一种安全接入方法、设备及系统与流程
本发明涉及数据通信技术领域,尤其涉及一种安全接入方法、设备及系统。
背景技术:
随着无线网络技术的发展,无线局域网络(英文名:wirelesslocalareanetwork,简称:wlan)的使用已经遍布于家庭、办公、商场等场所,得益于其高吞吐量、稳定性、安全性和无线媒介等特性,为我们的生活、娱乐和工作带来了诸多便捷。
由于wlan在这种开放环境中提供着网络服务,因此所带来的网络安全问题也是个经久不息的研究课题,为了阻止非法用户(即未经授权的用户或者对网络安全造成威胁的破坏者)侵入和使用wlan,保护合法用户的数据通信不被破坏和窃听,无线接入点(英文名:accesspoint,简称:ap)都会采取认证接入和数据加密等方式来确保wlan的安全,比如企业级的801.1x认证和普通家用无线路由器常用的保护无线网络安全接入系统(英文名:wi-fiprotectedaccess,简称:wpa,其有wpa和wpa2两代标准)的预共享密钥(英文名:pre-sharedkey,简称:psk)身份验证等方式,例如,在家用无线网络中,为保障网络的安全,避免非法用户的侵入,主人通常都会设置wpa/wpa2-psk进行身份验证,当访客取得主人预先设置好的预共享密钥后便可进行身份认证从而接入该无线网络。
然而,发明人经过研究发现,在利用wpa/wpa2-psk进行用户的身份验证的实际使用中存在着这样一些问题,例如,当家里有访客到来时,大家都会想要使用该无线网络,这就会增加预共享密钥被分享出去的概率,甚至假设访客所使用的终端安装有非法软件的话,也会导致预共享密钥更大程度的被公开和泄露。
针对上述问题,现有技术中,人们通常会将wlan划分为访客所使用的无线网络和自身所使用的无线网络,并且被划分的无线网络所对应配置的预共享密钥有所不同,为保证网络的安全,用户需要时不时手动更新访客所使用的预共享密钥或者设置ap进行自动更新该预共享密钥,这样,对于之前来过的访客想要接入该用户家里的无线网络就需要获取新的预共享密钥进行重新验证,同时,对于用户自身而言,也需要和访客一样重复上述操作,以致于整个过程的操作过于繁琐。
综上所述,如何保障网络的安全,同时又能提升合法用户的网络接入体验是个亟待解决的问题。
技术实现要素:
本发明实施例提供了一种安全接入方法、设备及系统,访客使用的终端和访客欲接入的ap上均被配置了一种密钥协商的协议,以便双方在通过对方发送的满足预设条件的管理帧确定对方为自身允许接入的合法设备后,进行密钥的协商得到共享密钥,之后再以该共享密钥为基础生成预共享密钥使得终端以该共享密钥为基础与该ap进行身份验证,从而在终端不需要提前获知预共享密钥的基础上快速、便捷的接入网络,不仅保障了网络的安全,同时也提升了合法用户的网络接入体验。
第一方面,本发明实施例提供了一种安全接入方法,应用于终端,包括:
配置密钥协商的预设规则;
根据所述预设规则和至少一个无线接入点ap发送的管理帧确定目标ap;
向所述目标ap发送包括用于密钥协商的公开参数的鉴权请求帧;
接收所述目标ap发送的鉴权成功响应帧,所述鉴权成功响应帧中包括目标公开参数,所述目标公开参数为所述目标ap接收所述鉴权请求帧后,根据所述鉴权请求帧确定所述终端为合法终端后,并基于所述鉴权成功响应帧中的公开参数所确定的用于生成共享密钥的参数;
根据所述目标公开参数生成第一临时值;
向所述目标ap发送包括所述第一临时值的关联请求帧,以便所述目标ap根据所述第一临时值生成所述共享密钥;
接收所述目标ap发送的关联成功响应帧,所述关联成功响应帧中包括所述目标ap根据所述目标公开参数所生成的第二临时值;
根据所述第二临时值生成所述共享密钥,以便利用所述共享密钥进行身份认证接入所述目标ap。
进一步的,所述根据所述预设规则和至少一个无线接入点ap发送的管理帧确定目标ap,包括:当所述终端获取到的任一ap发送的管理帧中存在支持所述预设规则的标识,且所述支持所述预设规则的标识的管理帧的信号强度大于预设阈值,则确定所述任一ap为目标ap。
进一步的,所述根据所述目标公开参数生成第一临时值,包括:所述终端利用自身随机生成的私有参数和所述目标公开参数通过所述预设规则生成一个临时值;
所述根据所述第二临时值生成所述共享密钥,包括:所述终端利用所述私有参数和所述第二临时值通过所述预设规则生成所述共享密钥。
本发明实施例提供了一种安全接入方法,应用于终端,包括:配置密钥协商的预设规则,根据所述预设规则和至少一个无线接入点ap发送的管理帧确定目标ap,然后向所述目标ap发送包括用于密钥协商的公开参数的鉴权请求帧,再接收所述目标ap发送的鉴权成功响应帧,并根据所述鉴权成功响应帧中的目标公开参数生成第一临时值,之后向所述目标ap发送包括所述第一临时值的关联请求帧,以便所述目标ap根据所述第一临时值生成所述共享密钥,再接收所述目标ap发送的关联成功响应帧,所述关联成功响应帧中包括所述目标ap根据所述目标公开参数所生成的第二临时值,最后根据所述第二临时值生成所述共享密钥,以便利用所述共享密钥进行身份认证接入所述目标ap,通过在终端上配置和ap相同的规则,使得双方在建立一种安全机制的基础上完成密钥的协商,整个交互过程不仅保障了网络的安全,同时也提升了合法用户的网络接入体验。
第二方面,本发明实施例还提供了另一种安全接入方法,应用于无线接入点ap,包括:
配置密钥协商的预设规则;
根据所述预设规则和至少一个终端发送的鉴权请求帧确定合法终端,所述合法终端的鉴权请求帧中包括用于密钥协商的公开参数;
基于所述公开参数确定用于生成共享密钥的目标公开参数;
向所述合法终端发送鉴权成功响应帧,所述鉴权成功响应帧中包括所述目标公开参数,以便所述合法终端根据所述鉴权成功响应帧中的目标公开参数生成第一临时值;
根据所述目标公开参数生成第二临时值;
接收所述合法终端发送的包括所述第一临时值的关联请求帧;
向所述合法终端发送关联成功响应帧,所述关联成功响应帧中包括所述第二临时值,以便所述合法终端根据所述第二临时值生成所述共享密钥;
根据所述第一临时值生成所述共享密钥,以便利用所述共享密钥对所述合法终端进行身份认证使得所述合法终端接入自身。
进一步的,所述根据所述预设规则和至少一个终端发送的鉴权请求帧确定合法终端,包括:当所述ap获取到的任一终端发送的鉴权请求帧中存在支持所述预设规则的标识,且所述支持所述预设规则的标识的鉴权请求帧的信号强度大于预设阈值,则确定所述任一终端为合法终端。
进一步的,所述基于所述公开参数确定用于生成共享密钥的目标公开参数,包括:判断所述合法终端的鉴权请求帧中的公开参数与自身推荐的公开参数是否一致,若是,则以所述合法终端的鉴权请求帧中的公开参数作为所述目标公开参数,若否,则以所述自身推荐的公开参数作为所述目标公开参数。
进一步的,所述根据所述目标公开参数生成第二临时值,包括:所述ap利用自身随机生成的私有参数和所述目标公开参数通过所述预设规则生成一个临时值;
所述根据所述第一临时值生成所述共享密钥,包括:所述ap利用所述私有参数和所述第一临时值通过所述预设规则生成所述共享密钥。
本发明实施例提供了一种安全接入方法,应用于无线接入点ap,包括:配置密钥协商的预设规则,根据所述预设规则和至少一个终端发送的鉴权请求帧确定合法终端,基于所述合法终端发送的鉴权请求帧中的用于密钥协商的公开参数确定用于生成共享密钥的目标公开参数,然后向所述合法终端发送鉴权成功响应帧,所述鉴权成功响应帧中包括所述目标公开参数,以便所述合法终端根据所述目标公开参数生成第一临时值,再根据所述目标公开参数生成第二临时值,之后接收所述合法终端发送的包括所述第一临时值的关联请求帧,再向所述合法终端发送关联成功响应帧,所述关联成功响应帧中包括所述第二临时值,以便所述合法终端根据所述第二临时值生成所述共享密钥,最后根据所述第一临时值生成所述共享密钥,以便利用所述共享密钥对所述合法终端进行身份认证使得所述合法终端接入自身,通过在ap上配置和终端相同的规则,使得双方在建立一种安全机制的基础上完成密钥的协商,整个交互过程不仅保障了网络的安全,同时也提升了合法用户的网络接入体验。
第三方面,本发明实施例还提供了一种终端,包括:
配置模块,用于配置密钥协商的预设规则;
获取模块,用于获取至少一个无线接入点ap发送的管理帧;
处理模块,用于根据所述预设规则和所述至少一个无线接入点ap发送的管理帧确定目标ap;
发送模块,用于向所述目标ap发送包括用于密钥协商的公开参数的鉴权请求帧;
所述获取模块模块还用于接收所述目标ap发送的鉴权成功响应帧,所述鉴权成功响应帧中包括目标公开参数,所述目标公开参数为所述目标ap接收所述终端发送的鉴权请求帧后,根据所述鉴权请求帧确定所述终端为合法终端后,并基于所述鉴权成功响应帧中的公开参数所确定的用于生成共享密钥的参数;
所述处理模块还用于根据所述目标公开参数生成第一临时值;
所述发送模块还用于向所述目标ap发送包括所述第一临时值的关联请求帧,以便所述目标ap根据所述第一临时值生成所述共享密钥;
所述获取模块还用于接收所述目标ap发送的关联成功响应帧,所述关联成功响应帧中包括所述目标ap根据所述目标公开参数所生成的第二临时值;
所述处理模块还用于根据所述第二临时值生成所述共享密钥;
认证模块,用于利用所述共享密钥进行身份认证接入所述目标ap。
进一步的,所述处理模块具体用于:当所述终端获取到的任一ap发送的管理帧中存在支持所述预设规则的标识,且所述支持所述预设规则的标识的管理帧的信号强度大于预设阈值,则确定所述任一ap为目标ap。
进一步的,所述处理模块具体还用于:利用自身随机生成的私有参数和所述目标公开参数通过所述预设规则生成一个临时值;
所述处理模块还用于:利用所述私有参数和所述第二临时值通过所述预设规则生成所述共享密钥。
本发明实施例提供了一种终端,包括:所述终端的配置模块配置密钥协商的预设规则,获取模块再获取至少一个无线接入点ap发送的管理帧,然后处理模块根据所述预设规则和所述至少一个无线接入点ap发送的管理帧确定目标ap,之后发送模块向所述目标ap发送包括用于密钥协商的公开参数的鉴权请求帧,获取模块再接收所述目标ap发送的鉴权成功响应帧,所述鉴权成功响应帧中包括目标公开参数,然后所述处理模块根据所述鉴权成功响应帧中的目标公开参数生成第一临时值,之后所述发送模块向所述目标ap发送包括所述第一临时值的关联请求帧,以便所述目标ap根据所述第一临时值生成所述共享密钥,所述获取模块再接收所述目标ap发送的关联成功响应帧,所述关联成功响应帧中包括所述目标ap根据所述目标公开参数所生成的第二临时值,所述处理模块再根据所述第二临时值生成所述共享密钥,最后认证模块利用所述共享密钥进行身份认证接入所述目标ap,通过在终端上配置和ap相同的规则,使得双方在建立一种安全机制的基础上完成密钥的协商,整个交互过程不仅保障了网络的安全,同时也提升了合法用户的网络接入体验。
第四方面,本发明实施例还提供了一种无线接入点ap,包括:
配置模块,用于配置密钥协商的预设规则;
获取模块,用于获取至少一个终端发送的鉴权请求帧;
处理模块,用于根据所述预设规则和所述至少一个终端发送的鉴权请求帧确定合法终端,所述合法终端的鉴权请求帧中包括用于密钥协商的公开参数;
所述处理模块还用于基于所述公开参数确定用于生成共享密钥的目标公开参数;
发送模块,用于向所述合法终端发送鉴权成功响应帧,所述鉴权成功响应帧中包括所述目标公开参数,以便所述合法终端根据所述鉴权成功响应帧中的目标公开参数生成第一临时值;
所述处理模块还用于根据所述目标公开参数生成第二临时值;
所述获取模块还用于接收所述合法终端发送的包括所述第一临时值的关联请求帧;
所述发送模块还用于向所述合法终端发送关联成功响应帧,所述关联成功响应帧中包括所述第二临时值,以便所述合法终端根据所述第二临时值生成所述共享密钥;
所述处理模块还用于根据所述第一临时值生成所述共享密钥;
认证模块,用于利用所述共享密钥对所述合法终端进行身份认证使得所述合法终端接入自身。
进一步的,所述处理模块具体用于:当所述ap获取到的任一终端发送的鉴权请求帧中存在支持所述预设规则的标识,且所述支持所述预设规则的标识的鉴权请求帧的信号强度大于预设阈值,则确定所述任一终端为合法终端。
进一步的,所述处理模块具体还用于:判断所述合法终端的鉴权请求帧中的公开参数与自身推荐的公开参数是否一致,若是,则以所述合法终端的鉴权请求帧中的公开参数作为所述目标公开参数,若否,则以所述自身推荐的公开参数作为所述目标参数。
进一步的,所述处理模块具体还用于:利用自身随机生成的私有参数和所述目标公开参数通过所述预设规则生成一个临时值;
所述处理模块还用于:利用所述私有参数和所述第一临时值通过所述预设规则生成所述共享密钥。
本发明实施例提供了一种无线接入点ap,包括:所述ap的配置模块配置密钥协商的预设规则,获取模块再获取至少一个终端发送的鉴权请求帧,然后处理模块根据所述预设规则和所述至少一个终端发送的鉴权请求帧确定合法终端,所述处理模块再基于所述合法终端发送的鉴权请求帧中的公开参数确定用于生成共享密钥的目标公开参数,之后发送模块向所述合法终端发送鉴权成功响应帧,所述鉴权成功响应帧中包括所述目标公开参数,以便所述合法终端根据所述鉴权成功响应帧中的目标公开参数生成第一临时值,然后所述处理模块根据所述目标公开参数生成第二临时值,所述获取模块再接收所述合法终端发送的包括所述第一临时值的关联请求帧,之后所述发送模块向所述合法终端发送关联成功响应帧,所述关联成功响应帧中包括所述第二临时值,以便所述合法终端根据所述第二临时值生成所述共享密钥,然后所述处理模块根据所述第一临时值生成所述共享密钥,最后认证模块利用所述共享密钥对所述合法终端进行身份认证使得所述合法终端接入自身,通过在ap上配置和终端相同的规则,使得双方在建立一种安全机制的基础上完成密钥的协商,整个交互过程不仅保障了网络的安全,同时也提升了合法用户的网络接入体验。
第五方面,本发明实施例还提供了一种安全接入系统,所述系统包括如上述第一方面所述的终端和如上述第二方面所述的无线接入点ap。
本发明的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1提供的一种安全接入方法的流程图;
图2为本发明实施例2提供的一种安全接入方法的流程图;
图3为本发明实施例3提供的一种终端的架构示意图;
图4为本发明实施例4提供的一种无线接入点ap的架构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明各个实施例中的各功能模块,可以是集成在一起形成一个独立的部分,也可以是分别单独存在,也可以两个或两个以上模块集成形成一个独立的部分,这里均也不做具体限定。
此外,在本发明实施例中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
实施例1
如图1所示,为本发明实施例提供的一种安全接入方法的流程图,应用于终端,该方法包括:
步骤101、配置密钥协商的预设规则。
在本步骤中,在访客所使用的终端上配置一种预设规则,该预设规则使得该终端可以在一种安全机制下进行密钥协商,例如,该预设规则可以是diffie-hellman密钥交换协议(简写为dh密钥交换协议),这种密钥交换技术的目的在于使得两个用户安全地交换一个共享密钥以便用于以后的报文加密。
步骤102、根据所述预设规则和至少一个无线接入点ap发送的管理帧确定目标ap。
在本步骤中,该终端获取自身周围至少一个ap发送的管理帧(比如beacon帧,probe帧,authentication帧,deauth帧,association帧等),示例性的,该终端可以接收周围ap广播的beacon帧,也可以是终端向周围ap发送proberequest帧触发它们向自己发送proberesponse帧,需要说明的是,对于该终端获取周围ap发送的管理帧的方式,此处不作具体限定,只要终端获取到周围ap发送的管理帧的任何方式均可。
之后,该终端通过已配置的预设规则和获取到的任一ap发送的管理帧来选取自己可以接入的安全合法的ap,该安全合法的ap是指与终端自身物理距离很近且配置有和该终端相同的dh密钥交换协议的ap(即目标ap)以便双方可以建立一种安全机制进行密钥协商,具体的,由于终端已根据步骤101配置有dh密钥交换协议,因此在终端发送出去的各个管理帧的帧体中均携带有承载dh密钥交换协议的安全客户无线局域网支持能力信元(英文名:securityguestwlansupportinformationelement,简称:sgwsie)用以表明自身是一个安全合法的设备,可以进行密钥协商,换言之,该sgwsie可以作为自身是否支持dh密钥交换协议的标识,同理,对于ap来说,只要是其发送的管理帧中的帧体中也携带有该sgwsie,则可以确定该ap也是配置有该dh密钥交换协议,在本发明实施例中,该终端可以根据接收到的管理帧的帧体中是否携带有sgwsie以及该管理帧对应的信号强度来判断哪个ap才是上述目标ap,具体的,假设该终端查找到携带有sgwsie的管理帧,并且携带有sgwsie的管理帧的信号强度大于预设阈值ra,则可以将携带有sgwsie的管理帧对应的ap确定为目标ap,该ra的值可根据实际应用场景来进行设置,此处不作具体限定。
步骤103、向所述目标ap发送包括用于密钥协商的公开参数的鉴权请求帧。
结合步骤102,在本步骤中,该终端根据确定出来的目标ap,向该目标ap发送鉴权请求帧(authenticationrequest帧),该authenticationrequest帧中包括用于密钥协商的公开参数p、q,该p、q来源于dh密钥交换协议定义的两个全局公开参数,p为素数和q为整数,p是q的一个原根。
步骤104、接收所述目标ap发送的鉴权成功响应帧。
其中,所述鉴权成功响应帧中包括目标公开参数,所述目标公开参数为所述目标ap接收所述终端发送的鉴权请求帧后,根据所述鉴权请求帧确定所述终端为合法终端后,并基于所述鉴权成功响应帧中的公开参数所确定的用于生成共享密钥的参数。
在本步骤中,该终端在向目标ap发送authenticationrequest帧后,该目标ap接收到该authenticationrequest帧,并根据该authenticationrequest帧中携带有sgwsie且该authenticationrequest帧的信号强度大于预设阈值rs确定出该终端为该目标ap可以连接的合法终端,该合法终端是指与该目标ap自身物理距离很近且配置有和该终端相同的dh密钥交换协议的终端以便双方可以建立一种安全机制进行密钥协商,该目标ap在确定该终端为认可的合法终端后,将该authenticationrequest帧中的公开参数提取出来与该目标ap自身推荐的公开参数进行比较,假设两个公开参数一致,则以该authenticationrequest帧中的公开参数作为该终端和该目标ap协商出来的目标公开参数,假设两个公开参数不一致,则以该目标ap推荐的公开参数作为该终端和该目标ap协商出来的目标公开参数,该目标ap自身推荐的公开参数是指该目标ap自身上存在的安全质量较好的公开参数,在本发明实施例中,以两个公开参数为一致做举例说明,即该该终端和该目标ap协商出来的目标公开参数为p、q,需要说明的是,上述rs的值也可根据实际应用场景来进行设置,可以与ra的值一致或不一致,此处不作具体限定。
然后,该目标ap根据确定出来的目标公开参数p、q向该终端发送鉴权成功响应帧(authenticationresponse帧)进行回复,其中,该authenticationresponse帧中包括该目标公开参数p、q,并随机产生一个私有参数sa,该私有参数为该目标ap的保密值,该目标ap将该私有参数sa和该目标公开参数p、q通过dh密钥交换协议进行计算生成一个临时值pda,该pda的计算方式为:pda=qsamodp,同时将该pda的值保存在本地。
步骤105、根据所述目标公开参数生成第一临时值。
在本步骤中,该终端根据接收到的authenticationresponse帧提取出该目标公开参数p、q,并随机产生一个私有参数ss,该私有参数ss为该终端的保密值,该终端将该私有参数ss和该目标公开参数p、q通过dh密钥交换协议进行计算生成一个临时值pds,该pds的计算方式为:pds=qsamodp,同时将该pds的值保存在本地。
步骤106、向所述目标ap发送包括所述第一临时值的关联请求帧,以便所述目标ap根据所述第一临时值生成所述共享密钥。
结合步骤105,在本步骤中,该终端根据生成的pds向该目标ap发送关联请求帧(associationrequest帧),以便该目标ap在接收到该associationrequest帧后提取出其中的临时值pds,该目标ap将该临时值pds和该目标公开参数p、q通过dh密钥交换协议进行计算生成一个密钥ka,该ka为该终端和该目标ap的共享密钥。
步骤107、接收所述目标ap发送的关联成功响应帧。
其中,所述关联成功响应帧中包括所述目标ap根据所述目标公开参数所生成的第二临时值。
结合步骤106,在本步骤中,在该终端向该目标ap发送associationrequest帧之后,会接收到该目标ap回复的关联成功响应帧(associationresponse帧),该associationresponse帧中包括该目标ap生成的临时值pda。
步骤108、根据所述第二临时值生成所述共享密钥,以便利用所述共享密钥进行身份认证接入所述目标ap。
在本步骤中,该终端根据接收到的associationresponse帧,提取出其中的临时值pda,,将该临时值pds和该目标公开参数p、q通过dh密钥交换协议进行计算生成一个密钥ks,同理,该ks为该终端和该目标ap的共享密钥,根据上述的交互过程,由于该终端和该目标ap在密钥协商的过程中将各自根据私有参数所生成的临时值进行了交互,所以它们的共享密钥k=ka=ks。
之后,该终端和该目标ap以该共享密钥k为基础生成一个预共享密钥,示例性的,可以将该共享密钥和相关参数(如该目标ap的bssid、终端的mac、目标ap的ssid等)进行密钥拓展生成一个预共享密钥,然后该终端使用该预共享密钥与该目标ap进行身份认证从而接入该目标ap,通过在合法终端和合法ap上配置一种相同的规则,使得二者建立一种安全机制以便进行密钥协商,合法终端的用户不用获取固定设置的预共享密钥,同时,合法ap的用户也不用频繁的更新预共享密钥,二者便可自动无感知的进行密钥交换,且每个终端以该共享密钥为基础所产生的预共享密钥是不一样的,既保证了网络的安全,也提升了合法用户的网络接入体验,需要说明的是,对于预共享密钥的生成方式以及后续的身份认证流程均为现有技术,此处不作具体阐述。
此外,在该终端接收到的associationresponse帧中还可以包括该共享密钥的有效周期,以便当该终端在断开与该目标ap的连接之后,可以在该共享密钥的有效期内继续就使用上述预共享密钥进行平滑接入,同时,该目标ap通过设置一个有效周期使得生成的预共享密钥呈现动态变化,使得同一个终端以每个有效周期得到的共享密钥为基础所产生的预共享密钥是不一样的,也进一步的提高了网络的安全。
本发明实施例提供了一种安全接入方法,包括:终端配置密钥协商的预设规则,根据所述预设规则和至少一个无线接入点ap发送的管理帧确定目标ap,然后向所述目标ap发送包括用于密钥协商的公开参数的鉴权请求帧,再接收所述目标ap发送的鉴权成功响应帧,并根据所述鉴权成功响应帧中的目标公开参数生成第一临时值,之后向所述目标ap发送包括所述第一临时值的关联请求帧,以便所述目标ap根据所述第一临时值生成所述共享密钥,再接收所述目标ap发送的关联成功响应帧,所述关联成功响应帧中包括所述目标ap根据所述目标公开参数所生成的第二临时值,最后根据所述第二临时值生成所述共享密钥,以便利用所述共享密钥进行身份认证接入所述目标ap,通过在终端上配置和ap相同的规则,使得双方在建立一种安全机制的基础上自动完成密钥的协商,整个交互过程不仅保障了网络的安全,同时也提升了合法用户的网络接入体验。
实施例2
如图2所示,为本发明实施例提供的另一种安全接入方法的流程图,应用于无线接入点ap,该方法包括:
步骤201、配置密钥协商的预设规则。
在本步骤中,在用户所使用的ap上配置一种预设规则,该预设规则使得该ap可以在一种安全机制下进行密钥协商,例如,该预设规则可以是diffie-hellman密钥交换协议(简写为dh密钥交换协议),这种密钥交换技术的目的在于使得两个用户安全地交换一个共享密钥以便用于以后的报文加密,本步骤是和上述如图1所示相对应的步骤,未详尽之处请参照如图1所述的方法步骤,在此不作具体阐述。
步骤202、根据所述预设规则和至少一个终端发送的鉴权请求帧确定合法终端,所述合法终端的鉴权请求帧中包括用于密钥协商的公开参数。
在本步骤中,该ap获取自身周围至少一个终端发送的鉴权请求帧(authenticationrequest帧),本步骤是和上述如图1所示相对应的步骤,未详尽之处请参照如图1所述的方法步骤,在此不作具体阐述。
之后,该ap在接收到任一终端发送的authenticationrequest帧后,结合自身配置的dh密钥交换协议的机制,再根据authenticationrequest帧中携带的支持上述dh密钥交换协议的标识且携带有该标识的authenticationrequest帧的信号强度大于预设阈值rs确定出该ap可以连接的合法终端,该合法终端的authenticationrequest帧中包括用于密钥协商的公开参数p、q,本步骤是和上述如图1所示相对应的步骤,未详尽之处请参照如图1所述的方法步骤,在此不作具体阐述。
步骤203、基于所述公开参数确定用于生成共享密钥的目标公开参数。
在本步骤中,该ap在确定出认可的合法终端后,将该合法终端发送的authenticationrequest帧中的公开参数p、q提取出来与该ap自身推荐的公开参数进行比较,假设两个公开参数一致,则以该合法终端的authenticationrequest帧中的公开参数作为协商出来的目标公开参数,假设两个公开参数不一致,则以该ap推荐的公开参数作为协商出来的目标公开参数,该ap自身推荐的公开参数是指该ap自身上存在的安全质量较好的公开参数,在本发明实施例中,以两个公开参数为一致做举例说明,即该该合法终端和该ap协商出来的目标公开参数为p、q,本步骤是和上述如图1所示相对应的步骤,未详尽之处请参照如图1所述的方法步骤,在此不作具体阐述。
步骤204、向所述合法终端发送鉴权成功响应帧。
其中,所述鉴权成功响应帧中包括所述目标公开参数,以便所述合法终端根据所述鉴权成功响应帧中的目标公开参数生成第一临时值。
在本步骤中,该ap根据确定出来的目标公开参数p、q向合法该终端发送鉴权成功响应帧(authenticationresponse帧)进行回复,其中,该authenticationresponse帧中包括该目标公开参数p、q,以便该合法终端随机产生一个私有参数ss,该私有参数ss为该合法终端的保密值,并将该私有参数ss和该目标公开参数p、q通过dh密钥交换协议进行计算生成一个临时值pds,该pds的计算方式为:pda=qsamodp,同时将该pds的值保存在本地,本步骤是和上述如图1所示相对应的步骤,未详尽之处请参照如图1所述的方法步骤,在此不作具体阐述。
步骤205、根据所述目标公开参数生成第二临时值。
在本步骤中,该ap随机产生一个私有参数sa,该私有参数为该目标ap的保密值,并将该私有参数sa和该目标公开参数p、q通过dh密钥交换协议进行计算生成一个临时值pda,该pda的计算方式为:pda=cisamodp,同时将该pda的值保存在本地,本步骤是和上述如图1所示相对应的步骤,未详尽之处请参照如图1所述的方法步骤,在此不作具体阐述。
步骤206、接收所述合法终端发送的包括所述第一临时值的关联请求帧。
在本步骤中,向该合法终端回复authenticationresponse帧后,该ap再接收该合法终端发送的关联请求帧(associationrequest帧),该associationrequest帧中包括该临时值pds,本步骤是和上述如图1所示相对应的步骤,未详尽之处请参照如图1所述的方法步骤,在此不作具体阐述。
步骤207、向所述合法终端发送关联成功响应帧。
其中,所述关联成功响应帧中包括所述第二临时值,以便所述合法终端根据所述第二临时值生成所述共享密钥。
在本步骤中,该ap接收到该合法终端发送的associationrequest帧后,向该合法终端发送关联成功响应帧(associationresponse帧)进行回复,该associationresponse帧中包括临时值pda,以便该合法终端再接收到该associationresponse帧后提取出其中的临时值pda,将该临时值pds和该目标公开参数p、q通过dh密钥交换协议进行计算生成一个密钥ks,该ks为该合法终端和该ap的共享密钥,本步骤是和上述如图1所示相对应的步骤,未详尽之处请参照如图1所述的方法步骤,在此不作具体阐述。
步骤208、根据所述第一临时值生成所述共享密钥,以便利用所述共享密钥对所述合法终端进行身份认证使得所述合法终端接入自身。
在本步骤中,该ap根据该临时值pds和该目标公开参数p、q通过dh密钥交换协议进行计算生成一个密钥ka,该ka为该合法终端和该ap的共享密钥,根据上述的交互过程,由于该终端和该目标ap在密钥协商的过程中将各自根据私有参数所生成的临时值进行了交互,所以它们的共享密钥k=ka=ks。
之后,该ap和该合法终端分别利用该共享密钥和相关参数(如该ap的bssid、该合法终端的mac、该ap的ssid等)进行密钥拓展生成一个预共享密钥,然后该合法终端使用该预共享密钥与该ap进行身份认证从而接入该ap,本步骤是和上述如图1所示相对应的步骤,未详尽之处请参照如图1所述的方法步骤,在此不作具体阐述。
本发明实施例提供了一种安全接入方法,包括:无线接入点ap配置密钥协商的预设规则,根据所述预设规则和至少一个终端发送的鉴权请求帧确定合法终端,基于所述合法终端发送的鉴权请求帧中的用于密钥协商的公开参数确定用于生成共享密钥的目标公开参数,然后向所述合法终端发送鉴权成功响应帧,所述鉴权成功响应帧中包括所述目标公开参数,以便所述合法终端根据所述鉴权成功响应帧中的目标公开参数生成第一临时值,再根据所述目标公开参数生成第二临时值,之后接收所述合法终端发送的包括所述第一临时值的关联请求帧,再向所述合法终端发送关联成功响应帧,所述关联成功响应帧中包括所述第二临时值,以便所述合法终端根据所述第二临时值生成所述共享密钥,最后根据所述第一临时值生成所述共享密钥,以便利用所述共享密钥对所述合法终端进行身份认证使得所述合法终端接入自身,通过在ap上配置和终端相同的规则,使得双方在建立一种安全机制的基础上自动完成密钥的协商,整个交互过程不仅保障了网络的安全,同时也提升了合法用户的网络接入体验。
实施例3
如图3所示,本发明实施例提供的一种终端300,包括:
配置模块301,用于配置密钥协商的预设规则;
获取模块302,用于获取至少一个无线接入点ap发送的管理帧;
处理模块303,用于根据所述预设规则和所述至少一个无线接入点ap发送的管理帧确定目标ap;
发送模块304,用于向所述目标ap发送包括用于密钥协商的公开参数的鉴权请求帧;
所述获取模块302还用于接收所述目标ap发送的鉴权成功响应帧,所述鉴权成功响应帧中包括目标公开参数,所述目标公开参数为所述目标ap接收所述终端发送的鉴权请求帧后,根据所述鉴权请求帧确定所述终端为合法终端后,并基于所述鉴权成功响应帧中的公开参数所确定的用于生成共享密钥的参数;
所述处理模块303还用于根据所述目标公开参数生成第一临时值;
所述发送模块304还用于向所述目标ap发送包括所述第一临时值的关联请求帧,以便所述目标ap根据所述第一临时值生成所述共享密钥;
所述获取模块302还用于接收所述目标ap发送的关联成功响应帧,所述关联成功响应帧中包括所述目标ap根据所述目标公开参数所生成的第二临时值;
所述处理模块303还用于根据所述第二临时值生成所述共享密钥;
认证模块305,用于利用所述共享密钥进行身份认证接入所述目标ap。
进一步的,所述处理模块303具体用于:当所述终端获取到的任一ap发送的管理帧中存在支持所述预设规则的标识,且所述支持所述预设规则的标识的管理帧的信号强度大于预设阈值,则确定所述任一ap为目标ap。
进一步的,所述处理模块303具体还用于:利用自身随机生成的私有参数和所述目标公开参数通过所述预设规则生成一个临时值;
所述处理模块303还用于:利用所述私有参数和所述第二临时值通过所述预设规则生成所述共享密钥。
进一步的,所述预设规则为dh(英文名:deffie-hellman)密钥交换协议。
本发明实施例所提供的一种终端300,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,相应的产品实施例部分未提及之处,可参考如图1方法实施例中相应内容,此处不再赘述。
本发明实施例提供了一种终端,包括:所述终端的配置模块配置密钥协商的预设规则,获取模块再获取至少一个无线接入点ap发送的管理帧,然后处理模块根据所述预设规则和所述至少一个无线接入点ap发送的管理帧确定目标ap,之后发送模块向所述目标ap发送包括用于密钥协商的公开参数的鉴权请求帧,获取模块再接收所述目标ap发送的鉴权成功响应帧,所述鉴权成功响应帧中包括目标公开参数,然后所述处理模块根据所述鉴权成功响应帧中的目标公开参数生成第一临时值,之后所述发送模块向所述目标ap发送包括所述第一临时值的关联请求帧,以便所述目标ap根据所述第一临时值生成所述共享密钥,所述获取模块再接收所述目标ap发送的关联成功响应帧,所述关联成功响应帧中包括所述目标ap根据所述目标公开参数所生成的第二临时值,所述处理模块再根据所述第二临时值生成所述共享密钥,最后认证模块利用所述共享密钥进行身份认证接入所述目标ap,通过在终端上配置和ap相同的规则,使得双方在建立一种安全机制的基础上自动完成密钥的协商,整个交互过程不仅保障了网络的安全,同时也提升了合法用户的网络接入体验。
实施例4
如图4所示,本发明实施例提供的一种无线接入点ap400,包括:
配置模块401,用于配置密钥协商的预设规则;
获取模块402,用于获取至少一个终端发送的鉴权请求帧;
处理模块403,用于根据所述预设规则和所述至少一个终端发送的鉴权请求帧确定合法终端,所述合法终端的鉴权请求帧中包括用于密钥协商的公开参数;
所述处理模块403还用于基于所述公开参数确定用于生成共享密钥的目标公开参数;
发送模块404,用于向所述合法终端发送鉴权成功响应帧,所述鉴权成功响应帧中包括所述目标公开参数,以便所述合法终端根据所述鉴权成功响应帧中的目标公开参数生成第一临时值;
所述处理模块403还用于根据所述目标公开参数生成第二临时值;
所述获取模块402还用于接收所述合法终端发送的包括所述第一临时值的关联请求帧;
所述发送模块404还用于向所述合法终端发送关联成功响应帧,所述关联成功响应帧中包括所述第二临时值,以便所述合法终端根据所述第二临时值生成所述共享密钥;
所述处理模块403还用于根据所述第一临时值生成所述共享密钥;
认证模块405,用于利用所述共享密钥对所述合法终端进行身份认证使得所述合法终端接入自身。
进一步的,所述处理模块403具体用于:当所述ap获取到的任一终端发送的鉴权请求帧中存在支持所述预设规则的标识,且所述支持所述预设规则的标识的鉴权请求帧的信号强度大于预设阈值,则确定所述任一终端为合法终端。
进一步的,所述处理模块403具体还用于:判断所述合法终端的鉴权请求帧中的公开参数与自身推荐的公开参数是否一致,若是,则以所述合法终端的鉴权请求帧中的公开参数作为所述目标公开参数,若否,则以所述自身推荐的公开参数作为所述目标参数。
进一步的,所述处理模块403具体还用于:利用自身随机生成的私有参数和所述目标公开参数通过所述预设规则生成一个临时值;
所述处理模块403还用于:利用所述私有参数和所述第一临时值通过所述预设规则生成所述共享密钥。
进一步的,所述预设规则为dh(英文名:deffie-hellman)密钥交换协议。
本发明实施例所提供的一种无线接入点ap400,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,相应的产品实施例部分未提及之处,可参考如图2方法实施例中相应内容,此处不再赘述。
本发明实施例提供了一种无线接入点ap,包括:所述ap的配置模块配置密钥协商的预设规则,获取模块再获取至少一个终端发送的鉴权请求帧,然后处理模块根据所述预设规则和所述至少一个终端发送的鉴权请求帧确定合法终端,所述处理模块再基于所述合法终端发送的鉴权请求帧中的公开参数确定用于生成共享密钥的目标公开参数,之后发送模块向所述合法终端发送鉴权成功响应帧,所述鉴权成功响应帧中包括所述目标公开参数,以便所述合法终端根据所述鉴权成功响应帧中的目标公开参数生成第一临时值,然后所述处理模块根据所述目标公开参数生成第二临时值,所述获取模块再接收所述合法终端发送的包括所述第一临时值的关联请求帧,之后所述发送模块向所述合法终端发送关联成功响应帧,所述关联成功响应帧中包括所述第二临时值,以便所述合法终端根据所述第二临时值生成所述共享密钥,然后所述处理模块根据所述第一临时值生成所述共享密钥,最后认证模块利用所述共享密钥对所述合法终端进行身份认证使得所述合法终端接入自身,通过在ap上配置和终端相同的规则,使得双方在建立一种安全机制的基础上自动完成密钥的协商,整个交互过程不仅保障了网络的安全,同时也提升了合法用户的网络接入体验。
本发明实施例还提供一种安全接入系统,该系统包括实施例3中所述的终端和实施例4中所述的无线接入点ap,本系统中的终端和ap分别在实施例3和实施例4中有详细说明,在此不再赘述。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可,终端可以为手机、平板电脑、笔记本电脑、umpc(ultra-mobilepersonalcomputer,超级移动个人计算机)、上网本、pda(personaldigitalassistant,个人数字助理)等。
此外,在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,笔记本电脑,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!