专利名称:一种无线局域网络接入方法及系统的制作方法
技术领域:
本发明涉及通信技术领域,具体涉及一种无线局域网络接入方法及系统。
背景技术:
基于IEEE802. 11 标准的无线局域网络(Wireless Local Area Networks, WLAN)利用射频(Radio Frequency, RF)技术,在局域网络环境中使用不需授权的2. 4G或5. 8GHz波段进行无线数据传输。客户端通过扫描侦听无线接入点(Access Point,AP)广播的带有SSID (Service Set ID)信息的信标巾贞(Beacon Frame),从而识别出不同的WLAN网络,并按照IEEE802. 11协议与AP进行关联和数据转发。该技术目前被广泛应用在家庭、企业和Internet接入点,正在成为主流的互联网接入手段。·在WLAN环境中,客户端通过扫描侦听AP广播的SSID可以看到有哪些WLAN正在提供接入服务。这些WLAN信号中,有些是可信任的官方发布的,有些则可能是私人发布的,而有些可能是基于“钓鱼”目的恶意发布的。这些“钓鱼”信号通过伪装成受信任的官方信号进行广播,以吸引不明真相的客户端接入到该WLAN网络,从而获取用户的私密信息。不幸的是,在目前的WLAN系统中,没有提供用于鉴别WLAN信号可信程度的有效方法,这为“钓鱼”网络提供了可乘之机。
发明内容
(一)要解决的技术问题本发明主要解决目前的WLAN系统中无法鉴别WLAN信号的可信程度的技术问题,本发明通过采用非对称加密方式,使客户端能够区分出哪些网络信号是可信任的官方信号,哪些是不可信任的,从而有效避免用户接入到“钓鱼”网络中。(二)技术方案为解决上述问题,本发明提供了一种无线局域网络接入方法,包括以下步骤SI、根据非对称密钥体制算法生成一对密钥,包括公钥和私钥,其中所述私钥由网络管理器秘密保管,所述公钥制成数字证书供无线客户端安装;S2、所述网络管理器将所述私钥导入无线接入点或无线接入控制器,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密,然后将加密后的网络信号发出;S3、当所述无线客户端侦听到上述加密后的网络信号时,调用数字证书中的公钥对上述信号进行解密,如果能够成功解密,则判断此网络信号可信任。进一步的,所述步骤S2中,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密具体包括所述无线接入点或无线接入控制器使用所述私钥对所有可信任方的信标帧进行加密。进一步的,若所述无线接入点AP为胖AP,则将所述私钥导入到该胖AP中;若所述AP为瘦AP,则将所述私钥导入到负责管理该瘦AP的无线接入控制器AC中。进一步的,所述网络管理器根据实际情况为每个胖AP或每个AC单独导入一份私钥,或者,为多个胖AP或多个AC导入相同的私钥,若是后者,则所述多个胖AP或多个AC使用相同的私钥加密信标帧。进一步的,若所述网络管理器将所述私钥导入AC,则该AC所管辖的所有瘦AP都使用该私钥加密信标帧,接入该网络的无线客户端只要其所关联的瘦AP属于该AC管辖,都能够使用相同的公钥解密信标帧。进一步的,所述步骤S3中,所述无线客户端调用 数字证书中的公钥对上述信号进行解密具体包括所述无线客户端的无线网卡驱动程序通过操作系统标准API接口调用数字证书中的公钥,对侦听到的信标帧进行解密。进一步的,该方法还包括所述无线客户端安装有多个网络的数字证书,这些数字证书需按顺序或索引值组成证书池,当对侦听到的信标帧进行解密的时候,如果一份证书所携带的公钥无法成功解密信标帧,则按顺序或索引值尝试下一份证书的公钥,只要有一份证书能够成功解密信标帧,则标识该网络信号为“可信任网络信号”,若证书池中的所有数字证书都无法成功解密信标帧,则标识该网络信号为“不可信任网络信号”。本发明还提供了一种无线局域网络接入系统,该系统包括网络管理器,用于保管私钥,并将所述私钥导入无线接入点或无线接入控制器,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密;无线客户端,用于安装带有公钥的数字证书,并调用数字证书中的公钥对加密后的网络信号进行解密。进一步的,所述无线客户端存储有数字证书池,该数字证书池包括所述无线客户端所安装的无线局域网络的多个数字证书,用于按顺序或索引值提供公钥。进一步的,所述私钥和公钥由非对称密钥体制算法生成。(三)有益效果本发明能够有效避免用户接入到“钓鱼”网络中,达到保护隐私和安全上网的效
果O
图I是本发明方法的流程图;图2是本发明具体实施例的示意图;图3是本发明系统的结构图。
具体实施例方式下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。本发明的核心是采用非对称加密方式,将私钥导入无线接入点(Access Point,AP)或无线接入控制器(Access Controller, AC),从而可以使无线设备对携带WLAN信息的信标帧进行私钥加密;同时,客户端通过安全渠道安装带有对应公钥的数字证书,使得客户端能够通过公钥对扫描侦听到的信标帧进行解密,能够成功解密的则为可信任官方信号,不能解密的则为不可信任的信号。在此基础上,对这些网络信号的可信程度进行标识,可以对用户起到警示提醒的作用,从而有效避免用户接入到“钓鱼”网络中。图I是本发明方法的流程图,具体包括以下步骤步骤SI,根据非对称密钥体制算法生成一对密钥,包括公钥和私钥,其中所述私钥由网络管理器秘密保管,所述公钥制成数字证书供无线客户端安装。步骤S2,所述网络管理器将所述私钥导入AP或AC,所述AP或AC使用所述私钥对网络信号进行加密,然后将加密后的网络信号发出。具体为网络管理器首先将私钥导入AP或AC,然后所有可信任方的信标帧经该私钥加密后进行广播发布。在上述过程中·
I)若AP为“胖AP” (fat AP),则需要将私钥导入到“胖AP”中;若AP为“瘦AP”(fit AP),则需要将私钥导入到负责管理该瘦AP的AC中。2)网络管理器可以根据实际情况,决定是为每个胖AP或每个AC单独导入一份私钥,还是同时为多个胖AP或多个AC导入相同私钥;若是后者,则所有这些AP或AC将使用相同的私钥加密信标帧。3)如果将私钥导入AC,则该AC所管辖的所有瘦AP都将广播使用该私钥加密的信标帧,即接入该WLAN的用户只要其所关联的AP属于该AC管辖,则都可以使用相同的公钥解密信标帧。4)由于本发明的主要目的是标识哪些WLAN信号是可信的,因此只需使用私钥加密信标帧即可,客户端与AP之间的关联和通信操作可以不采用非对称密钥体制算法,这样可以有效提闻通彳目效率。5)为了使客户端能够区分出哪些Beacon帧需要使用证书解密,哪些不需要解密,需要对Beacon帧的某些位段进行自定义,这些自定义字段不能被私钥加密。步骤S3,当所述无线客户端侦听到上述加密后的网络信号时,调用数字证书中的公钥对上述信号进行解密,如果能够成功解密,则判断此网络信号可信任。具体为客户端首先通过安全渠道获得带有公钥的数字证书(例如,从网络管理器的网站下载数字证书),并安装在客户端操作系统中。当客户端扫描侦听到AP发出的WLAN信号时,无线网卡驱动程序通过操作系统标准API接口调用数字证书中的公钥,对扫描侦听到的信标帧进行解密,从而判断该SSID是否为可信WLAN信号。由于客户端可能会在操作系统中安装多个WLAN网络的数字证书,因此这些数字证书需要按顺序或索引值组成“证书池”。当对扫描侦听到的信标帧进行解密的时候,如果一份证书所携带的公钥无法成功解密信标帧,则按顺序或索引值尝试下一份证书的公钥。只要有一份证书能够成功解密信标帧,则标识该WLAN信号为“可信任WLAN信号”;若“证书池”中的所有数字证书都无法成功解密信标帧,则标识该WLAN信号为“不可信任WLAN信号”。图2是本发明一个具体实施例的不意图,有两颗AP在广播相同的WLAN信号“LAB”,其中AP-Good是WLAN管理器部署的AP,AP-Fake是一颗“钓鱼”AP。AP-Good发布的SSID信号经过私钥加密,而AP-Fake发布的SSID信号未经加密。
笔记本notebook可同时接收到两颗AP广播的SSID信号。由于notebook已经从WLAN管理器网站下载安装了官方数字证书,因此可以对AP-Good发布的beacon帧进行成功解密。这样,notebook会提示用户目前有两个相同的WLAN信号(SSID为“ LAB ”),其中AP-Good广播的为“可信任WLAN :LAB”,AP-Fake广播的为“不可信任WLAN :LAB”。如果此时用户关联“可信任WLAN :LAB”,则notebook会连接AP-Good,而不会连接到AP-Fake,从而避免了用户接入到AP-Fake发布的“钓鱼”网络中。图3是本发明系统的结构图,该系统包括网络管理器,用于保管私钥,并将所述私钥导入无线接入点或无线接入控制器,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密;无线客户端,用于安装带有公钥的数字证书,并调用数字证书中的公钥对加密后的网络信号进行解密。 进一步的,所述无线客户端存储有数字证书池,该数字证书池包括所述无线客户端所安装的无线局域网络的多个数字证书,用于按顺序或索引值提供公钥。进一步的,所述私钥和公钥由非对称密钥体制算法生成。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
权利要求
1.一种无线局域网络接入方法,其特征在于,包括以下步骤 51、根据非对称密钥体制算法生成一对密钥,包括公钥和私钥,其中所述私钥由网络管理器秘密保管,所述公钥制成数字证书供无线客户端安装; 52、所述网络管理器将所述私钥导入无线接入点或无线接入控制器,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密,然后将加密后的网络信号发出; 53、当所述无线客户端侦听到上述加密后的网络信号时,调用数字证书中的公钥对上述信号进行解密,如果能够成功解密,则判断此网络信号可信任。
2.如权利要求I所述的方法,其特征在于,所述步骤S2中,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密具体包括 所述无线接入点或无线接入控制器使用所述私钥对所有可信任方的信标帧进行加密。
3.如权利要求2所述的方法,其特征在于,若所述无线接入点AP为胖AP,则将所述私钥导入到该胖AP中;若所述AP为瘦AP,则将所述私钥导入到负责管理该瘦AP的无线接入控制器AC中。
4.如权利要求3所述的方法,其特征在于,所述网络管理器根据实际情况为每个胖AP或每个AC单独导入一份私钥,或者,为多个胖AP或多个AC导入相同的私钥,若是后者,则所述多个胖AP或多个AC使用相同的私钥加密信标帧。
5.如权利要求3所述的方法,其特征在于,若所述网络管理器将所述私钥导入AC,则该AC所管辖的所有瘦AP都使用该私钥加密信标帧,接入该网络的无线客户端只要其所关联的瘦AP属于该AC管辖,都能够使用相同的公钥解密信标帧。
6.如权利要求I所述的方法,其特征在于,所述步骤S3中,所述无线客户端调用数字证书中的公钥对上述信号进行解密具体包括 所述无线客户端的无线网卡驱动程序通过操作系统标准API接口调用数字证书中的公钥,对侦听到的信标帧进行解密。
7.如权利要求6所述的方法,其特征在于,该方法进一步包括 所述无线客户端安装有多个网络的数字证书,这些数字证书需按顺序或索引值组成证书池,当对侦听到的信标帧进行解密的时候,如果一份证书所携带的公钥无法成功解密信标帧,则按顺序或索引值尝试下一份证书的公钥,只要有一份证书能够成功解密信标帧,则标识该网络信号为“可信任网络信号”,若证书池中的所有数字证书都无法成功解密信标帧,则标识该网络信号为“不可信任网络信号”。
8.一种无线局域网络接入系统,其特征在于,该系统包括 网络管理器,用于保管私钥,并将所述私钥导入无线接入点或无线接入控制器,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密; 无线客户端,用于安装带有公钥的数字证书,并调用数字证书中的公钥对加密后的网络信号进行解密。
9.如权利要求8所述的系统,其特征在于,所述无线客户端存储有数字证书池,该数字证书池包括所述无线客户端所安装的无线局域网络的多个数字证书,用于按顺序或索引值提供公钥。
10.如权利要求8所述的系统,其特征在于,所述私钥和公钥由非对称密钥体制算法生成。
全文摘要
本发明公开了一种无线局域网络接入方法及系统,该方法包括根据非对称密钥体制算法生成一对密钥,包括公钥和私钥,其中所述私钥由网络管理器秘密保管,所述公钥制成数字证书供无线客户端安装;所述网络管理器将所述私钥导入无线接入点或无线接入控制器,所述无线接入点或无线接入控制器使用所述私钥对网络信号进行加密,然后将加密后的网络信号发出;当所述无线客户端侦听到上述加密后的网络信号时,调用数字证书中的公钥对上述信号进行解密,如果能够成功解密,则判断此网络信号可信任。本发明能够有效避免用户接入到“钓鱼”网络中,达到保护隐私和安全上网的效果。
文档编号H04W84/12GK102946605SQ20121043383
公开日2013年2月27日 申请日期2012年11月2日 优先权日2012年11月2日
发明者李子木 申请人:清华大学