本发明属于移动互联网安全领域,具体而言,本发明涉及一种基于奇异路由路径的路由器身份检测方法和终端设备。
背景技术:
随着无线网络技术的日益发展,传统的有线接入越来越局限于IT运营企业和固定设施的接入,而在日常生活中,人们主要以无线接入方式为主。可以说,无线网络已经在人们平常的生活和工作中占据了非常重要的地位,今天的人们已经不能离开无线网络,人们的生活也越来越依赖于无线网络。与此同时,随着无线网络流量的增加,无线网络承载了越来越多的私密信息,成为黑客和不法分子攻击的对象,无线网络通信的安全隐患日益明显。
在现有的无线攻击手段中,无线钓鱼攻击成为最常见的攻击方式。攻击者通过伪装成用户常用的wifi热点,欺骗用户接入,对用户的网络传输过程进行窃听,造成用户敏感信息泄漏,甚至进一步造成经济和名誉上的损失。无线钓鱼攻击如此普遍的主要原因是该方式的简便易行,只需要修改自己的SSID地址,就可以让用户无从分辨,目前4G热点技术的迅猛发展,也使得这一攻击方式越来越便利。目前,大多数热点设备在无线钓鱼攻击方面存在明显的弱点,使得攻击者可以轻易伪装合法热点的身份,使得这一问题更加突出,攻击者更容易得手。
针对这一问题,目前已提出一些技术方案,用来对无线钓鱼问题进行检测,比如在SSID之外,加入热点的MAC地址作为身份识别的加强措施,但不幸的是,MAC地址和SSID一样,都是用户可以轻易修改的身份标识,这使得现有方案面临失效的风险,迫切需要提出具有更加可靠的身份识别方案,以便用户在接入热点之前对热点的身份进行比较可靠的鉴别。
技术实现要素:
本发明针对现有的方式的上述缺点,提出一种基于奇异路由的路由器身份检测方法和终端设备,用以解决现有技术存在的热点设备容易被冒充的缺陷。与现有解决方法不同的是,本发明不是基于路由器自身的SSID、MAC等信息判断身份,而是根据内置在合法路由器中的奇异路由进行判定。
本发明的实施例根据一个方面,提供了一种基于奇异路由的路由器身份检测方法,具体包括如下步骤:
在路由器中内置验证网址及与验证网址相对应的奇异路由信息,并且在奇异路由信息所涉及的路径中布置有反馈服务器;
用户终端中内置有验证网址,并针对验证网址向路由器发送访问请求信息后开始计时;
根据在计时时间内能否收到反馈服务器的反馈信息,来判定路由器是否为合法设备,并进行相应的安全处理。
优选地,验证网址的数量可以为多个。
优选地,反馈服务器布置在奇异路由信息所涉及的路径中的必经节点上,以检测访问行为是否经过了路径。
优选地,反馈服务器可以同时供多个验证网址使用。
优选地,计时时间根据网络状况和安全需求进行设定。
优选地,反馈服务器的数量可以为多个,以提高检测的可靠性。
优选地,如果在计时时间内收到反馈服务器的回复,则判断路由器为合法设备,如果在计时时间内不能收到反馈服务器的回复,则判断路由器为非法设备。
优选地,当判断路由器为非法设备时,断开与当前路由器的连接或重新进行检测。
优选地,当判断路由器为合法设备时,重新进行检测,以提高检测的可靠性。
另外,本发明还公开了一种终端设备,其包括:
检测模块,根据用户终端中内置的验证网址,向内置有验证网址及与验证网址相对应的奇异路由信息的路由器,发送访问请求信息后开始计时;
分析模块,根据在计时时间内能否收到奇异路由信息所涉及的路径中布置的反馈服务器的反馈信息,来判定所述路由器是否为合法设备,并进行相应的安全处理。
本发明的实施例中,本发明通过访问验证网址,并且对此验证网址设置不同于常规路径的奇异路由路径,检测用户的访问路由信息,作为识别设备合法性的依据,用于判定身份伪装攻击的概率,可以有效地抵御无线网络环境中常见的身份伪装攻击问题,提升了用户在无线网络环境中的安全水平,预防了经济损失,提高了安全性能。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明基于奇异路由的路由器身份检测方法其中一实施例的流程示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端设备”、“终端设备设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,进行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communications Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
下面根据附图1,通过实施例,详细介绍本发明公开的基于奇异路由的路由器身份检测方法。
本发明的实施例中,根据验证内置验证网址的路由信息进行判定,其依据的基本原理如下:
普通的路由环境中,当访问内置验证网址时,路由器会根据正常的路由准则,选择一条最近或者最方便的路由到达验证网址,而在我们的路由器中,通过对路由信息的特殊设置,当用户访问验证网址时,会采用指定的奇异路由路径,而不用普通算法来计算路径,这样就会与其他路由器有明显的区别。为了更方便的发现这一区别,我们通过在特殊路径的必经节点中预先设置反馈服务器的方式,实现对经过信息的实时反馈,从而准确区分两种不同的路由器。
为此,本发明提出一种基于奇异路由的路由器身份检测方法,用于无线通讯中身份伪装攻击的检测和预防,在识别攻击者的伪装攻击方面具有一定效果。
其基本技术内容如下:
在路由器系统中内置验证网址列表及其相应的奇异路由信息,并且在该奇异路由信息所涉及的路径中布置有反馈服务器,其中该验证网址的数量可以为多个,该反馈服务器布置在该奇异路由信息所涉及的路径中的必经节点上,用以检测访问行为是否经过了所述路径。
其中,根据具体情形以及安全的等级要求,该反馈服务器可以同时供多个所述验证网址使用,这里不作具体的限制。
用户通过访问验证网址进行检测,并针对该验证网址向该路由器发送访问请求信息后开始计时。其中,该计时的时间可以根据网络状况和安全需求进行设定,这里不作具体的限制。
对检测结果进行判定,从而判断是否合法,并做出相应的安全处理;
其中,如果在该计时时间内收到该反馈服务器的回复,则判断该路由器为合法设备,如果在该计时时间内不能收到该反馈服务器的回复,则判断该路由器为非法设备。
其中,当判断该路由器为非法设备时,断开与当前路由器的连接或重新进行检测,这里不作具体的限制;当判断所述路由器为合法设备时,可以直接放心地通过该路由器进行连接,也可以重新进行检测,以提高检测的可靠性,这里不作具体的限制。
同时,在结果判定中,如果需要可以进行多次测试,以保证结果的可靠。
另外,针对该方法,本发明还公开了一种相应的终端设备,包括:
检测模块,根据用户终端中内置的验证网址,向内置有验证网址及与该验证网址相对应的奇异路由信息的路由器,发送访问请求信息后开始计时;
分析模块,根据在该计时时间内能否收到该奇异路由信息所涉及的路径中布置的反馈服务器的反馈信息,来判定该路由器是否为合法设备,并进行相应的安全处理。
以下以具体一优选实施例,对本发明的技术内容进行详细的说明:
为了确认客户端接入的无线设备是否合法,我们需要进行一项检测来判定其合法性。为此,我们在路由器系统中内置了验证网址列表及其特殊路由信息,在用户终端内置了验证网址列表。这样,用户在连接上路由设备之后,在正式使用之前,可以通过访问内置的验证网址进行合法性检测,如果检测结果表明合法,则可以继续使用该路由上网,否则需要谨慎。
实施例:
test212.example.com是验证网址中的一个,路由器根据正常路由选择算法的访问路径为:
本机-IP1-IP2-IP3-目标网址test212.example.com
但我们在合法路由器中通过专门设定,让通过该路由器访问网址test212.example.com的路径变为:
本机-IP4-IP5-IP6-目标网址test212.example.com
其中IP5主机为我们预置的反馈服务器,它会将用户的此次访问信息反馈给用户,以证明用户确实经过了奇异路由。
为了减少反馈路由器的部署数量,可以多个奇异路由共用一台服务器;为了提高可靠性,也可以在路径中部署多台反馈服务器。
对于专业人士,还可以根据该模型和检测过程设计自己的算法和利用方法,典型地,比如验证网址的设置、访问信息的反馈、多个验证网址的负载均衡等,在具体环境中达到最好的效果,从而对存在伪装攻击的无线链路的相关特征进行更加全面分析。
本发明还公开了一种终端设备,包括:
检测模块,根据终端设备中内置的验证网址,向内置有验证网址及与所述验证网址相对应的奇异路由信息的路由器,发送访问请求信息后开始计时;
评估模块,根据在计时时间内能否收到奇异路由信息所涉及的路径中布置的反馈服务器的反馈信息,来判定路由器是否为合法设备,并进行相应的安全处理。
其中该终端设备运行前,需要先做一定的准备工作,具体为在路由器中内置验证网址列表及其相应的奇异路由信息,在终端设备内置验证网址列表。
该终端设备的具体运行,可以参考上述方法实施例的方法步骤,这里不做详细的描述。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。