CN105992208A - 一种无线连接的认证方法及装置 - Google Patents

Abstract

本发明实施例公开了一种无线连接的认证方法及装置，其中，方法包括：确定无线接入点与终端之间的距离的值；判断所述距离的值是否大于预设的阈值；若大于预设的阈值，则执行使无线接入点拒绝与所述终端建立虚连接的操作。采用该方案，由于在无线接入点与终端之间的距离的值大于预设的阈值时，会拒绝与终端建立虚连接，而不可信任的终端往往具备“与无线接入点相距较远”这样的特点，因此该方案可以有效地避免不可信任的终端搜索到接入点，提高了无线WI-FI网络的应用安全性。

Description

一种无线连接的认证方法及装置

技术领域

本发明实施例涉及无线通信技术领域，尤其涉及一种无线连接的认证方法及装置。

背景技术

目前，对网络的应用，已经成为人们生活和工作中不可或缺的部分。比如，人们所使用的诸如智能电视、手机、个人电脑等终端，都可以通过无线接入点桥接到无线保真(WIreless-Fidelity，WI-FI)网络上。其中，无线接入点可以是网关、路由器等。

在现有技术中，无线接入点将终端桥接到WI-FI网络中，主要是通过设置WI-FI连接密钥的认证方式。

具体而言，首先，在无线接入点中设置WI-FI连接密钥；然后，当可信任的终端(以合法手段获知WI-FI连接密钥的终端)搜索到该无线接入点后，即终端与该接入点之间建立起传输协议层的连接(称“虚连接”)后，该终端通过虚连接向无线接入点输入WI-FI连接密钥；无线接入点接收到所输入的WI-FI连接密钥之后，对该WI-FI连接密钥进行认证；若所输入的WI-FI连接密钥得到无线接入点的认证，则终端可连接到WI-FI网络中。

类似地，当不可信任的终端(以不合法手段获知WI-FI连接密钥的终端)搜索到该无线接入点时，也只需要向无线接入点输入该WI-FI连接密钥即可连接到WI-FI网络中。这样就会造成，不可信任的终端会有机会盗取该WI-FI网络中其他终端的相关信息，从而给其他终端带来安全风险。

发明内容

本发明实施例提供一种无线连接的认证方法及装置，用于提高无线WI-FI网络的应用安全性。

本发明实施例提供一种无线连接的认证方法，包括：

确定无线接入点与终端之间的距离的阈值；

判断所述距离的值是否大于预设的值；

若大于预设的阈值，则执行使得无线接入点拒绝与所述终端建立虚连接的操作。

本发明实施例还提供一种无线连接的认证装置，包括：

确定单元，用于确定无线接入点与终端之间的距离的值；

判断单元，用于判断所述距离的值是否大于预设的阈值；若大于预设的阈值，则执行使得无线接入点拒绝与所述终端建立虚连接的操作。

本发明实施例提供的无线连接的认证方法及装置，由于在无线接入点与终端之间的距离的值大于预设的阈值时，会拒绝与终端建立虚连接，而不可信任的终端往往具备“与无线接入点相距较远”这样的特点，因此该方案可以有效地避免不可信任的终端搜索到接入点，提高了无线WI-FI网络的应用安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为家庭无线接入点与终端连接应用场景示意图；

图2为本发明实施例1提供的一种无线连接的认证方法的流程图；

图3为本发明实施例2提供的一种基于距离认证，实现无线网络的连接方法的流程图；

图4为本发明实施例4提供的一种无线连接的认证装置的结构图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为便于对本发明实施例构思的理解和说明，下面结合一个典型应用场景，即家庭无线接入点与终端之间的连接场景，来对本发明实施例进行具体描述。需要指出的是，尽管本文中将结合该典型应用场景对本发明实施例构思的实施例进行具体描述，但本发明实施例并不限于此，而是可以适用于现有或未来开发的其它任意适合的企业网络或其他大型网络连接等场景中。

下面结合图1具体介绍本发明实施例构思在典型应用场景中的应用：

本发明实施例实施所提出的无线连接的认证方法和装置，可以应用到如图1所示的场景中。即如图1所示，可以包括一台家庭的无线接入点(Access Point，AP)、手机和个人电脑(Personal Computer，PC)等终端。其中，实线框内的PC和手机为可信任的终端(家庭成员所使用的终端)，实线框外的PC为不可信任的终端。根据统计可知，不可信任的终端通常有如下特点：无线AP接收到的终端发送的信号较弱，也就是说，该终端距离无线AP较远，即如图1所示的在家庭内部空间以外的PC；或者，终端在第一次申请与无线AP建立连接失败后，又多次申请与该无线AP建立连接。

在该应用场景中，一台家庭的无线AP的WI-FI无线网络信号的覆盖半径为30米左右，家庭成员所使用的终端，在搜索到该家庭无线AP后，可以通过输入WI-FI密钥的方式向该无线AP申请连接到WI-FI无线网络中。

需要说明的是：一般无线AP都有两种无线WI-FI连接模式，即常规WI-FI工作模式和访客工作模式。其中，访客工作模式与常规WI-FI工作模式连接原理类似，只是访客工作模式需要有访客时才会开启，而一般在无访客时不会开启，也就是说，通常自家连接无线WI-FI网络都是启用的常规WI-FI工作模式，而不会在访客工作模式下连接到无线WI-FI网络。

比如，当有亲朋好友(临时访问成员)来家里串门，都会问家里是否有WI-FI无线网络，并要求告知WI-FI密钥，这时候有两种情况，一种是设置无线AP工作在常规WI-FI工作模式，即，主人将WI-FI密钥告知临时访问成员，以使得临时访问成员所使用的终端，可以根据该WI-FI密钥连接到WI-FI网络中；一种是设置无线AP工作在访客工作模式，该模式下可能不设置WI-FI密钥从而允许临时访问成员所使用的终端直接接入该无线AP，或者，该模式下，也可以设置与常规WI-FI工作模式下使用的WI-FI密钥相同或不同的WI-FI密钥。

进一步地，若访客工作模式没有设置密钥，则除家庭成员(包括临时访问成员)所使用的终端可以连接到自己的WI-FI网络以外，其他能接收到WI-FI覆盖信号的终端(不可信任的终端)也可以使用该WI-FI无线网络。

在家庭无线接入点的连接方式的应用场景中，本发明实施例的无线连接的认证方法和装置可以用于实现家庭成员所使用的终端安全上网，即可以有效的屏蔽非家庭成员所使用的终端(通常指不可信任的终端)连接到家庭WI-FI网络中。

实施例1

本发明实施例1首先提供一种无线连接的认证方法。该方法的实现流程图如图2所示，主要包括下述步骤：

步骤21、确定无线接入点与终端之间的距离的值。

步骤22、判断无线接入点与终端之间的距离的值是否大于预设的阈值；

若大于预设的阈值，则执行步骤23；否则，执行使得无线接入点与终端建立虚连接的操作。

一般地，该阈值可以设置为2～5米这一距离区间中的任一距离值。

步骤23、执行使得无线接入点拒绝与终端建立虚连接的操作。

采用实施例1所提供的方法，由于在无线接入点与终端之间的距离的值大于预设的距离值时，会拒绝与终端建立虚连接，而不可信任的终端往往具备“与无线接入点相距较远”这样的特点，因此该方案可以有效地避免不可信任的终端搜索到接入点，提高了无线WI-FI网络的应用安全性。

需要说明的是，本申请实施例提供的上述方案，主要是应用在终端还未与无线接入点建立起虚连接的场景。一旦无线接入点与终端建立了虚连接，则终端就可以自由移动，甚至移动到相距无线接入点的距离大于所述预设的阈值的位置。只要终端没有移动出无线接入点的无线信号覆盖范围，则无线接入点和终端之间已经建立起的虚连接就不会受到距离影响而断开。

本申请实施例中，上述方法中的执行主体可以是，无线接入点(如无线路由器)、或无线接入点以及终端之外的第三方设备等。

以执行主体为第三方设备为例说明上述步骤21～步骤23：

首先，第三方设备可以获取到终端的信号强度值；其中，该信号强度值，可以是第三方设备通过抓取终端发送给无线接入点的无线管理包中所携带的。

其次，第三方设备可以根据该信号强度值所映射的距离值，确定出终端与无线接入点之间的距离的值(确定距离值的方法，请详见下述步骤21的说明)。

然后，判断该距离的值是否大于预设的阈值，若大于预设的阈值，则向无线接入点发送拒绝与该终端建立虚连接的通知。

下面具体介绍实现步骤21的方式：

在一种实施方式中，实现步骤21可如子步骤A1～子步骤A3所述：

子步骤A1、获得终端发送的无线管理包。

子步骤A2、从该无线管理包中，解析出终端的信号强度值。

子步骤A3、根据该信号强度值，确定无线接入点与终端之间的距离的值。

其中，子步骤A1中所提及的无线管理包，是终端按照自身所采用的无线传输协议规定的最低传输速率传送的；该无线管理包可以包含有终端传输数据的信号强度值和传输协议等信息，该传输协议可以如802.11a或802.11g等。

具体而言，由于无线管理包是以最低速传输率进行传输的，因此，受周围环境干扰较小，进而在无线管理包中的信号强度值受干扰程度也较小。从而使后续确定无线接入点与终端的距离的值更精确。

进一步而言，可以采用下述方法来获取该无线管理包：

首先，确定终端所采用的无线网络传输协议；

其次，根据无线网络传输协议的规定，确定传输频道的最低传输速率；

然后，在该最低传输速率时，获取终端发送的无线管理包。

需要说明的是：这里所提到的无线网络传输协议，可以如802.11a、802.11b或802.11g等802.11协议组中任一传输协议。

由于上述传输协议的规定，即每种传输协议所规定的数据传输频道的数量不同，因此，终端与无线接入点须采用相同的传输协议进行数据交互。比如，802.11a拥有12条不相互重叠的频道，8条用于室内，4条用于点对点传输。它不能与802.11b的14条频道进行互操作。

此处需要说明的是：由于通常家用路由器都遵循IEEE802.11b的传输协议，或者，IEEE 802.11b和IEEE 802.11a等，手机或PC大都遵循IEEE802.11b的传输协议。因此，大部分无线接入点都可以与各类型终端建立无线WI-FI连接的。为了便于理解本发明实施例，可假设本发明实施例中的无线接入点与终端均采用的相同传输协议。

由于无线传输协议规定“在终端所支持的传输频道下，以最低传输速率(即，每个传输频道都会设有不同级别的传输速率)发送的数据包为无线管理包”，因此，在传输频道的最低传输速率时，获取终端发送的无线管理包的具体实现方式如下：

根据两端所采用的无线传输协议，确定终端所支持的传输频道下的最低传输速率；进而，在该频道上抓取终端按照该最低传输速率发送的数据包，该数据包即为无线管理包。

例如，手机所支持的5GHz和2.4GHz频道中会分别设置有1-4个级别(从高到低)的传输速率；如果当前手机所发送的信号是在5GHz这个频道，则可以在该频道中抓取以最低的传输速率发送的“数据包”，即抓取无线管理包。

此外，在获得终端发送的无线管理包之前(也示为终端与无线接入点交互过程的初始阶段)，还可以包括子步骤A4～子步骤A5：

子步骤A4、接收终端发送的探测响应帧，向终端发送探测回复帧。

子步骤A5、接收终端发送的关联请求帧，向终端发送关联回复帧。

针对子步骤A4～子步骤A5举例而言：

1)终端发送一个终端与无线AP建立虚连接的第一次握手信号(ProbeRequest)到无线AP，无线AP接收到终端发送的Probe Request后，会向终端发送一个响应信号Probe Response，以通知终端：无线AP已接收到ProbeRequest；

2)若终端接收到无线AP发送的Probe Response，会向无线AP发送一个建立虚连接的第二次握手信号(Association Request)到无线AP，无线AP接收到终端发送Association Request之后，向终端发送一个响应信号(AssociationResponse)，以通知终端：无线AP已接收到Association Request。

在完成上述子步骤A4～子步骤A5之后，：

3)终端才会发送一个无线管理包的请求(Auth Request)给无线AP，无线AP在接收到Auth Request之后，会向终端发送一个响应(Auth Response)，以通知终端：无线AP已收到Auth Request。

当无线AP接收到终端发送的Auth Request后，获取无线管理包；然后，从无线管理包中，解析出终端所发送的信号强度(Received Signal StrengthIndicator，RSSI)值。然后，根据RSSI值的大小，确定出无线接入点与终端之间距离的值。

更具体地，可以根据RSSI值的大小与预设距离值(经过大量实验所分析出的距离值)建立映射关系，来确定无线接入点与终端之间距离的值。或者，根据公式(1)来确定，对此本发明实施例不做任何限定。

$d={10}^{\frac{\left|\mathrm{RSSI}\right|-A}{{10}^n}}---\left[1\right]$

其中，d为无线AP与终端之间距离的值；RSSI为终端的发送信号的信号强度值；A为特定的信号传播距离(一般A选择为1m)；n为环境衰减因子。

在一种实施方式中，步骤21还可以通过下述子步骤B1～子步骤B2实现：

子步骤B1、确定无线接入点向终端发送无线数据包的时刻，与无线接入点接收到终端发送的针对该无线数据包的响应包的时刻，两时刻之间的时间差。

具体而言，该无线数据包和针对该无线数据包的响应包，均可以包含有确认字符(Acknowledgement，ACK)，以表示成功接收到对端发来的数据。其中，ACK为1表示确认号有效；为0表示不包含确认信息，忽略确认号字段。

例如，终端向无线AP发送的探测响应帧，若无线AP接收到该探测响应帧，则可以向该终端回复一个带有ACK＝X+1的无线数据包，以表示无线AP已接收到该探测响应帧，其中，X为终端分配给无线数据包的发送序号。

接下来，终端向无线AP发送关联请求帧，若无线AP接收到该关联请求帧，则可以向该终端回复有ACK＝Y+1的针对无线数据包的响应包，以表示无线AP已接收到该关联请求帧，其中，Y为无线AP分配给无线数据包的发送序号。

子步骤B2、根据该时间差和终端发送信号的传播速度，确定无线接入点与终端之间的距离的值。

具体而言，由于手机或PC等终端之间的信息传递是利用电磁或无线电或微波传递信号的，其信号的传播速度与光速相同；因此，终端的发送信号的传播速度可以为光波的传播速度(通常为固定常数)。即，光在真空中的传播速度是3×10⁸m/s。

例如，可以假设无线AP发送给终端的一个无线数据包的时间为t₁，并接收到终端回复的响应包的时间为t₂，此时可以得到两时刻之间的时间差t＝t₂-t₁；且信号的传播速度为常数r。那么，无线AP与终端之间的距离的值S＝(t×r)/2。

需要说明的是，实施例1所提供方法的各步骤的执行主体均可以是同一设备，或者，该方法也由不同设备作为执行主体。比如，步骤11和步骤12的执行主体可以为设备1，步骤13的执行主体可以为设备2；又比如，步骤11的执行主体可以为设备1，步骤12和步骤13的执行主体可以为设备2；等等。

实施例2

在家庭无线AP与终端连接的应用场景中，当无线WI-FI密钥被泄露，或是开启了无WI-FI密钥的访客工作模式时，采用本发明实施例所提供的一种基于距离认证，实现无线连接的方法。如图3所示，主要步骤如下：

步骤31、手机向无线AP发送探测响应帧。

步骤32、无线AP接收来自手机发送的探测响应帧后，向手机发送探测回复帧。

步骤33、手机接收到无线AP发送的探测回复帧后，向无线AP发送无线管理包。

步骤34、无线AP接收手机发送的无线管理包，并解析无线管理包中所携带的手机的RSSI值。

步骤35、判断RSSI值所映射的距离值是否大于预设值；若不大于预设值，则执行步骤36；否则，执行步骤37。

具体而言，当RSSI>＝-30dbm时，所映射的距离值不大于预设值，则执行步骤36，否则执行步骤37。

步骤36、无线AP给手机发送向手机发送一个响应包，以示建立虚连接成功。

此时手机的连接状态，为可以显示出无线AP的服务集标识(Service SetIdentifier，SSID)，用户可以点击SSID与无线AP进行关联。

步骤37、无线AP拒绝与手机建立虚连接。

此时手机的连接状态，为该无线AP的SSID不会显示在手机中，进而不可信任的手机无法使用无线AP所提供连接的无线WI-FI网络。

采用实施例2所提供的方法，由于在无线接入点与终端之间的距离的值大于预设的距离值时，会拒绝与终端建立虚连接，而不可信任的终端往往具备“与无线接入点相距较远”这样的特点，因此该方案可以有效地避免不可信任的终端搜索到接入点，提高了无线WI-FI网络的应用安全性。

实施例3

本发明实施例3还提供一种无线连接的认证装置。该装置的实现结构图如图4所示，包括：确定单元41和判断单元42，具体功能介绍如下：

确定单元41，用于确定无线接入点与终端之间的距离的值；

判断单元42，用于判断所述距离的值是否大于预设的阈值；若大于预设的阈值，则执行使得无线接入点拒绝与所述终端建立虚连接的操作。

在一种实施方式中，确定单元41，可以包括：获得子单元、解析子单元和确定子单元，具体如下：

获得子单元，用于获得终端发送的无线管理包；

其中，所述无线管理包是终端按照所述终端采用的无线传输协议规定的最低传输速率传送的。

解析子单元，用于从所述无线管理包中，解析出终端的信号强度值；

确定子单元，用于根据所述信号强度值，确定无线接入点与终端之间的距离的值。

其中，获得子单元，可以用于：确定无线传输协议；根据所述无线传输协议的规定，确定最低传输速率的传输频道；在所述传输频道中，获取得终端发送的无线管理包。

在一种实施方式中，确定单元41，还可以包括：第一接收子单元和第二接收子单元，具体介绍如下：

第一接收子单元，用于获得终端发送的无线管理包之前，接收终端发送的探测响应帧，向终端发送探测回复帧；

第二接收子单元，用于接收终端发送的关联请求帧，向终端发送关联回复帧。

在一种实施方式中，确定单元41，包括：确定时间子单元和确定距离子单元，具体介绍如下：

确定时间子单元，用于确定无线接入点向终端发送无线数据包的时刻，与无线接入点接收到终端发送的针对所述无线数据包的响应包的时刻，两时刻之间的时间差；

确定距离子单元，用于根据所述时间差和终端发送信号的传播速度，确定接入点与终端之间的距离的值。

本发明实施例中可以通过硬件处理器(hardware processor)来实现上述相关功能模块。

采用实施例3所提供的装置，由于在无线接入点与终端之间的距离的值大于预设的距离值时，会拒绝与终端建立虚连接，而不可信任的终端往往具备“与无线接入点相距较远”这样的特点，因此该方案可以有效地避免不可信任的终端搜索到接入点，提高了无线WI-FI网络的应用安全性。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种无线连接的认证方法，其特征在于，包括：

确定无线接入点与终端之间的距离的值；

判断所述距离的值是否大于预设的阈值；

若大于预设的阈值，则执行使得无线接入点拒绝与所述终端建立虚连接的操作。

2.如权利要求1所述的方法，其特征在于，确定无线接入点与终端之间的距离的值，包括：

获得终端发送的无线管理包；

从所述无线管理包中，解析出终端的信号强度值；

根据所述信号强度值，确定无线接入点与终端之间的距离的值。

3.如权利要求2所述的方法，其特征在于，无线管理包是终端按照所述终端采用的无线传输协议规定的最低传输速率传送的。

4.如权利要求3所述的方法，其特征在于，获得终端发送的无线管理包之前，所述方法还包括：

接收终端发送的探测响应帧，向终端发送探测回复帧；

接收终端发送的关联请求帧，向终端发送关联回复帧。

5.如权利要求1所述的方法，其特征在于，确定无线接入点与终端之间的距离的值，包括：

确定无线接入点向终端发送无线数据包的时刻，与无线接入点接收到终端发送的针对所述无线数据包的响应包的时刻，两时刻之间的时间差；

根据所述时间差和终端发送信号的传播速度，确定无线接入点与终端之间的距离的值。

6.一种无线连接的认证装置，其特征在于，包括：

确定单元，用于确定无线接入点与终端之间的距离的值；

判断单元，用于判断所述距离的值是否大于预设的阈值；若大于预设的阈值，则无线接入点拒绝与所述终端建立虚连接。

7.如权利要求6所述的装置，其特征在于，所述确定单元，包括：

获得子单元，用于获得终端发送的无线管理包；

解析子单元，用于从所述无线管理包中，解析出终端的信号强度值；

确定子单元，用于根据所述信号强度值，确定无线接入点与终端之间的距离的值。

8.如权利要求7所述的装置，其特征在于，所述无线管理包是终端按照所述终端采用的无线传输协议规定的最低传输速率传送的。

9.如权利要求8所述的装置，其特征在于，所述确定单元还包括：

第一接收子单元，用于获得终端发送的无线管理包之前，接收终端发送的探测响应帧，向终端发送探测回复帧；

第二接收子单元，用于接收终端发送的关联请求帧，向终端发送关联回复帧。

10.如权利要求6所述的装置，其特征在于，所述确定单元，包括：

确定时间子单元，用于确定无线接入点向终端发送无线数据包的时刻，与无线接入点接收到终端发送的针对所述无线数据包的响应包的时刻，两时刻之间的时间差；

确定距离子单元，用于根据所述时间差和终端发送信号的传播速度，确定接入点与终端之间的距离的值。