無線保護設(shè)置協(xié)商方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及無線通信領(lǐng)域,特別是涉及無線保護設(shè)置協(xié)商方法及系統(tǒng)�����。
【背景技術(shù)】
[0002]目前�����,路由器的無線保護設(shè)置協(xié)商一般沒有經(jīng)過身份認證�����,直接就進入?yún)f(xié)商設(shè)置的階段�����。不經(jīng)過身份認證就開啟協(xié)商會有很多安全隱患�����,例如���,容易遭受阻塞性攻擊以及重演攻擊�,經(jīng)11010次窮舉計算就能輕而易舉地破解PIN碼�����??梢姡瑐鹘y(tǒng)的無線保護設(shè)置并不安全�����,越來越多的用戶選擇放棄使用此功能����。
【發(fā)明內(nèi)容】
[0003]鑒于以上所述現(xiàn)有技術(shù)的缺點,本發(fā)明的目的在于提供無線保護設(shè)置協(xié)商方法及系統(tǒng)�����,用于解決現(xiàn)有技術(shù)中無線保護設(shè)置易受攻擊����、不夠安全的問題。
[0004]為實現(xiàn)上述目的及其他相關(guān)目的����,本發(fā)明提供一種無線保護設(shè)置協(xié)商方法���,包括:工作站向訪問點發(fā)送第一認證階段請求。所述訪問點收到所述第一認證階段請求后向所述工作站發(fā)送訪問點公鑰及隨機數(shù)����。所述工作站通過所述訪問點公鑰對第一消息摘要加密后發(fā)送至所述訪問點,所述第一消息摘要是由所述工作站的PIN碼����、MAC信息及所述隨機數(shù)通過第一加密算法生成的。所述訪問點將通過訪問點私鑰解密所述第一消息摘要后得到的內(nèi)容與預設(shè)消息摘要作比對�。若比對結(jié)果一致,通過所述第一認證階段�,待通過第二認證階段后完成所述工作站與訪問點間無線保護設(shè)置協(xié)商。若比對結(jié)果不一致��,則將本次驗證記錄至黑名單����。
[0005]于本發(fā)明一實施例中��,所述第二認證階段包括:所述工作站及訪問點分別根據(jù)密鑰值生成第二消息摘要�����,所述密鑰值是根據(jù)所述工作站和訪問點各自的公鑰及私鑰經(jīng)Diffie-Hellman加密算法得出的。所述工作站及訪問點分別利用第二加密算法和第三加密算法對所述第二消息摘要加密生成第二密文和第三密文����。其中,所述第二密文用于鑒權(quán)所述工作站及訪問點間報文的完整性和兩者PIN碼的一致性����,所述第三密文用于鑒權(quán)所述工作站及訪問點間報文的無線配置參數(shù)的一致性。
[0006]于本發(fā)明一實施例中���,所述無線配置參數(shù)包括:SSID��、無線認證方式�、密碼信息��。
[0007]于本發(fā)明一實施例中��,所述第一加密算法��、第二加密算法�、第三加密算法包括哈希算法。
[0008]于本發(fā)明一實施例中����,所述工作站與訪問點間完成所述無線保護設(shè)置協(xié)商后重新建立二者的鏈路層連接����。
[0009]為實現(xiàn)上述目的及其他相關(guān)目的��,本發(fā)明提供一種無線保護設(shè)置協(xié)商系統(tǒng)���,包括:通信模塊���,用于工作站向訪問點發(fā)送第一認證階段請求;所述訪問點收到所述第一認證階段請求后向所述工作站發(fā)送訪問點公鑰及隨機數(shù)。處理模塊��,用于所述工作站通過所述訪問點公鑰對第一消息摘要加密后發(fā)送至所述訪問點�,所述第一消息摘要是由所述工作站的PIN碼、MAC信息及所述隨機數(shù)通過第一加密算法生成的��;所述訪問點將通過訪問點私鑰解密所述第一消息摘要后得到的內(nèi)容與預設(shè)消息摘要作比對;若比對結(jié)果一致�����,通過所述第一認證階段���,待通過第二認證階段后完成所述工作站與訪問點間無線保護設(shè)置協(xié)商;若比對結(jié)果不一致����,則將本次驗證記錄至黑名單�。
[0010]于本發(fā)明一實施例中,所述處理模塊還用于所述第二認證階段��,包括:所述工作站及訪問點分別根據(jù)密鑰值生成第二消息摘要��,所述密鑰值是根據(jù)所述工作站和訪問點各自的公鑰及私鑰經(jīng)Diffie-Hellman加密算法得出的����。所述工作站及訪問點分別利用第二加密算法和第三加密算法對所述第二消息摘要加密生成第二密文和第三密文。其中�,所述第二密文用于鑒權(quán)所述工作站及訪問點間報文的完整性和兩者PIN碼的一致性,所述第三密文用于鑒權(quán)所述工作站及訪問點間報文的無線配置參數(shù)的一致性��。
[0011]于本發(fā)明一實施例中���,所述無線配置參數(shù)包括:SSID�����、無線認證方式�����、密碼信息���。
[0012]于本發(fā)明一實施例中�,所述第一加密算法�、第二加密算法和第三加密算法包括哈希算法。
[0013]于本發(fā)明一實施例中�����,所述工作站與訪問點間完成所述無線保護設(shè)置協(xié)商后重新建立二者的鏈路層連接���。
[0014]為實現(xiàn)上述目的及其他相關(guān)目的��,本發(fā)明提供一種無線保護設(shè)置協(xié)商裝置��,包括任一項所述的無線保護設(shè)置協(xié)商系統(tǒng)���。
[0015]如上所述,本發(fā)明的無線保護設(shè)置協(xié)商方法及系統(tǒng)�����,通過設(shè)置身份認證�����,能有效防止傳統(tǒng)的無線保護設(shè)置遭到密集型阻塞攻擊、重演攻擊����,保證了數(shù)據(jù)的安全性���,在不額外增加硬件投入的基礎(chǔ)上��,兼容性好����、不影響產(chǎn)品性能�����、不影響路由器的正常使用��。
【附圖說明】
[0016]圖1顯示為本發(fā)明一實施例中的無線保護設(shè)置協(xié)商方法流程示意圖���。
[0017]圖2顯示為本發(fā)明一實施例中的無線保護設(shè)置協(xié)商系統(tǒng)模塊示意圖�����。
[0018]圖3顯示為本發(fā)明一實施例中的無線保護設(shè)置協(xié)商裝置結(jié)構(gòu)示意圖�����。
[0019]元件標號說明
[0020]I無線保護設(shè)置協(xié)商系統(tǒng)
[0021]11通信模塊
[0022]12處理模塊
[0023]2無線保護設(shè)置協(xié)商裝置
[0024]21終端
[0025]22路由裝置
[0026]SI ?S6步驟
【具體實施方式】
[0027]以下通過特定的具體實例說明本發(fā)明的實施方式��,本領(lǐng)域技術(shù)人員可由本說明書所揭露的內(nèi)容輕易地了解本發(fā)明的其他優(yōu)點與功效�。本發(fā)明還可以通過另外不同的【具體實施方式】加以實施或應(yīng)用,本說明書中的各項細節(jié)也可以基于不同觀點與應(yīng)用���,在沒有背離本發(fā)明的精神下進行各種修飾或改變�����。需說明的是�,在不沖突的情況下���,以下實施例及實施例中的特征可以相互組合��。
[0028]需要說明的是����,以下實施例中所提供的圖示僅以示意方式說明本發(fā)明的基本構(gòu)想��,遂圖式中僅顯示與本發(fā)明中有關(guān)的組件而非按照實際實施時的組件數(shù)目、形狀及尺寸繪制��,其實際實施時各組件的型態(tài)�、數(shù)量及比例可為一種隨意的改變,且其組件布局型態(tài)也可能更為復雜���。
[0029]本發(fā)明提供了無線保護設(shè)置協(xié)商方法及系統(tǒng)��,可以很好地防止攻擊者進行破解,并能防止攻擊者使用非法的PIN碼進行連接��,以提供很高的安全性����。方法包括:工作站向訪問點發(fā)送第一認證階段請求。所述訪問點收到所述第一認證階段請求后向所述工作站發(fā)送訪問點公鑰及隨機數(shù)����。所述工作站通過所述訪問點公鑰對第一消息摘要加密后發(fā)送至所述訪問點,所述第一消息摘要是由所述工作站的PIN碼�����、MAC信息及所述隨機數(shù)通過第一加密算法生成的����。所述訪問點將通過訪問點私鑰解密所述第一消息摘要后得到的內(nèi)容與預設(shè)消息摘要作比對�。若比對結(jié)果一致�����,通過所述第一認證階段��,待通過第二認證階段后完成所述工作站與訪問點間無線保護設(shè)置協(xié)商;若比對結(jié)果不一致�����,則將本次驗證記錄至黑名單���。
[0030]以下將結(jié)合附圖給出詳細的實施例對本發(fā)明進行闡述:
[0031 ]本發(fā)明提供一種無線保護設(shè)置協(xié)商方法�,主要包括五個階段:802.11鏈路層協(xié)商階段��、第一認證階段�、第二認證階段、正式連接訪問點階段�。
[0032]在802.11鏈路層協(xié)商階段中,管理幀的Beacon幀中設(shè)置有可以區(qū)分現(xiàn)有的無線保護設(shè)置的元素�,使得不支持本方法的設(shè)備可以繼續(xù)使用原有方法,支持本方法的設(shè)備優(yōu)先選擇使用本方法�,然后進行probe���、auth、associat1n協(xié)商已完成鏈路層的連接���。對于不支持本發(fā)明所提方法的設(shè)備�����,可以通過對其安裝定制的驅(qū)動使之可以在不增加硬件成本的情況下使用�。
[0033]請參閱圖1��,在第一認證階段中��,主要包括如下步驟:
[0034]步驟S1:工作站向訪問點發(fā)送第一認證階段請求�����。第一認證階段的作用即為身份認證�。工作站可以是待接入網(wǎng)的終端設(shè)備�,例如:智能手機、平板電腦等���。訪問點可以是路由器����。
[0035]步驟S2:所述訪問點收到所述第一認證階段請求后向所述工作站發(fā)送訪問點公鑰及隨機數(shù)。需要說明的是���,工作站�����、訪問點都應(yīng)當設(shè)置有屬于自己的公鑰和私鑰��。
[0036]步驟S3:所述工作站根據(jù)其PIN碼�、MAC信息及訪問點發(fā)來的隨機數(shù)生成第一消息摘要����,再利用所述訪問點公鑰將第一消息摘要加密,發(fā)送給所述訪問點��。一般的PIN碼為8位數(shù)字���,前7位是有效數(shù)字��,最后一位是校驗碼�,本實施例中的隨機數(shù)可以包括8位16進制數(shù),也就是說���,8位數(shù)字中可以有大寫��、小寫字母�,特別的���,還可以包括特殊字符�,例如: +�,_,/�、*等。隨機數(shù)優(yōu)選為16位2進制數(shù)�����。加密算法優(yōu)選為HASH算法�,例如:MD5算法��、SHA-1算法等�����。
[0037]步驟S4:所述訪問點收到加密的第一消息摘要后,利用訪問點私鑰對其解密��,將解密得到的內(nèi)容與預設(shè)消息摘要作比對���。若比對結(jié)果一致��,則執(zhí)行步驟S5���,反之,執(zhí)行步驟S6�����。