WO2012051858A1

WO2012051858A1 - 一种接入点及无线工作站安全连接接入点的方法

Info

Publication number: WO2012051858A1
Application number: PCT/CN2011/075170
Authority: WO
Inventors: 侯书朋; 马涛; 李迎新; 刘昕颖
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-10-19
Filing date: 2011-06-02
Publication date: 2012-04-26
Also published as: CN102457850B; CN102457850A

Abstract

本发明提供一种接入点及无线STA安全连接接入点的方法，该方法包括：在WPS连接过程中，AP在开启WPS连接后开始计时，并且在计时时间内不进行WPS连接，在所述计时时间到达后，如果所述AP检测到所述计时时间内有两个或者有两个以上的STA开启了WPS连接，则终止本次WPS连接过程。与现有技术相比，本发明可以防止非法用户通过公开的wps协议接入启动wps连接过程的接入点，保证了无线网络的安全连接。

Description

一种接入点及无线工作站安全连接接入点的方法

技术领域

本发明涉及无线局域网领域，具体涉及一种接入点及无线工作站安全连接接入点的方法。

背景技术

当前无线局域网技术广泛应用于家庭网络，用户通过无线工作站将计算机连接到家庭网络中的接入点，取代传统的有线连接的方式，省却了布线的烦恼，使用十分方便。由于无线网络的开放性，任何接入点在无线网路没有加密的情况下，均能连接到网线网络，给用户带来了极大的安全隐患。而给无线网络设置加密方式，却又给不具备无线专业知识的普通用户带来了一定门槛。在传统方式下，用户在新建一个安全的无线网络时，需要在接入点手动设置网络名（SSID )和安全密钥，然后在安装有无线工作站的计算机上输入安全密钥才能接入该无线网络，整个过程用户需要具备无线网络设备操作的基本背景知识和修改必要配置的能力。显然对于毫无专业知识的用户来说，实现起来是比较困难的。

为了解决这个问题， Wi-Fi联盟提出了 WPS ( Wi-Fi Protected Setup, Wi-Fi 保护设置）认证项目。通过 WPS方式用户可以在不具备专业知识的情况下，只需按下 PBC ( Push Button Configuration, 按钮设置）按钮，即能安全地连入无线网络。这大大简化了无线安全设置的操作。但是这种方法具有严重的安全隐患。根据《 Wi-Fi Protected Setup Specification》，图 1简单描述了 wps 协议的连接方式。如图 1所示， wps的基本工作流程如下：

步骤 1、无线 STA (工作站）和 AP (接入点 )启动 PBC之前， STA发送不带有 PBC信息的 probe request (探测请求帧），即此时 probe request中的 WSC IE ( WSC全称为 Wi-Fi Simple Config ( Wi-Fi简单设置），等同于 WPS, IE全称为 Information Element (信息元素））中不包含 PBC, 用于寻找周围可以提供接入功能的 AP; 步骤 2、 AP收到该信息后，使用不带有 PBC信息的 probe response (探测响应帧）回应；

步骤 3、 AP按下 PBC按键，提供 PBC的 wps连接接入；

步骤 4、由于此时 STA没有按下 PBC,依旧发送不带有 PBC信息的 probe request;

步骤 5、此时 AP回复信息同步骤 2;

步骤 6、 STA按下 PBC按键，发送的 probe request中含有了 PBC信息，即此时发送的 probe request中的 WSC IE中包含 PBC信息，表示此次以 PBC 方式接入，向 AP通告 STA已经开启 PBC操作；

步骤 7、此时 AP的回复帧中也带有 PBC信息，向 STA通告 AP亦提供

PBC操作；

步骤 8、 AP和 STA通过注册协议，完成连接。

在这种连接方式下，在步骤 6中，如果非法用户检测到 AP提供了 PBC 服务，在合法用户按下按键之前，抢先发送带有 PBC信息的 probe request, 那么 AP不会做任何的校验操作，直接根据 wps注册协议，将非法用户接入网络中，而将合法用户排除在网络之外，带来严重的安全隐患。

综上所述，由于 WPS协议是公开协议，兼容 wps规范的接入点会遵循 wps协议的处理流程，只要符合 wps接入规范，任何工作站均能成功的接入到接入点中。接入点无法区分通过 wps接入的工作站是合法用户还是非法用户，给网络完全带来极大的隐患。

发明内容

本发明的目的是提供一种接入点及无线工作站安全连接接入点的方法，使得用户能够在利用 wps快捷方便地接入网络的同时，又能保证无线网络的安全。

为解决上述技术问题，本发明提供了一种无线工作站（STA )安全连接接入点（AP ) 的方法，包括：

在 WPS ( Wi-Fi保护设置 )连接过程中， AP在开启 WPS连接后开始计时，并且在计时时间内不进行 WPS连接，在所述计时时间到达后，如果所述则终止本次 WPS连接过程。

该方法还包括：在所述计时时间到达后，如果所述 AP检测到所述计时时间内只有一个 STA开启了 WPS连接，则与该 STA完成 WPS连接。

该方法还包括：所述 AP在终止本次 WPS连接过程的同时进行报警。所述计时时间大于等于 30秒小于等于 60秒。

该方法还包括：所述 AP根据接收到的 STA发出的探测请求帧中携带的源 MAC地址，检测所述计时时间内开启了 WPS连接的 STA的个数。

为解决上述技术问题，本发明还提供了一种接入点（AP ) , 包括计时模块、连接模块和判断模块，其中：

所述计时模块设置成：在 WPS ( Wi-Fi保护设置）连接过程中，当 AP 开启 WPS连接后，开始计时；

所述连接模块设置成：在计时时间内不进行 WPS连接；

所述判断模块设置成：在所述计时时间到达后，如果检测到所述计时时间内有两个或者有两个以上的 STA开启了 WPS连接，则终止本次 WPS连接过程。

所述判断模块还设置成：在所述计时时间到达后，如果检测到所述计时时间内只有一个 STA开启了 WPS连接，则触发连接模块；所述连接模块还设置成：在受到判断模块的触发后与 STA完成 WPS连接。

所述 AP还包括报警模块，该报警模块设置成在所述判断模块终止本次 WPS连接过程时进行报警。

所述计时时间大于等于 30秒且小于等于 60秒。

所述判断模块还设置成根据接收到的 STA发出的探测请求帧中携带的源

MAC地址，检测所述计时时间内开启了 WPS连接的 STA的个数。本发明可以防止非法用户通过公开的 wps协议接入启动 wps连接过程的接入点，对于不具备无线安全设置知识的普通用户，其在使用简便的 wps按键接入网络时，防止非法用户利用 wps公开协议同时接入，保证了无线网络的安全连接。附图概述

图 1为现有技术中的 wps连接示意图；

图 2为本发明实施例的 wps连接示意图；

图 3为本发明实施例流程图。本发明的较佳实施方式

本发明提供以下技术方案：

在 WPS连接过程中， AP在开启 WPS连接后开始计时，并且在计时时间内不进行 WPS连接，在计时时间到达后，如果 AP检测到所述计时时间内有两个或者有两个以上的 STA (工作站）开启了 WPS连接，则终止本次 WPS 连接过程。

在所述计时时间到达后，如果 AP检测到所述计时时间内只有一个 STA 开启了 WPS连接，则允许该 STA进行 WPS连接，即与所述 STA完成 WPS 连接。

优选地，所述 AP终止本次 WPS连接过程的同时还进行报警。

该计时时间为在 AP上预设的延时时间，优选为大于等于 30秒且小于等于 60秒。

在该段时间区间内， AP在收到带有 PBC信息（所述 PBC信息用于表示此次 WPS连接以 PBC方式发起）的 probe resquest报文后依旧回复不带有 PBC 信息的 probe response才艮文。在这种回复方式下, STA和 AP不会启动 WPS 协议进行连接，而 AP则可以通过 probe resquest报文中携带的源 MAC (介质

STA向 AP发送了探测请求报文，从而判别出是否存在未经允许的非法用户提出了 wps连接请求。

在家庭网关中包含一个无线接入点，该接入点在支持标准 wps规范的同时，还可实现上述方法。

用户 1在使用该接入点的时候，安装 wps规范，按下接入点上的 wps按钮，此时接入点启动了 wps连接过程，等待用户接入。此时，用户 2可以按下工作站上的 PBC按键，在等待一段延时时间后，接入点只检测到一个用户进行了 wps连接，从而判定该启动了 wps连接的工作站为合法用户，允许该用户进行关联。如果有非法用户同时侦测到有接入点开启了 wps连接，同时按下了 PBC按键或者通过其他方式，按照 wps标准处理流程，开启与该接入点的 wps连接，发出了带有 wps信息元素的 probe request报文，而此时，合法用户亦釆取 wps协议流程与接入点进行连接，也发出了带有 wps信息元素的 probe request连接报文，此时接入点能够侦测到有两个工作站开启了 wps 连接，而实际的合法用户只有一个，因此判定此时有非法用户正在尝试连接，从而终止 wps程序，同时使用 LED显示对用户进行告警。

如 2所示，具体包括如下步骤：

步骤 201、在启动 PBC之前， STA发送不带有 PBC信息的 probe request, 用于寻找周围可以提供接入功能的 AP;

步骤 202、 AP收到该信息后，使用不带有 PBC信息的 probe response回应；

步骤 203、 AP按下 PBC按键，提供 wps连接接入，同时根据设定的延时时间开始计时；

步骤 204、如果此时 STA没有按下 PBC, 则依旧发送不带有 PBC信息的 probe request;

步骤 205、此时 AP依旧回复不带有 PBC信息的 probe response;

步骤 206、 STA按下 PBC按键，发送的 probe request中包含 PBC信息，向 AP通告 STA已经开启 WPS连接；

步骤 207、 AP判断延时时间未到达，则向 STA回复不带有 PBC信息的 probe response;

步骤 208、 AP收到其他 STA发送的 probe request, 其中包含 PBC信息；步骤 209、 AP判断延时时间到达，记录在延时时间内收到的包含 PBC信息的 probe request , 并从中分析得到发起 robe request报文的 STA的数量，如果大于等于 2, 则认为有非法用户尝试连接，结束本次 wps连接过程，并进行报警（例如通过 LED显示），判断等于 1 , 则认为没有发现有非法用户连接，则向该 1个 STA回复带有 PBC信息的 probe response, 执行步骤 210; 具体地， AP根据所有接收到的 probe request报文中的 MAC地址判断尝试连接的 STA的个数。例如有多个 probe request报文时，如果这些报文中的源 MAC地址都是一样的，也说明只有一个 STA启动了 WPS连接。

步骤 210, AP和该 STA通过注册协议，按正常流程完成 STA与 AP的 WPS连接。

对于 AP来说，其上的流程如图 3所示，包括：

步骤 301 , 用户按下 PBC, AP启动 wps连接；

步骤 302, 根据预先设置的计时时间开始计时；

步骤 303 , 如果收到 STA发送的包含 PBC信息的 probe request, 则回复不带有 PBC信息的 robe response , 并记录收到的 robe request;

步骤 304,计时时间到达后根据记录的 probe request判断是否有两个或两个以上 STA进行 wps连接，如果是，执行步骤 305 , 如果只有一个 STA进行 wps连接，则执行步骤 306;

步骤 305 , 关闭 wps程序，并告警，结束；

步骤 306, wps接入合法用户，结束。

实现上述方法的接入点包括计时模块、连接模块和判断模块，其中：所述计时模块设置成：在 WPS连接过程中，当 AP开启 WPS连接后，开始计时；所述连接模块在计时时间内不进行 WPS连接；

优选地，所述判断模块还设置成：在所述计时时间到达后，如果检测到所述计时时间内只有一个 STA开启了 WPS连接，则触发连接模块；

所述连接模块在受到判断模块的触发后与 STA完成 WPS连接。

优选地，所述 AP还包括报警模块，其设置成在所述判断模块终止本次 WPS连接过程时进行报警。

优选地，所述判断模块根据接收到的 STA发出的探测请求帧中携带的源

MAC地址，检测所述计时时间内开启了 WPS连接的 STA的个数。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块可以釆用硬件的形式实现，也可以釆用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

工业实用性与现有技术相比，本发明可以防止非法用户通过公开的 wps协议接入启动 wps连接过程的接入点，保证了无线网络的安全连接。

Claims

权利要求书

1、一种无线工作站（STA )安全连接接入点（AP ) 的方法，包括：在 Wi-Fi保护设置（ WPS )连接过程中， AP在开启 WPS连接后开始计时，并且在计时时间内不进行 WPS连接，在所述计时时间到达后，如果所述则终止本次 WPS连接过程。

2、如权利要求 1所述的方法，还包括：

在所述计时时间到达后，如果所述 AP检测到所述计时时间内只有一个 STA开启了 WPS连接，则与该 STA完成 WPS连接。

3、如权利要求 1所述的方法，还包括：

所述 AP在终止本次 WPS连接过程的同时进行报警。

4、如权利要求 1或 2所述的方法，其中，

所述计时时间大于等于 30秒且小于等于 60秒。

5、如权利要求 1或 2所述的方法，还包括：

所述 AP根据接收到的 STA发出的探测请求帧中携带的源 MAC地址，检测在所述计时时间内开启了 WPS连接的 STA的个数。

6、一种接入点（AP ) , 包括计时模块、连接模块和判断模块，其中：所述计时模块设置成：在 Wi-Fi保护设置（WPS )连接过程中，当所述 AP开启 WPS连接后，开始计时；

所述连接模块设置成：在计时时间内不进行 WPS连接；

所述判断模块设置成：在所述计时时间到达后，如果检测到所述计时时间内有两个或者有两个以上的无线工作站（STA )开启了 WPS连接，则终止本次 WPS连接过程。

7、如权利要求 6所述的接入点，其中，

所述判断模块还设置成：在所述计时时间到达后，如果检测到所述计时时间内只有一个 STA开启了 WPS连接，则触发连接模块；所述连接模块还设置成：受到所述判断模块的触发后与 STA完成 WPS 连接。

8、如权利要求 6所述的接入点，还包括报警模块，所述报警模块设置成在所述判断模块终止本次 WPS连接过程时进行报警。

9、如权利要求 6或 7所述的接入点，其中，

所述计时时间大于等于 30秒且小于等于 60秒。

10、如权利要求 6或 7所述的接入点，其中，

所述判断模块还设置成：根据接收到的 STA发出的探测请求帧中携带的源 MAC地址，检测所述计时时间内开启了 WPS连接的 STA的个数。