CN105722070B - 一种wlan加密认证方法及系统 - Google Patents

Abstract

本发明公开了一种WLAN加密认证方法及系统，包括接收目标终端发送的连接请求，使目标终端与待接入的WLAN建立数据连接；接收目标终端发送的认证请求，其中，认证请求内包括有目标终端的MAC地址以及密钥信息；在预先获得的单独密钥库内查询是否有与MAC地址相匹配的单独密钥，如果有，依据单独密钥对密钥信息进行认证。本发明中目标终端使用仅用于自身的单独密钥来登录WLAN，即使该单独密钥泄露，其余终端也无法使用该单独密钥登录WLAN，从而极大地避免网络窃听者窃取用户网络隐私数据的情况，安全性高。

Description

一种WLAN加密认证方法及系统

技术领域

本发明涉及WLAN连接技术领域，特别是涉及一种WLAN加密认证方法及系统。

背景技术

如今WLAN(Wireless Local Area Network，无线局域网)技术得到了广泛的应用，其中，加密的WLAN会在认证侧存有一个预先设置的默认密钥，任何用户只要输入该默认密钥进行认证，即可登录该WLAN。

但是，对于加密的公共WLAN，其设置的默认密钥已被公众所知，对于加密的私有WLAN，当用户将该WLAN的默认密钥告诉他人后，他人手机上的一些软件会将默认密钥上传到云端，也会使该私有WLAN的默认密钥被公开；在以上两种情况下，网络窃听者可根据公开后的默认密钥破解监听到的无线报文来窃取用户的隐私数据。由此可见，现有的WLAN认证方法无法保证用户的私有财产及隐私数据的安全，安全性差。

因此，如何提供一种安全性高的WLAN加密认证方法及系统是本领域技术人员目前需要解决的问题。

发明内容

本发明的目的是提供一种WLAN加密认证方法及系统，目标终端使用仅用于自身的单独密钥来登录WLAN，即使该单独密钥泄露，其余终端也无法使用该单独密钥登录WLAN，从而极大地避免网络窃听者窃取用户网络隐私数据的情况，安全性高。

为解决上述技术问题，本发明提供了一种WLAN加密认证方法，包括：

接收目标终端发送的连接请求，使所述目标终端与待接入的WLAN建立数据连接；

接收所述目标终端发送的认证请求，其中，所述认证请求内包括有所述目标终端的MAC地址以及密钥信息；

在预先获得的单独密钥库内查询是否有与所述MAC地址相匹配的单独密钥，如果有，依据所述单独密钥对所述密钥信息进行认证。

优选地，还包括：

若所述预先获得的单独密钥库内没有与所述MAC地址相匹配的单独密钥，则依据所述WLAN的默认密钥对所述密钥信息进行认证。

优选地，通过以下步骤获得所述单独密钥库：

为所述目标终端分配与其相匹配的单独密钥，并将所述目标终端的MAC地址以及所述单独密钥存储至所述单独密钥库内。

优选地，通过以下步骤获得所述单独密钥库：

获得并存储所述目标终端的MAC地址以及与其匹配的单独密钥，其中，所述单独密钥为所述目标终端内预置的或由所述目标终端生成的。

为解决上述技术问题，本发明还提供了一种WLAN加密认证系统，包括：

连接请求接收单元，用于接收目标终端发送的连接请求，使所述目标终端与待接入的WLAN建立数据连接；

认证请求接收单元，用于接收所述目标终端发送的认证请求，其中，所述认证请求内包括有所述目标终端的MAC地址以及密钥信息；

查询单元，用于在预先获得的单独密钥库内查询是否有与所述MAC地址相匹配的单独密钥，如果有，将所述单独密钥发送至认证单元；

所述认证单元，用于依据所述单独密钥对所述密钥信息进行认证。

优选地，所述查询单元还用于若所述预先获得的单独密钥库内没有与所述MAC地址相匹配的单独密钥，将所述WLAN的默认密钥发送至所述认证单元；

所述认证单元还用于依据所述默认密钥对所述密钥信息进行认证。

优选地，还包括单独密钥库第一获得单元，用于通过以下步骤获得所述单独密钥库：

为所述目标终端分配与其相匹配的单独密钥，并将所述目标终端的MAC地址以及所述单独密钥存储至所述单独密钥库内。

优选地，还包括单独密钥库第二获得单元，用于通过以下步骤获得所述单独密钥库：

获得并存储所述目标终端的MAC地址以及与其匹配的单独密钥，其中，所述单独密钥为所述目标终端内预置的或由所述目标终端生成的。

本发明提供了一种WLAN加密认证方法及系统，当目标终端发起认证请求后，若在预先获得的单独密钥库内存储有与目标终端的MAC地址相对应的单独密钥，则采用该单独密钥来对目标终端发送的密钥信息进行认证。即本发明中目标终端登录WLAN时使用的不是WLAN的默认密钥，而是仅用于自身的单独密钥，故即使该单独密钥泄露，其余终端也无法使用该单独密钥登录WLAN，极大地避免了网络窃听者窃取用户网络隐私数据的情况，安全性高。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对现有技术和实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种WLAN加密认证方法的过程的流程图；

图2为本发明提供的一种WLAN加密认证系统的结构示意图。

具体实施方式

本发明的核心是提供一种WLAN加密认证方法及系统，目标终端使用仅用于自身的单独密钥来登录WLAN，即使该单独密钥泄露，其余终端也无法使用该单独密钥登录WLAN，从而极大地避免网络窃听者窃取用户网络隐私数据的情况，安全性高。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供了一种WLAN加密认证方法，参见图1所示，图1为本发明提供的一种WLAN加密认证方法的过程的流程图；该方法包括：

步骤s101：接收目标终端发送的连接请求，使目标终端与待接入的WLAN建立数据连接；

步骤s102：接收目标终端发送的认证请求，其中，认证请求内包括有目标终端的MAC地址以及密钥信息；

步骤s103：在预先获得的单独密钥库内查询是否有与MAC(Media Access Control或者Medium Access Control，媒体访问控制)地址相匹配的单独密钥，如果有，进入步骤s104；

其中，这里的单独密钥库设置于WLAN的认证侧。

步骤s104：依据单独密钥对密钥信息进行认证。

其中，这里的认证请求可以包括目标终端发送至WLAN的认证侧的认证与关联的管理报文，这些报文内均携带有能够唯一确定目标终端的MAC地址，当然，本发明对认证请求内包含的内容不做具体限定，只要认证请求内携带有目标终端的MAC地址以及密钥信息即可。

可以理解的是，目前的WLAN认证方法是在WLAN的认证侧存储有一个预先设置的默认密钥，这里的默认密钥即为该WLAN的登录密码，任何用户得知该默认密钥后，即可发送密钥信息至WLAN的认证侧，该认证侧会依据自身存储的默认密钥对用户发送的密钥信息进行认证。

而本发明使不可信任的目标终端具有自己的单独密钥，且该单独密钥与目标终端唯一对应，登录WLAN时，该部分目标终端使用自身的单独密钥登录，而不是使用该WLAN的默认密钥登录。

由此可见，该方法避免了部分不可信任的用户得知WLAN的默认密钥；同时，由于单独密钥与目标终端的MAC地址一一对应，即使单独密钥泄露，其他终端也无法通过该泄露的单独密钥来登录该WLAN；由于网络窃听者多通过窃取得到的WLAN的登录密钥(这里的登录密钥指的是能够登录该WLAN的密钥)来对监听到的无线报文进行解密从而获取用户的隐私数据，而该方法不仅能够有效地阻止网络窃听者获取默认密钥，还能够保证网络窃听者即使窃取到单独密钥也无法使用该单独密钥登录WLAN，故有效地阻止了网络窃听者通过监听无线报文的方式来窃取用户隐私数据，大大的加强了网络中数据的安全性。

另外，由于在WLAN的网络中，具有相同MAC地址的设备只能接入一个，故进一步限制了通过非法获取(例如盗取)其他目标终端的单独密钥来登录WLAN的行为。可以理解的是，本发明对于不可信任的目标终端采用单独密钥来对其进行认证，避免默认密钥泄露，由此可见，本发明实质上是对WLAN的认证过程进行了加密保护操作。

另外，当单独密钥库内没有与MAC地址相匹配的单独密钥时，可以采用以下优选的处理方案，当然，本发明不限定该种情况下的处理方式。

作为优选地，该方法还包括：

若预先获得的单独密钥库内没有与MAC地址相匹配的单独密钥，则依据WLAN的默认密钥对密钥信息进行认证。

可以理解的是，在该种方案下，不受信任的目标终端使用单独密钥进行登录，而其余受到信任的目标终端可以使用WLAN的默认密钥进行登录。

其中，这里的认证指的是按照标准的认证协议进行认证，由此可见，本发明的方法对认证流程的改造小，不影响与现有的标准认证协议的兼容性。

进一步的，若不想让目标终端继续使用该WLAN时，可以在WLAN的认证侧的单独密钥库内删除该目标终端的MAC地址及其对应的单独密钥。该种情况下，由于目标终端仅知道单独密钥，故目标终端发送的认证请求内携带的密钥信息为单独密钥对应的信息，而单独密钥库内已删除该单独密钥，会依据WLAN的默认密钥进行认证，由于单独密钥与默认密钥不同，故认证无法通过。由此可见，当进行上述删除操作后，被删除的目标终端无法登陆该WLAN，但由于使用的MAC地址以及单独密钥不同，该删除操作并不会影响其他用户的登陆，即通过管理单独密钥库内存储的MAC地址以及其对应的单独密钥即可对该WLAN的接入终端进行有效地管理。

其中，该方法通过以下步骤获得单独密钥库：

为目标终端分配与其相匹配的单独密钥，并将目标终端的MAC地址以及单独密钥存储至单独密钥库内。

可以理解的是，以上步骤中为目标终端分配与其相匹配的单独密钥的过程具体可以为：

由管理员来为各个目标终端进行密钥分配；当然，也可以由WLAN侧的软件模块采用其他的分配方式，本发明对该分配方式不作具体限定；另外，当分配完成后，需要将目标终端对应的单独密钥告知使用目标终端的用户。

另外，该方法还可通过以下步骤获得单独密钥库：

获得并存储目标终端的MAC地址以及与其匹配的单独密钥，其中，单独密钥为目标终端内预置的或由目标终端生成的。

可以理解的是，以上步骤中WLAN的认证侧获得该目标终端的MAC地址以及与其匹配的单独密钥的方式可以为：

方式一：由持有目标终端的用户将其MAC地址以及对应的单独密钥采用文字信息的方式输入至单独密钥库内进行存储；

方式二：根据目标终端的MAC地址以及对应的单独密钥的信息生成一个二维码，由与WLAN的网络相连的扫描装置对该二维码进行扫描，从而获得MAC地址以及对应的单独密钥并发送至单独密钥库内进行存储；

方式三：目标终端通过3G/4G等网络的服务器与该WLAN建立连接后，将自身的MAC地址以及对应的单独密钥发送至WLAN的认证侧的单独密钥库内进行存储。

当然，以上三种方式仅为优选方案，只要能够使单独密钥库获得目标终端内预置的或由目标终端生成的单独密钥的方式均在本发明的保护范围之内。

其中，本发明中的目标终端可以为有输入设备的目标终端亦可以为无输入设备的目标终端。

可以理解的是，当目标终端无输入设备时，可以将其MAC地址及单独密钥预先设置入目标终端中，并将该信息保存在目标终端的外壳或其出厂包装内(例如可将MAC地址以及单独密钥以文字或二维码等形式印刷至目标终端的外壳或包装上)。该目标终端工作后，在未接入任何WLAN时，该目标终端可以不断扫描周边的WLAN，并使用内部预置的单独密钥依次尝试连接(即不断的将连接请求发送至扫描到的WLAN，若连接通过，则发送认证请求至该WLAN，并由WLAN的认证侧进行步骤s102-步骤s104的操作；其中，认证请求内的密钥信息为无输入设备的目标终端内预置的单独密钥)。

另外，若在WLAN的Beacon或Probe Response(探测响应)报文(WLAN每隔一段时间会向周围发送Beacon，该Beacon内包含有该WLAN的信息，另外，WLAN响应Probe Resquest时会发送Probe Response报文，该报文中也包含有WLAN的信息)中提供特殊信息(这里的特殊信息指的是表明该WLAN允许该目标终端接入的信息)，当该无输入设备的目标终端接收到该Beacon或Probe Response报文后，会优先选择接入发送该Beacon或Probe Response报文的WLAN，即优先发送连接请求以及认证请求至发送该Beacon或Probe Response报文的WLAN。

可以理解的是，虽然无输入设备的目标终端将密钥信息发送至多个WLAN进行连接尝试，但是由于WLAN采用的是标准的认证协议，不会泄露接收到的密钥信息；并且，可以在预先设置单独密钥时，通过加长单独密钥的长度以及复杂性，来降低该单独密钥被破解的风险，提高安全性。

进一步可知，对于有输入设备的目标终端，一般采用手动输入密钥的方式将密钥信息发送至想要接入的WLAN，此时认证请求内的密钥信息为用户输入的密钥。

本发明提供了一种WLAN加密认证方法，当目标终端发起认证请求后，若在预先获得的单独密钥库内存储有与目标终端的MAC地址相对应的单独密钥，则采用该单独密钥来对目标终端发送的密钥信息进行认证。即本发明中目标终端登录WLAN时使用的不是WLAN的默认密钥，而是仅用于自身的单独密钥，故即使该单独密钥泄露，其余终端也无法使用该单独密钥登录WLAN，极大地避免了网络窃听者窃取用户网络隐私数据的情况，安全性高。

本发明还提供了一种WLAN加密认证系统，参见图2所示，图2为本发明提供的一种WLAN加密认证系统的结构示意图，该系统包括：

连接请求接收单元11，用于接收目标终端发送的连接请求，使目标终端与待接入的WLAN建立数据连接；

认证请求接收单元12，用于接收目标终端发送的认证请求，其中，认证请求内包括有目标终端的MAC地址以及密钥信息；

查询单元13，用于在预先获得的单独密钥库内查询是否有与MAC地址相匹配的单独密钥，如果有，将单独密钥发送至认证单元14；

认证单元14，用于依据单独密钥对密钥信息进行认证。

可以理解的是，这里的连接请求接收单元11、认证请求接收单元12、查询单元13以及认证单元14均位于WLAN的认证侧。

作为优选地，查询单元13还用于若预先获得的单独密钥库内没有与MAC地址相匹配的单独密钥，将WLAN的默认密钥发送至认证单元14；

认证单元14还用于依据默认密钥对密钥信息进行认证。

作为优选地，该系统还包括单独密钥库第一获得单元，用于通过以下步骤获得单独密钥库：

为目标终端分配与其相匹配的单独密钥，并将目标终端的MAC地址以及单独密钥存储至单独密钥库内。

作为优选地，该系统还包括单独密钥库第二获得单元，用于通过以下步骤获得单独密钥库：

获得并存储目标终端的MAC地址以及与其匹配的单独密钥，其中，单独密钥为目标终端内预置的或由目标终端生成的。

本发明提供了一种WLAN加密认证系统，当目标终端发起认证请求后，若在预先获得的单独密钥库内存储有与目标终端的MAC地址相对应的单独密钥，则采用该单独密钥来对目标终端发送的密钥信息进行认证。即本发明中目标终端登录WLAN时使用的不是WLAN的默认密钥，而是仅用于自身的单独密钥，故即使该单独密钥泄露，其余终端也无法使用该单独密钥登录WLAN，极大地避免了网络窃听者窃取用户网络隐私数据的情况，安全性高。

需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其他实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (6)

1.一种WLAN加密认证方法，其特征在于，包括：

接收目标终端发送的连接请求，使所述目标终端与待接入的WLAN建立数据连接；

接收所述目标终端发送的认证请求，其中，所述认证请求内包括有所述目标终端的MAC地址以及密钥信息；

在预先获得的单独密钥库内查询是否有与所述MAC地址相匹配的单独密钥，如果有，依据所述单独密钥对所述密钥信息进行认证；

若所述预先获得的单独密钥库内没有与所述MAC地址相匹配的单独密钥，则依据所述WLAN的默认密钥对所述密钥信息进行认证。

2.根据权利要求1所述的方法，其特征在于，通过以下步骤获得所述单独密钥库：

为所述目标终端分配与其相匹配的单独密钥，并将所述目标终端的MAC地址以及所述单独密钥存储至所述单独密钥库内。

3.根据权利要求1所述的方法，其特征在于，通过以下步骤获得所述单独密钥库：

获得并存储所述目标终端的MAC地址以及与其匹配的单独密钥，其中，所述单独密钥为所述目标终端内预置的或由所述目标终端生成的。

4.一种WLAN加密认证系统，其特征在于，包括：

连接请求接收单元，用于接收目标终端发送的连接请求，使所述目标终端与待接入的WLAN建立数据连接；

认证请求接收单元，用于接收所述目标终端发送的认证请求，其中，所述认证请求内包括有所述目标终端的MAC地址以及密钥信息；

查询单元，用于在预先获得的单独密钥库内查询是否有与所述MAC地址相匹配的单独密钥，如果有，将所述单独密钥发送至认证单元；

所述认证单元，用于依据所述单独密钥对所述密钥信息进行认证；

所述查询单元还用于若所述预先获得的单独密钥库内没有与所述MAC地址相匹配的单独密钥，将所述WLAN的默认密钥发送至所述认证单元；

所述认证单元还用于依据所述默认密钥对所述密钥信息进行认证。

5.根据权利要求4所述的系统，其特征在于，还包括单独密钥库第一获得单元，用于通过以下步骤获得所述单独密钥库：

为所述目标终端分配与其相匹配的单独密钥，并将所述目标终端的MAC地址以及所述单独密钥存储至所述单独密钥库内。

6.根据权利要求4所述的系统，其特征在于，还包括单独密钥库第二获得单元，用于通过以下步骤获得所述单独密钥库：

获得并存储所述目标终端的MAC地址以及与其匹配的单独密钥，其中，所述单独密钥为所述目标终端内预置的或由所述目标终端生成的。