CN113691974A - 验证无线接入点的方法和装置 - Google Patents
验证无线接入点的方法和装置 Download PDFInfo
- Publication number
- CN113691974A CN113691974A CN202110955853.0A CN202110955853A CN113691974A CN 113691974 A CN113691974 A CN 113691974A CN 202110955853 A CN202110955853 A CN 202110955853A CN 113691974 A CN113691974 A CN 113691974A
- Authority
- CN
- China
- Prior art keywords
- wireless access
- frame
- access point
- public key
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000012795 verification Methods 0.000 claims abstract description 30
- 238000004364 calculation method Methods 0.000 claims abstract description 22
- 230000004044 response Effects 0.000 claims description 81
- 239000000523 sample Substances 0.000 claims description 57
- 238000001514 detection method Methods 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Abstract
本说明书实施例提供了一种验证无线接入点的方法和装置,上述方法的一具体实施例通过终端设备执行,包括,当终端设备接收到当前无线接入点AP发送的目标管理帧之后,在存在连接历史的无线接入点中确定与当前AP匹配的目标AP,并获取目标AP历史发送的AP公钥和AP标识信息。终端设备在确定目标管理帧的帧主体携带标识签名时,使用获取的AP公钥对标识签名进行解密,得到解密结果,终端设备还可以对获取的AP标识信息进行哈希计算,得到验证用哈希值。最后,在确定解密结果和验证用哈希值相匹配时,确定当前无线接入点为安全无线接入点。
Description
技术领域
本说明书实施例涉及计算机技术领域,尤其涉及一种验证无线接入点的方法和装置。
背景技术
随着无线通信的发展,越来越多的设备通过WiFi联入网络,实现智能化功能。WiFi通信的开放性特征,为终端设备联入无线网络提供了便利,同时也为攻击者提供了可乘之机。举例来说,Beacon帧作为无线AP(Wireless Access Point,无线接入点)的信标帧,通常是明文传输的,任何人都可以监听和伪造。生活中常见的恶意热点、钓鱼WiFi、中间人攻击、DoS(Denial of Service,拒绝服务)攻击等等,都是由于Beacon帧的明文传输造成的。明文传输的Beacon帧可以任意伪造,而伪造的虚假热点可以诱使终端设备(例如,智能手机、笔记本等等)接入网络进行钓鱼攻击、读取终端设备的隐私信息、获取终端设备的MAC地址、获取曾经连接过的热点等等,这些都会造成用户隐私的泄露,给用户带来了很大的困扰和损失。
因此,希望能有改进的方案,以提高无线网络连接的安全性。
发明内容
本说明书实施例描述了一种验证无线接入点的方法和装置,基于历史连接的无线接入点历史发送的AP公钥和AP标识信息对当前无线接入点的安全性进行验证,避免了再次连接曾连接过的无线接入点时,联入一个与曾连接过的真WiFi相匹配的伪WiFi,提高了网络连接的安全性。
根据第一方面,提供了一种验证无线接入点的方法,通过终端设备执行,上述方法包括:接收当前无线接入点AP发送的目标管理帧,上述目标管理帧包括信标帧或探测响应帧;在存在连接历史的无线接入点中确定与上述当前AP匹配的目标AP,并获取上述目标AP历史发送的AP公钥和AP标识信息;响应于确定上述目标管理帧的帧主体携带标识签名,使用上述AP公钥对上述标识签名进行解密,得到解密结果;对上述AP标识信息进行哈希计算,得到验证用哈希值;响应于确定上述解密结果和上述验证用哈希值相匹配,确定上述当前AP为安全无线接入点。
在一个实施例中,上述在存在连接历史的无线接入点中确定与上述当前AP匹配的目标AP,包括:在存在连接历史的无线接入点中,将无线接入点的名称和密码均与上述当前AP相同的无线接入点,确定为上述目标AP。
在一个实施例中,上述AP标识信息是上述目标AP历史发送的,上述AP标识信息至少包括以下之一:身份识别码、密钥编号、密钥有效期、时间戳、随机数。
在一个实施例中,上述方法还包括:响应于确定上述解密结果和上述验证用哈希值不匹配,确定上述当前AP为不安全接入点。
在一个实施例中,上述方法还包括:响应于确定上述目标管理帧的帧主体未携带标识签名,确定上述当前AP为不安全无线接入点。
在一个实施例中,上述方法还包括:响应于确定上述当前AP为不安全无线接入点,不建立与上述当前AP的连接,以及在接收到用户发送的连接指令时,发送安全提示信息。
在一个实施例中,上述方法还包括:响应于确定上述当前AP为安全无线接入点,建立与上述当前AP的连接。
在一个实施例中,在上述接收当前无线接入点发送的目标管理帧之前,上述方法还包括:接收未与自身产生过连接关系的新无线接入点发送的信标帧和/或探测响应帧;响应于确定上述新无线接入点为可信任无线接入点,建立与上述新无线接入点的连接,以及向上述新无线接入点发送公钥申请请求;接收上述新无线接入点针对上述公钥申请请求发送的公钥,以及存储所接收到的公钥。
在一个实施例中,上述方法还包括:接收建立连接中的无线接入点发送的公钥更新信息,其中,上述公钥更新信息包括更新后公钥;根据上述公钥更新信息更新针对连接中的无线接入点存储的公钥。
根据第二方面,提供了一种发送携带标识签名的数据帧的方法,通过无线接入点AP设备执行,包括:对预设的标识信息进行哈希计算,得到哈希值;使用私钥对上述哈希值进行加密,将加密后的哈希值作为标识签名;将上述标识签名写入信标帧的帧主体的扩展位,得到携带标识签名的信标帧;将上述信标帧在WiFi网络内进行广播。
在一个实施例中,上述方法还包括:接收终端设备发送的探测请求帧,其中,上述探测请求帧的帧主体中的信息由上述终端设备使用预先存储的公钥进行加密;使用上述私钥对上述探测请求帧的帧主体中的信息解密后,根据解密结果确定是否发送探测响应帧;响应于确定发送探测响应帧,将上述标识签名写入探测响应帧的帧主体的扩展位,得到携带标识签名的探测响应帧;发送携带标识签名的探测响应帧。
根据第三方面,提供了一种验证无线接入点的装置,设置于终端设备,包括:接收单元,配置为接收当前无线接入点AP发送的目标管理帧,上述目标管理帧包括信标帧或探测响应帧;获取单元,配置为在存在连接历史的无线接入点中确定与上述当前AP匹配的目标AP,并获取上述目标AP历史发送的AP公钥和AP标识信息;解密单元,配置为响应于确定上述目标管理帧的帧主体携带标识签名,使用上述AP公钥对上述标识签名进行解密,得到解密结果;计算单元,配置为对上述AP标识信息进行哈希计算,得到验证用哈希值;确定单元,配置为响应于确定上述解密结果和上述验证用哈希值相匹配,确定上述当前AP为安全无线接入点。
根据第四方面,提供了一种发送数据帧的装置,设置于无线接入点AP设备,包括:哈希计算单元,配置为对预设的标识信息进行哈希计算,得到哈希值;加密单元,配置为使用私钥对上述哈希值进行加密,将加密后的哈希值作为标识签名;写入单元,配置为将上述标识签名写入信标帧的帧主体的扩展位,得到携带标识签名的信标帧;广播单元,配置为将上述信标帧在WiFi网络内进行广播。
根据第五方面,提供了一种计算机可读存储介质,其上存储有计算机程序,当上述计算机程序在计算机中执行时,令计算机执行如第一方面中任一项的上述的方法。
根据第六方面,提供了一种终端设备,包括存储器和处理器,其特征在于,上述存储器中存储有可执行代码,上述处理器执行上述可执行代码时,实现如第一方面中任一项上述的方法。
根据第七方面,提供了一种计算机可读存储介质,其上存储有计算机程序,当上述计算机程序被处理器执行时,实现如第二方面中任一项的上述的方法。
根据第八方面,提供了一种无线接入点AP设备,包括存储器和处理器,其特征在于,上述存储器中存储有可执行代码,上述处理器执行上述可执行代码时,实现如第二方面中任一项上述的方法。
根据本说明书实施例提供的验证无线接入点的方法和装置,当终端设备接收到当前无线接入点AP发送的目标管理帧之后,在存在连接历史的无线接入点中确定与当前AP匹配的目标AP,并获取目标AP历史发送的AP公钥和AP标识信息。终端设备在确定目标管理帧的帧主体携带标识签名时,使用获取的AP公钥对标识签名进行解密,得到解密结果,终端设备还可以对获取的AP标识信息进行哈希计算,得到验证用哈希值。最后,在确定解密结果和验证用哈希值相匹配时,确定当前无线接入点为安全无线接入点。由此,实现了基于历史连接的无线接入点历史发送的AP公钥和AP标识信息对当前无线接入点的安全性验证。避免了再次连接曾连接过的无线接入点时,联入一个与曾连接过的真WiFi相匹配的伪WiFi,提高了信息的安全性。
附图说明
图1为本说明书披露的一个实施例的实施场景示意图;
图2示出了根据一个实施例的发送数据帧的方法的流程示意图;
图3示出了Beacon帧的主要结构的示意图。
图4示出了根据一个实施例的验证无线接入点的方法的流程示意图;
图5示出了根据一个实施例的发送据帧的装置的示意性框图;
图6示出了根据一个实施例的验证无线接入点的装置的示意性框图。
具体实施方式
下面通过附图和实施例,对本说明书提供的技术方案做进一步的详细描述。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。需要说明的是,在不冲突的情况下,本说明书的实施例及实施例中的特征可以相互组合。
图1为本说明书披露的一个实施例的实施场景示意图。如图1所示,在图1的实施场景中,包括当前无线接入点AP 101和终端设备102。在此之前,与终端设备102存在连接历史的多个AP可以向终端设备102发送公钥和标识信息,如此,终端设备中可以存储有已连接过的各个AP对应的公钥和标识信息。在与当前AP建立连接时,当前AP 101可以向终端设备102发送目标管理帧,目标管理帧为信标帧或探测响应帧,目标管理帧可以携带标识签名,所携带的标识签名是当前AP 101对其标识信息进行哈希计算后,再使用私钥对计算得到的哈希值进行加密得到的。这样,当终端设备102接收当前无线AP 101发送的目标管理帧时,终端设备102可以在存在连接历史的多个AP中确定与当前AP相匹配的一个AP作为目标AP,并获取目标AP历史发送的AP公钥和AP标识信息。终端设备102可以判断目标管理帧的帧主体是否携带标识签名,如果携带,则使用获取的AP公钥对该标识签名进行解密,得到解密结果。终端设备102还可以对获取的AP标识信息进行哈希计算,得到验证用哈希值。终端设备102如果确定解析结果和验证用哈希值相匹配,则可以确定当前AP为安全无线接入点。由此,实现了基于历史连接的无线接入点历史发送的AP公钥和AP标识信息对当前无线接入点的安全性验证。如此可以避免再次连接曾连接过的无线接入点AP时,联入一个伪装成该AP的伪WiFi,提高了信息的安全性。
图2示出了根据一个实施例的发送数据帧的方法的流程示意图,该方法可以通过无线接入点AP设备执行。举例来说,AP设备可以包括无线路由器。如图2所示,发送数据帧的方法可以包括以下步骤:
步骤201,对预设的标识信息进行哈希计算,得到哈希值。
在本实施例中,AP设备中可以设置有由公钥和私钥组成的密钥对,还可以设置有标识信息。该密钥对中的公钥可以在与终端设备建立连接之后,发送给终端设备,私钥由AP设备保留。该标识信息可以包括与密钥、AP设备等相关的信息。举例来说,标识信息可以包括以下信息中的一种或者多种:身份识别码、密钥编号、密钥有效期、时间戳、随机数等。其中,身份识别码为AP设备的识别码,该识别码可以是AP设备的厂商生成的,也可以是配置AP设备的用户设置的,还可以是AP的MAC地址等等。密钥编号可以是公钥和私钥组成的密钥对的编号。作为示例,时间戳可以是年/月/日的形式。AP设备可以对标识信息进行哈希计算,得到哈希值。
步骤202,使用私钥对哈希值进行加密,将加密后的哈希值作为标识签名。
在本实施例中,AP设备还可以使用私钥对步骤201中计算得到的哈希值进行加密,并将加密后的哈希值作为标识签名。
步骤203,将标识签名写入信标帧的帧主体的扩展位,得到携带标识签名的信标帧。
通常,AP设备会周期性的向外发送信标帧(Beacon帧)。Beacon帧是基于IEEE802.11的无线局域网中的管理帧之一,它包含了网络的描述信息。Beacon帧用于宣布无线局域网的存在。图3示出了Beacon帧的主要结构的示意图。可以理解,图中方框上面的数字可以表示信息所占的空间,单位为八位组(octet),octets为octet的复数形式。如图3所示,Beacon信标帧包括802.11 MAC Header(MAC头)、可变(variable)长的帧主体(Frame Body)和帧检验序列(FCS)。作为示例,MAC头可以包括以下内容:帧控制(Frame Control)、持续时间/ID(Duration/ID)、地址信息(Address)、顺序控制(Sequence Control)、服务质量控制(QoS Control)、HT(High-throughput,高吞吐量)控制(HT Control)等等。Beacon帧的帧主体部分可以包括固定长度字段和可变长度的信息元素。其中,固定长度字段可以包括时间戳(Timestamp)、信标间隔(Beacon interval)、性能信息(Capability information)等。通常,信息元素可以包括元素标识(Element ID)、长度(Length)和信息(Information)。Beacon帧的帧主体部分,一些信息元素中的长度和信息为空,这些信息元素可以作为扩展位,用来进行信息扩展。
在本实施例中,AP设备可以将上述标识签名写入信标帧的帧主体的扩展位,从而得到携带标识签名的信标帧。举例来说,可以将标识签名的长度写入扩展位的长度中,将标识签名写入该扩展位的信息中,从而得到携带标识签名的信标帧。
步骤204,将信标帧在WiFi网络内进行广播。
在本实施例中,AP设备可以将携带标识签名的信标帧在WiFi网络内进行广播。WiFi网络内的终端设备可以接收到该信标帧。
在一种实现方式中,上述发送数据帧的方法还可以包括图2中未示出的以下步骤:
步骤1),接收终端设备发送的探测请求帧。
通常,无线终端设备可以通过被动扫描和主动扫描的方式获取周围的无线网络信息。被动扫描是指终端设备通过监听AP设备定期发送的Beacon帧获取无线网络信息。主动扫描是指终端设备主动发送探测请求帧(Probe Request帧),通过AP设备针对探测请求帧发回的探测响应帧(Probe Response帧)获取无线网络信息。
实践中,根据Probe Request帧是否携带SSID(Service Set Identifier,服务集标识)还可以将主动扫描分为两种:一种,终端设备发送的Probe Request帧的SSID为空,这种情况下,终端设备会定期在其支持的信道列表中,发送Probe Request帧扫描无线网,当AP收到Probe Request帧后,会回应Probe Request帧通告可以提供的无线网络信息。通过这种方式,终端设备可以主动获知可使用的无线服务,之后终端设备可以根据需要选择适当的无线网络接入。另一种,终端设备发送的Probe Request帧携带指定的SSID,当能够提供指定的SSID无线服务的AP接收到该Probe Request帧后会回复Probe Response帧。通过这种方式,终端设备可以主动扫描指定的无线网络。Probe Request帧的帧主体部分可以包括涉及用户隐私的信息。举例来说,Probe Request帧的帧主体部分可以携带要想加入的AP的SSID。实践中,攻击者可以通过分析Probe Request帧中的SSID获取用户隐私信息。例如,通过分析SSID可以知道终端设备连接过哪些AP,再根据AP的网络范围可以知道用户去过哪些地方。因此,对Probe Request帧的帧主体中的SSID进行加密,有利于保护用户隐私信息。
在本实现方式中,AP设备可以接收终端设备发送的探测请求帧。该探测请求帧的帧主体中的信息可以由上述终端设备使用预先存储的公钥进行加密。作为示例,终端设备可以对探测请求帧的帧主体中的全部信息进行加密,也可以仅对帧主体中涉及用户隐私的部分信息(例如,SSID)进行加密。这里,终端设备所存储的公钥可以是上述AP设备历史发送的。
步骤2),使用私钥对探测请求帧的帧主体中的信息解密后,根据解密结果确定是否发送探测响应帧。
在本实现方式中,AP设备可以使用保留的私钥对探测请求帧的帧主体中加密的信息进行解密,之后,根据解密结果确定是否发送探测响应帧。以探测请求帧的帧主体中加密的信息为SSID为例,AP设备可以使用私钥进行解密得到SSID,AP设备可以判断解密得到的SSID是否与自身的SSID相同,如果相同,则确定发送探测响应帧。
步骤3)响应于确定发送探测响应帧,将标识签名写入探测响应帧的帧主体的扩展位,得到携带标识签名的探测响应帧。
在本实现方式中,与Beacon帧的结构相似,探测响应帧的帧主体部分也可以包括扩展位。这样,AP设备在确定向终端设备发送探测响应帧之后,可以将上述标识签名写入探测响应帧的帧主体的扩展位,得到携带标识签名的探测响应帧。
步骤4)发送携带标识签名的探测响应帧。
在本实现方式中,AP设备可以将携带标识签名的探测响应帧进行发送,以便发送上述探测请求帧的终端设备接收。通过本实现方式,终端设备在发送探测请求帧时,可以将探测请求帧的帧主体中涉及用户隐私的信息进行加密,从而保护了探测请求帧的帧主体中的用户隐私信息,提高了用户隐私信息的安全性。
本申请的上述实施例提供的发送数据帧的方法,可以向终端设备发送携带标识签名的信标帧和探测响应帧,所携带的标识签名可以用于对终端设备想要连接的AP进行验证,从而提高无线网络连接的安全性。
图4示出了根据一个实施例的验证无线接入点的方法,该方法可以通过终端设备执行。这里,终端设备可以是指能够与WiFi网络建立连接的各种设备,包括但不限于智能手机、平台电脑、电子书阅读器、笔记本电脑等等。
在一种实现方式中,在进行本实施例的验证无线接入点的方法之前,终端设备可以与多个无线接入点建立过连接。具体的,终端设备可以执行以下步骤:
步骤S1,接收未与自身产生过连接关系的新无线接入点发送的信标帧和/或探测响应帧。
在本实现方式中,终端设备可以接收未与自身产生过连接关系的新无线接入点发送的信标帧(Beacon帧)和/或探测响应帧(Probe Response帧)。
步骤S2,响应于确定新无线接入点为可信任无线接入点,建立与新无线接入点的连接,以及向新无线接入点发送公钥申请请求。
在本实现方式中,当终端设备通过扫描获取到无线网络的网络信息之后,可以通过多种方式判断该无线网络对应的无线接入点是否为可信任无线接入点。例如,终端设备可以将扫描到的无线网线信息进行显示,以供用户判断该无线接入点是否可信任。又例如,终端设备可以借助所安装的检测软件判断该无线接入点是否为可信任无线接入点。终端设备确定新无线接入点为可信任无线接入点之后,可以建立与新无线接入点的无线连接,并向新无线接入点发送公钥申请请求。可以理解,如果无线网络设置有密码,在与新无线接入点建立连接时,用户还需要输入密码。
步骤S3,接收新无线接入点针对公钥申请请求发送的公钥,以及存储所接收到的公钥。
在本实现方式中,新无线接入点接收到终端设备发送的公钥申请请求之后,针对该公钥申请请求可以向终端设备发送公钥。终端设备可以存储接收到的公钥。可以理解,新无线接入点内部还存储有与该公钥对应的私钥。这里,新无线接入点还可以向终端设备发送一个AP标识信息,AP标识信息可以包括多种信息,举例来说,AP标识信息可以包括以下之一:身份识别码、密钥编号、密钥有效期、时间戳、随机数等等。其中,身份识别码可以是AP设备的厂商生成的,也可以是配置AP设备的用户设置的。密钥编号可以是公钥和私钥组成的密钥对的编号。通过本实现方式,终端设备可以与新无线接入点建立连接,在建立连接之后,上述新无线接入点就变成了与终端设备存在连接历史的无线接入点;通过以上过程,终端设备就存储有连接过的无线接入点发送的AP公钥和AP标识信息等,这些信息可以用于后续无线接入点的验证。
回到图4,如图4所示,该验证无线接入点的方法可以包括以下步骤:
步骤401,接收当前无线接入点AP发送的目标管理帧。
在本实施例中,终端设备可以接收当前无线接入点AP发送的目标管理帧。这里,目标管理帧可以包括信标帧(Beacon帧)或探测响应帧。通过接收的信标帧或者探测响应帧,终端设备可以获取到无线网络信息。该无线网络信息可以包括网络名称、接入点的MAC地址、加密方式、支持的传输速率等等。
步骤402,在存在连接历史的无线接入点中确定与当前AP匹配的目标AP,并获取目标AP历史发送的AP公钥和AP标识信息。
在本实施例中,终端设备可以在存在连接历史的至少一个无线接入点中确定与当前AP相匹配的一个无线接入点作为目标AP。举例来说,可以根据AP的无线网络信息中的一项或多项,判断两个AP是否相匹配。例如,可以根据网络名称,判断两个AP是否匹配。
在一种实现方式中,终端设备可以通过以下方式确定目标AP:在存在连接历史的无线接入点中,将无线接入点的名称和密码均与当前AP相同的无线接入点,确定为目标AP。
在本实现方式中,终端设备可以将曾经连接过的无线接入点中,网络名称、密码与当前AP相同的无线接入点确定为目标AP。现有技术中,终端设备连接过一个无线接入点之后,如果再次进入该无线接入点的网络范围,终端设备就可以自动联入该无线接入点。而此时,如果攻击者在该网络范围内伪造一个与该无线接入点的网络名称、密码相同的钓鱼AP,则终端设备就存在联入钓鱼AP的风险。为了避免出现这种风险,本实施例将与当前AP的名称和密码相同的无线接入点作为目标AP,以进行后续安全性验证。
在确定出目标AP之后,终端设备可以获取目标AP历史发送的AP公钥和AP标识信息。
由于该目标AP是曾经连接过的无线接入点,当终端设备与该目标AP首次连接时,同样会将该目标AP作为“新无线接入点”执行上述步骤S1-S3,由此,终端设备中存储有该目标AP的AP公钥和AP标识信息。
步骤403,响应于确定目标管理帧的帧主体携带标识签名,使用上述AP公钥对标识签名进行解密,得到解密结果。
在本实施例中,如果确定目标管理帧的帧主体中携带标识签名,则终端设备可以使用步骤402中获取的AP公钥对上述标识签名进行解密,得到解密结果。
步骤404,对上述AP标识信息进行哈希计算,得到验证用哈希值。
在本实施例中,终端设备还可以对步骤402中获取的AP标识信息进行哈希计算,得到哈希值,并将得到的哈希值作为验证用哈希值。
步骤405,响应于确定解密结果和验证用哈希值相匹配,确定当前AP为安全无线接入点。
在本实施例中,终端设备可以判断步骤403得到的解密结果和步骤404得到的验证用哈希值是否匹配。例如,可以对比两者是否相同,如果相同,则表示匹配。如果解密结果和验证用哈希值相匹配,则表明,当前AP就是曾经连接过的目标AP,而非冒充该目标AP的伪装AP,由此可以确定当前AP为安全无线接入点。
在一种实现方式中,上述验证无线接入点的方法还可以包括:响应于确定当前AP为安全无线接入点,建立与当前AP的连接。
这里,终端设备如果判断当前AP为安全无线接入点,则终端设备可以自动建立与当前AP的连接。例如,利用历史存储的密码等信息,建立与当前AP的连接。通过本实现方式,可以在确定当前AP为安全无线接入点的情况下,自动连接当前AP,从而实现了网络的安全连接,提高了安全性。
在一种实现方式中,上述验证无线接入点的方法还可以包括:响应于确定解密结果和验证用哈希值不匹配,确定当前AP为不安全接入点。
在一种实现方式中,上述验证无线接入点的方法还可以包括:响应于确定目标管理帧的帧主体未携带标识签名,确定当前AP为不安全无线接入点。
在一种实现方式中,上述验证无线接入点的方法还可以包括:响应于确定当前AP为不安全无线接入点,则不建立与当前AP的连接。并且在接收到用户发送的连接指令时,发送安全提示信息。通过本实现方式,可以在确定当前AP不安全的情况下,不与当前AP建立连接,并在用户发送连接指令时,发送安全提示信息,以提示用户当前AP为不安全无线接入点,从而提高了网络连接的安全性。
在一种实现方式中,上述验证无线接入点的方法,还可以包括:接收建立连接中的无线接入点发送的公钥更新信息,其中,公钥更新信息包括更新后公钥;根据公钥更新信息更新针对连接中的无线接入点存储的公钥。
在本实现方式中,终端设备可以接收建立连接中的无线接入点发送的公钥更新信息。这里,公钥更新信息可以用于更新终端设备存储的公钥。公钥更新信息可以包括更新后公钥、密钥编号、密钥有效期等信息。这样,终端设备可以根据公钥更新信息更新针对连接中的无线接入点存储的公钥。从而实现了公钥的更新。为了增加攻击者破解密钥的难度,无线接入点可以更新私钥和公钥组成的密钥对,并将更新后公钥及时发送给终端设备。从而进一步提升了网络连接的安全性。
本申请的上述实施例提供的验证无线接入点的方法,实现了基于历史连接的无线接入点历史发送的AP公钥和AP标识信息对当前无线接入点的安全性验证,避免了再次连接曾连接过的无线接入点AP时,联入一个伪装成该AP的伪WiFi,提高了信息的安全性。
根据另一方面的实施例,提供了一种发送携带标识签名的数据帧的装置。上述发送携带标识签名的数据帧的装置可以设置于无线接入点AP设备中。
图5示出了根据一个实施例的发送携带标识签名的数据帧的装置的示意性框图。如图5所示,该发送携带标识签名的数据帧的装置500包括:哈希计算单元501,配置为对预设的标识信息进行哈希计算,得到哈希值;加密单元502,配置为使用私钥对上述哈希值进行加密,将加密后的哈希值作为标识签名;写入单元503,配置为将上述标识签名写入信标帧的帧主体的扩展位,得到携带标识签名的信标帧;广播单元504,配置为将上述信标帧在WiFi网络内进行广播。
在本实施例的一些可选的实现方式中,装置500还包括:探测请求帧接收单元(图中未示出),配置为接收终端设备发送的探测请求帧,其中,上述探测请求帧的帧主体中的信息由上述终端设备使用预先存储的公钥进行加密;是否发送确定单元(图中未示出),配置为使用上述私钥对上述探测请求帧的帧主体中的信息解密后,根据解密结果确定是否发送探测响应帧;签名写入单元(图中未示出),配置为响应于确定发送探测响应帧,将上述标识签名写入探测响应帧的帧主体的扩展位,得到携带标识签名的探测响应帧;探测响应帧发送单元(图中未示出),配置为发送携带标识签名的探测响应帧。
根据另一方面的实施例,提供了一种验证无线接入点的装置。上述验证无线接入点的装置可以设置于终端设备。
图6示出了根据一个实施例的验证无线接入点的装置的示意性框图。如图6所示,该验证无线接入点的装置600包括:接收单元601,配置为接收当前无线接入点AP发送的目标管理帧,上述目标管理帧包括信标帧或探测响应帧;获取单元602,配置为在存在连接历史的无线接入点中确定与上述当前AP匹配的目标AP,并获取上述目标AP历史发送的AP公钥和AP标识信息;解密单元603,配置为响应于确定上述目标管理帧的帧主体携带标识签名,使用上述AP公钥对上述标识签名进行解密,得到解密结果;计算单元604,配置为对上述AP标识信息进行哈希计算,得到验证用哈希值;确定单元605,配置为响应于确定上述解密结果和上述验证用哈希值相匹配,确定上述当前AP为安全无线接入点。
在本实施例的一些可选的实现方式中,上述获取单元602进一步配置为:在存在连接历史的无线接入点中,将无线接入点的名称和密码均与上述当前AP相同的无线接入点,确定为上述目标AP。
在本实施例的一些可选的实现方式中,上述AP标识信息是上述目标AP历史发送的,上述AP标识信息至少包括以下之一:身份识别码、密钥编号、密钥有效期、时间戳、随机数。
在本实施例的一些可选的实现方式中,上述装置600还包括:第一不安全AP确定单元(图中未示出),配置为响应于确定上述解密结果和上述验证用哈希值不匹配,确定上述当前AP为不安全接入点。
在本实施例的一些可选的实现方式中,上述装置600还包括:第二不安全AP确定单元(图中未示出),配置为响应于确定上述目标管理帧的帧主体未携带标识签名,确定上述当前AP为不安全无线接入点。
在本实施例的一些可选的实现方式中,上述装置600还包括:提示信息发送单元(图中未示出),配置为响应于确定上述当前AP为不安全无线接入点,不建立与上述当前AP的连接,以及在接收到用户发送的连接指令时,发送安全提示信息。
在本实施例的一些可选的实现方式中,上述装置600还包括:连接建立单元(图中未示出),配置为响应于确定上述当前AP为安全无线接入点,建立与上述当前AP的连接。
在本实施例的一些可选的实现方式中,上述装置600还包括:公钥存储单元(图中未示出),配置为接收未与自身产生过连接关系的新无线接入点发送的信标帧和/或探测响应帧;响应于确定上述新无线接入点为可信任无线接入点,建立与上述新无线接入点的连接,以及向上述新无线接入点发送公钥申请请求;接收上述新无线接入点针对上述公钥申请请求发送的公钥,以及存储所接收到的公钥。
在本实施例的一些可选的实现方式中,上述装置600还包括:公钥更新单元(图中未示出),配置为接收建立连接中的无线接入点发送的公钥更新信息,其中,上述公钥更新信息包括更新后公钥;根据上述公钥更新信息更新针对连接中的无线接入点存储的公钥。
根据另一方面的实施例,提供了一种计算机可读存储介质,其上存储有计算机程序,当上述计算机程序在计算机中执行时,令计算机执行如图4所描述的方法。
根据再一方面的实施例,提供了一种终端设备,包括存储器和处理器,其特征在于,上述存储器中存储有可执行代码,上述处理器执行上述可执行代码时,实现如图4所描述的方法。
根据另一方面的实施例,提供了一种计算机可读存储介质,其上存储有计算机程序,当上述计算机程序被处理器执行时,实现如图2所描述的方法。
根据再一方面的实施例,提供了一种无线接入点AP设备,包括存储器和处理器,其特征在于,上述存储器中存储有可执行代码,上述处理器执行上述可执行代码时,实现如图2所描述方法。
本领域普通技术人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执轨道,取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执轨道的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1.一种验证无线接入点的方法,通过终端设备执行,所述方法包括:
接收当前无线接入点AP发送的目标管理帧,所述目标管理帧包括信标帧或探测响应帧;
在存在连接历史的无线接入点中确定与所述当前AP匹配的目标AP,并获取所述目标AP历史发送的AP公钥和AP标识信息;
响应于确定所述目标管理帧的帧主体携带标识签名,使用所述AP公钥对所述标识签名进行解密,得到解密结果;
对所述AP标识信息进行哈希计算,得到验证用哈希值;
响应于确定所述解密结果和所述验证用哈希值相匹配,确定所述当前AP为安全无线接入点。
2.根据权利要求1所述的方法,其中,所述在存在连接历史的无线接入点中确定与所述当前AP匹配的目标AP,包括:
在存在连接历史的无线接入点中,将无线接入点的名称和密码均与所述当前AP相同的无线接入点,确定为所述目标AP。
3.根据权利要求1所述的方法,其中,所述AP标识信息是所述目标AP历史发送的,所述AP标识信息至少包括以下之一:身份识别码、密钥编号、密钥有效期、时间戳、随机数。
4.根据权利要求1所述的方法,其中,所述方法还包括:
响应于确定所述解密结果和所述验证用哈希值不匹配,确定所述当前AP为不安全接入点。
5.根据权利要求1所述的方法,其中,所述方法还包括:
响应于确定所述目标管理帧的帧主体未携带标识签名,确定所述当前AP为不安全无线接入点。
6.根据权利要求4或5所述的方法,其中,所述方法还包括:
响应于确定所述当前AP为不安全无线接入点,不建立与所述当前AP的连接,以及在接收到用户发送的连接指令时,发送安全提示信息。
7.根据权利要求1所述的方法,其中,所述方法还包括:
响应于确定所述当前AP为安全无线接入点,建立与所述当前AP的连接。
8.根据权利要求1所述的方法,在所述接收当前无线接入点发送的目标管理帧之前,所述方法还包括:
接收所述目标AP发送的信标帧和/或探测响应帧;
响应于确定所述目标AP为可信任无线接入点,建立与所述目标AP的连接,以及向所述目标AP发送公钥申请请求;
接收所述目标AP针对所述公钥申请请求发送的公钥,以及存储所接收到的公钥作为所述AP公钥。
9.根据权利要求7或8所述的方法,其中,所述方法还包括:
接收建立连接中的目标AP发送的公钥更新信息,其中,所述公钥更新信息包括更新后公钥;
根据所述公钥更新信息更新所述AP公钥。
10.一种发送数据帧的方法,通过无线接入点AP设备执行,包括:
对预设的标识信息进行哈希计算,得到哈希值;
使用私钥对所述哈希值进行加密,将加密后的哈希值作为标识签名;
将所述标识签名写入信标帧的帧主体的扩展位,得到携带标识签名的信标帧;
将所述信标帧在WiFi网络内进行广播。
11.根据权利要求10所述的方法,其中,所述方法还包括:
接收终端设备发送的探测请求帧,其中,所述探测请求帧的帧主体中的信息由所述终端设备使用预先存储的公钥进行加密;
使用所述私钥对所述探测请求帧的帧主体中的信息解密后,根据解密结果确定是否发送探测响应帧;
响应于确定发送探测响应帧,将所述标识签名写入探测响应帧的帧主体的扩展位,得到携带标识签名的探测响应帧;
发送携带标识签名的探测响应帧。
12.一种验证无线接入点的装置,设置于终端设备,包括:
接收单元,配置为接收当前无线接入点AP发送的目标管理帧,所述目标管理帧包括信标帧或探测响应帧;
获取单元,配置为在存在连接历史的无线接入点中确定与所述当前AP匹配的目标AP,并获取所述目标AP历史发送的AP公钥和AP标识信息;
解密单元,配置为响应于确定所述目标管理帧的帧主体携带标识签名,使用所述AP公钥对所述标识签名进行解密,得到解密结果;
计算单元,配置为对所述AP标识信息进行哈希计算,得到验证用哈希值;
确定单元,配置为响应于确定所述解密结果和所述验证用哈希值相匹配,确定所述当前AP为安全无线接入点。
13.一种发送数据帧的装置,设置于无线接入点AP设备,包括:
哈希计算单元,配置为对预设的标识信息进行哈希计算,得到哈希值;
加密单元,配置为使用私钥对所述哈希值进行加密,将加密后的哈希值作为标识签名;
写入单元,配置为将所述标识签名写入信标帧的帧主体的扩展位,得到携带标识签名的信标帧;
广播单元,配置为将所述信标帧在WiFi网络内进行广播。
14.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-9中任一项的所述的方法。
15.一种终端设备,包括存储器和处理器,其特征在于,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-9中任一项所述的方法。
16.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序被处理器执行时,实现如权利要求10或11中任一项的所述的方法。
17.一种无线接入点AP设备,包括存储器和处理器,其特征在于,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求10或11中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110955853.0A CN113691974A (zh) | 2021-08-19 | 2021-08-19 | 验证无线接入点的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110955853.0A CN113691974A (zh) | 2021-08-19 | 2021-08-19 | 验证无线接入点的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113691974A true CN113691974A (zh) | 2021-11-23 |
Family
ID=78580754
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110955853.0A Pending CN113691974A (zh) | 2021-08-19 | 2021-08-19 | 验证无线接入点的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113691974A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102625306A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 认证方法、系统和设备 |
| CN103096301A (zh) * | 2011-10-31 | 2013-05-08 | 华为技术有限公司 | 无线局域网接入点验证的方法及站点 |
| CN107360124A (zh) * | 2016-05-10 | 2017-11-17 | 普天信息技术有限公司 | 接入认证方法及装置、无线接入点和用户终端 |
| CN111065090A (zh) * | 2019-12-25 | 2020-04-24 | 普联技术有限公司 | 一种建立网络连接的方法及无线路由设备 |
| CN112672351A (zh) * | 2020-12-15 | 2021-04-16 | 腾讯科技(深圳)有限公司 | 无线局域网认证方法及装置、电子设备、存储介质 |
-
2021
- 2021-08-19 CN CN202110955853.0A patent/CN113691974A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102625306A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 认证方法、系统和设备 |
| CN103096301A (zh) * | 2011-10-31 | 2013-05-08 | 华为技术有限公司 | 无线局域网接入点验证的方法及站点 |
| CN107360124A (zh) * | 2016-05-10 | 2017-11-17 | 普天信息技术有限公司 | 接入认证方法及装置、无线接入点和用户终端 |
| CN111065090A (zh) * | 2019-12-25 | 2020-04-24 | 普联技术有限公司 | 一种建立网络连接的方法及无线路由设备 |
| CN112672351A (zh) * | 2020-12-15 | 2021-04-16 | 腾讯科技(深圳)有限公司 | 无线局域网认证方法及装置、电子设备、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jover et al. | Security and protocol exploit analysis of the 5G specifications | |
| US10412083B2 (en) | Dynamically generated SSID | |
| CN103596173B (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
| US7702901B2 (en) | Secure communications between internet and remote client | |
| AU2008213766B2 (en) | Method and system for registering and verifying the identity of wireless networks and devices | |
| US10862684B2 (en) | Method and apparatus for providing service on basis of identifier of user equipment | |
| US20020169966A1 (en) | Authentication in data communication | |
| US20110078443A1 (en) | Method and system for secure communications on a managed network | |
| CN108880813B (zh) | 一种附着流程的实现方法及装置 | |
| EP3197190B1 (en) | Methods for fast, secure and privacy-friendly internet connection discovery in wireless networks | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| Agarwal et al. | Advanced stealth man-in-the-middle attack in WPA2 encrypted Wi-Fi networks | |
| CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| CN113613245A (zh) | 管理通信信道的方法和装置 | |
| CN116015928A (zh) | 单包认证方法、装置和计算机可读存储介质 | |
| Dorobantu et al. | Security threats in IoT | |
| JP2002232962A (ja) | 移動通信認証インターワーキング方式 | |
| US11019037B2 (en) | Security improvements in a wireless data exchange protocol | |
| JP2003338814A (ja) | 通信システム、管理サーバおよびその制御方法ならびにプログラム | |
| Vink et al. | A comprehensive taxonomy of wi-fi attacks | |
| CN113691974A (zh) | 验证无线接入点的方法和装置 | |
| Musthyala et al. | Hacking wireless network credentials by performing phishing attack using Python Scripting | |
| Bodhe et al. | Wireless LAN security attacks and CCM protocol with some best practices in deployment of services | |
| Parne et al. | Efficient and secure modified cocktail-AKA protocol for UMTS network | |
| KR100463751B1 (ko) | 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |