基于無線安全的客戶機自連接保護方法和系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡安全�,具體地,涉及基于無線安全的客戶機自連接保護方法和系統(tǒng)��。
【背景技術】
[0002]隨著我國全網(wǎng)覆蓋計劃的推進���,客戶機也漸漸的實現(xiàn)了隨時隨地連接入網(wǎng)�,然而與此同時無線網(wǎng)絡安全問題也引起了越來越多的關注���。
[0003]無線安全通常由基站安全與客戶機安全兩部分組成����,其中基站安全比較常見����,其主要是由基站端對接入點進行管理���,從而實施例如密碼保護�,連接限制等方式以保證基站的安全及運行穩(wěn)定。然而由于大部分基站安全并不能由客戶機主動把控�����,從而使得客戶機在無線連接中始終處于被動����,雖然擁有選擇權,但是傳統(tǒng)的SSID+密碼的驗證方式卻也過于簡單�����,客戶機一旦連接上以誘騙為目的的偽基站�,則也意味著客戶端的個人信息能夠被隨意截獲。因此���,客戶機端在無線連接過程中必須采取一定的安全防護措施���,以主動保護個人信息安全。當前連接安全中較為常見的技術方案有:
[0004](a)病毒查殺��,通過一些安全軟件的排查,找出系統(tǒng)中存在的“問題”程式��,并對其進行限制或刪除���。
[0005](b)安裝特定的安全應用�,安全應用中的臨時數(shù)據(jù)及存儲數(shù)據(jù)通常使用加密的方式����,防止外泄,被篡改等�。
[0006](c)限制關鍵文件的訪問,通過系統(tǒng)級修改使得數(shù)據(jù)存放位置無法從外部獲取或者無權限訪問��。
[0007]然而上述傳統(tǒng)技術方案在保護客戶機信息安全的過程中也存在著各種無法規(guī)避的問題:
[0008](a) “問題”程式的定義界限較為模糊�,容易存在病毒遺漏或誤查殺的情況出現(xiàn),不止如此�,這類病毒查殺軟件相互間往往存在利益競爭,一旦互相攻擊����,則會出現(xiàn)綁架使用者的行為。
[0009](b)這類安全應用覆蓋面較窄�,并且需要由于其特定性,容易產(chǎn)生暴力捆綁從而強加給客戶機��,同時��,數(shù)據(jù)加密也存在一定被破解的可能��,并不能從根本上保障其信息安全��。
[0010](C)系統(tǒng)級修改需要較高的管理員權限���,而對于一般的客戶機使用者來說門檻較高���,不具有普遍性,而非專業(yè)的修改也可能會影響系統(tǒng)穩(wěn)定性�����。
[0011]經(jīng)對現(xiàn)有技術進行檢索���,發(fā)現(xiàn)如下相關文獻���。
[0012]相關檢索結果I
[0013]名稱:無線局域網(wǎng)接入點驗證的方法及站點
[0014]專利申請?zhí)?CN201110337877.6
[0015]申請公布號-CNlO3O963OlA
[0016]該本明公開了一種無線局域網(wǎng)接入點驗證的方法及站點,涉及通信領域����,用于解決偽裝AP將STA用戶接入非法網(wǎng)絡以竊取STA用戶的信息或控制STA用戶進行非法行為,導致STA用戶受到損失問題。本發(fā)明提供的方法包括:獲取接入點發(fā)送的接入點標識符信息元素��;根據(jù)所述接入點標識符信息元素對所述接入點進行驗證��。向接入點發(fā)送驗證請求信息元素���,所述驗證請求信息元素用于指示所述接入點返回驗證響應信息元素����;獲取所述接入點返回的驗證響應信息元素��;根據(jù)所述驗證響應信息元素對所述接入點進行驗證�。
[0017]技術要點比較:
[0018]該專利文獻屬于基站驗證,接入點需要提供基于接入點標識信息元素的驗證方法�����,這樣用戶發(fā)送的驗證請求才能生效����,并得到正確返回,因此該專利文獻中需要對基站端進行改動�����。而本發(fā)明針對于歷史基站信息,從而將全部的真?zhèn)巫R別工作集中在客戶機完成�,并不涉及基站端的任何改動�。
[0019]相關檢索結果2
[0020]名稱:識別虛假wifi的方法、客戶端���、服務器端和系統(tǒng)
[0021]專利申請?zhí)?CN201410447084.3
[0022]申請公布號:CN104219670A
[0023]該發(fā)明提供了一種識別虛假wifi的方法�����、客戶端����、服務器端和系統(tǒng)���,屬于無線網(wǎng)絡安全領域�����。其中�����,所述的方法包括:客戶端掃描wifi的服務集標識SSID�,并獲取所述服務集標識SSID對應的MAC地址;在MAC地址庫中查詢所述MAC地址是否存在�����,當查詢結果表明所述MAC地址存在且位于MAC地址庫的MAC黑庫中時�,將所述MAC地址對應的服務集標識SSID進行虛假標識。
[0024]技術要點比較:
[0025]該專利文獻利用記載有偽造的虛假wifi的MAC地址庫的MAC黑庫來識別偽基站�����,但是�,該專利文獻并沒有給出如何將暫時還沒有實施風險行為的誘騙偽基站歸納入黑庫,因此這些誘騙偽基站將長期游離于黑庫之外���。而在本發(fā)明中���,即使偽基站沒有實施風險行為,一樣可以在數(shù)據(jù)連接前識別出來���。
[0026]相關檢索結果3:
[0027]名稱:用于監(jiān)測偽無線接入點AP的方法及裝置
[0028]專利申請?zhí)?CN201410638322.9
[0029]申請公布號:CN104349325A
[0030]該發(fā)明公開了一種用于監(jiān)測偽無線接入點AP的方法及裝置���,其中方法包括:運營商部署的每一合法AP按如下方式監(jiān)測偽AP:運營商管理的多個合法AP采用蜂窩型組網(wǎng)方案進行部署,每個合法AP工作在指定的信道上���,且在進行數(shù)據(jù)傳輸?shù)耐瑫r�,掃描附近AP發(fā)出的信標幀;從獲取的信標幀中提取掃描到的AP信息����;將提取的AP信息與合法AP信息數(shù)據(jù)庫進行比對,其中��,合法AP信息數(shù)據(jù)庫中存儲合法AP的信息�����;當提取的AP信息不在合法AP信息數(shù)據(jù)庫中����,判定掃描到的AP為偽AP�。
[0031]技術要點比較:
[0032]—方面,該專利文獻需要借助于運營商提供的合法AP數(shù)據(jù)庫作為匹配的依據(jù)���,屬于基站驗證��,不屬于客戶機端的驗證��,即使一個合法AP識別出了偽AP�����,但是對于客戶機來講��,其一無法得知發(fā)現(xiàn)該偽AP的信息��,其二即使合法AP能夠通知客戶機發(fā)現(xiàn)了偽AP��,可是客戶機不能確定發(fā)出該通知的AP本身是否為合法AP還是偽AP ;而本發(fā)明從客戶機角度出發(fā)��,并不依賴于運營商提供的合法AP數(shù)據(jù)庫作為匹配的依據(jù)����。
[0033]另一方面,該專利文獻中的偽AP指的是不合法��、未登記AP�����,而合法AP進行復位設置而帶來的AP誘騙信息問題則并沒有被考慮進去����,所以本發(fā)明能夠有效針對誘騙偽基站。又一方面��,既然合法AP能夠掃描附近AP發(fā)出的信標幀,則偽基站同樣能夠掃描到附近AP發(fā)出的信標幀�����,進行偽基站可以將自身的信標幀偽裝成附近AP發(fā)出的信標幀并將信號發(fā)射功率蓋過合法AP��,則仍可以實現(xiàn)誘騙����;但是這樣誘騙方式對本發(fā)明不起作用。
[0034]再一方面��,該專利文獻給出了與本發(fā)明完全相反的技術啟示����,具體地�����,該專利文獻說明書第
[0004]段記載到“目前針對偽AP的治理主要包括……在手機端增加偽AP監(jiān)測功能……需要在用戶手機上安裝一個相應的應用軟件�,且用戶每到一個新的無線局域網(wǎng)內(nèi),都要重新進行數(shù)據(jù)更新���,難以實現(xiàn)偽AP的無縫監(jiān)測”����。
[0035]相關檢索結果4:
[0036]名稱:實現(xiàn)移動終端無線認證加密的系統(tǒng)及方法
[0037]專利申請?zhí)?CN201410837945.9
[0038]申請公布號:CN104468626A
[0039]該發(fā)明涉及一種實現(xiàn)移動終端無線認證加密的系統(tǒng)及方法,其中包括移動終端���,用以在與網(wǎng)絡接入點初次建立通信時發(fā)送自身設備的MEI至網(wǎng)絡接入點以及在原無線連接密碼認證失敗時發(fā)送包含自身設備MEI的認證請求報文至網(wǎng)絡接入點��;網(wǎng)絡接入點����,用以保存移動終端對應的頂EI和MAC地址以及當原無線連接密碼認證失敗時對移動終端進行認證����。采用該種結構的實現(xiàn)移動終端無線認證加密的系統(tǒng)及方法,當AP中的無線連接密碼被修改后�,如果該移動終端設備已經(jīng)連接過該AP,該移動設備可以使用頂EI進行認證����,并且以頂EI為基礎,重新生成加密的密鑰��,方便移動終端用戶的連接網(wǎng)絡��,提高用戶使用體驗,具有更廣泛的應用范圍��。
[0040]技術要點比較:
[0041]該專利文獻與本發(fā)明所解決的技術問題完全不同����。該專利文獻的理由在于其提出的使用頂EI與MAC地址作為新的標識標簽從而取代SSID與密碼的傳統(tǒng)組合使得即使歷史AP更換了新密碼客戶機仍然可以進行連接,這是出于方便的考慮�。而本發(fā)明的目的則是采用多樣的標識組合達到個人信息安全的目的。
【發(fā)明內(nèi)容】
[0042]針對現(xiàn)有技術中的缺陷�����,本發(fā)明的目的是提供一種基于無線安全的客戶機自連接保護方法和系統(tǒng)����,從而解決目前客戶機通過基于SSID和密碼即自動連接基站導致無主動連接自保護的問題。
[0043]根據(jù)本發(fā)明提供的一種基于無線安全的客戶機自連接保護方法�����,包括如下步驟:
[0044]步驟1:獲取待識別連接對象信息��,其中�����,所述待識別連接對象信息包括基站信息和/或與基站對應的認證信息�;
[0045]步驟2:根據(jù)所述待識別連接對象信息與客戶機本地的歷史連接對象信息的匹配結果,對待識別連接對象進行真?zhèn)巫R別����;
[0046]其中,所述歷史連接對象信息包括歷史基站信息和/或歷史認證信息��;
[0047]優(yōu)選地�����,歷史基站信息包括如下任意一種或任意多種信息:
[0048]-客戶機往次數(shù)據(jù)連接基站形成的歷史信息��;
[0049]-客戶機本次數(shù)據(jù)連接基站形成的歷史信息����;
[0050]-客戶機上存有的歷史基站信息表。
[0051 ] 優(yōu)選地�����,歷史認證信息包括:
[0052]-基站對應的認證站點給與客戶機的反饋信息
[0053]優(yōu)選地�����,所述步驟I包括在客戶機與基站數(shù)據(jù)連接前執(zhí)行的如下步驟:
[0054]步驟1.1:獲取基站的第一無線標識信息和第二無線標識信息;
[0055]所述步驟2包括在客戶機與基站數(shù)據(jù)連接前執(zhí)行的如下步驟:
[0056]步驟2.1:將第一無線標識信息與第二無線標識信息的組合����,與歷史基站信息進行匹配,根據(jù)匹配結果對所述基站進行真?zhèn)巫R別�;
[0057]其中,所述第一無線標識信息與第二無線標識信息的組合����,記為表示標簽