CN117793715A - 无线网络接入方法、装置、设备和介质 - Google Patents
无线网络接入方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN117793715A CN117793715A CN202211149009.XA CN202211149009A CN117793715A CN 117793715 A CN117793715 A CN 117793715A CN 202211149009 A CN202211149009 A CN 202211149009A CN 117793715 A CN117793715 A CN 117793715A
- Authority
- CN
- China
- Prior art keywords
- key
- authentication
- target terminal
- information
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 70
- 230000004044 response Effects 0.000 claims abstract description 92
- 230000006854 communication Effects 0.000 claims abstract description 43
- 238000004891 communication Methods 0.000 claims abstract description 41
- 238000001514 detection method Methods 0.000 claims abstract description 26
- 238000012795 verification Methods 0.000 claims description 13
- 230000000977 initiatory effect Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 3
- 239000000523 sample Substances 0.000 description 21
- 230000008569 process Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 15
- 230000005540 biological transmission Effects 0.000 description 11
- 238000012545 processing Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 4
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种无线网络接入方法、装置、设备和介质,涉及无线网络技术领域,该方法包括:响应于目标终端设备反馈的探测请求,返回探测应答至目标终端设备,信标帧至少包括有目标终端设备可识别的信标信息;获取目标终端设备根据探测应答发起的第一认证请求,并根据第一认证请求,与目标终端设备进一次认证协商,生成第一密钥,第一认证请求中至少包括有目标终端设备中预存的第一密钥信息;获取目标终端设备发起的第二认证请求,并根据第二认证请求,与目标终端设备进行二次认证协商,生成第二密钥,第二认证请求中包括有第一密钥信息;根据第一密钥和第二密钥,与目标终端设备建立网络通信。该技术方案可以提高无线网络的安全性。
Description
技术领域
本申请涉及无线网络技术领域,尤其涉及一种无线网络接入方法、装置、设备和介质。
背景技术
Wi-fi因为其便利性,经常用于家庭、公共场所等面向公众的场景,但是Wi-fi在使用过程中还是存在有很大的数据安全问题,在终端设备与无线访问节点通信过程中容易发生数据泄露,为推广Wi-fi的使用,需要提高其安全性。
现有技术中,主要是通过广播Wi-fi热点,使所有终端设备均可以检测到,同时管理员还可以设置密钥,当终端设备发起接入请求时,用户在终端设备侧需要输入正确的密钥即可以实现无线网络的接入。
但是,现有技术的这种接入方式,由于所有终端设备均可以检测到该Wi-fi热点,很容易被第三方截取到通信明文并发起攻击,由此导致利用无线网络传输的数据发生泄露,安全性差。
发明内容
本申请提供一种无线网络接入方法、装置、设备和介质,用于解决现有无线网安全性差的问题。
第一方面,本申请实施例提供一种无线网络接入方法,应用于无线访问节点,所述包括:
响应于目标终端设备根据所述无线访问节点的信标帧反馈的探测请求,返回探测应答至所述目标终端设备,所述信标帧至少包括有所述目标终端设备可识别的信标信息;
获取所述目标终端设备根据所述探测应答发起的第一认证请求,并根据所述第一认证请求,与所述目标终端设备进一次认证协商,生成第一密钥,所述第一认证请求中至少包括有所述目标终端设备中预存的第一密钥信息;
获取所述目标终端设备发起的第二认证请求,并根据所述第二认证请求,与所述目标终端设备进行二次认证协商,生成第二密钥,所述第二认证请求中包括有所述第一密钥信息;
根据所述第一密钥和所述第二密钥,与所述目标终端设备建立网络通信。
第二方面,本申请实施例提供一种无线网络接入方法,应用于目标终端设备,所述方法包括:
获取无线访问节点发送的信标帧,识别所述信标帧中的信标信息并反馈探测请求至所述无线访问节点;
获取所述无线访问节点返回的探测应答,并向所述无线访问节点发起第一认证请求,所述第一认证请求包括有所述目标终端设备中预存的第一认证信息和与第一密钥信息;
获取所述无线访问节点返回的第一认证应答,根据所述第一认证应答,生成第一密钥,所述第一认证应答包括所述无线访问节点中预存的第二认证信息和第二密钥信息;
向所述无线访问节点发起第二认证请求,获取所述无线访问节点返回的第二认证应答,并根据所述第二认证应答,生成第二密钥,所述第二认证请求包括有所述第一密钥信息,所述第二认证应答中包括有所述无线访问节点中预存的第二密钥信息;
根据第一密钥和第二密钥,与所述无线访问节点建立网络通信。
第三方面,本申请实施例提供一种无线网络接入装置,包括:
应答返回模块,用于响应于目标终端设备根据无线访问节点的信标帧反馈的探测请求,返回探测应答至所述目标终端设备,所述信标帧至少包括有所述目标终端设备可识别的信标信息;
第一密钥协商模块,用于获取所述目标终端设备根据所述探测应答发起的第一认证请求,并根据所述第一认证请求,与所述目标终端设备进一次认证协商,生成第一密钥,所述第一认证请求中至少包括有所述目标终端设备中预存的第一密钥信息;
第二密钥协商模块,用于获取所述目标终端设备发起的第二认证请求,并根据所述第二认证请求,与所述目标终端设备进行二次认证协商,生成第二密钥,所述第二认证请求中包括有所述第一密钥信息;
通信建立模块,用于根据所述第一密钥和所述第二密钥,与所述目标终端设备建立网络通信。
第四方面,本申请实施例提供一种无线网络接入装置,包括:
信标获取模块,用于获取无线访问节点发送的信标帧,识别所述信标帧中的信标信息并反馈探测请求至所述无线访问节点;
第一认证模块,用于获取所述无线访问节点返回的探测应答,并向所述无线访问节点发起第一认证请求,所述第一认证请求包括有目标终端设备中预存的第一认证信息和与第一密钥信息;
第一密钥生成模块,用于获取所述无线访问节点返回的第一认证应答,根据所述第一认证应答,生成第一密钥,所述第一认证应答包括所述无线访问节点中预存的第二认证信息和第二密钥信息;
第二密钥生成模块,用于向所述无线访问节点发起第二认证请求,获取所述无线访问节点返回的第二认证应答,并根据所述第二认证应答,生成第二密钥,所述第二认证请求包括有所述第一密钥信息,所述第二认证应答中包括有所述无线访问节点中预存的第二密钥信息;
通信建立模块,用于根据第一密钥和第二密钥,与所述无线访问节点建立网络通信。
第五方面,本申请实施例提供一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器;所述存储器存储计算机执行指令;所述处理器执行所述存储器存储的计算机执行指令,以实现上述的方法。
第六方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机指令,所述计算机指令被处理器执行时用于实现上述的方法。
第七方面,本申请实施例提供一种计算机程序产品,包括计算机指令,该计算机指令被处理器执行时实现上述的方法。
本申请实施例提供的无线网络接入方法、装置、设备和介质,通过定义全新的Wifi认证流程,生成第一密钥和第二密钥,通过第一密钥和第二密钥实现数据帧报文和管理帧报文的加密传输,能够防止外部攻击,提高Wifi的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理;
图1为本申请实施例提供的无线网络接入方法的场景示意图;
图2为本申请另一实施例提供的无线网络接入方法的场景示意图;
图3为本申请实施例提供的无线网络接入方法的流程示意图;
图4为本申请实施例提供的信标帧的定制示意图;
图5为本申请实施例提供的无线网络接入的交互示意图;
图6为本申请实施例提供的行业内终端设备的结构示意图;
图7为本申请实施例提供的无线网络接入方法的流程示意图;
图8为本申请实施例提供的无线网络接入装置的结构示意图;
图9为本申请另一实施例提供无线网络接入装置的结构示意图;
图10为本申请实施例提供的电子设备的结构示意图;
图11为本申请实施例提供的终端设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
首先对本申请所涉及的名词进行解释:
无线局域网鉴别和保密基础结构(Wireless LAN Authentication and PrivacyInfrastructure,WAPI)是无线局域网鉴别和保密基础结构,是一种安全协议。
保护无线电脑网络安全系统3(Wi-Fi Protected Access 3,WPA3)是指Wi-Fi联盟组织发布的Wi-Fi新加密协议。
无线访问节点(Wireless Access Point,AP)用于无线网络的无线交换机,也是无线网络的核心。AP是移动计算机用户进入有线网络的接入点,主要用于宽带家庭、大楼内部以及园区内部,可以覆盖几十米至上百米。AP是一个包含很广的名称,它不仅包含单纯性无线接入点,同样也是无线路由器(含无线网关、无线网桥)等类设备的统称。
站(Station,STA)是指客户端,可以是装有无线网卡的计算机,也可以是有WiFi模块的智能手机,STA可以是移动的,也可以是固定的,是无线局域网的最基本组成单元。
Wifi是一种无线局域技术,当前有802.11和WAPI两大技术标准,常用的终端接入的认证协议有WEP,WPA,WPA2,WPA3和WAPI。当前比较安全的协议是WPA3和WAPI。Wifi的接入认证过程主要包括两个阶段:阶段(1)主要包括热点beacon广播,热点探测、链路认证和关联过程,主要完成终端与AP热点之间的能力协商。阶段(2)主要包括接入认证和用户数据加密密钥协商,对于认证过程可以分为PSK和非PSK两种,PSK模式没有协议认证流程,直接进行下面的密钥协商流程。而对于非PSK模式,当前典型的有802.1X认证和WAI认证两种大的模式。密钥协商流程也有两种,4-WAY的EAPOL key协商流程和WAPI的WAI密钥协商流程。目前Wifi在使用过程中还是存在较多的问题,例如①Wifi热点是对外开放的,由于采用统一的802.11标准,如果AP不主动设置为隐藏模式,热点都是能被任何一个Wifi终端扫描到的;②管理帧明文发送,很容易被DDOS攻击。WPA3已经映入管理帧加密机制,但是无法防止中间人攻击;③认证秘钥协商流程过于复杂,目前对于企业应用大多需要加入协议认证过程,这个过程比较复杂。
针对上述存在的问题,本领域技术人员通过研究发现,可以通过重新定义beacon帧格式来防止非行业终端看到行业热点,同时通过采用DH密钥交换算法结合签名校验算法可以实现密钥协商,防止DDOS攻击,并且在AP和STA两侧分别引入硬件加密机,实现协议认证和密钥协商流程合一,还可以简化认证流程,从而全面解决上述Wifi所遇到的问题,在保证Wifi的安全性的同时也提高了Wifi的适用性。
下面,通过具体实施例对本申请的技术方案进行详细说明。需要说明的是,下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图1为本申请实施例提供的无线网络接入方法的场景示意图,如图1所示,无线访问节点11可以是无线网关、无线网桥等设备,目标终端设备可以是智能手机。其中,无线访问节点11和目标终端设备12中均配置有硬件加密卡。示例性的,无线访问节点11中的主处理器与硬件加密卡通过接口类型为miniPCIE的硬件接口连接,实现无线访问节点11中主处理器和硬件加密卡的通信。硬件加密卡用于实现无线访问节点11与目标终端设备12的密钥协商,即无线访问节点11中的Wifi芯片通过与目标终端设备12中的Wifi芯片进行通信,实现协议认证和密钥协商,在密钥协商完成后可以基于密钥进行加密通信,从而保证了Wifi使用过程中的安全性。
进一步的,图2为本申请另一实施例提供的无线网络接入方法的场景示意图,如图2所示,无线访问节点21可以进行信标帧(又称为boacon帧)广播,其中,信标帧中包含有特定的信标信息,在广播范围内存在的终端设备22,但是其中只有特定的目标终端设备221才能够识别出信标信息并解析,得到信标帧中的服务集标识(Service Set Identifier,SSID)等信息,以向无线访问节点21发起探测请求,由此就实现了热点的隐藏功能,即防止了非行业终端看到行业热点。
图3为本申请实施例提供的无线网络接入方法的流程示意图,如图3所示,该方法具体可以包括如下步骤:
步骤S301,响应于目标终端设备根据无线访问节点的信标帧反馈的探测请求,返回探测应答至目标终端设备。其中,信标帧至少包括有目标终端设备可识别的信标信息。
其中,探测请求(又称为Probe请求)是基于无线访问节点的信标帧广播(又称为beacon广播)触发的,在无线访问节点接收到探测请求之后,可以返回探测应答(又称为Probe应答)给目标终端设备。
在本实施例中,无线访问节点的信标帧是经过特殊定制的,其中包含有用于目标终端设备识别解析的信标信息,非目标终端设备无法识别解析出目标信息,从而实现无线访问节点的热点隐藏。示例性的,图4为本申请实施例提供的信标帧的定制示意图,如图4所示,在定制前信标帧包括有802.11帧头、探测帧(又称为Probe帧)固定部分和探测帧动态部分,其中,探测帧固定部分包括“时间戳(Time stamp)”、“信标间隔(beacon interval)”和“性能(capability)”等多个参数,即参数1至参数n。定制后信标帧包括有802.11帧头、探测帧固定部分和新参数(即扩展IE、扩展IE len和扩展IE data),其中,新参数有参数1至参数n组合星辰,即本文提到的信标信息,通过信标信息使得非行业终端设备不能识别该新参数,无法解析定制后信标帧,进而不能解析信标帧中包含的SSID等信息,无法与无线访问节点进行通信。
步骤S302,获取目标终端设备根据探测应答发起的第一认证请求,并根据第一认证请求,与目标终端设备进一次认证协商,生成第一密钥。其中,第一认证请求中至少包括有目标终端设备中预存的第一密钥信息。
在本实施例中,目标终端设备中配置有硬件加密卡,目标终端设备中的硬件加密卡中预存有对应的第一密钥信息。示例性的,第一密钥信息可以包括有公钥Pa,同时,目标终端设备的硬件加密卡中还可以存储有目标终端设备的私钥Da,其中,在无线访问节点接收到公钥Pa之后,在无线访问节点中的硬件加密卡中存储有私钥Db,公钥Pa和私钥Db通过数学运算可以生成管理帧加密密钥S(即第一密钥)。
其中,第一密钥S用于对管理帧报文进行加密,即无线访问节点与目标终端设备之间传输管理帧时,将通过该第一密钥S进行加密。并且由于目标终端设备和无线访问节点中均设置有硬件加密卡,目标终端设备的硬件加密卡中存有私钥Da,无线访问节点的硬件加密卡中存有私钥Db,即使是第三方设备获取到公钥Pa也无法计算得到管理帧加密密钥S,由此保证了Wifi使用过程中的安全性。
步骤S303,获取目标终端设备发起的第二认证请求,并根据第二认证请求,与目标终端设备进行二次认证协商,生成第二密钥。其中,第二认证请求中包括有第一密钥信息。
在本实施例中,第一密钥与第二密钥的用途互不相同,第一密钥和第二密钥分别用于加密不同的信息。示例性的,无线访问节点在与目标终端设备进行通信时,可以通过第一密钥加密管理帧报文,通过第二密钥加密用户面数据报文。其中,第二密钥可以通过硬件加密卡生成。
示例性的,第二密钥可以包括有成对传输秘钥(pairwise transient key,PTK)和组临时秘钥(group temporal key,GTK)。其中,PTK用于单播数据帧的加密和解密,GTK用于组播数据帧和广播数据帧的加密和解密。另外,无线访问节点中的硬件加密卡可以是TF卡(又称为Trans-flash Card),其可以是外置可拆卸式的。
步骤S304,根据第一密钥和第二密钥,与目标终端设备建立网络通信。
在本实施例中,第一密钥和第二密钥用于在网络通信过程中对通信信息进行加密,实现信息安全。其中,无线访问节点和目标终端设备均携带有第一密钥和第二密钥,无线访问节点将加密后的信息传输给目标终端设备,或者目标终端设备将加密后的信息传输给无线访问节点时,无线访问节点和目标终端设备均可以基于第一密钥或第二密钥来实现对信息的解密。
本申请实施例通过定义全新的Wi-fi认证流程,生成管理帧加密密钥(即第一密钥)和PTK/GTK(即第二密钥),通过第一密钥和第二密钥实现数据帧报文和管理帧报文的加密传输,能够防止DDOS攻击,提高Wifi使用过程中的安全性。
进一步的,在另一些实施例中,上述步骤S302中“根据第一认证请求,与目标终端设备进一次认证协商,生成第一密钥”,具体可以通过如下步骤实现:获取第一认证请求中的第一认证信息,并校验第一认证信息,第一认证信息为目标终端设备中预存的信息;若第一认证信息通过校验,则根据第一密钥信息,生成第一密钥;返回认证应答至目标终端设备,认证应答至少包括第二认证信息和第二密钥信息,第二认证信息和第二密钥信息为无线访问节点中预存的信息,第二认证信息用于目标终端设备进行校验,并在通过校验后根据第二密钥信息,生成第一密钥。
示例性的,图5为本申请实施例提供的无线网络接入的交互示意图,如图5所示,其包括如下步骤:步骤S501,信标帧广播。步骤S502,探测请求。步骤S503,探测应答。步骤S504,请求证书。步骤S505,请求应答。步骤S506,认证请求1。步骤S507,证书验签。步骤S508,结果应答。步骤S509,认证应答1。步骤S510,证书校验。步骤S511,结果应答。步骤S512,请求密钥信息。步骤S513,请求应答。步骤S514,认证请求2。步骤S515,密钥请求。步骤S516,应答。步骤S517,认证应答。步骤S518,密钥请求。步骤S519,请求应答。步骤S520,关联请求。步骤S521,关联应答。步骤S522,用户面数据传输。步骤S523,后续管理帧传输。
在本实施例中,第一认证请求即图5中的认证请求1,认证请求1中可以携带有密钥信息、证书和数字签名,在无线访问节点的无线服务模块提取出认证请求1中携带的密钥信息、证书和数字签名之后,会发送给硬件加密卡进行证书验签(即步骤S507)。在校验通过之后将生成管理帧加密密钥(即第一密钥)。其中,在认证请求1中携带的密钥信息可以是上文提到的公钥Pa,根据公钥Pa和无线访问节点的私钥Db,通过运算计算得到第一密钥S。
其中,在生成管理帧加密密钥之后,后续步骤S514中目标终端设备发起的认证请求2可以通过管理帧加密密钥进行加密,并且后续发起的步骤S517、步骤S520、步骤S521和步骤S523均可以通过管理帧加密密钥来对其中的报文进行加密。
本申请实施例通过在认证请求1中携带密钥信息、证书和数字签名,实现了认证和密钥协商流程的统一,简化了认证流程。同时携带的密钥信息只有公钥,即使第三方获取到明文公钥也无法推导出第一密钥,提高了安全性。
进一步的,在另一些实施例中,上述步骤S303中“根据第二认证请求,与目标终端设备进行二次认证协商,生成第二密钥”,具体可以通过如下步骤实现:获取第二认证请求中的第一密钥信息;根据第一密钥信息,获取第二密钥和第二密钥信息;将第二密钥信息返回至目标终端设备,第二密钥信息用于目标终端设备生成第二密钥。
在本实施例中,继续参考图5,第二认证请求图5中的认证请求2,在生成管理帧加密密钥(即第一密钥)之后,客户端可以从目标终端设备的硬件加密卡中请求密钥信息,然后向无线访问节点的无线服务模块发起认证请求2,无线服务模块基于认证请求2,从无线访问节点的硬件加密卡中获取第二密钥和第二密钥信息,然后返回第二密钥信息给客户端,由客户端最终生成用户面加密密钥(即第二密钥)。
其中,认证请求2中包括有第一密钥信息,并且通过管理帧加密密钥进行加密。步骤S515中的密钥请求中则包括有第一密钥信息。步骤S516的应答中包括有第二密钥和第二密钥信息。认证应答2中包括有第二密钥信息,并且通过管理帧加密密钥加密传输。步骤S518的密钥请求中包括有第二密钥信息。步骤S519的请求应答中包括有第一密钥。即在无线访问节点和目标终端设备获取到对方的密钥信息之后,将分别生成第二密钥。其中,第二密钥可以用于用户面数据报文的加密传输。
本申请实施例通过引入硬件加密机,无线访问节点和目标终端设备各自获取到对方的公钥之后,基于各自的私钥以及对方的公钥,可以实现密钥协商,同时保证安全性。
进一步的,在另一些实施例中,在将第二密钥信息返回至目标终端设备时(即步骤517,返回认证应答2),可以根据第一密钥,对第二密钥信息进行加密,得到加密之后的第二密钥信息并返回至目标终端设备。通过第一密钥对第二密钥信息进行加密,使得第三方即使获取到报文明文也无法解密得到第二密钥信息,进一步提高了Wifi的安全性。
在另一些实施例中,继续参考上述图5,在发起认证请求之前,无线访问节点的无线服务模块可以广播信标帧至预设范围内的所有终端设备。示例性的,预设范围内可以包括有终端设备A、终端设备B和终端设备C。其中由于信标帧是定制化的(其中包括有特殊的信标信息),故而不是所有终端设备均能够解析,例如终端设备A由于是行业内终端设备,也是定制化的,能够识别出信标信息,如此终端设备A就可以作为目标终端设备,而终端设备B和终端设备C由于是非行业内设备,其并非是定制化的,故而无法识别信标信息,也无法解析信标帧中包含的SSID等信息,无法发起探测请求。
示例性的,图6为本申请实施例提供的行业内终端设备的结构示意图,如图6所示,行业内终端设备60分为用户态、内核态和硬件,其中,用户态包括有应用层、硬件抽象层(又称为HAL层)。内核态包括有芯片驱动层。硬件则包括有Wifi芯片。为了实现定制化,Wifi芯片需要由厂家提供并定制修改。
本申请实施例通过在信标帧中加入信标信息,重新定义信标帧的格式,能够防止非行业终端设备探测到行业热点,实现了无线访问节点的热点隐藏,进一步提高了安全性。
在另一些实施例中,继续参考上述图5,上述方法还可以包括如下步骤:接收目标终端设备发送的关联请求,反馈关联应答至目标终端设备以与目标终端设备建立网络连接关系。
在本实施例中,在生成第一密钥和第二密钥之后,目标终端设备与无线访问节点之间完成了认证和密钥协商,此时可以发起关联请求,在无线服务模块返回关联应答之后,目标终端设备与无线访问节点建立关联关系,由此之后可以进行信息传输。
本申请实施例通过发起关联请求并进行关联应答,使得目标终端设备与无线访问节点之间建立关联,由此可以使得无线访问节点识别出目标终端设备,并实现信息传输,保证信息传输的安全性。
在一些实施例中,上述步骤S304具体可以通过如下步骤实现:在向目标终端设备发送管理帧时,通过第一密钥对管理帧进行加密;在向目标终端设备发送数据帧时,通过第二密钥对数据帧进行加密。其中,数据帧可以包括用户面数据报文。通过第一密钥和第二密钥分别不同的报文帧进行加密,可以进一步提高安全性。
图7为本申请实施例提供的无线网络接入方法的流程示意图,该方法可以应用于目标终端设备,如图7所示,该方法具体可以包括如下步骤:步骤S701,获取无线访问节点发送的信标帧,识别信标帧中的信标信息并反馈探测请求至无线访问节点。步骤S702,获取无线访问节点返回的探测应答,并向无线访问节点发起第一认证请求。其中,第一认证请求包括有目标终端设备中预存的第一认证信息和与第一密钥信息。步骤S703,获取无线访问节点返回的第一认证应答,根据第一认证应答,生成第一密钥。其中,第一认证应答包括无线访问节点中预存的第二认证信息和第二密钥信息。步骤S704,向无线访问节点发起第二认证请求,获取无线访问节点返回的第二认证应答,并根据第二认证应答,生成第二密钥。其中,第二认证请求包括有第一密钥信息,第二认证应答中包括有无线访问节点中预存的第二密钥信息。步骤S705,根据第一密钥和第二密钥,与无线访问节点建立网络通信。
在本实施例中,可以继续参考上述图5,目标终端设备的硬件加密卡中包有第一密钥信息(例如上文提到的公钥Pa)和私钥Da,在获取到无线访问节点的公钥Pb时,目标终端设备可以基于私钥Da和公钥Pb,进行数学运算得到第一密钥S和第二密钥。同时目标终端设备的硬件加密卡中还包括有证书和数字签名,通过证书和数字签名来通过无线访问节点的认证。
本申请实施例通过定义全新的Wi-fi认证流程,生成管理帧加密密钥(即第一密钥)和PTK/GTK(即第二密钥),通过第一密钥和第二密钥实现数据帧报文和管理帧报文的加密传输,能够降低DDOS攻击,提高Wi-fi使用过程中的安全性。
在一些实施例中,上述步骤S703中“根据第一认证应答,生成第一密钥”,具体可以通过如下步骤实现:对第一认证应答中的第二认证信息进行校验;在第二认证信息通过校验后,根据第二密钥信息,生成第一密钥。
在本实施例中,第一认证应答即图5中的认证应答1,其包括有无线访问节点的第二密钥信息和第二认证信息(即证书和数字签名),目标终端设备的硬件加密卡中存储有校验信息,在第二认证信息校验通过之后将生成第一密钥。示例性的,第二密钥信息可以是上文提到的公钥Pb,硬件加密卡中存储有目标终端设备的私钥Da,根据公钥Pb和私钥Da,通过数学运算计算得到第一密钥S。
本申请实施例通过对第二认证信息进行校验,并在通过校验后根据第二密钥信息生成第一密钥,实现了认证和密钥协商流程的统一,简化了认证流程,同时也保证了密钥协商的安全性。
在一些实施例中,上述步骤S705具体可以通过如下步骤实现:在向无线访问节点发送管理帧时,通过第一密钥对管理帧进行加密;在向无线访问节点发送数据帧时,通过第二密钥对数据帧进行加密。其中,数据帧可以包括用户面数据报文。通过第一密钥和第二密钥分别不同的报文帧进行加密,可以进一步提高安全性。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图8为本申请实施例提供的无线网络接入装置的结构示意图,该无线网络接入装置可以集成在无线访问节点上,也可以独立于无线访问节点且与无线访问节点协同实现本方案。如图8所示,无线网络接入装置800包括应答返回模块810、第一密钥协商模块820、第二密钥协商模块830、通信建立模块840。其中,应答返回模块810用于响应于目标终端设备根据无线访问节点的信标帧反馈的探测请求,返回探测应答至目标终端设备,信标帧至少包括有目标终端设备可识别的信标信息。第一密钥协商模块820用于获取目标终端设备根据探测应答发起的第一认证请求,并根据第一认证请求,与目标终端设备进一次认证协商,生成第一密钥,第一认证请求中至少包括有目标终端设备中预存的第一密钥信息。第二密钥协商模块830用于获取目标终端设备发起的第二认证请求,并根据第二认证请求,与目标终端设备进行二次认证协商,生成第二密钥,第二认证请求中包括有第一密钥信息。通信建立模块840用于根据第一密钥和第二密钥,与目标终端设备建立网络通信。
可选的,第一密钥协商模块在根据第一认证请求,与目标终端设备进一次认证协商,生成第一密钥时,具体可以用于:获取第一认证请求中的第一认证信息,并校验第一认证信息,第一认证信息为目标终端设备中预存的信息;若第一认证信息通过校验,则根据第一密钥信息,生成第一密钥;返回认证应答至目标终端设备,认证应答至少包括第二认证信息和第二密钥信息,第二认证信息和第二密钥信息为无线访问节点中预存的信息,第二认证信息用于目标终端设备进行校验,并在通过校验后根据第二密钥信息,生成第一密钥。
可选的,第二密钥协商模块在根据第二认证请求,与目标终端设备进行二次认证协商,生成第二密钥时,具体可以用于:获取第二认证请求中的第一密钥信息;根据第一密钥信息,获取第二密钥和第二密钥信息;将第二密钥信息返回至目标终端设备,第二密钥信息用于目标终端设备生成第二密钥。
可选的,第二密钥协商模块在将第二密钥信息返回至目标终端设备时,具体可以用于:根据第一密钥,对第二密钥信息进行加密,得到加密之后的第二密钥信息并返回至目标终端设备。
可选的,上述无线网络接入装置还包括广播模块,用于广播信标帧至预设范围内的所有终端设备。
可选的,上述无线网络接入装置还包括关联模块,用于接收目标终端设备发送的关联请求,反馈关联应答至目标终端设备以与目标终端设备建立网络连接关系。
可选的,上述通信建立模块具体可以用于在向目标终端设备发送管理帧时,通过第一密钥对管理帧进行加密;在向目标终端设备发送数据帧时,通过第二密钥对数据帧进行加密。
本申请实施例提供的装置,可用于执行上述图2所示实施例中的方法,其实现原理和技术效果类似,在此不再赘述。
图9为本申请另一实施例提供无线网络接入装置的结构示意图,该无线网络接入装置可以集成在目标终端设备上,也可以独立于目标终端设备且与目标终端设备协同实现本方案。如图9所示,该无线网络接入装置900包括有信标获取模块910、第一认证模块920、第一密钥生成模块930、第二密钥生成模块940和通信建立模块950。其中,信标获取模块910用于获取无线访问节点发送的信标帧,识别信标帧中的信标信息并反馈探测请求至无线访问节点。第一认证模块920用于获取无线访问节点返回的探测应答,并向无线访问节点发起第一认证请求,第一认证请求包括有目标终端设备中预存的第一认证信息和与第一密钥信息。第一密钥生成模块930用于获取无线访问节点返回的第一认证应答,根据第一认证应答,生成第一密钥,第一认证应答包括无线访问节点中预存的第二认证信息和第二密钥信息。第二密钥生成模块940用于向无线访问节点发起第二认证请求,获取无线访问节点返回的第二认证应答,并根据第二认证应答,生成第二密钥,第二认证请求包括有第一密钥信息,第二认证应答中包括有无线访问节点中预存的第二密钥信息。通信建立模块950用于根据第一密钥和第二密钥,与无线访问节点建立网络通信。
可选的,第一密钥生成模块930在根据第一认证应答,生成第一密钥时,具体可以用于:对第一认证应答中的第二认证信息进行校验;在第二认证信息通过校验后,根据第二密钥信息,生成第一密钥。
可选的,通信建立模块950具体可以用于在向无线访问节点发送管理帧时,通过第一密钥对管理帧进行加密;在向无线访问节点发送数据帧时,通过第二密钥对数据帧进行加密。
本申请实施例提供的装置,可用于执行上述图7所示实施例中的方法,其实现原理和技术效果类似,在此不再赘述。
需要说明的是,应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。例如,信标获取模块可以为单独设立的处理元件,也可以集成在上述装置的某一个芯片中实现,此外,也可以以程序代码的形式存储于上述装置的存储器中,由上述装置的某一个处理元件调用并执行以上信标获取模块的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起,也可以独立实现。这里的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
图10为本申请实施例提供的电子设备的结构示意图。如图10所示,该电子设备1000包括:至少一个处理器1010、存储器1020、总线1030及通信接口1040。其中:处理器1010、通信接口1040以及存储器1020通过总线1030完成相互间的通信。通信接口1040用于与其它设备进行通信。该通信接口包括用于进行数据传输的通信接口。处理器1010,用于执行存储器1020中存储的计算机执行指令,具体可以执行上述实施例中所描述的方法中的相关步骤。处理器可能是中央处理器,或者是特定集成电路(Application SpecificIntegrated Circuit,ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。电子设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。存储器,用于存放计算机指令。存储器可能包含高速RAM存储器,也可能还包括非易失性存储器,例如至少一个磁盘存储器。
图11为本申请实施例提供的终端设备的结构示意图,如图11所示,该终端设备1100包括至少一个处理器1110、存储器1120、总线1130及通信接口1140。其中:处理器1110、通信接口1140以及存储器1120通过总线1130完成相互间的通信。通信接口1140用于与其它设备进行通信。该通信接口包括用于进行数据传输的通信接口。处理器1110,用于执行存储器1120中存储的计算机执行指令,具体可以执行上述实施例中所描述的方法中的相关步骤。处理器可能是中央处理器,或者是特定集成电路(Application Specific IntegratedCircuit,ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。终端设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。存储器,用于存放计算机指令。存储器可能包含高速RAM存储器,也可能还包括非易失性存储器,例如至少一个磁盘存储器。
本实施例还提供一种计算机可读存储介质,可读存储介质中存储有计算机指令,当电子设备或终端设备的至少一个处理器执行该计算机指令时,电子设备或终端设备执行上述的各种实施方式提供的无线网络接入方法。
本实施例还提供一种计算机程序产品,该程序产品包括计算机指令,该计算机指令存储在可读存储介质中。电子设备或终端设备的至少一个处理器可以从可读存储介质读取该计算机指令,至少一个处理器执行该计算机指令使得电子设备或终端设备实施上述的各种实施方式提供的无线网络接入方法。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系;在公式中,字符“/”,表示前后关联对象是一种“相除”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中,a,b,c可以是单个,也可以是多个。
可以理解的是,在本申请实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。在本申请的实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请的实施例的实施过程构成任何限定。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (16)
1.一种无线网络接入方法,其特征在于,应用于无线访问节点,所述方法包括:
响应于目标终端设备根据所述无线访问节点的信标帧反馈的探测请求,返回探测应答至所述目标终端设备,所述信标帧至少包括有所述目标终端设备可识别的信标信息;
获取所述目标终端设备根据所述探测应答发起的第一认证请求,并根据所述第一认证请求,与所述目标终端设备进一次认证协商,生成第一密钥,所述第一认证请求中至少包括有所述目标终端设备中预存的第一密钥信息;
获取所述目标终端设备发起的第二认证请求,并根据所述第二认证请求,与所述目标终端设备进行二次认证协商,生成第二密钥,所述第二认证请求中包括有所述第一密钥信息;
根据所述第一密钥和所述第二密钥,与所述目标终端设备建立网络通信。
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一认证请求,与所述目标终端设备进一次认证协商,生成第一密钥,包括:
获取所述第一认证请求中的第一认证信息,并校验所述第一认证信息,所述第一认证信息为所述目标终端设备中预存的信息;
若所述第一认证信息通过校验,则根据所述第一密钥信息,生成所述第一密钥;
返回认证应答至所述目标终端设备,所述认证应答至少包括第二认证信息和第二密钥信息,所述第二认证信息和第二密钥信息为所述无线访问节点中预存的信息,所述第二认证信息用于所述目标终端设备进行校验,并在通过校验后根据所述第二密钥信息,生成所述第一密钥。
3.根据权利要求2所述的方法,其特征在于,所述根据所述第二认证请求,与所述目标终端设备进行二次认证协商,生成第二密钥,包括:
获取所述第二认证请求中的第一密钥信息;
根据所述第一密钥信息,获取第二密钥和第二密钥信息;
将所述第二密钥信息返回至所述目标终端设备,所述第二密钥信息用于所述目标终端设备生成所述第二密钥。
4.根据权利要求3所述的方法,其特征在于,所述将所述第二密钥信息返回至所述目标终端设备,包括:
根据所述第一密钥,对所述第二密钥信息进行加密,得到加密之后的第二密钥信息并返回至所述目标终端设备。
5.根据权利要求1-4中任一项所述的方法,其特征在于,还包括:
广播所述信标帧至预设范围内的所有终端设备。
6.根据权利要求1-4中任一项所述的方法,其特征在于,还包括:
接收所述目标终端设备发送的关联请求,反馈关联应答至所述目标终端设备以与所述目标终端设备建立网络连接关系。
7.根据权利要求1-4中任一项所述的方法,其特征在于,所述根据所述第一密钥和所述第二密钥,与所述目标终端设备建立网络通信,包括:
在向所述目标终端设备发送管理帧时,通过所述第一密钥对所述管理帧进行加密;
在向所述目标终端设备发送数据帧时,通过所述第二密钥对所述数据帧进行加密。
8.一种无线网络接入方法,其特征在于,应用于目标终端设备,所述方法包括:
获取无线访问节点发送的信标帧,识别所述信标帧中的信标信息并反馈探测请求至所述无线访问节点;
获取所述无线访问节点返回的探测应答,并向所述无线访问节点发起第一认证请求,所述第一认证请求包括有所述目标终端设备中预存的第一认证信息和与第一密钥信息;
获取所述无线访问节点返回的第一认证应答,根据所述第一认证应答,生成第一密钥,所述第一认证应答包括所述无线访问节点中预存的第二认证信息和第二密钥信息;
向所述无线访问节点发起第二认证请求,获取所述无线访问节点返回的第二认证应答,并根据所述第二认证应答,生成第二密钥,所述第二认证请求包括有所述第一密钥信息,所述第二认证应答中包括有所述无线访问节点中预存的第二密钥信息;
根据第一密钥和第二密钥,与所述无线访问节点建立网络通信。
9.根据权利要求8所述的方法,其特征在于,所述根据所述第一认证应答,生成第一密钥,包括:
对所述第一认证应答中的第二认证信息进行校验;
在所述第二认证信息通过校验后,根据所述第二密钥信息,生成所述第一密钥。
10.根据权利要求8所述的方法,其特征在于,所述根据第一密钥和第二密钥,与所述无线访问节点建立网络通信,包括:
在向所述无线访问节点发送管理帧时,通过所述第一密钥对所述管理帧进行加密;
在向所述无线访问节点发送数据帧时,通过所述第二密钥对所述数据帧进行加密。
11.一种无线网络接入装置,其特征在于,包括:
应答返回模块,用于响应于目标终端设备根据无线访问节点的信标帧反馈的探测请求,返回探测应答至所述目标终端设备,所述信标帧至少包括有所述目标终端设备可识别的信标信息;
第一密钥协商模块,用于获取所述目标终端设备根据所述探测应答发起的第一认证请求,并根据所述第一认证请求,与所述目标终端设备进一次认证协商,生成第一密钥,所述第一认证请求中至少包括有所述目标终端设备中预存的第一密钥信息;
第二密钥协商模块,用于获取所述目标终端设备发起的第二认证请求,并根据所述第二认证请求,与所述目标终端设备进行二次认证协商,生成第二密钥,所述第二认证请求中包括有所述第一密钥信息;
通信建立模块,用于根据所述第一密钥和所述第二密钥,与所述目标终端设备建立网络通信。
12.一种无线网络接入装置,其特征在于,包括:
信标获取模块,用于获取无线访问节点发送的信标帧,识别所述信标帧中的信标信息并反馈探测请求至所述无线访问节点;
第一认证模块,用于获取所述无线访问节点返回的探测应答,并向所述无线访问节点发起第一认证请求,所述第一认证请求包括有目标终端设备中预存的第一认证信息和与第一密钥信息;
第一密钥生成模块,用于获取所述无线访问节点返回的第一认证应答,根据所述第一认证应答,生成第一密钥,所述第一认证应答包括所述无线访问节点中预存的第二认证信息和第二密钥信息;
第二密钥生成模块,用于向所述无线访问节点发起第二认证请求,获取所述无线访问节点返回的第二认证应答,并根据所述第二认证应答,生成第二密钥,所述第二认证请求包括有所述第一密钥信息,所述第二认证应答中包括有所述无线访问节点中预存的第二密钥信息;
通信建立模块,用于根据第一密钥和第二密钥,与所述无线访问节点建立网络通信。
13.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1-7中任一项所述的方法。
14.一种终端设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求8-10中任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机指令,所述计算机指令被处理器执行时用于实现如权利要求1-7或8-10任一项所述的方法。
16.一种计算机程序产品,包括计算机指令,其特征在于,该计算机指令被处理器执行时实现权利要求1-7或8-10任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211149009.XA CN117793715A (zh) | 2022-09-21 | 2022-09-21 | 无线网络接入方法、装置、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211149009.XA CN117793715A (zh) | 2022-09-21 | 2022-09-21 | 无线网络接入方法、装置、设备和介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117793715A true CN117793715A (zh) | 2024-03-29 |
Family
ID=90383894
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211149009.XA Pending CN117793715A (zh) | 2022-09-21 | 2022-09-21 | 无线网络接入方法、装置、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117793715A (zh) |
-
2022
- 2022-09-21 CN CN202211149009.XA patent/CN117793715A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6262308B2 (ja) | リンク設定および認証を実行するシステムおよび方法 | |
Zillner et al. | ZigBee exploited: The good, the bad and the ugly | |
CN103596173B (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
Wang et al. | UAKA-D2D: Universal authentication and key agreement protocol in D2D communications | |
EP1972125B1 (en) | Apparatus and method for protection of management frames | |
US8295488B2 (en) | Exchange of key material | |
EP2810418B1 (en) | Group based bootstrapping in machine type communication | |
US20160255502A1 (en) | Method and apparatus to perform device to device communication in wireless communication network | |
EP3065334A1 (en) | Key configuration method, system and apparatus | |
TW201717595A (zh) | 智慧設備及其建立設備間藍牙連接的方法、裝置 | |
CN108880813B (zh) | 一种附着流程的实现方法及装置 | |
Kumar et al. | A literature review of security threats to wireless networks | |
US20130159706A1 (en) | Secret communication method and system between neighboring user terminals, terminal, switching equipment | |
CN111212426B (zh) | 终端的接入方法及终端、微基站、接入系统 | |
US20230344626A1 (en) | Network connection management method and apparatus, readable medium, program product, and electronic device | |
CN105933895A (zh) | Wifi入网配置数据的传输方法、智能设备及智能终端 | |
CN109768861B (zh) | 一种海量d2d匿名发现认证与密钥协商方法 | |
US20100131762A1 (en) | Secured communication method for wireless mesh network | |
CN113992427A (zh) | 基于相邻节点的数据加密发送方法及装置 | |
CN106465117B (zh) | 一种终端接入通信网络的方法、装置及通信系统 | |
CN117793715A (zh) | 无线网络接入方法、装置、设备和介质 | |
CN105592433A (zh) | 设备到设备限制发现业务广播、监听方法、装置及系统 | |
KR20140030518A (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
CN113765900A (zh) | 协议交互信息输出传输方法、适配器装置及存储介质 | |
WO2018046109A1 (en) | Attack mitigation in 5g networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |