本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，特別是涉及一種基于WPA2-PSK的虛擬局域網(wǎng)之間的無線數(shù)據(jù)傳輸方法。

背景技術(shù)：

近年來，WPA2的196漏洞出現(xiàn)源于允許所有客戶端使用一個普通GTK共享密鑰接收來自接入點(diǎn)的廣播信號，授權(quán)過的用戶可使用共享密鑰傳回利用組共享密鑰加密的數(shù)據(jù)包，即漏洞196會導(dǎo)致一個類似于中間人的攻擊方式(AirTight的試驗(yàn))：憑借內(nèi)部授權(quán)用戶和開源軟件，可以在半空中解密其他用戶私密數(shù)據(jù)、注入惡意流量至網(wǎng)絡(luò)、危害其它授權(quán)設(shè)備，進(jìn)而可以控制流量、發(fā)起拒絕服務(wù)攻擊或者嗅探。

為了解決這個漏洞來保護(hù)基于WPA2-PSK的無線網(wǎng)絡(luò)，802.11的安全專家Gast提出，這種攻擊的范圍有限。攻擊者要求共享加密密鑰，在虛擬接入點(diǎn)之間(也稱為BSSID)密鑰是不共享的，所以這種攻擊僅發(fā)生在同一個AP接入點(diǎn)上相同SSID相連接的接入終端上。這樣一來，就可使用接入點(diǎn)的客戶端隔離或者將不同的接入終端進(jìn)行分組，將其劃分到不同的虛擬VLAN，這樣便不能利用GTK共享密鑰進(jìn)行直接數(shù)據(jù)傳輸。目前VLAN在組網(wǎng)中已經(jīng)用到下列五種劃分方式：按端口劃分、按MAC地址劃分、基于網(wǎng)絡(luò)層劃分、基于IP廣播組劃分和基于規(guī)則的劃分。大家都認(rèn)為這五種劃分方式都能防止無線數(shù)據(jù)的直接傳輸，并保證數(shù)據(jù)傳輸?shù)陌踩浴?014年，中國專利CN103905285A公布了一種實(shí)現(xiàn)同一MAC地址用戶劃分到多個不同VLAN的方法，提出根據(jù)MAC地址可將同一MAC地址用戶劃分到不同VLAN，實(shí)現(xiàn)同一個MAC地址的用戶其不同的業(yè)務(wù)流在不同的VLAN中傳輸和交換。2007年，中國專利CN101110821公開了一套利用校驗(yàn)MAC地址來防止數(shù)據(jù)傳輸?shù)姆椒ā?015年，中國專利CN105472622A將一個或多個消息經(jīng)過WiFi接入點(diǎn)廣播至一個或多個WiFi節(jié)點(diǎn)，一個或多個消息被配置為防止WiFi節(jié)點(diǎn)在信道上傳輸。因此，解決不同的虛擬局域網(wǎng)之間的數(shù)據(jù)直接傳輸問題具有現(xiàn)實(shí)意義。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是提供一種基于WPA2-PSK的虛擬局域網(wǎng)之間的無線數(shù)據(jù)傳輸方法，該方法基于WPA2-PSK技術(shù)，實(shí)現(xiàn)不同的虛擬局域網(wǎng)之間的數(shù)據(jù)直接傳輸，且不經(jīng)過原AP接入點(diǎn)也不受接入點(diǎn)的客戶端隔離和MAC地址校驗(yàn)的影響。

為達(dá)到發(fā)明目的采用的具體技術(shù)方案如下：

一種基于WPA2-PSK的虛擬局域網(wǎng)之間的無線數(shù)據(jù)傳輸方法：

（1）數(shù)據(jù)發(fā)送者終端從AP接入點(diǎn)獲得PSK預(yù)共享密鑰，并向AP接入點(diǎn)發(fā)送合法認(rèn)證請求。

（2）AP接入點(diǎn)授權(quán)允許數(shù)據(jù)發(fā)送者終端接入，并將所有接入終端劃分到不同的虛擬局域網(wǎng)VLAN，接入終端自動保留其所屬VLAN網(wǎng)段的成員身份。

（3）數(shù)據(jù)發(fā)送者終端不斷向AP接入點(diǎn)發(fā)送急需處理的干擾信息，使AP接入點(diǎn)無法正常工作，同時啟動模擬AP。

（4）接入終端將模擬AP作為新的默認(rèn)路由器，重新發(fā)起連接并與模擬AP進(jìn)行穩(wěn)定的通信，實(shí)現(xiàn)虛擬局域網(wǎng)VLAN之間的接入終端的直接通信。

具體地，所述合法認(rèn)證請求中包括AP接入點(diǎn)的合法BSSID號以及獲得相應(yīng)的認(rèn)證PSK密鑰。

具體地，接入終端劃分到不同的虛擬局域網(wǎng)VLAN是根據(jù)接入終端的MAC地址和功能屬性完成的。

具體地，模擬AP是通過Soft AP將無線網(wǎng)卡模擬成為無線路由器；具體步驟為：首先進(jìn)入Soft AP設(shè)置頁面；然后在設(shè)置選項(xiàng)“Basic”標(biāo)簽頁中找到Network Name的SSID項(xiàng)，在下方的選擇框中輸入一個想要的SSID名稱，輸入與原AP接入點(diǎn)一樣的SSID名稱；設(shè)置完名稱后，設(shè)置與原AP相同的認(rèn)證接入密鑰；接著在 “Channel”選擇頻道，選擇與原AP接入點(diǎn)一樣的頻道；網(wǎng)卡模仿的路由的具體參數(shù)設(shè)置不進(jìn)行修改；接著在“Access Control List”中設(shè)置虛擬路由器的MAC地址，設(shè)置與原AP接入點(diǎn)一樣的MAC地址。

本發(fā)明中數(shù)據(jù)發(fā)送者利用數(shù)據(jù)包途經(jīng)路由器這一特性，通過發(fā)送大量的連接請求和數(shù)據(jù)包阻止默認(rèn)路由器正常工作，同時重新建立模擬AP但不改變原AP的MAC地址的方法，轉(zhuǎn)換路由路徑，從而實(shí)現(xiàn)不同VLAN間的數(shù)據(jù)直接傳輸，且不經(jīng)過原AP接入點(diǎn)也不受接入點(diǎn)的客戶端隔離和MAC地址校驗(yàn)的影響。

附圖說明

圖1為本發(fā)明的方法流程示意圖；

圖2為數(shù)據(jù)發(fā)送者向AP接入點(diǎn)發(fā)送合法認(rèn)證請求的具體流程示意圖；

圖3為模擬AP的配置流程示意圖；

圖4為干擾AP正常工作的流程示意圖；

圖5為虛擬客戶端發(fā)送連接請求的流程示意圖；

圖6為發(fā)送合法數(shù)據(jù)包干擾的流程示意圖。

具體實(shí)施方式

結(jié)合附圖對本發(fā)明進(jìn)一步闡述。

如圖1所示，一種基于WPA2-PSK的虛擬局域網(wǎng)之間的無線數(shù)據(jù)傳輸方法的具體步驟：

步驟11：數(shù)據(jù)發(fā)送者終端從AP接入點(diǎn)獲得認(rèn)證PSK密鑰，并向AP接入點(diǎn)發(fā)送合法認(rèn)證請求。

合法認(rèn)證請求包括AP接入點(diǎn)的合法BSSID號以及獲得相應(yīng)的認(rèn)證PSK密鑰。數(shù)據(jù)發(fā)送者終端成功連接上AP接入點(diǎn)，成為AP接入點(diǎn)的合法客戶端。合法認(rèn)證請求的具體流程如圖2所示，首先無線終端給AP接入點(diǎn)配置WPA2-PSK密鑰。然后數(shù)據(jù)發(fā)送者終端獲得AP的WPA2-PSK接入密碼，再向AP接入點(diǎn)發(fā)起連接，根據(jù)提示輸入密碼，發(fā)起認(rèn)證請求。之后AP接入點(diǎn)檢查數(shù)據(jù)發(fā)送者終端的WPA2-PSK密鑰，如果正確，就允許連接。若允許連接，數(shù)據(jù)發(fā)送者無線終端會回復(fù)認(rèn)證應(yīng)答確認(rèn)，WPA2-PSK密鑰會被傳送和裝載，數(shù)據(jù)發(fā)送者無線終端和無線AP接入點(diǎn)之間開始執(zhí)行數(shù)據(jù)加密傳輸。

步驟12：AP接入點(diǎn)將用戶組劃分到不同的虛擬VLAN。

接入點(diǎn)AP將用戶組（數(shù)據(jù)發(fā)送者在內(nèi)）按照接入終端的功能以及MAC地址劃分到不同的VLAN。每個網(wǎng)卡都有一個獨(dú)一無二的MAC地址，MAC地址屬于數(shù)據(jù)鏈路層，以此作為劃分VLAN的依據(jù)，能很好的獨(dú)立于網(wǎng)絡(luò)層上的各種應(yīng)用，是一種基于用戶的網(wǎng)絡(luò)劃分手段。用此種方法構(gòu)成的VLAN就是一些MAC地址的集合，它解決了網(wǎng)絡(luò)處理站點(diǎn)的移動問題。按照MAC地址劃分的VLAN允許網(wǎng)絡(luò)從一個物理位置移動到另一個物理位置，并且自動保留其所屬VLAN網(wǎng)段的成員身份，這種劃分適用于少量節(jié)點(diǎn)的類似于學(xué)校、企業(yè)、家庭等使用的小型網(wǎng)絡(luò)。

但是為了能更好的管理各種不同的接入終端，與按照接入終端的功能劃分VLAN的結(jié)合也必不可少，分類包括：電腦、筆記本、手機(jī)等一般客戶端，電視、空調(diào)、冰箱等家用設(shè)備，門鎖、攝像頭等防護(hù)設(shè)備等。這不僅有利于路由器管理，也有利于接入終端的維護(hù)。

步驟13：制作并開啟與原AP接入點(diǎn)的MAC地址、名稱、密碼、加密方式、工作信道等完全一樣的模擬AP接入點(diǎn)。

如圖3所示，模擬AP是通過Soft AP將無線網(wǎng)卡模擬成為無線路由器；具體步驟為：首先進(jìn)入Soft AP設(shè)置頁面；然后在設(shè)置選項(xiàng)“Basic”標(biāo)簽頁中找到Network Name的SSID項(xiàng)，在下方的選擇框中輸入一個想要的SSID名稱，輸入與原AP接入點(diǎn)一樣的SSID名稱；設(shè)置完名稱后，設(shè)置與原AP相同的認(rèn)證接入密鑰；接著在 “Channel”選擇頻道，選擇與原AP接入點(diǎn)一樣的頻道；網(wǎng)卡模仿的路由的具體參數(shù)設(shè)置不進(jìn)行修改；接著在“Access Control List”中設(shè)置虛擬路由器的MAC地址，設(shè)置與原AP接入點(diǎn)一樣的MAC地址。

步驟14：數(shù)據(jù)發(fā)送者終端不斷向AP發(fā)送急需處理的干擾信息擾亂AP接入點(diǎn)，使其無法正常工作。

如圖4所示，經(jīng)過合法認(rèn)證連接上AP接入點(diǎn)的數(shù)據(jù)發(fā)送者通過虛擬客戶端不斷向AP發(fā)送連接請求，并且不斷向AP接入點(diǎn)發(fā)送大量的需要經(jīng)AP接入點(diǎn)轉(zhuǎn)發(fā)的合法數(shù)據(jù)包進(jìn)行干擾，擾亂AP接入點(diǎn)的正常工作秩序。干擾AP接入點(diǎn)正常工作的流程圖。

如圖5所示，虛擬客戶端不斷向AP發(fā)送連接請求，其原理就是數(shù)據(jù)發(fā)送者使用一些看起來合法其實(shí)是隨機(jī)生成的MAC地址來虛擬工作站，然后就可以向AP發(fā)送大量的連接請求，對AP接入點(diǎn)發(fā)送持續(xù)的且猛烈的連接請求，這種請求數(shù)量一旦超過了無線AP所能承受的范圍，會導(dǎo)致AP接入點(diǎn)的無線連接列表出現(xiàn)錯誤，AP也就會自動斷開合法用戶的正常連接，使合法用戶無法正常使用無線網(wǎng)絡(luò)。

如圖6所示，同時不斷向AP接入點(diǎn)發(fā)送大量的需要經(jīng)AP轉(zhuǎn)發(fā)的合法數(shù)據(jù)包進(jìn)行干擾。這種模式的前提條件是數(shù)據(jù)發(fā)送者合法接入AP接入點(diǎn)，并且以注入模式發(fā)送合法數(shù)據(jù)包。為讓 AP 接受數(shù)據(jù)包，必須使數(shù)據(jù)發(fā)送者的網(wǎng)卡和 AP 接入點(diǎn)關(guān)聯(lián)。如果沒有關(guān)聯(lián)的話，目標(biāo)AP將忽略所有發(fā)送的數(shù)據(jù)包。數(shù)據(jù)發(fā)送者終端成功連接以后才能發(fā)送注入命令，讓路由器接受到注入命令后才可反饋數(shù)據(jù)從而產(chǎn)生 ARP 包，再用注入攻擊模式來發(fā)送大量數(shù)據(jù)包。

相比大型路由器而言，一般AP接入點(diǎn)的承受能力較弱，這個時候這兩種方法結(jié)合的同時干擾可以讓AP迅速與接入終端斷開連接或者工作信號變?nèi)?，使其無法正常迅速接收來自接入終端的數(shù)據(jù)包。

步驟15：接入終端認(rèn)為模擬AP才是默認(rèn)路由器，與模擬AP相連，并與其通信。這種情況下，原AP已經(jīng)無法正常工作（斷開與接入終端的連接或者信號變?nèi)酰?，接入終端會誤認(rèn)為AP有問題，然后自動斷開連接，此時存在與原AP在名稱、密碼、加密方式、工作信道等完全一樣的模擬AP接入點(diǎn)信號很強(qiáng)，于是接入終端誤認(rèn)為模擬AP才是真正的默認(rèn)AP，于是發(fā)起連接，用與原來相同的認(rèn)證方式連接上模擬AP，并與模擬AP正常相互通信，此時利用模擬AP便可以發(fā)送一些數(shù)據(jù)給接入終端，實(shí)現(xiàn)虛擬VLAN間的直接數(shù)據(jù)傳輸。

步驟16：停止對原默認(rèn)AP接入點(diǎn)的干擾且關(guān)閉模擬AP，原默認(rèn)AP接入點(diǎn)可恢復(fù)正常工作；

當(dāng)完成了虛擬VLAN間的直接數(shù)據(jù)傳輸后，如果停止用虛擬客戶端不斷向原默認(rèn)AP發(fā)送連接請求和不斷向AP發(fā)送大量的需要經(jīng)AP轉(zhuǎn)發(fā)的合法數(shù)據(jù)包進(jìn)行干擾，同時關(guān)閉模擬AP，此時原默認(rèn)AP可以恢復(fù)正常工作，其它接入終端將重新接入到原默認(rèn)AP，恢復(fù)原來的數(shù)據(jù)傳輸工作。