TW201301928A - 無線區域網路中的網路連線方法、程式產品、及系統 - Google Patents

無線區域網路中的網路連線方法、程式產品、及系統 Download PDF

Info

Publication number
TW201301928A
TW201301928A TW100123030A TW100123030A TW201301928A TW 201301928 A TW201301928 A TW 201301928A TW 100123030 A TW100123030 A TW 100123030A TW 100123030 A TW100123030 A TW 100123030A TW 201301928 A TW201301928 A TW 201301928A
Authority
TW
Taiwan
Prior art keywords
access point
client
answer
authentication database
question
Prior art date
Application number
TW100123030A
Other languages
English (en)
Inventor
Yao-Huan Chung
Ko-Chen Tan
Keven Cheng
Wen-Chiao Wu
Chia-Yen Wu
Original Assignee
Ibm
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ibm filed Critical Ibm
Priority to TW100123030A priority Critical patent/TW201301928A/zh
Priority to US13/528,035 priority patent/US20130007843A1/en
Publication of TW201301928A publication Critical patent/TW201301928A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

揭示一種於一無線區域網路中的網路連線方法,該無線區域網路包括一用戶端,一存取點,及一耦合至該存取點之一認證資料庫。該認證資料庫包括複數個資料項組合,該複數個資料項組合的每一者包括複數個資料項。於該用戶端接收該認證資料庫之該複數個資料項組合中一資料項組合。於該存取點接收包含一問題標籤的一訊息,該問題標籤有關於一問題,該問題有關於該複數個資料項組合中一資料項組合的第一資料項,且一第一回答對應於該問題係儲存於該認證資料庫且包含該第一資料項。於該存取點送出包含該問題標籤的一訊息至該用戶端,該問題標籤有關於該問題。於該用戶端送出包含一回答標籤的一訊息至該存取點,該回答標籤有關於一第二回答。於該認證資料庫比對該第一回答與該第二回答是否匹配以獲得一比對結果。回應於該比對結果為匹配,於該存取點送出該比對結果至該用戶端且該認證資料庫刪除該第一資料項。一種網路連線程式產品及系統也被揭示。

Description

無線區域網路中的網路連線方法、程式產品、及系統
本發明係涉及一般無線區域網路(wireless local area network,WLAN)。更具體地說,本發明涉及在無線區域網路中避免無線存取點(access point)或無線用戶端(client)未經授權的入侵(unauthorized intrusion)。
早期計算機通常透過有線區域網路(LAN)進行相互溝通。然而,隨著行動裝置(例如行動電話,筆記型電腦,個人數位助理,等等)的盛行,無線區域網路已經發展成為一種電腦間進行通訊的主要方式之一,其係使用種種無線媒介進行溝通,如無線信號,紅外信號等等。
近年來,可攜式運算快速且廣泛的成長,除了有線連結(wire connection),可攜式運算更大量依賴骨幹(backbone)網路及相連接的無線區域網路以存取各種網路資源。
在種種無線區域網路中,IEEE 802.11(又名WiFi)的標準被廣泛且大量地採用。IEEE 802.11b,g,n標準是利用2,400~2,483.5MHz的ISM(Industrial,Scientific,Medical)頻段,這個ISM頻段在各地並不需要許可就可以容許展頻(spread spectrum)系統的使用。
圖1係表示習知技術之IEEE 802.11之無線區域網路認證示意圖。當一個行動裝置欲使用一個無線區域網路(wireless local area network;WLAN)時,必須進行三階段的訊息溝通,依時間先後順序分別為探測請求/探測回應(probe request/probe response)160/164、認證請求/認證回應(authentication request/authentication response)167/172、以及連結請求/連結回應(association request/association response)176/180。上述三階段訊息溝通均於IEEE 802.11標準中有所規範。
在無線區域網路中,無線用戶端典型上透過存取點來存取骨幹網路上的資源,骨幹網路通常可是一個有線網路(像是乙太網路,Ethernet),但也可以是另一個無線網路、或是其組合。當存取點提供有線網路上資源的接取時,這個存取點至少包含有一個有線網路界面、一種橋接(bridge)功能、以及一個無線網路界面,以在無線網路與有線網路之間進行流量橋接。
隨著無線區域網路的大量使用,網路安全的考量亦日益重要。在無線區域網路中,其傳輸資料係使用無線電波而在空中傳播,換言之,任何無線用戶端在一個存取點服務區域,可以傳輸資料至存取點或從存取點接收資料。傳統無線區域網路的使用安全包括服務設定識別碼(service set identifier,SSID),可使用開放或共享密鑰身份認證,有線等效加密(Wired Equivalent Privacy,WEP)密鑰,媒體存取控制(Media access control,MAC),Wi-Fi Protected Access(WPA)等等。
相較於有線區域網路,雖然無線區域網路用戶提供更大的行動性,然無線區域網路對於通訊安全尤其重視,特別是在有線區域網路領域中並不存在的通訊安全問題。
例如,在一般情況下,無線用戶端搜索到一無線存取點,進而將其SSID和安全(WEP,WPA等等..)組態設定儲存於該無線用戶端的無線組態。當無線用戶端再次進行連接時,無線用戶端之無線裝置將自動連接到該無線存取點。
然而,如果附近存在假造無線存取點(Fake AP)或間諜(Spy AP)無線存取點,其具有相同的SSID和安全組態設定,或如果此間諜無線存取點調整其無線連接強度,無線用戶端可能會自動連接到該間諜無線存取點並導致資料被偷竊。
例如,駭客可設立若干假造或間諜無線存取點,並偽裝為合法的熱點而為大眾所存取。每當用戶連接到上述假造或間諜無線存取點,駭客即可捕捉到用戶的熱點記錄(logging)資訊(用戶名,密碼等等)和其它敏感資訊,或存取用戶的共享文件夾。
因此,要如何維持無線區域網路用戶的高度行動性,又可預防假造或間諜網路設備竊取使用者的機密資料,進而實現安全之WLAN環境,是一個新的挑戰。
本發明之一目的在於提供一種以問題回答/機制為基礎的認證方法,俾能有效預防假造的網路設備竊取使用者的機密資料,而實現安全之WLAN環境。
本發明之再一目的在於提供一種無線區域網路之加強安全技術,一假造無線存取點/用戶端或一間諜無線存取點/用戶端可藉由一問題/回答協定而阻擋,其用戶端及認證資料庫各自具有一資料項的集合以加強用戶端及存取點間的連接安全。
本發明之另一目的在於提供新穎的網路連線認證技術,每個用戶端都有自己的資料項的集合以與認證資料庫進行並協商(negotiate)。其中的資料項,一旦使用,會從認證資料庫中刪除,有效防止未授權的連線入侵。
根據本發明一實施例,提供一無線區域網路中的網路連線方法,無線區域網路包括一用戶端,一存取點,及一耦合至存取點之一認證資料庫;認證資料庫包括複數個資料項組合,複數個資料項組合的每一者包括複數個資料項。該網路連線方法可包括:於用戶端接收認證資料庫之複數個資料項組合中一資料項組合;於用戶端送出包含一識別標籤的一第一訊息至存取點;於存取點接收包含一問題標籤的一第二訊息,其中認證資料庫提供第二訊息,問題標籤有關於一問題,問題有關於複數個資料項組合中一資料項組合的第一資料項,且一第一回答對應於問題係儲存於認證資料庫且包含第一資料項;於存取點送出包含問題標籤的一第三訊息至用戶端,問題標籤有關於問題;於用戶端送出包含一回答標籤的一第四訊息至存取點至認證資料庫,回答標籤有關於一第二回答;及於認證資料庫比對第一回答與第二回答是否匹配以獲得一比對結果。
於存取點接收第二訊息前,該網路連線方法更可包括:於存取點送出包含一問題請求標籤的一訊息至認證資料庫,以請求第二訊息。於用戶端送出第四訊息後,該網路連線方法更可包括:於存取點送出包含一比對標籤的一訊息至認證資料庫,以比對第一回答與第二回答是否匹配;及認證資料庫送出比對結果至存取點。
問題標籤及回答標籤可嵌入於一認證訊框中,認證訊框具有一認證標頭,認證標頭具有一訊框主體欄位以存放問題標籤及回答標籤。第一訊息可包括用戶端的MAC位址、辨別使用問題/回答協定的標籤。第二訊息可包括用戶端的MAC位址、存取點的MAC位址。第三訊息可包括用戶端的MAC位址。第四訊息可包括用戶端的MAC位址。
根據本發明另一實施例,提供一種包括電腦可執行程序步驟之電腦程式產品,電腦可執行程序用以於一無線區域網路中進行網路連線,無線區域網路包括一用戶端,一存取點,及一耦合至存取點之一認證資料庫,電腦可執行程序步驟包括程序步驟,可執行如上所述的方法。
根據本發明另一實施例,提供一用戶端,用以在一無線區域網路中存取一存取點,無線區域網路包括存取點,及一耦合至存取點之一認證資料庫,包括:一程式記憶體,用於儲存程序步驟,可執行如上所述的方法;及一處理器,用於執行儲存於程式記憶體中之程序步驟。
根據本發明另一實施例,提供一存取點,用以在一無線區域網路供一用戶端進行存取,無線區域網路包括用戶端,及一耦合至存取點之一認證資料庫,包括:一程式記憶體,用於儲存程序步驟,可執行如上所述的方法;及一處理器,用於執行儲存於程式記憶體中之程序步驟。
根據本發明另一實施例,提供一種無線區域網路,包括:一用戶端,一存取點,及一耦合至存取點之一認證資料庫,其中用戶端,存取點,及認證資料庫可執行如上所述的方法。
本說明書中所提及的特色、優點、或類似表達方式並不表示,可以本發明實現的所有特色及優點應在本發明之任何單一的具體實施例內。而是應明白,有關特色及優點的表達方式是指結合具體實施例所述的特定特色、優點、或特性係包含在本發明的至少一具體實施例內。因此,本說明書中對於特色及優點、及類似表達方式的論述與相同具體實施例有關,但亦非必要。
此外,可以任何合適的方式,在一或多個具體實施例中結合本發明所述特色、優點、及特性。相關技術者應明白,在沒有特定具體實施例之一或多個特定特色或優點的情況下,亦可實施本發明。在其他例子中應明白,特定具體實施例中的其他特色及優點可能未在本發明的所有具體實施例中出現。
參考以下說明及隨附申請專利範圍或利用如下文所提之本發明的實施方式,即可更加明瞭本發明的這些特色及優點。
以下將配合所附圖示更完整的說明本發明及本發明的較佳實施例。然請了解的是,熟知該項技藝者當可依據下列的描述修改本發明但同樣達成本發明之優良成果。因此,下列的描述當視為對相關技藝人士有關本發明的一種廣泛性與解釋性的揭露,而非意對本發明之權利範圍有所限縮。
本說明書所稱「一實施例」、「某實施例」、或其他類似之用語,係指與該實施例有關之特徵、結構、或特性是包含在本發明的至少一個實施例中。因此,像是「在一實施例中」、「在某一實施例中」、或是其他類似的用語在本說明書出現時,可以是,但也不必然是指稱同一個實施例。
熟此技藝者當知,本發明可實施為電腦裝置、方法或作為電腦程式產品之電腦可讀媒體。因此,本發明可以實施為各種形式,例如完全的硬體實施例、完全的軟體實施例(包含韌體、常駐軟體、微程式碼等),或者亦可實施為軟體與硬體的實施形式,在以下會被稱為「電路」、「模組」或「系統」。此外,本發明亦可以任何有形的媒體形式實施為電腦程式產品,其具有電腦可使用程式碼儲存於其上。
一個或更多個電腦可使用或可讀取媒體的組合都可以利用。舉例來說,電腦可使用或可讀取媒體可以是(但並不限於)電子的、磁的、光學的、電磁的、紅外線的或半導體的系統、裝置、設備或傳播媒體。更具體的電腦可讀取媒體實施例可以包括下列所示(非限定的例示):由一個或多個連接線所組成的電氣連接、可攜式的電腦磁片、硬碟機、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除程式化唯讀記憶體(EPROM或快閃記憶體)、光纖、可攜式光碟片(CD-ROM)、光學儲存裝置、傳輸媒體(例如網際網路(Internet)或內部網路(intranet)之基礎連接)、或磁儲存裝置。需注意的是,電腦可使用或可讀取媒體更可以為紙張或任何可用於將程式列印於其上而使得該程式可以再度被電子化之適當媒體,例如籍由光學掃描該紙張或其他媒體,然後再編譯、解譯或其他合適的必要處理方式,然後可再度被儲存於電腦記憶體中。在本文中,電腦可使用或可讀取媒體可以是任何用於保持、儲存、傳送、傳播或傳輸程式碼的媒體,以供與其相連接的指令執行系統、裝置或設備來處理。電腦可使用媒體可包括其中儲存有電腦可使用程式碼的傳播資料訊號,不論是以基頻(baseband)或是部分載波的型態。電腦可使用程式碼之傳輸可以使用任何適體的媒體,包括(但並不限於)無線、有線、光纖纜線、射頻(RF)等。
用於執行本發明操作的電腦程式碼可以使用一種或多種程式語言的組合來撰寫,包括物件導向程式語言(例如Java、Smalltalk、C++或其他類似者)以及傳統程序程式語言(例如C程式語言或其他類似的程式語言)。程式碼可以獨立軟體套件的形式完整的於使用者的電腦上執行或部分於使用者的電腦上執行,或部分於使用者電腦而部分於遠端電腦。
於以下本發明的相關敘述會參照依據本發明具體實施例之電腦裝置、方法及電腦程式產品之流程圖及/或方塊圖來進行說明。當可理解每一個流程圖及/或方塊圖中的每一個方塊,以及流程圖及/或方塊圖中方塊的任何組合,可以使用電腦程式指令來實施。這些電腦程式指令可供通用型電腦或特殊電腦的處理器或其他可程式化資料處理裝置所組成的機器來執行,而指令經由電腦或其他可程式化資料處理裝置處理以便實施流程圖及/或方塊圖中所說明之功能或操作。
這些電腦程式指令亦可被儲存在電腦可讀取媒體上,以便指示電腦或其他可程式化資料處理裝置來進行特定的功能,而這些儲存在電腦可讀取媒體上的指令構成一製成品,其內包括之指令可實施流程圖及/或方塊圖中所說明之功能或操作。
電腦程式指令亦可被載入到電腦上或其他可程式化資料處理裝置,以便於電腦或其他可程式化裝置上進行一系統操作步驟,而於該電腦或其他可程式化裝置上執行該指令時產生電腦實施程序以達成流程圖及/或方塊圖中所說明之功能或操作。
下文以圖2開始參照附圖說明根據本發明實施例用於在一無線區域網路中的網路連線之實例方法、系統及產品。圖2展示一網路系統100,其具有網路168,一伺服器120、經授權之複數個無線存取點104、複數個無線用戶端108。每一無線用戶端108皆耦合至該網路168,此種耦合170或藉由一無線連接或一有線連接,或兩種方式之並用,例如但不限於藉由無線電以與存取點104通訊。根據設備之大小及範圍,上述裝置可具有不同之系統類型及不同之連接類型。該無線用戶端108可以為筆記型電腦系統、個人數位助理系統、行動手機、智慧型手機、桌上型電腦、或其他能夠藉由經授權之無線存取點104存取網路168之裝置。圖2還展示了複數個有線用戶端124,通常藉由使用有線連接以與網路168通訊。系統100還可包含無線存取點104及無線用戶端108以外的存取點及無線用戶端。
圖2亦展示一非授權之假造或間諜無線存取點106,偽裝為合法的熱點而可為大眾所存取。該非授權之假造或間諜無線存取點106可能係由個人或團體在資訊技術管理方毫不知曉或未許可之狀況下而設立,如前述,該非授權之假造或間諜無線存取點106可能調整其無線連接強度或本身具有相同的SSID和安全組態設定安全,當用戶連接到無線存取點106時,其資訊易被竊取,WLAN環境的安全性亦受到損害。
圖3係本發明一較佳具體實施例,一無線區域網路認證示意圖,其中繪示無線用戶端108與無線存取點104的訊框(frame)溝通過程,當無線用戶端108要使用無線區域網路時,無線用戶端108在周圍環境中,送出探測請求(probe request)(步驟212),之後,藉由接收到由至少一無線存取點104所回應傳送的探測回應(probe response)(步驟216),該無線用戶端108偵測此無線存取點104。當收到探測回應後,無線用戶端108會送出通關過程請求(puzzle process request)(步驟220),之後等待無線存取點104的通關過程回應(puzzle process response)(步驟224),上述通關過程請求及通關過程回應在後面段落中有進一步的解釋。當收到通關回應後,會跟無線存取點104的做認證請求(authentication request)的訊息溝通(步驟228),此時會將密碼送至無線接取點104做認證,之後等待無線存取點104的認證回應(authentication response)(步驟232)。認證通過後,藉由連結請求(association request)236及連結回應(association response)240,無線用戶端108和複數個無線存取點104中的至少一個之間會建立起鏈結層(link layer)的連結。接下來無線用戶端108要通過伺服器120(例如一AAA伺服器(authentication,authorization,and accounting server;AAA server)的認證,才能取得更多的權限來使用網路資源。在一較佳具體實施例中,無線用戶端108可用跨區域網路可擴充認證通訊協定夾帶EAP(Extensible Authentication Protocol)資訊送至無線存取點104,無線存取點104會將EAP資訊送至伺服器120做認證。當認證通過後,無線存取點104會送一EAP成功的訊息給無線存取點104,以獲得授權進而收發封包。上述無線用戶端108及無線存取點104間所執行探測請求/探測回應、認證請求/認證回應、連結請求/連結回應、以及授權獲得及授權封包收發已於習知之IEEE 802.11標準中所規範或為熟悉此技藝人士所明白,因而不在此贅述。
圖4係根據本發明之一較佳具體實施例,顯示用戶端104接收伺服器120之一認證資料庫之通關問題/回答成功之流程示意圖,其中之無線區域網路包括用戶端104,存取點108,及伺服器120,該伺服器120配置有一認證資料庫(authentication database) 660。該認證資料庫660包括複數個資料項組合(collections of data entries),該複數個資料項組合662的每一者包括複數個資料項(data entries) 662。首先用戶端104從認證資料庫660取得複數個資料項組合中一資料項組合662並設定為本身的資料項組合666,因此用戶端的資料項組合666與認證資料庫660之資料項組合662係為相同。請參見圖4,在步驟604中,用戶端104對存取點108進行請求連線的步驟;在步驟608中,存取點108對伺服器120/認證資料庫660進行詢問通關問題的步驟;在步驟612中,伺服器120/認證資料庫660對存取點108進行回傳通關問題的步驟;在步驟616中,存取點108對用戶端104進行詢問通關問題的步驟;在步驟620中,用戶端104對存取點108進行回答通關答案的步驟;在步驟624中,存取點108對伺服器120/認證資料庫660進行請求伺服器判定答案的步驟;在步驟628中,伺服器120/認證資料庫660對存取點108進行回傳答案匹配並從伺服器120/認證資料庫660刪除通關答案;在步驟632中,存取點108對用戶端104進行告知通過關回傳答案匹配的步驟,上述資料項組合的取得以及通關問題/回答流程在後面段落有進一步的解釋。
圖5係根據本發明之一較佳具體實施例,繪示一種於用戶端接收認證資料庫之資料項組合的方法之流程圖。圖6係根據本發明之一較佳具體實施例,繪示一種於一無線區域網路中的網路連線方法之流程圖。無線區域網路包括用戶端104,存取點108,及伺服器120,該伺服器120具有一認證資料庫660。該認證資料庫660包括複數個資料項組合,該複數個資料項組合662的每一者包括複數個資料項662。伺服器120為一授權伺服器(authentication server),一網路管理伺服器(未示於圖中)亦耦合至該授權伺服器120。在此系統內的每一個存取點108均可根據網路管理伺服器之指令來控制用戶端104存取網際網路之能力,而授權伺服器120主要係用以確認用戶端104之身分、授予用戶端104存取能力,且授權伺服器120亦可將用戶端104之相關資訊保存在資料庫之中。上述授權伺服器及網路管理伺服器的相關技術已為熟悉此技藝人士所明白,因而不在此贅述。
依本發明之一較佳具體實施例,複數個資料項組合662可為複數本書(或字典,書籍,數字串等等),而資料項組合662內的複數個資料項可為組合書中的字(或字,字元,字組,句,句組,數字等等)。
請同時參考圖4及圖5,在一較佳具體實施例中,首先用戶端104從認證資料庫660取得複數個資料項組合中一資料項組合662(步驟408),接著用戶端104將取得的資料項組合662設定為用戶端的資料項組合666(步驟412)。因此用戶端的資料項組合666與認證資料庫660之資料項組合662係為相同。用戶端104從認證資料庫660獲取資料項組合662可藉由種種方式/時機而達成,例如用戶端104系統裝機,或用戶端104資料庫資料快用完時,認證資料庫660會自動更新用戶端104資料等等。
圖6係本發明一較佳具體實施例之示意圖,繪示無線用戶端108,無線存取點104/伺服器120之間的通關過程請求與通關過程回應的溝通過程之流程圖。在本實施方式中,其網路連線方法係藉由圖2中的系統100來實施。
請同時參考圖4,圖5,圖6,在步驟416中,首先於用戶端104確認該存取點108發送一信標(Beacon)後,於用戶端104送出一探索要求(Probe Request)至該存取點104;在步驟420中,於用戶端104接收存取點104的探索回應(Probe Response);在步驟424中,於用戶端104送出包含一識別標籤(identification tag)的一第一訊息至該存取點108;在步驟428中,於該用戶端104送出該第一訊息後,於該存取點108認證該用戶端104之一MAC地址。接著在步驟432中,於該存取點108送出包含一問題請求標籤(puzzle request tag)的一問題請求訊息至該伺服器120/認證資料庫660;在步驟436中,於該存取點108接收包含一問題標籤(puzzle tag)的一第二訊息,第二訊息由伺服器120/認證資料庫660提供。如前述,在一較佳具體實施例中,該問題標籤有關於一問題,該問題有關於該複數個資料項組合中一資料項組合的第一資料項,且一第一回答對應於該問題係儲存於該認證資料庫660且包含該第一資料項,該問題包括該第一資料項在該資料項組合中之對應索引(index)或對應位置(position)。
然後在步驟440中,於該存取點108送出包含該問題標籤(puzzle tag)的一第三訊息至該用戶端104,該問題標籤有關於該問題;在步驟444中,於該用戶端104送出包含一回答標籤(answer tag)的一第四訊息至該存取點108,該回答標籤有關於一第二回答;在步驟448中,於該存取點108送出包含一比對標籤(compare tag)的一訊息至該伺服器120/認證資料庫660,以比對該第一回答與該第二回答是否匹配以獲得一比對結果;在步驟452中,該伺服器120/認證資料庫660判定比對結果是否為匹配。
在步驟456中,如果該比對結果為匹配,於該伺服器120/認證資料庫660送出該比對結果至該存取點108並從伺服器120/認證資料庫660刪除第一資料項,於存取點108送出比對結果至用戶端104,告知用戶端104一通關通過之結果,使用戶端104及該存取點108進行連結。接著在上述的交握(handshaking)後,用戶端104與存取點108開始執行802.11標準之連線程序。
在步驟460中,如果該比對結果為不匹配,該用戶端及該存取點不進行連結。在一較佳具體實施例中,假造無線存取點或間諜無線存取點之網際網路協定位址可被無效化,例如用戶端MAC不在被認可清單中,間諜無線存取點無法判斷識別標籤。
圖7係根據本發明一較佳具體實施例,配合圖6所示之流程圖,繪示各無線用戶端104A,104B,104C分別具有獨立資料項組合666,670,674,且獨立資料項組合666,670,674分別為伺服器120所提供,以進行通關過程之示意圖。要注意的是,各獨立資料項組合分別可根據MAC地址而建立,且獨立資料項組合可由用戶端104系統裝機人員配置,或用戶端104資料庫資料快用完時,認證資料庫660會自動更新用戶端104資料,並可維持一特定的尺寸。至於無線存取點如何識別無線用戶端的MAC地址,在後面段落有進一步的解釋。
圖8係本發明一較佳具體實施例,繪示本發明之問題/回答機制的一狀態機(state machine)。請參見圖8,狀態1(704):用戶端請求連線(assertion),送出請求連線(708);狀態2(712):存取點詢問(challenge),送出詢問(716),然在時間大於N(例如3周期)未送出詢問時,則前進到狀態1(717);狀態3(720):用戶端回應(response),在時間大於N(例如3周期)未送出回應時,則前進到狀態1(724),否則送出結果(result),前進到狀態4(733);狀態4(733):存取點告知通過,如果存取點傳回結果,則顯示連結成功(740),如果存取點未傳回結果,則前進到狀態1(736)。
圖9係本發明一較佳具體實施例,繪示配合802.11協定,所應用之認證訊框的構成例及認證訊框中的訊框控制(frame control)欄位之構成例。認證訊框具有如圖8所示之IEEE802.11規格中視定的格式,係由以下欄位所構成:Frame Control(訊框控制)欄位,Duration欄位,Address 1,Address 2,Address 3,Sequence Control(順序控制) Address 4,Frame Body(訊框主體)及CRC(循環冗餘校驗)。Frame Control係由以下欄位所構成:Protocol Version(通訊協定版本)、Type(類型),Subtype(次類型),ToDS,FromDS,More Flag(更多旗標),Retry(重試),Power Management(電源管理),More Data(更多資料),WEP(Wired Equivalent Privacy,有線等效加密),及Order(依序),上述各欄位遵循IEEE802.11規格的恰當值。在本較佳具體實施例中,於Type欄位設定顯示2進位數字:00(管理Management),01(控制Control),10(資料Data),11(此設定值在802.11協定中為保留之欄位,本具體實施例中做為通關問題型態Enigmatic Puzzle Type)。
圖10係配合802.11協定,應用於認證訊框,繪示存取點與用戶端之溝通之一較佳具體實施例,其中亦例示認證框架主體的內容。首先,在通關問題請求連線(步驟904)中,宣告使用通關問題運算法;在詢問通關問題(步驟908)中,詢問第N行的字;在回答通關問題(步驟912)中,回答第N行的字;在告知通關結果(步驟916)中,回應此認證為成功或失敗。圖11係本發明一較佳具體實施例之示意圖,繪示存取點104如何識別每個無線用戶端108的MAC地址,其中配合802.11協定,Address 1填入目的MAC地址,Address 2填入來源MAC地址。因此,存取點104可以透過上述MAC地址之機制而識別每個無線用戶端108。
根據本發明各較佳具體實施例,對於用戶端及存取點間的通關認證溝通,其資料項組合662內的資料項在使用後立刻被刪除,不會有重複的情形發生,有效防止傳統技術中假造或間諜網路設備竊取使用者的機密資料的問題。再者,每個用戶端分別具有認證資料庫,雖用戶端認證資料庫的尺寸相當小,仍可提高安全水平。同時,本發明嵌入於現存的802.11協定,實施上也非常容易。藉由本發明,機密性資料只能由被授權用戶端/存取點存取,實現安全之WLAN環境。
另外需說明的是,本發明並不特別限制圖3至圖6各步驟之間的先後次序,圖3至圖6所示僅為各種範例。同時,本發明各圖示雖以假造無線存取點或間諜無線存取點作為範例加以說明,但熟此技藝者應可瞭解,假造用戶端或間諜用戶端亦可應用相同的作法進行網路安全的控制,其他細節可參考本發明各圖示之說明,在此不予贅述。再者,本發明各較佳具體實施例之用戶端、存取點、伺服器係符合但不限於IEEE 802.11之標準,事實上,各種通訊協定均可使用本發明,具有優良的功效。
在不脫離本發明精神或必要特性的情況下,可以其他特定形式來體現本發明。應將所述具體實施例各方面僅視為解說性而非限制性。因此,本發明的範疇如隨附申請專利範圍所示而非如前述說明所示。所有落在申請專利範圍之等效意義及範圍內的變更應視為落在申請專利範圍的範疇內。
100...網路系統
104...無線存取點
104A...無線用戶端
104B...無線用戶端
104C...無線用戶端
106...假造或間諜無線存取點
108...無線用戶端
120...伺服器
124...有線用戶端
160...探測請求
164...探測回應
167...認證請求
168...網路
170...耦合
172...認證回應
176...連結請求
180...連結回應
212...探測請求
216...探測回應
220...通關過程請求
224...通關過程回應
228...認證請求
232...認證回應
236...連結請求
240...連結回應
408...步驟
412...步驟
416...步驟
420...步驟
424...步驟
428...步驟
432...步驟
436...步驟
440...步驟
444...步驟
448...步驟
452...步驟
456...步驟
460...步驟
604...請求連線
608...詢問通關問題
612...回傳通關問題
616...詢問通關問題
620...回答通關答案
624...請求伺服器判定答案
628...回傳答案匹配並從認證資料庫刪除通關答案
632...告知通過
662...資料項組合
660...認證資料庫
666...資料項組合
670...資料項組合
674...資料項組合
704...狀態1
708...送出請求連線
712...狀態2
716...送出詢問
717...時間大於N未送出詢問時,前進到狀態1
720...狀態3
724...在時間大於N未送出結果時,前進到狀態1
732...送出結果
733...狀態4
736...如果存取點未告知通過,前進到狀態1
740...連結成功
為了立即瞭解本發明的優點,請參考如附圖所示的特定具體實施例,詳細說明上文簡短敘述的本發明。在瞭解這些圖示僅描繪本發明的典型具體實施例並因此不將其視為限制本發明範疇的情況下,參考附圖以額外的明確性及細節來說明本發明,圖式中:
圖1係表示習知技術之無線區域網路認證示意圖。
圖2係一種依據本發明一具體實施例之系統示意圖。
圖3為一種依據本發明一具體實施例之無線區域網路認證示意圖。
圖4係根據本發明之一較佳具體實施例,其中顯示無線用戶端,無線存取點,及接收伺服器之一認證資料庫間之通關問題/回答成功之示意圖。
圖5係根據本發明之一較佳具體實施例,繪示一種於用戶端接收認證資料庫之資料項組合的流程圖。
圖6係根據本發明之一較佳具體實施例,繪示一種於一無線區域網路中的網路連線之流程圖。
圖7係根據本發明一較佳具體實施例,配合圖5及圖6所示之流程圖,繪示各無線用戶端108分別具有獨立資料項組合,以進行通關過程之示意圖。
圖8係本發明一較佳具體實施例,繪示本發明之問題/回答機制的一狀態機。
圖9係本發明一較佳具體實施例,繪示配合802.11協定,所應用之認證訊框的構成例及認證訊框中的訊框控制欄位之構成例。
圖10係本發明一較佳具體實施例,繪示配合802.11協定,應用於認證框架之存取點與用戶端之溝通示意圖。
圖11係本發明一較佳具體實施例之示意圖,繪示存取點如何識別每個無線用戶端的MAC地址。

Claims (15)

  1. 一種於一無線區域網路中的網路連線方法,該無線區域網路包括一用戶端,一存取點,及一耦合至該存取點之一認證資料庫;該認證資料庫包括複數個資料項組合(collections of data entries),該複數個資料項組合的每一者包括複數個資料項(data entries),該網路連線方法包括:於該用戶端接收該認證資料庫之該複數個資料項組合中一資料項組合;於該用戶端送出包含一識別標籤(identification tag)的一第一訊息至該存取點;於該存取點接收包含一問題標籤(puzzle tag)的一第二訊息,其中該認證資料庫提供該第二訊息,該問題標籤有關於一問題,該問題有關於該複數個資料項組合中一資料項組合的第一資料項,且一第一回答對應於該問題係儲存於該認證資料庫且包含該第一資料項;於該存取點送出包含該問題標籤的一第三訊息至該用戶端,該問題標籤有關於該問題;於該用戶端送出包含一回答標籤(answer tag)的一第四訊息至該存取點至該認證資料庫,該回答標籤有關於一第二回答;及於該認證資料庫比對該第一回答與該第二回答是否匹配以獲得一比對結果。
  2. 如申請專利範圍第1項所述的方法,其中該問題包括該第一資料項在該資料項組合中之對應索引(index)或對應位置(position)。
  3. 如申請專利範圍第1項所述的方法,更包括:於該存取點接收該第二訊息前,於該存取點送出包含一問題請求標籤(puzzle request tag)的一訊息至該認證資料庫,以請求該第二訊息。
  4. 如申請專利範圍第1項所述的方法,更包括:於該用戶端送出該第一訊息後,於該存取點認證該用戶端之一MAC地址。
  5. 如申請專利範圍第1項所述的方法,於該用戶端送出該第四訊息後,更包括:於該存取點送出包含一比對標籤(compare tag)的一訊息至該認證資料庫,以比對該第一回答與該第二回答是否匹配;及該認證資料庫送出該比對結果至該存取點。
  6. 如申請專利範圍第1項所述的方法,其中回應於該比對結果為匹配,更包括:於該存取點送出該比對結果至該用戶端;及該認證資料庫刪除該第一資料項。
  7. 如申請專利範圍第1項所述的方法,其中一假造無線存取點(Fake)或一間諜(Spy)無線存取點可藉由一問題/回答協定而阻擋;其中該認證資料庫配置於一耦合於該存取點的伺服器;其中該第一訊息更包括該用戶端的MAC位址(Media Access Control address)、辨別使用該問題/回答協定的標籤;其中該第二訊息更包括該用戶端的MAC位址、該存取點的MAC位址;其中該第三訊息更包括該用戶端的MAC位址;其中該第四訊息更包括該用戶端的MAC位址。
  8. 如申請專利範圍第1項所述的方法,其中問題標籤及回答標籤嵌入於一認證訊框(authentication frame)中,該認證訊框具有一認證標頭(authentication header),該認證標頭具有一訊框主體(frame body)欄位以存放該問題標籤及該回答標籤。
  9. 如申請專利範圍第1項所述的方法,其中回應於該比對結果為匹配,則該用戶端及該存取點進行連結;且其中回應於該比對結果為不匹配,該用戶端及該存取點不進行連結。
  10. 一種電腦程式產品,包括電腦可執行程序步驟,該電腦可執行程序用以於一無線區域網路中進行網路連線,該無線區域網路包括一用戶端,一存取點,及一耦合至該存取點之一認證資料庫,該電腦可執行程序步驟包括程序步驟,可執行如申請專利範圍第1-9項中任一項所述的方法。
  11. 一用戶端,用以在一無線區域網路中存取一存取點,該無線區域網路包括該存取點,及一耦合至該存取點之一認證資料庫,包括:一程式記憶體,用於儲存程序步驟,可執行如申請專利範圍第1-9項中任一項所述的方法;及一處理器,用於執行儲存於該程式記憶體中之程序步驟。
  12. 一存取點,用以在一無線區域網路供一用戶端進行存取,該無線區域網路包括該用戶端,及一耦合至該存取點之一認證資料庫,包括:一程式記憶體,用於儲存程序步驟,可執行如申請專利範圍第1-9項中任一項所述的方法;及一處理器,用於執行儲存於該程式記憶體中之程序步驟。
  13. 一種無線區域網路,包括:一用戶端,一存取點,及一耦合至該存取點之一認證資料庫,該認證資料庫包括複數個資料項組合,該複數個資料項組合的每一者包括複數個資料項,其中:於該用戶端接收該認證資料庫之該複數個資料項組合中一資料項組合;於該用戶端送出包含一識別標籤的一第一訊息至該存取點;於該存取點接收包含一問題標籤的一第二訊息,其中該認證資料庫提供該第二訊息;該問題標籤有關於一問題;該問題有關於該複數個資料項組合中一資料項組合的第一資料項;且一第一回答對應於該問題係儲存於該認證資料庫且包含該第一資料項;於該存取點送出包含該問題標籤的一第三訊息至該用戶端,該問題標籤有關於該問題;於該用戶端送出包含一回答標籤的一第四訊息至該存取點至該認證資料庫,該回答標籤有關於一第二回答;及於該認證資料庫比對該第一回答與該第二回答是否匹配以獲得一比對結果。
  14. 如申請專利範圍第13項所述的無線區域網路,其中該問題包括該第一資料項在該資料項組合中之對應索引(index)或對應位置(position)。
  15. 如申請專利範圍第13項所述的無線區域網路,其中回應於該比對結果為匹配,於該存取點送出該比對結果至該用戶端且該認證資料庫刪除該第一資料項。
TW100123030A 2011-06-30 2011-06-30 無線區域網路中的網路連線方法、程式產品、及系統 TW201301928A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW100123030A TW201301928A (zh) 2011-06-30 2011-06-30 無線區域網路中的網路連線方法、程式產品、及系統
US13/528,035 US20130007843A1 (en) 2011-06-30 2012-06-20 Method, Program Product, and System of Network Connection in a Wireless Local Area Network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW100123030A TW201301928A (zh) 2011-06-30 2011-06-30 無線區域網路中的網路連線方法、程式產品、及系統

Publications (1)

Publication Number Publication Date
TW201301928A true TW201301928A (zh) 2013-01-01

Family

ID=47392111

Family Applications (1)

Application Number Title Priority Date Filing Date
TW100123030A TW201301928A (zh) 2011-06-30 2011-06-30 無線區域網路中的網路連線方法、程式產品、及系統

Country Status (2)

Country Link
US (1) US20130007843A1 (zh)
TW (1) TW201301928A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI492647B (zh) * 2013-08-20 2015-07-11 D Link Corp Quickly access hotspot selection method

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10123165B1 (en) * 2017-09-19 2018-11-06 International Business Machines Corporation Eliminating false positives of neighboring zones
CN107969003B (zh) * 2017-10-31 2020-03-31 上海连尚网络科技有限公司 一种无线接入认证方法
JP2022148408A (ja) * 2021-03-24 2022-10-06 キヤノン株式会社 通信装置、通信方法、およびプログラム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BRPI0703261A8 (pt) * 2007-08-03 2016-09-13 Scopus Solucoes Em Ti S A Método para apresentar códigos de senhas em dispositivos móveis para autenticação de um usuário perante uma instituição protegida

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI492647B (zh) * 2013-08-20 2015-07-11 D Link Corp Quickly access hotspot selection method

Also Published As

Publication number Publication date
US20130007843A1 (en) 2013-01-03

Similar Documents

Publication Publication Date Title
US11451614B2 (en) Cloud authenticated offline file sharing
US7269653B2 (en) Wireless network communications methods, communications device operational methods, wireless networks, configuration devices, communications systems, and articles of manufacture
TWI388180B (zh) 通信系統中之金鑰產生
US8477943B2 (en) Automatic detection of wireless network type
JP6203985B1 (ja) 認証証明のセキュアプロビジョニング
US8150372B2 (en) Method and system for distributing data within a group of mobile units
US9204301B2 (en) Deploying wireless docking as a service
US20230071813A1 (en) Wireless local area network authentication method and apparatus, electronic device, and storage medium
US9769172B2 (en) Method of accessing a network securely from a personal device, a personal device, a network server and an access point
CN1836404A (zh) 利用预先建立的会话密钥来辅助802.11漫游
US20180270662A1 (en) Method and apparatus for passpoint eap session tracking
JP2006067174A (ja) 制御プログラム、通信中継装置制御方法、通信中継装置及びシステム
KR20080014788A (ko) 신뢰할 수 있는 매체를 통한 무선 usb(wusb) 접속수립
US20230344626A1 (en) Network connection management method and apparatus, readable medium, program product, and electronic device
WO2019029531A1 (zh) 触发网络鉴权的方法及相关设备
KR20130030451A (ko) 네트워크의 접속 보안 강화 장치 및 방법
JP2006109449A (ja) 認証された無線局に暗号化キーを無線で提供するアクセスポイント
US10152587B2 (en) Device pairing method
TW201301928A (zh) 無線區域網路中的網路連線方法、程式產品、及系統
WO2013152740A1 (zh) 用户设备的认证方法、装置及系统
US20190200226A1 (en) Method of authenticating access to a wireless communication network and corresponding apparatus
KR100527631B1 (ko) Ad-hoc 네트워크의 단말기에서 사용자 인증 시스템및 그 방법
US20140359731A1 (en) Establishing communications sessions over multiple network protocols using a stored key
Alliance The State of Wi-Fi® Security
WO2019024612A1 (zh) 一种接入鉴权的方法及装置