(wǎng)絡(luò)����。
[0012] 可選的,在所述無線熱點(diǎn)端與所述終端連接之前�����,所述方法還包括:
[0013] 所述無線熱點(diǎn)端通過獲取所述終端發(fā)送的連接密碼與所述無線熱點(diǎn)端連接�;
[0014] 所述無線熱點(diǎn)端與所述終端連接后,不允許所述終端訪問網(wǎng)絡(luò)�。
[0015] 可選的,所述無線熱點(diǎn)端根據(jù)向所述終端發(fā)送的時(shí)間W及連接的終端的不同�,貝U 向所述終端發(fā)送W及保存的所述第一公鑰、第一私鑰��、第二公鑰和第二私鑰均不同���。
[0016] 可選的�����,所述無線熱點(diǎn)端通過接收所述終端發(fā)送的接入密碼和MAC地址�,并將所 述接入密碼和MAC地址與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼和MAC地址進(jìn)行匹配�����,通過匹配結(jié)果判 斷是否允許所述終端訪問網(wǎng)絡(luò),包括:
[0017] 所述無線熱點(diǎn)端向所述終端發(fā)送獲取接入密碼的第一請求����,并對所述第一請求通 過所述第二公鑰進(jìn)行加密;
[001引所述終端接收到所述無線熱點(diǎn)端發(fā)送的第一請求后�,通過所述第一私鑰對所述第 一請求進(jìn)行解密,并將接入密碼通過所述第一公鑰加密后發(fā)送給所述無線熱點(diǎn)端�����;
[0019] 所述無線熱點(diǎn)端通過所述第二私鑰獲取所述接入密碼���,并將所述接入密碼與預(yù)設(shè) 數(shù)據(jù)庫中的接入密碼進(jìn)行匹配,根據(jù)匹配結(jié)果判斷是否允許所述終端訪問網(wǎng)絡(luò)���。
[0020] 可選的�����,所述無線熱點(diǎn)端通過接收所述終端發(fā)送的接入密碼和MC地址�����,并將所 述接入密碼和MAC地址與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼和MAC地址進(jìn)行匹配��,通過匹配結(jié)果判 斷是否允許所述終端訪問網(wǎng)絡(luò)���,還包括:
[0021] 所述接入密碼與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼不匹配時(shí)�����,斷開與所述終端的連接��,如 果匹配��,則向所述終端發(fā)送接入MC地址的第二請求���,并對所述第二請求通過所述第二公 鑰進(jìn)行加密;
[0022] 所述終端接收到所述無線熱點(diǎn)端發(fā)送的第二請求后�����,通過所述第一私鑰對所述第 二請求進(jìn)行解密���,并將接入MAC地址通過所述第一公鑰加密后發(fā)送給所述無線熱點(diǎn)端��;
[0023] 所述無線熱點(diǎn)端通過所述第二私鑰獲取所述接入MAC地址��,并將所述接入MAC地 址與預(yù)設(shè)數(shù)據(jù)庫中的接入MAC地址進(jìn)行匹配��,如果不匹配���,則斷開與所述終端的連接�,如果 匹配����,則所述終端訪問網(wǎng)絡(luò)。
[0024] 第二方面�,本發(fā)明還提供了一種基于動態(tài)密鑰的無線熱點(diǎn)的接入控制系統(tǒng),包括: 終端和無線熱點(diǎn)端����;
[0025] 所述無線熱點(diǎn)端��,用于在與終端連接后�����,向所述終端發(fā)送第一公鑰和第一私鑰����, 同時(shí)所述無線熱點(diǎn)端保存分別與所述第一公鑰和所述第一私鑰對應(yīng)的第二私鑰和第二公 鑰;
[0026] 所述終端,用于在與所述無線熱點(diǎn)端連接后��,在預(yù)設(shè)時(shí)間段內(nèi)未收到所述無線熱 點(diǎn)端發(fā)送第一公鑰和第一私鑰時(shí)��,所述終端斷開與所述無線熱點(diǎn)端的連接���;
[0027] 所述無線熱點(diǎn)端���,用于在接收到所述終端斷開的指令后,向所述終端發(fā)送獲取接 入密碼和MAC地址的請求��;
[002引所述無線熱點(diǎn)端����,用于通過接收所述終端發(fā)送的接入密碼和MAC地址,并將所述 接入密碼和MAC地址與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼和MAC地址進(jìn)行匹配���,通過匹配結(jié)果判斷 是否允許所述終端訪問網(wǎng)絡(luò)�����。
[0029] 可選的��,所述無線熱點(diǎn)端�,還用于:
[0030] 在與所述終端連接之前,通過獲取所述終端發(fā)送的連接密碼與所述無線熱點(diǎn)端連 接���;
[0031] 在與所述終端連接后����,不允許所述終端訪問網(wǎng)絡(luò)�����。
[003引可選的���,所述無線熱點(diǎn)端根據(jù)向所述終端發(fā)送的時(shí)間W及連接的終端的不同��,貝U向所述終端發(fā)送W及保存的所述第一公鑰���、第一私鑰�、第二公鑰和第二私鑰均不同。
[0033] 可選的�����,所述無線熱點(diǎn)端�,用于向所述終端發(fā)送獲取接入密碼的第一請求�,并對所 述第一請求通過所述第二公鑰進(jìn)行加密�����;
[0034] 所述終端���,用于接收到所述無線熱點(diǎn)端發(fā)送的第一請求后�����,通過所述第一私鑰對 所述第一請求進(jìn)行解密�����,并將接入密碼通過所述第一公鑰加密后發(fā)送給所述無線熱點(diǎn)端�;
[0035] 所述無線熱點(diǎn)端�����,用于通過所述第二私鑰獲取所述接入密碼��,并將所述接入密碼 與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼進(jìn)行匹配��,根據(jù)匹配結(jié)果判斷是否允許所述終端訪問網(wǎng)絡(luò)����。
[0036] 可選的���,所述無線熱點(diǎn)端,還用于在所述接入密碼與預(yù)設(shè)數(shù)據(jù)庫中的接入密碼不 匹配時(shí)�,斷開與所述終端的連接,如果匹配����,則向所述終端發(fā)送接入MAC地址的第二請求, 并對所述第二請求通過所述第二公鑰進(jìn)行加密����;
[0037] 所述終端,用于接收到所述無線熱點(diǎn)端發(fā)送的第二請求后����,通過所述第一私鑰對 所述第二請求進(jìn)行解密,并將接入MAC地址通過所述第一公鑰加密后發(fā)送給所述無線熱點(diǎn) 端�����;
[003引所述無線熱點(diǎn)端����,用于通過所述第二私鑰獲取所述接入MC地址,并將所述接入MAC地址與預(yù)設(shè)數(shù)據(jù)庫中的接入MAC地址進(jìn)行匹配��,如果不匹配�����,則斷開與所述終端的連 接�����,如果匹配��,則所述終端訪問網(wǎng)絡(luò)����。
[0039] 由上述技術(shù)方案可知,本發(fā)明提供的一種基于動態(tài)密鑰的無線熱點(diǎn)的接入控制方 法及系統(tǒng)��,該方法通過對終端W及AP端進(jìn)行擴(kuò)展修改���,增加一層新的動態(tài)密鑰雙向交互驗(yàn) 證�,終端和AP端相互認(rèn)證�����。使得局域網(wǎng)內(nèi)的終端僅與局域網(wǎng)內(nèi)部架設(shè)的可信AP連接,局域 網(wǎng)內(nèi)部架設(shè)的可信A