CN102946605A - 一种无线局域网络接入方法及系统 - Google Patents
一种无线局域网络接入方法及系统 Download PDFInfo
- Publication number
- CN102946605A CN102946605A CN2012104338357A CN201210433835A CN102946605A CN 102946605 A CN102946605 A CN 102946605A CN 2012104338357 A CN2012104338357 A CN 2012104338357A CN 201210433835 A CN201210433835 A CN 201210433835A CN 102946605 A CN102946605 A CN 102946605A
- Authority
- CN
- China
- Prior art keywords
- private key
- pki
- certificate
- network
- beacon frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种无线局域网络接入方法及系统,该方法包括:根据非对称密钥体制算法生成一对密钥,包括公钥和私钥,其中所述私钥由网络管理器秘密保管,所述公钥制成数字证书供无线客户端安装;所述网络管理器将所述私钥导入无线接入点或无线接入控制器,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密,然后将加密后的网络信号发出;当所述无线客户端侦听到上述加密后的网络信号时,调用数字证书中的公钥对上述信号进行解密,如果能够成功解密,则判断此网络信号可信任。本发明能够有效避免用户接入到“钓鱼”网络中,达到保护隐私和安全上网的效果。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种无线局域网络接入方法及系统。
背景技术
基于IEEE802.11标准的无线局域网络(Wireless Local AreaNetworks,WLAN)利用射频(Radio Frequency,RF)技术,在局域网络环境中使用不需授权的2.4G或5.8GHz波段进行无线数据传输。客户端通过扫描侦听无线接入点(Access Point,AP)广播的带有SSID(Service Set ID)信息的信标帧(Beacon Frame),从而识别出不同的WLAN网络,并按照IEEE802.11协议与AP进行关联和数据转发。该技术目前被广泛应用在家庭、企业和Internet接入点,正在成为主流的互联网接入手段。
在WLAN环境中,客户端通过扫描侦听AP广播的SSID可以看到有哪些WLAN正在提供接入服务。这些WLAN信号中,有些是可信任的官方发布的,有些则可能是私人发布的,而有些可能是基于“钓鱼”目的恶意发布的。这些“钓鱼”信号通过伪装成受信任的官方信号进行广播,以吸引不明真相的客户端接入到该WLAN网络,从而获取用户的私密信息。不幸的是,在目前的WLAN系统中,没有提供用于鉴别WLAN信号可信程度的有效方法,这为“钓鱼”网络提供了可乘之机。
发明内容
(一)要解决的技术问题
本发明主要解决目前的WLAN系统中无法鉴别WLAN信号的可信程度的技术问题,本发明通过采用非对称加密方式,使客户端能够区分出哪些网络信号是可信任的官方信号,哪些是不可信任的,从而有效避免用户接入到“钓鱼”网络中。
(二)技术方案
为解决上述问题,本发明提供了一种无线局域网络接入方法,包括以下步骤:
S1、根据非对称密钥体制算法生成一对密钥,包括公钥和私钥,其中所述私钥由网络管理器秘密保管,所述公钥制成数字证书供无线客户端安装;
S2、所述网络管理器将所述私钥导入无线接入点或无线接入控制器,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密,然后将加密后的网络信号发出;
S3、当所述无线客户端侦听到上述加密后的网络信号时,调用数字证书中的公钥对上述信号进行解密,如果能够成功解密,则判断此网络信号可信任。
进一步的,所述步骤S2中,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密具体包括:
所述无线接入点或无线接入控制器使用所述私钥对所有可信任方的信标帧进行加密。
进一步的,若所述无线接入点AP为胖AP,则将所述私钥导入到该胖AP中;若所述AP为瘦AP,则将所述私钥导入到负责管理该瘦AP的无线接入控制器AC中。
进一步的,所述网络管理器根据实际情况为每个胖AP或每个AC单独导入一份私钥,或者,为多个胖AP或多个AC导入相同的私钥,若是后者,则所述多个胖AP或多个AC使用相同的私钥加密信标帧。
进一步的,若所述网络管理器将所述私钥导入AC,则该AC所管辖的所有瘦AP都使用该私钥加密信标帧,接入该网络的无线客户端只要其所关联的瘦AP属于该AC管辖,都能够使用相同的公钥解密信标帧。
进一步的,所述步骤S3中,所述无线客户端调用数字证书中的公钥对上述信号进行解密具体包括:
所述无线客户端的无线网卡驱动程序通过操作系统标准API接口调用数字证书中的公钥,对侦听到的信标帧进行解密。
进一步的,该方法还包括:
所述无线客户端安装有多个网络的数字证书,这些数字证书需按顺序或索引值组成证书池,当对侦听到的信标帧进行解密的时候,如果一份证书所携带的公钥无法成功解密信标帧,则按顺序或索引值尝试下一份证书的公钥,只要有一份证书能够成功解密信标帧,则标识该网络信号为“可信任网络信号”,若证书池中的所有数字证书都无法成功解密信标帧,则标识该网络信号为“不可信任网络信号”。
本发明还提供了一种无线局域网络接入系统,该系统包括:
网络管理器,用于保管私钥,并将所述私钥导入无线接入点或无线接入控制器,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密;
无线客户端,用于安装带有公钥的数字证书,并调用数字证书中的公钥对加密后的网络信号进行解密。
进一步的,所述无线客户端存储有数字证书池,该数字证书池包括所述无线客户端所安装的无线局域网络的多个数字证书,用于按顺序或索引值提供公钥。
进一步的,所述私钥和公钥由非对称密钥体制算法生成。
(三)有益效果
本发明能够有效避免用户接入到“钓鱼”网络中,达到保护隐私和安全上网的效果。
附图说明
图1是本发明方法的流程图;
图2是本发明具体实施例的示意图;
图3是本发明系统的结构图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
本发明的核心是采用非对称加密方式,将私钥导入无线接入点(Access Point,AP)或无线接入控制器(Access Controller,AC),从而可以使无线设备对携带WLAN信息的信标帧进行私钥加密;同时,客户端通过安全渠道安装带有对应公钥的数字证书,使得客户端能够通过公钥对扫描侦听到的信标帧进行解密,能够成功解密的则为可信任官方信号,不能解密的则为不可信任的信号。在此基础上,对这些网络信号的可信程度进行标识,可以对用户起到警示提醒的作用,从而有效避免用户接入到“钓鱼”网络中。
图1是本发明方法的流程图,具体包括以下步骤:
步骤S1,根据非对称密钥体制算法生成一对密钥,包括公钥和私钥,其中所述私钥由网络管理器秘密保管,所述公钥制成数字证书供无线客户端安装。
步骤S2,所述网络管理器将所述私钥导入AP或AC,所述AP或AC使用所述私钥对网络信号进行加密,然后将加密后的网络信号发出。
具体为:网络管理器首先将私钥导入AP或AC,然后所有可信任方的信标帧经该私钥加密后进行广播发布。在上述过程中:
1)若AP为“胖AP”(fat AP),则需要将私钥导入到“胖AP”中;若AP为“瘦AP”(fit AP),则需要将私钥导入到负责管理该瘦AP的AC中。
2)网络管理器可以根据实际情况,决定是为每个胖AP或每个AC单独导入一份私钥,还是同时为多个胖AP或多个AC导入相同私钥;若是后者,则所有这些AP或AC将使用相同的私钥加密信标帧。
3)如果将私钥导入AC,则该AC所管辖的所有瘦AP都将广播使用该私钥加密的信标帧,即接入该WLAN的用户只要其所关联的AP属于该AC管辖,则都可以使用相同的公钥解密信标帧。
4)由于本发明的主要目的是标识哪些WLAN信号是可信的,因此只需使用私钥加密信标帧即可,客户端与AP之间的关联和通信操作可以不采用非对称密钥体制算法,这样可以有效提高通信效率。
5)为了使客户端能够区分出哪些Beacon帧需要使用证书解密,哪些不需要解密,需要对Beacon帧的某些位段进行自定义,这些自定义字段不能被私钥加密。
步骤S3,当所述无线客户端侦听到上述加密后的网络信号时,调用数字证书中的公钥对上述信号进行解密,如果能够成功解密,则判断此网络信号可信任。
具体为:客户端首先通过安全渠道获得带有公钥的数字证书(例如,从网络管理器的网站下载数字证书),并安装在客户端操作系统中。当客户端扫描侦听到AP发出的WLAN信号时,无线网卡驱动程序通过操作系统标准API接口调用数字证书中的公钥,对扫描侦听到的信标帧进行解密,从而判断该SSID是否为可信WLAN信号。
由于客户端可能会在操作系统中安装多个WLAN网络的数字证书,因此这些数字证书需要按顺序或索引值组成“证书池”。当对扫描侦听到的信标帧进行解密的时候,如果一份证书所携带的公钥无法成功解密信标帧,则按顺序或索引值尝试下一份证书的公钥。只要有一份证书能够成功解密信标帧,则标识该WLAN信号为“可信任WLAN信号”;若“证书池”中的所有数字证书都无法成功解密信标帧,则标识该WLAN信号为“不可信任WLAN信号”。
图2是本发明一个具体实施例的示意图,有两颗AP在广播相同的WLAN信号“LAB”,其中AP-Good是WLAN管理器部署的AP,AP-Fake是一颗“钓鱼”AP。AP-Good发布的SSID信号经过私钥加密,而AP-Fake发布的SSID信号未经加密。
笔记本notebook可同时接收到两颗AP广播的SSID信号。由于notebook已经从WLAN管理器网站下载安装了官方数字证书,因此可以对AP-Good发布的beacon帧进行成功解密。这样,notebook会提示用户目前有两个相同的WLAN信号(SSID为“LAB”),其中AP-Good广播的为“可信任WLAN:LAB”,AP-Fake广播的为“不可信任WLAN:LAB”。如果此时用户关联“可信任WLAN:LAB”,则notebook会连接AP-Good,而不会连接到AP-Fake,从而避免了用户接入到AP-Fake发布的“钓鱼”网络中。
图3是本发明系统的结构图,该系统包括:
网络管理器,用于保管私钥,并将所述私钥导入无线接入点或无线接入控制器,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密;
无线客户端,用于安装带有公钥的数字证书,并调用数字证书中的公钥对加密后的网络信号进行解密。
进一步的,所述无线客户端存储有数字证书池,该数字证书池包括所述无线客户端所安装的无线局域网络的多个数字证书,用于按顺序或索引值提供公钥。
进一步的,所述私钥和公钥由非对称密钥体制算法生成。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (10)
1.一种无线局域网络接入方法,其特征在于,包括以下步骤:
S1、根据非对称密钥体制算法生成一对密钥,包括公钥和私钥,其中所述私钥由网络管理器秘密保管,所述公钥制成数字证书供无线客户端安装;
S2、所述网络管理器将所述私钥导入无线接入点或无线接入控制器,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密,然后将加密后的网络信号发出;
S3、当所述无线客户端侦听到上述加密后的网络信号时,调用数字证书中的公钥对上述信号进行解密,如果能够成功解密,则判断此网络信号可信任。
2.如权利要求1所述的方法,其特征在于,所述步骤S2中,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密具体包括:
所述无线接入点或无线接入控制器使用所述私钥对所有可信任方的信标帧进行加密。
3.如权利要求2所述的方法,其特征在于,若所述无线接入点AP为胖AP,则将所述私钥导入到该胖AP中;若所述AP为瘦AP,则将所述私钥导入到负责管理该瘦AP的无线接入控制器AC中。
4.如权利要求3所述的方法,其特征在于,所述网络管理器根据实际情况为每个胖AP或每个AC单独导入一份私钥,或者,为多个胖AP或多个AC导入相同的私钥,若是后者,则所述多个胖AP或多个AC使用相同的私钥加密信标帧。
5.如权利要求3所述的方法,其特征在于,若所述网络管理器将所述私钥导入AC,则该AC所管辖的所有瘦AP都使用该私钥加密信标帧,接入该网络的无线客户端只要其所关联的瘦AP属于该AC管辖,都能够使用相同的公钥解密信标帧。
6.如权利要求1所述的方法,其特征在于,所述步骤S3中,所述无线客户端调用数字证书中的公钥对上述信号进行解密具体包括:
所述无线客户端的无线网卡驱动程序通过操作系统标准API接口调用数字证书中的公钥,对侦听到的信标帧进行解密。
7.如权利要求6所述的方法,其特征在于,该方法进一步包括:
所述无线客户端安装有多个网络的数字证书,这些数字证书需按顺序或索引值组成证书池,当对侦听到的信标帧进行解密的时候,如果一份证书所携带的公钥无法成功解密信标帧,则按顺序或索引值尝试下一份证书的公钥,只要有一份证书能够成功解密信标帧,则标识该网络信号为“可信任网络信号”,若证书池中的所有数字证书都无法成功解密信标帧,则标识该网络信号为“不可信任网络信号”。
8.一种无线局域网络接入系统,其特征在于,该系统包括:
网络管理器,用于保管私钥,并将所述私钥导入无线接入点或无线接入控制器,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密;
无线客户端,用于安装带有公钥的数字证书,并调用数字证书中的公钥对加密后的网络信号进行解密。
9.如权利要求8所述的系统,其特征在于,所述无线客户端存储有数字证书池,该数字证书池包括所述无线客户端所安装的无线局域网络的多个数字证书,用于按顺序或索引值提供公钥。
10.如权利要求8所述的系统,其特征在于,所述私钥和公钥由非对称密钥体制算法生成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104338357A CN102946605A (zh) | 2012-11-02 | 2012-11-02 | 一种无线局域网络接入方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104338357A CN102946605A (zh) | 2012-11-02 | 2012-11-02 | 一种无线局域网络接入方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102946605A true CN102946605A (zh) | 2013-02-27 |
Family
ID=47729504
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012104338357A Pending CN102946605A (zh) | 2012-11-02 | 2012-11-02 | 一种无线局域网络接入方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102946605A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104394533A (zh) * | 2014-11-24 | 2015-03-04 | 中国联合网络通信集团有限公司 | 无线保真WiFi连接方法、服务器及终端 |
| CN105338524A (zh) * | 2014-07-28 | 2016-02-17 | 阿里巴巴集团控股有限公司 | 一种信息传输方法及装置 |
| CN105940693A (zh) * | 2014-02-06 | 2016-09-14 | 亚普知识产权控股有限公司 | 通信系统 |
| CN106412897A (zh) * | 2016-10-08 | 2017-02-15 | 西安瀚炬网络科技有限公司 | 基于服务器的WiFi认证方法 |
| CN108353339A (zh) * | 2016-08-21 | 2018-07-31 | 华为技术有限公司 | 一种设备之间组网的方法和设备 |
| CN105025472B (zh) * | 2014-04-25 | 2018-09-18 | Tcl集团股份有限公司 | 一种wifi接入点加密隐藏及发现的方法及其系统 |
| CN108989044A (zh) * | 2018-06-01 | 2018-12-11 | 四川斐讯信息技术有限公司 | 无线路由器的安全验证方法及安全验证系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101965710A (zh) * | 2008-02-22 | 2011-02-02 | 微软公司 | 用于无线网络的认证机制 |
-
2012
- 2012-11-02 CN CN2012104338357A patent/CN102946605A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101965710A (zh) * | 2008-02-22 | 2011-02-02 | 微软公司 | 用于无线网络的认证机制 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105940693A (zh) * | 2014-02-06 | 2016-09-14 | 亚普知识产权控股有限公司 | 通信系统 |
| CN105025472B (zh) * | 2014-04-25 | 2018-09-18 | Tcl集团股份有限公司 | 一种wifi接入点加密隐藏及发现的方法及其系统 |
| CN105338524A (zh) * | 2014-07-28 | 2016-02-17 | 阿里巴巴集团控股有限公司 | 一种信息传输方法及装置 |
| CN104394533A (zh) * | 2014-11-24 | 2015-03-04 | 中国联合网络通信集团有限公司 | 无线保真WiFi连接方法、服务器及终端 |
| CN104394533B (zh) * | 2014-11-24 | 2018-03-23 | 中国联合网络通信集团有限公司 | 无线保真WiFi连接方法、服务器及终端 |
| CN108353339A (zh) * | 2016-08-21 | 2018-07-31 | 华为技术有限公司 | 一种设备之间组网的方法和设备 |
| US11129016B2 (en) | 2016-08-21 | 2021-09-21 | Huawei Technologies Co., Ltd. | Method and device for networking between devices |
| CN106412897A (zh) * | 2016-10-08 | 2017-02-15 | 西安瀚炬网络科技有限公司 | 基于服务器的WiFi认证方法 |
| CN108989044A (zh) * | 2018-06-01 | 2018-12-11 | 四川斐讯信息技术有限公司 | 无线路由器的安全验证方法及安全验证系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102946605A (zh) | 一种无线局域网络接入方法及系统 | |
| JP6431592B2 (ja) | 基地局を自己構成する方法および装置 | |
| Eiza et al. | Secure and privacy-aware cloud-assisted video reporting service in 5G-enabled vehicular networks | |
| JP7428723B2 (ja) | 無線通信におけるセキュアなアクセス制御のための方法および装置 | |
| Kumkar et al. | Vulnerabilities of Wireless Security protocols (WEP and WPA2) | |
| WO2015144050A1 (zh) | 分配寻址标识的方法及接入点、站点和通信系统 | |
| CN104301884A (zh) | 一种配置网络摄像机接入无线路由器的方法 | |
| US20080069067A1 (en) | Apparatus, systems, and methods for mobile client secure session parameter updates | |
| TW201639327A (zh) | 用於保護用於受限探索的所構造鄰近度服務代碼的安全的方法和裝置 | |
| Mavridis et al. | Real-life paradigms of wireless network security attacks | |
| JP2012500543A (ja) | ユニキャストセッションキーに基づくマルチキャストキーの分配方法、更新方法及び基地局 | |
| CN105025472B (zh) | 一种wifi接入点加密隐藏及发现的方法及其系统 | |
| CN103166757A (zh) | 一种动态保护用户隐私数据的方法及系统 | |
| CN101980557A (zh) | 在认知无线网络中生成随机数的方法及通信密钥产生方法 | |
| GB2378856A (en) | Security in communication networks | |
| Nisbet | A tale of four cities: Wireless security & growth in New Zealand | |
| CN102833739A (zh) | 一种初始非接入层消息的传输方法、装置及系统 | |
| CN111770588B (zh) | 一种与无线路由器快速建立无线连接的方法及系统 | |
| US20170272405A1 (en) | Security Improvements in a Wireless Data Exchange Protocol | |
| Kılınçer et al. | Automated fake access point attack detection and prevention system with IoT devices | |
| CN103200563B (zh) | 一种基于认证码的阈下信道隐匿通信方法 | |
| CN104735626A (zh) | 集群通信公共安全的实现方法及装置 | |
| CN104301332B (zh) | 一种基于无线级联的密钥分发系统 | |
| CN113472539A (zh) | 一种利用RDMA R_Key进行国密加密的方法 | |
| JP6499315B2 (ja) | 移動通信システム及び通信網 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130227 |