一種無(wú)線接入系統(tǒng)及其連接方法
【專利摘要】本發(fā)明公開(kāi)了一種無(wú)線接入系統(tǒng)��,它包括第一無(wú)線接入點(diǎn)�,第二無(wú)線接入點(diǎn)與工作終端;所述第一無(wú)線接入點(diǎn)與第二無(wú)線接入點(diǎn)均可以通過(guò)無(wú)線終端MAC地址配對(duì)獲取終端接入的密碼�����。本發(fā)明所提出的無(wú)線接入系統(tǒng)及其連接方法可確保每個(gè)工作站用戶的連接密碼的唯一性��,從而防止了攻擊者利用已知的連接密碼以及利用網(wǎng)絡(luò)抓包技術(shù)來(lái)實(shí)現(xiàn)監(jiān)聽(tīng)并破解相同無(wú)線網(wǎng)絡(luò)中其他工作站用戶的無(wú)線通信數(shù)據(jù)信息���,所述工作終端與所述第一��,第二無(wú)線接入點(diǎn)依賴工作終端的MAC地址與接入密碼建立一一對(duì)應(yīng)關(guān)系。從而提高了802.11無(wú)線網(wǎng)絡(luò)通信的安全性�。
【專利說(shuō)明】
一種無(wú)線接入系統(tǒng)及其連接方法
[0001]【技術(shù)領(lǐng)域】
本發(fā)明主要涉及一種無(wú)線接入系統(tǒng)及其連接方法。
[0002]【【背景技術(shù)】】
在現(xiàn)有的802.11無(wú)線網(wǎng)絡(luò)系統(tǒng)中,無(wú)線接入點(diǎn)有兩種連接方式���。第一種方式是非加密方式����,在該連接方式下接入點(diǎn)與工作站的通信內(nèi)容沒(méi)有經(jīng)過(guò)加密��,因此不安全���;第二種連接方式是加密方式����,在該連接方式下接入點(diǎn)與工作站的通信內(nèi)容經(jīng)過(guò)加密�,安全性相對(duì)第一種連接方式要好,但所有用戶的連接密碼均相同��,相同的連接密碼具有較高的被破解的風(fēng)險(xiǎn)��。
[0003]在目前的802.11無(wú)線網(wǎng)絡(luò)系統(tǒng)中�����,一個(gè)無(wú)線接入點(diǎn)只有一個(gè)加密密鑰�����,相同無(wú)線網(wǎng)絡(luò)中的一個(gè)用戶就知道了相同無(wú)線網(wǎng)絡(luò)中其他用戶所使用的網(wǎng)絡(luò)連接密碼。通過(guò)網(wǎng)絡(luò)抓包可以獲取某個(gè)工作站與特定接入點(diǎn)建立網(wǎng)絡(luò)連接過(guò)程中的四個(gè)握手包中的STAT1N MAC�����、SNonce����,AP MAC、ANonce��、SSID��。根據(jù)已知的連接密碼���、STAT1N MAC���、SNonce、AP MAC�、ANonce, SSID,通過(guò)PBKDF2算法���、SHA1_PRF算法可以計(jì)算出PTK���,從而可以算出該無(wú)線網(wǎng)絡(luò)的無(wú)線接入點(diǎn)與某個(gè)工作站所使用的通信加密密鑰。所以��,相同無(wú)線網(wǎng)絡(luò)中的一個(gè)用戶根據(jù)相同的連接密碼以及通過(guò)網(wǎng)絡(luò)抓包得出來(lái)的STAT1N MAC�、SNonce, AP MAC、ANonce,SSID��,就可以監(jiān)聽(tīng)與破解某個(gè)工作站的無(wú)線通信數(shù)據(jù)信息���??傊?���,采用單一相同的密碼管理的無(wú)線網(wǎng)絡(luò)具有上述的不安全性。MAC (Media Access Control或者M(jìn)edium AccessControl)地址���,意譯為媒體訪問(wèn)控制�����,或稱為物理地址�、硬件地址���,用來(lái)定義網(wǎng)絡(luò)設(shè)備的位置��。在OSI模型中�,第三層網(wǎng)絡(luò)層負(fù)責(zé)IP地址,第二層數(shù)據(jù)鏈路層則負(fù)責(zé)MAC地址�。因此一個(gè)主機(jī)會(huì)有一個(gè)MAC地址,而每個(gè)網(wǎng)絡(luò)位置會(huì)有一個(gè)專屬于它的IP地址�����。如果利用MAC地址限定連接密碼��,將會(huì)大幅提高安全性����。
[0004]【
【發(fā)明內(nèi)容】
】
為降低802.11無(wú)線網(wǎng)絡(luò)中使用相同的無(wú)線連接密碼所帶來(lái)的同無(wú)線網(wǎng)絡(luò)用戶的加密數(shù)據(jù)信息被監(jiān)聽(tīng)并被破解的風(fēng)險(xiǎn),本發(fā)明提出一種無(wú)線接入系統(tǒng)及其連接方法�����。
[0005]本無(wú)線接入系統(tǒng)及其連接方法采用以下的技術(shù)方案:
一種無(wú)線接入系統(tǒng)�����,它包括第一無(wú)線接入點(diǎn)�����,第二無(wú)線接入點(diǎn)與工作終端;所述第一無(wú)線接入點(diǎn)與第二無(wú)線接入點(diǎn)均可以通過(guò)無(wú)線終端MAC地址配對(duì)獲取終端接入的密碼��。
[0006]作為本發(fā)明進(jìn)一步方案���,所述工作終端分別與所述第一無(wú)線接入點(diǎn)和所述第二無(wú)線接入點(diǎn)連接,且所述第一無(wú)線接入點(diǎn)與所述第二無(wú)線接入點(diǎn)連接���。
[0007]作為本發(fā)明進(jìn)一步方案��,所述無(wú)線接入系統(tǒng)基于802.11協(xié)議���。
[0008]作為本發(fā)明進(jìn)一步方案,所述第一無(wú)線接入點(diǎn)采用不加密的連接方式或采用向所有用戶公開(kāi)連接密碼的連接方式��,所述第二無(wú)線接入點(diǎn)采用加密的連接方式�。
[0009]作為本發(fā)明進(jìn)一步方案,所述第一無(wú)線接入點(diǎn)與所述第二無(wú)線接入點(diǎn)采用無(wú)線路由器���。
[0010]作為本發(fā)明進(jìn)一步方案����,所述第一無(wú)線接入點(diǎn)與所述第二無(wú)線接入點(diǎn)內(nèi)設(shè)相同算法。
[0011]一種無(wú)線路由接入系統(tǒng)的連接方法��,包括以下步驟:
a:所述工作終端先與所述第一無(wú)線接入點(diǎn)建立連接���,第一無(wú)線接入點(diǎn)依據(jù)所述工作終端的MAC地址利用所述算法計(jì)算出所述工作終端接入所述第二接入點(diǎn)的第一連接密碼����,并通知所述工作終端�����。
[0012]b:所述工作終端與所述第一無(wú)線接入點(diǎn)斷開(kāi)連接���。
[0013]d:所述工作終端發(fā)送連接請(qǐng)求給所述第二無(wú)線接入點(diǎn)�,同時(shí)提供所述第一連接密碼����。
[0014]e:所述第二無(wú)線接入點(diǎn)收到所述工作終端的連接請(qǐng)求,所述第二無(wú)線接入點(diǎn)根據(jù)所述工作終端的MAC地址利用所述算法計(jì)算出第二連接密碼����,所述第一連接密碼與所述第二連接密碼進(jìn)行配對(duì),配對(duì)成功則同意連接請(qǐng)求,配對(duì)失敗則拒絕連接請(qǐng)求�。
[0015]本發(fā)明同【背景技術(shù)】相比所產(chǎn)生的有益效果:
本發(fā)明所提出的無(wú)線接入系統(tǒng)及其連接方法可確保每個(gè)工作站用戶的連接密碼的唯一性,從而防止了攻擊者利用已知的連接密碼以及利用網(wǎng)絡(luò)抓包技術(shù)來(lái)實(shí)現(xiàn)監(jiān)聽(tīng)并破解相同無(wú)線網(wǎng)絡(luò)中其他工作站用戶的無(wú)線通信數(shù)據(jù)信息�,從而提高了 802.11無(wú)線網(wǎng)絡(luò)通信的安全性。
[0016]【【具體實(shí)施方式】】
下面詳細(xì)描述本發(fā)明的實(shí)施例�����,如有術(shù)語(yǔ)“第一”����、“第二”僅用于描述目的��,而不能理解為指示或暗示相對(duì)重要性或隱含指明技術(shù)特征的數(shù)量����。由此,限定有“第一”����、“第二”特征可以明示或者隱含包括一個(gè)或者多個(gè)該特征,在本發(fā)明描述中��,“數(shù)個(gè)”的含義是兩個(gè)或兩個(gè)以上���,除非另有明確具體的限定�。
[0017]在本發(fā)明中,除另有明確規(guī)定和限定����,如有術(shù)語(yǔ)“組裝”、“相連”�、“連接”術(shù)語(yǔ)應(yīng)作廣義去理解,例如���,可以是固定連接�,也可以是可拆卸連接����,或一體地連接;也可以是機(jī)械連接���;可以是直接相連��,也可以是通過(guò)中間媒介相連����,可以是兩個(gè)元件內(nèi)部相連通��。對(duì)于本領(lǐng)域普通技術(shù)人員而言,可以根據(jù)具體情況理解上述的術(shù)語(yǔ)在本發(fā)明中的具體含義�。
[0018]下面通過(guò)對(duì)本發(fā)明的【具體實(shí)施方式】作進(jìn)一步的描述,使本發(fā)明的技術(shù)方案及其有益效果更加清楚�、明確。下面通過(guò)描述實(shí)施例是示例性的�����,旨在解釋本發(fā)明�,而不能理解為對(duì)本發(fā)明的限制。
[0019]本發(fā)明提供的較佳實(shí)施例:一種基于802.11協(xié)議的無(wú)線接入系統(tǒng)�,它包括第一無(wú)線接入點(diǎn),第二無(wú)線接入點(diǎn)與工作終端��;所述第一無(wú)線接入點(diǎn)與所述第二無(wú)線接入點(diǎn)采用無(wú)線路由器���。所述第一無(wú)線接入點(diǎn)與所述第二無(wú)線接入點(diǎn)內(nèi)設(shè)有算法,且所述第一無(wú)線接入點(diǎn)與所述第二無(wú)線接入點(diǎn)采用相同算法��,所述算法可為任意式子��,如可將MAC地址的數(shù)字相加���,所得結(jié)果作為密碼����;或?qū)AC地址的數(shù)字相乘,所得結(jié)果作為密碼�;具體式子自擬。所述工作終端分別與所述第一無(wú)線接入點(diǎn)和所述第二無(wú)線接入點(diǎn)連接���,且所述第一無(wú)線接入點(diǎn)與所述第二無(wú)線接入點(diǎn)連接��。
[0020]一種無(wú)線路由接入系統(tǒng)的連接方法��,包括以下步驟:
a:所述工作終端先與所述第一無(wú)線接入點(diǎn)建立連接��,第一無(wú)線接入點(diǎn)依據(jù)所述工作終端的MAC地址利用所述算法計(jì)算出所述工作終端接入所述第二接入點(diǎn)的第一連接密碼���,并通知所述工作終端。
[0021]b:所述工作終端與所述第一無(wú)線接入點(diǎn)斷開(kāi)連接�����。
[0022]d:所述工作終端發(fā)送連接請(qǐng)求給所述第二無(wú)線接入點(diǎn)����,同時(shí)提供所述第一連接密碼。
[0023]e:所述第二無(wú)線接入點(diǎn)收到所述工作終端的連接請(qǐng)求�����,所述第二無(wú)線接入點(diǎn)根據(jù)所述工作終端的MAC地址利用所述算法計(jì)算出第二連接密碼,所述第一連接密碼與所述第二連接密碼進(jìn)行配對(duì)���,配對(duì)成功則同意連接請(qǐng)求�,配對(duì)失敗則拒絕連接請(qǐng)求���。
[0024]工作原理:利用MAC地址具有唯一性的特點(diǎn)��,第一無(wú)線接入點(diǎn)開(kāi)放以便工作終端與其連接�����,連接后���,第一無(wú)線接入點(diǎn)根據(jù)所述工作終端的MAC地址通過(guò)算法計(jì)算出第一連接密碼,并將第一連接密碼發(fā)回工作終端��。工作終端接收到密碼后與第一無(wú)線接入點(diǎn)斷開(kāi)�,同時(shí)利用第一連接密碼與第二無(wú)線接入點(diǎn)連接�。第二無(wú)線接入點(diǎn)收到工作終端的連接請(qǐng)求,根據(jù)所述工作終端的MAC地址通過(guò)算法計(jì)算出第二連接密碼��,所述第一連接密碼與所述第二連接密碼進(jìn)行配對(duì),配對(duì)成功則同意連接請(qǐng)求��,配對(duì)失敗則拒絕連接請(qǐng)求����。
[0025]通過(guò)上述的結(jié)構(gòu)和原理的描述,所屬技術(shù)領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解�,本發(fā)明不局限于上述的【具體實(shí)施方式】,在本發(fā)明基礎(chǔ)上采用本領(lǐng)域公知技術(shù)的改進(jìn)和替代均落在本發(fā)明的保護(hù)范圍��,應(yīng)由各權(quán)利要求限定之�����。
【主權(quán)項(xiàng)】
1.一種無(wú)線接入系統(tǒng)���,其特征在于:它包括第一無(wú)線接入點(diǎn)����,第二無(wú)線接入點(diǎn)與工作終端��;所述第一無(wú)線接入點(diǎn)與第二無(wú)線接入點(diǎn)均可以通過(guò)無(wú)線終端MAC地址配對(duì)獲取終端接入的密碼����。2.根據(jù)權(quán)利要求1所述的無(wú)線接入系統(tǒng)�,其特征在于:所述工作終端分別與所述第一無(wú)線接入點(diǎn)和所述第二無(wú)線接入點(diǎn)連接��,且所述第一無(wú)線接入點(diǎn)與所述第二無(wú)線接入點(diǎn)連接����。3.根據(jù)權(quán)利要求1所述的無(wú)線接入系統(tǒng),其特征在于:所述無(wú)線接入系統(tǒng)基于802.11協(xié)議�����。4.根據(jù)權(quán)利要求1所述的無(wú)線接入系統(tǒng)�,其特征在于:所述第一無(wú)線接入點(diǎn)采用不加密的連接方式或采用向所有用戶公開(kāi)連接密碼的連接方式,所述第二無(wú)線接入點(diǎn)采用加密的連接方式���。5.根據(jù)權(quán)利要求1所述的無(wú)線接入系統(tǒng)���,其特征在于:所述第一無(wú)線接入點(diǎn)與所述第二無(wú)線接入點(diǎn)采用無(wú)線路由器。6.根據(jù)權(quán)利要求1所述的無(wú)線接入系統(tǒng)���,其特征在于:所述第一無(wú)線接入點(diǎn)與所述第二無(wú)線接入點(diǎn)內(nèi)設(shè)相同算法�。7.一種無(wú)線路由接入系統(tǒng)的連接方法����,包括以下步驟: a:所述工作終端先與所述第一無(wú)線接入點(diǎn)建立連接,第一無(wú)線接入點(diǎn)依據(jù)所述工作終端的MAC地址利用所述算法計(jì)算出所述工作終端接入所述第二接入點(diǎn)的第一連接密碼�����,并通知所述工作終端�; b:所述工作終端與所述第一無(wú)線接入點(diǎn)斷開(kāi)連接; d:所述工作終端發(fā)送連接請(qǐng)求給所述第二無(wú)線接入點(diǎn)����,同時(shí)提供所述第一連接密碼; e:所述第二無(wú)線接入點(diǎn)收到所述工作終端的連接請(qǐng)求�,所述第二無(wú)線接入點(diǎn)根據(jù)所述工作終端的MAC地址利用所述算法計(jì)算出第二連接密碼,所述第一連接密碼與所述第二連接密碼進(jìn)行配對(duì)����,配對(duì)成功則同意連接請(qǐng)求,配對(duì)失敗則拒絕連接請(qǐng)求��。
【文檔編號(hào)】H04W84/12GK105959950SQ201510870947
【公開(kāi)日】2016年9月21日
【申請(qǐng)日】2015年12月2日
【發(fā)明人】馬君, 周華雄, 陳陵, 徐洪, 李松洲, 凌微豐, 黃志成, 李家科
【申請(qǐng)人】珠海網(wǎng)博信息科技股份有限公司