一种无线局域网认证机制的改进方法

一种无线局域网认证机制的改进方法
【专利摘要】本发明提供一种无线局域网认证机制的改进方法，双向认证过程中无线访问接入点向客户端明文发送认证成功报文后，包括步骤：提供一第一加密参数，该第一加密参数经客户端加密、无线访问接入点解密、无线访问接入点加密以及客户端解密处理后，仍然没有发生改变，则判定该无线访问接入点合法；提供一第二加密参数，在无线访问接入点对该第二加密参数进行加密、客户端解密、客户端再加密以及无线访问接入点再解密处理后，仍然没有发生改变，则判定整个认证过程完成。本发明能够有效防止“中间人攻击”，即非法用户不能够通过该合法用户的端口接入网络，从而避免了“通信劫持”攻击。
【专利说明】
一种无线局域网认证机制的改进方法
技术领域
[0001]本发明涉及通信技术领域，尤其涉及一种无线局域网认证机制的改进方法。
【背景技术】
[0002]随着无线网络的发展，越来越多的人在使用无线的方式接入网络。由于无线信道的开放性，入侵者很容易通过扫描或监听的方式截取无线数据或者接入无线网络，因此无线网络的安全问题越来越受到人们的重视。为了保护无线网络的安全，人们采用对终端认证的方式，目前人们一般采用IEEE 802.1X协议或EAP-TLS(基于数字证书的双向认证)的方式实现对设备的接入认证。
[0003]IEEE 802.1X协议的主要目的是为了解决无线局域网用户的接入验证问题。EAP-TLS认证提供了一种基于数字证书的双向认证，它需要通过安全连接在STA( Stat 1n，客户端)和RADIUS(Remote Authenticat1n Dial In User Service，远程用户拨号认证系统)服务器端事先发布认证使用的数字证书。EAP-TLS既提供认证，又提供动态会话钥匙分发。RADIUS服务器需要支持EAP-TLS认证，和认证数字证书的管理能力，只有在双向认证通过以后，服务器才向AP (Wire I ess Access Point，无线访问接入点)发送EAP_Success(认证成功)报文，指示客户端可以接收数据流，该报文同时触发了对数据流加密，在加密密钥建立之前，客户端不发送数据。
[0004]虽然EAP-TLS认证是基于STA和RADIUS服务器的双向认证，并且在认证过程中采用了预先颁发的数字证书上的密钥，但并没有对选用的AP进行充分的验证，AP被默认为是可靠的，因此就会有恶意的用户冒充AP，通过发送未受保护的EAP-Success等信息欺骗用户，使得用户连接到非法AP上，从而获得用户的所有网络通信，甚至可通过发送去关联帧使合法用户断开连接。而AP不知道合法用户已断开连接，继续进行通信，此时非法用户可以通过该合法用户的端口接入网络，从而进行“通信劫持”攻击。

【发明内容】

[0005]鉴于上述问题，本申请记载了一种无线局域网认证机制的改进方法，应用于客户端通过无线访问接入点与认证服务器之间进行基于数字证书的双向认证，其中，所述双向认证过程中所述无线访问接入点向所述客户端明文发送认证成功报文后，还包括以下步骤:
[0006]步骤S1、所述客户端将一第一加密参数以一预设的加密算法加密形成一第一报文发送至所述无线访问接入点；
[0007]步骤S2、所述无线访问接入点收到所述第一报文后根据所述加密算法对所述第一报文解密获得所述第一加密参数，并将所述第一加密参数与一第二加密参数分别以所述加密算法加密后组合形成一第二报文发送至所述客户端；
[0008]步骤S3、所述客户端根据所述加密算法解密收到所述第二报文，以获得所述第二报文中的第一加密参数以及所述第二加密参数；
[0009]步骤S4、所述客户端判断所述第一加密参数与所述第二报文中获得的第一加密参数是否相同，如不相同判断所述无线访问接入点非法，并退出；
[0010]步骤S5、所述客户端将所述第二报文中获得的所述第二加密参数以所述加密算法加密后形成一第三报文发送至所述无线访问接入点；
[0011]步骤S6、所述无线访问接入点根据所述加密算法解密收到所述第三报文，以获得所述第三报文中的第二参数；
[0012]步骤S7、所述无线访问接入点判断所述第二加密参数与所述第三报文中的第二加密参数是否相同，如不相同则向所述客户端返回认证失败，并退出；
[0013]步骤S8、所述无线访问接入点向所述客户端返回认证成功。
[0014]较佳的，所述步骤S8包括以下步骤:
[0015]步骤S81、所述无线访问接入点将一安全密钥及所述认证成功报文通过所述加密算法加密形成一第四报文发送至所述客户端；
[0016]步骤S82、所述客户端根据所述加密算法解密收到所述第四报文，以获得所述安全密钥及所述认证成功报文；
[0017]步骤S83、所述客户端向用户显示所述认证成功报文，并以所述安全密钥与所述无线访问接入点进行通信。
[0018]较佳的，所述第一加密参数为所述客户端随机生成。
[0019]较佳的，所述第二加密参数为所述无线访问接入点随机生成。
[0020]较佳的，所述加密算法为所述客户端与所述无线访问接入点事先约定。
[0021 ]较佳的，于所述安全密钥为所述无线访问接入点通过哈希算法生成。
[0022]较佳的，所述哈希算法为MD5算法。
[0023]较佳的，所述认证服务器提供一口令规则，所述双向认证过程中所述无线访问接入点向所述客户端明文发送认证成功报文之前还包括:
[0024]步骤S01、所述认证服务器向所述客户端发送身份请求及关联于所述口令规则的请求口令；
[0025]步骤S02、所述客户端接收所述身份请求后，返回所述客户端的身份以及对应所述请求口令的应答口令；
[0026]步骤S03、所述认证服务器根据所述口令规则判断接收到的所述应答口令是否正确，如正确执行步骤S05;
[0027]步骤S04、判断所述客户端应答口令不正确的次数是否达到一预设值，如未达到则记录所述客户端对应的应答口令不正确次数后返回所述步骤SOl，如达到则于一预定时间周期内忽略所述客户端的请求，并退出；
[0028]步骤S05、继续认证过程。
[0029]较佳的，所述口令规则为，提供一与所述客户端共享的口令表，所述口令表中储存至少一个请求口令，及与所述请求口令一一对应的应答口令，所述认证服务器发送所述请求口令后判断接收到的所述应答口令是否与所述口令表中所述请求口令对应的应答口令一致，如一致判断应答口令正确，如不一致则判断应答口令不正确;和/或
[0030]所述步骤S04中于所述预定时间周期内忽略所述客户端请求的方法为，提供一静默列表，将所述客户端加入所述静默列表，所述认证服务器忽略所述静默列表中所有终端的请求，于所述预定时间周期后将所述客户端于所述静默列表中删除;和/或
[0031]所述预设值为3;和/或
[0032]所述预定时间周期为3分钟。
[0033]较佳的，所述认证服务器为RADIUS服务器。
[0034]上述技术方案具有如下优点或有益效果:本发明通过对客户端和无线访问接入点的双向认证，能够有效防止“中间人攻击”，即非法用户不能够通过该合法用户的端口接入网络，从而避免了 “通信劫持”攻击。
【附图说明】
[0035]参考所附附图，以更加充分的描述本发明的实施例。然而，所附附图仅用于说明和阐述，并不构成对本发明范围的限制。
[0036]图1为本发明一种无线局域网认证机制的改进方法的流程示意图一；
[0037]图2为本发明一种无线局域网认证机制的改进方法的流程示意图二；
[0038]图3为本发明一种无线局域网认证机制的改进方法的流程示意图三。
【具体实施方式】
[0039]下面结合附图和具体实施例对本发明一种无线局域网认证机制的改进方法进行详细说明。
[0040]一种无线局域网认证机制的改进方法，应用于客户端通过无线访问接入点与认证服务器之间进行基于数字证书的双向认证，其中，如图1所示，双向认证过程中无线访问接入点向客户端明文发送认证成功报文后，还包括以下步骤:
[0041]步骤S1、客户端将一第一加密参数，利用预设的加密算法加密将第一加密算法加密形成一第一报文发送至无线访问接入点；
[0042]步骤S2、无线访问接入点收到第一报文后根据上述加密算法对该第一报文解密以获得第一加密参数，并将该第一加密参数与一第二加密参数分别以上述加密算法加密后组合形成一第二报文发送至客户端；
[0043]步骤S3、客户端根据加密算法解密收到的第二报文，以获得第二报文中的第一加密参数以及第二加密参数；
[0044]步骤S4、客户端判断第一加密参数与第二报文中获得的第一加密参数是否相同，如不同判断无线访问接入点非法，并退出；
[0045]步骤S5、客户端将第二报文中获得的第二加密参数以加密算法加密后形成一第三报文发送至无线访问接入点；
[0046]步骤S6、无线访问接入点根据加密算法解密收到的第三报文，以获得第三报文中的第二参数；
[0047]步骤S7、无线访问接入点判断第二加密参数与第三报文中的第二加密参数是否相同，如不相同向客户端返回认证失败，并退出；
[0048]步骤S8、无线访问接入点向客户端返回认证成功。
[0049]具体来说，上述提出的无线局域网认证机制的改进方法中，首先利用客户端将一第一加密参数以一预定的加密算法进行加密处理，以形成一第一报文，并将该第一报文发送至无线访问接入点。之后，无线访问接入点根据加密算法对该第一报文进行解密处理，以获取第一加密参数。然后，再提供一第二加密参数，将第一加密参数和第二加密参数分别以上述加密算法进行加密，将加密结果组合后形成一第二报文，将该第二报文发送至客户端。客户端收到该第二报文后，进行解密处理，以获得第二报文中的第一加密参数和第二加密参数。此时，客户端需要判断第二报文中解密后获取的第一加密参数是否与开始提供的第一加密参数相同，若不相同，说明该无线访问接入点非法，退出整个操作;若相同，继续执行后续步骤。简单来说，即客户端提供一第一加密参数，该第一加密参数经客户端加密、无线访问接入点解密、无线访问接入点加密以及客户端解密处理后，仍然没有发生改变，则此时判定该无线访问接入点合法。
[0050]但是，判定无线访问接入点合法还不能够保证认证过程的可靠性，所以在无线访问接入点对第一报文解密获得第一加密参数的同时，还需要提供一第二加密参数，在无线访问接入点对该第二加密参数进行加密、客户端解密、客户端再加密以及无线访问接入点再解密处理后，仍然没有发生改变，则此时判定整个认证过程完成。
[0051]值得指出的是，在判定无线访问接入点不合法时，不再对解密后的第二加密参数进行加密处理，即在判定无线访问接入点不合法时，不再进行后续的认证过程，直接判定认证失败。
[0052]此外，在通过第二加密参数进行验证时，首先要通过无线访问接入点将第一加密参数和第二加密参数分别以加密算法加密后组合形成一第二报文，并将该第二报文发送至客户端。然后客户端再根据该第二报文，解析出第一加密参数和第二加密参数，当此时判断从第二报文中解析出的第一加密参数与之前提供的第一加密参数相同时，再将该第二加密参数以加密算法加密，形成一第三报文，并发送至无线访问接入点。然后，无线访问接入点根据加密算法解密接收到的第三报文，获取该第三报文中的第二加密参数。最后，无线访问接入点判断第三报文中的第二加密参数是否与之前预设的第二加密参数相同。不相同，则说明认证失败，向客户端返回认证失败信息，并退出；若不相同，则该无线访问接入点向客户端返回认证成功信息。
[0053]于优选的实施例，上述预设的加密算法可通过客户端和无线访问输入端事先约定秘钥的形式实现。
[0054]进一步优选的实施例中，上述第一加密参数是客户端随机生产的。
[0055]进一步优选的实施例中，上述第二加密参数是无线访问接入点随机生产。
[0056]进一步优选的实施例中，加密算法为客户端与无线访问接入点事先约定的。
[0057]进一步优选的实施例中，如图2所示，在步骤S8中，具体包括以下步骤:
[0058]步骤S81、无线访问接入点将一安全密钥及认证成功报文通过加密算法形成一第四报文发送至客户端；
[0059]步骤S82、客户端根据加密算法解密收到的第四报文，以获得安全密钥及认证成功报文；
[0060]步骤S83、客户端向用户显示该认证成功报文，并将该安全密钥与该无线访问接入点之间进行通信。
[0061 ]具体来说，在判定无线访问接入点认证成功的同时，该无线访问接入点将一安全密钥及认证成功报文通过加密算法形成一第四报文发送至客户端，客户端根据加密算法解密该第四报文，以获取安全密钥和认证成功报文。最后，在客户端显示该认证成功报文，并将该安全密钥与该无线访问接入点之间进行通信。
[0062]进一步优选的实施例中，上述安全密钥是无线访问接入点通过哈希算法生成的。
[0063]进一步优选的实施例中，上述哈希算法可以为MD5算法。
[0064]进一步优选的实施例中，在本实施例提供的方法中，还包括步骤:
[0065]于认证失败后，返回至步骤客户端生成一第一加密参数，以进行下一轮认证过程。
[0066]通过对AP—STA的双向认证方式，可以防止遭到非法AP的劫持和可能产生的中间人攻击。
[0067]此外，上述方法是客户端对无线访问接入点的认证，除此之外，在经数字证书的双向认证过程中，还需要对客户端进行认证。具体来说，认证服务器提供一口令规则，如图3所示，双向认证过程中无线访问接入点向客户端明文发送认证成功报文之前还包括步骤:
[0068]步骤S01、认证服务器向客户端发送身份请求及关联于该口令规则的请求口令；
[0069]步骤S02、客户端接收身份请求后，返回客户端的身份以及对应请求口令的应答口令；
[0070]步骤S03、认证服务器根据口令规则判断接收到的应答口令是否正确，如正确执行步骤S05;
[0071]步骤S04、判断客户端应答口令不正确的次数是否达到一预设值;如未达到则记录客户端对应的应答口令不正确次数后返回步骤SOl，如达到则于一预定时间周期内忽略客户端的请求，并退出；
[0072]步骤S05、继续认证过程。
[0073]具体来说，为了防止恶意客户端加入无线访问接入点，则在可靠的客户端和认证服务器中都预先存储一口令规则。即在认证服务器通过安全方式预先共享一份口令规则，该口令规则中包括一一对应的口令请求和应答口令。所以在对客户端进行认证过程中，先由认证服务器向客户端发送身份请求以及关联该口令规则的请求口令，客户端接收到该身份请求后，将客户端的身份和对应请求口令的应答口令发送至认证服务器。认证服务器计算该口令的哈希值，并哈希值和口令规则中该请求口令对应的应答口令是否相同，若相同，则证明该客户端身份合法，则继续执行上述认证过程。简单来说，在认证服务器中通过安全方式预先共享一份口令规则，以认证服务器发出身份请求和请求口令一一返回客户端的额身份以及请求口令对应的应答口令一一认证服务器判断该应答口令是否正确这一过程，完成对客户端的认证。
[0074]值得指出的是，如果口令不正确，还需要判断客户端应答口令不正确的次数是否达到一预设值，如未达到则记录客户端对应的应答口令不正确次数，然后返回执行步骤S01;如果达到，则于一预定时间周期内忽略客户端的请求，并退出。
[0075]通过于预定时间周期内忽略多次认证失败的客户端的请求，可防止具有恶意的客户端发起拒绝攻击。
[0076]进一步优选的实施例中，上述提出的口令规则为:提供一与客户端共享的口令表，该口令表中储存至少一个请求口令及与该请求口令一一对应的应答口令。认证服务器发送请求口令后判断接收到的应答口令是否与口令表中请求口令对应的应答口令一致，如一致判断应答口令正确;如不一致则判断应答口令不正确。
[0077]进一步优选的实施例中，还可以提供一静默表，将客户端加入静默列表，认证服务器忽略静默列表中所有终端的请求，于预定时间周期后将客户端于静默列表中删除。通过该静默表，实现了于预定时间周期内忽略客户端请求的效果。
[0078]近一步来讲，预设值可以为3。
[0079]近一步来讲，预定时间周期可以为3分钟。
[0080]本发明通过对客户端和无线访问接入点的双向认证，能够有效防止“中间人攻击”。同时，增加对用户身份的第一时间识别，判定攻击者，从而阻止它们的攻击行为。简言之，本发明提供了一种对802.1X认证的改进方案，使得无线设备能更加安全稳定地运行，不会因为来自其它恶意非法无线设备的攻击，出现正常用户无法接入网络、上网体验下降，甚至设备死机瘫痪、重启等故障。
[0081]对于本领域的技术人员而言，阅读上述说明后，各种变化和修正无疑将显而易见。因此，所附的权利要求书应看作是涵盖本发明的真实意图和范围的全部变化和修正。在权利要求书范围内任何和所有等价的范围与内容，都应认为仍属本发明的意图和范围内。
【主权项】
1.一种无线局域网认证机制的改进方法，应用于客户端通过无线访问接入点与认证服务器之间进行基于数字证书的双向认证，其特征在于，所述双向认证过程中所述无线访问接入点向所述客户端明文发送认证成功报文后，还包括以下步骤: 步骤S1、所述客户端将一第一加密参数以一预设的加密算法加密形成一第一报文发送至所述无线访问接入点； 步骤S2、所述无线访问接入点收到所述第一报文后根据所述加密算法对所述第一报文解密获得所述第一加密参数，并将所述第一加密参数与一第二加密参数分别以所述加密算法加密后组合形成一第二报文发送至所述客户端； 步骤S3、所述客户端根据所述加密算法解密收到所述第二报文，以获得所述第二报文中的第一加密参数以及所述第二加密参数； 步骤S4、所述客户端判断所述第一加密参数与所述第二报文中获得的第一加密参数是否相同，如不相同判断所述无线访问接入点非法，并退出； 步骤S5、所述客户端将所述第二报文中获得的所述第二加密参数以所述加密算法加密后形成一第三报文发送至所述无线访问接入点； 步骤S6、所述无线访问接入点根据所述加密算法解密收到所述第三报文，以获得所述第三报文中的第二参数； 步骤S7、所述无线访问接入点判断所述第二加密参数与所述第三报文中的第二加密参数是否相同，如不相同则向所述客户端返回认证失败，并退出； 步骤S8、所述无线访问接入点向所述客户端返回认证成功。2.根据权利要求1所述的无线局域网认证机制的改进方法，其特征在于，所述步骤S8包括以下步骤: 步骤S81、所述无线访问接入点将一安全密钥及所述认证成功报文通过所述加密算法加密形成一第四报文发送至所述客户端； 步骤S82、所述客户端根据所述加密算法解密收到所述第四报文，以获得所述安全密钥及所述认证成功报文； 步骤S83、所述客户端向用户显示所述认证成功报文，并以所述安全密钥与所述无线访问接入点进行通信。3.根据权利要求1所述的无线局域网认证机制的改进方法，其特征在于，所述第一加密参数为所述客户端随机生成。4.根据权利要求1所述的无线局域网认证机制的改进方法，其特征在于，所述第二加密参数为所述无线访问接入点随机生成。5.根据权利要求1所述的无线局域网认证机制的改进方法，其特征在于，所述加密算法为所述客户端与所述无线访问接入点事先约定。6.根据权利要求2所述的无线局域网认证机制的改进方法，其特征在于，于所述安全密钥为所述无线访问接入点通过哈希算法生成。7.根据权利要求6所述的无线局域网认证机制的改进方法，其特征在于，所述哈希算法为MD5算法。8.根据权利要求1所述的无线局域网认证机制的改进方法，其特征在于，所述认证服务器提供一口令规则，所述双向认证过程中所述无线访问接入点向所述客户端明文发送认证成功报文之前还包括: 步骤S01、所述认证服务器向所述客户端发送身份请求及关联于所述口令规则的请求口令； 步骤S02、所述客户端接收所述身份请求后，返回所述客户端的身份以及对应所述请求口令的应答口令； 步骤S03、所述认证服务器根据所述口令规则判断接收到的所述应答口令是否正确，如正确执行步骤S05; 步骤S04、判断所述客户端应答口令不正确的次数是否达到一预设值，如未达到则记录所述客户端对应的应答口令不正确次数后返回所述步骤SOl，如达到则于一预定时间周期内忽略所述客户端的请求，并退出； 步骤S05、继续认证过程。9.根据权利要求8所述的无线局域网认证机制的改进方法，其特征在于，所述口令规则为，提供一与所述客户端共享的口令表，所述口令表中储存至少一个请求口令，及与所述请求口令一一对应的应答口令，所述认证服务器发送所述请求口令后判断接收到的所述应答口令是否与所述口令表中所述请求口令对应的应答口令一致，如一致判断应答口令正确，如不一致则判断应答口令不正确;和/或 所述步骤S04中于所述预定时间周期内忽略所述客户端请求的方法为，提供一静默列表，将所述客户端加入所述静默列表，所述认证服务器忽略所述静默列表中所有终端的请求，于所述预定时间周期后将所述客户端于所述静默列表中删除;和/或 所述预设值为3;和/或 所述预定时间周期为3分钟。10.根据权利要求1所述的无线局域网认证机制的改进方法，其特征在于，所述认证服务器为RADIUS服务器。
【文档编号】H04L29/06GK105828332SQ201610284755
【公开日】2016年8月3日
【申请日】2016年4月29日
【发明人】刘军华
【申请人】上海斐讯数据通信技术有限公司