一种WiFi安全认证方法与流程
本发明属于互联网技术领域,特别涉及一种wifi安全认证方法。
背景技术:
wifi是一种允许电子设备进行无线连接的技术,通常使用2.4guhf或5gshfism射频频段。连接到wifi通常是有密码保护的;但也可是开放的,这样就允许任何在信号覆盖范围内的设备可以连接上。wifi技术作为有线网路之外的另外一种网络访问形式,由于其不需要实体的网线的连接,在网络组建、设备接入和数据通信等方面有天然的灵活性和移动性;另外随着移动sta设备的大幅度增加,wifi技术得到了广泛的应用。
有密码保护的wifi也存在密码泄露的风险,主要有三种途径:首先是被黑客暴力破解或者攻击系统和协议漏洞,其次是被安装的wifi共享软件或蹭网软件泄露,最后是将密码告知他人后导致泄露。wifi在密码泄露后将面临重大安全隐患,可能会被不法分子监控、攻击,以及窃取用户的隐私信息。
技术实现要素:
本发明的目的是提供一种wifi安全认证方法,解决了在wifi连接时密码容易泄露的技术问题。
为实现上述目的,本发明采用以下技术方案:
一种wifi安全认证方法,包括如下步骤:
步骤1:在ap中隐藏ap广播的beacon帧,即,取消ssid选项,用于使sta无法通过被动扫描获得ssid名称;
步骤2:ap等待sta的探测请求帧;
步骤3:sta主动向ap发送探测请求帧,ap根据sta的mac地址和准入机制进行判断:若不允许接入则不对该sta的无线帧进行任何相应处理,执行步骤2;若允许接入则执行步骤4;
步骤4:ap根据sta的mac地址,生成与sta的mac地址对应的唯一的ssid名称和唯一的密码;
步骤5:ap向sta发送探测响应帧;
步骤6:ap允许sta进行后续的网络连接,并对通过sta输入的ssid名称和密码进行认证:认证成功,则ap建立与sta的网络连接,执行步骤7;认证不成功,则ap不建立与sta的网络连接,执行步骤7;
步骤7:认证过程结束,执行步骤2。
在执行步骤3时,所述准入机制为ap中设置的基于mac地址的黑名单或白名单:只有黑名单中的mac地址不允许接入;只有白名单中的mac地址允许接入;黑名单和白名单中的mac地址均由网络层管理人员录入。
在执行步骤4时,在ap建立sta的mac地址、ssid名称和密码的映射表,该映射表由网络层管理人员编写并录入ap;每一个sta的mac地址对应一个唯一的ssid名称和一个唯一的密码。
在执行步骤4时,在ap通过挑战/应答技术,对sta的mac地址生成唯一的ssid名称和唯一的密码。
在执行步骤4时,在ap通过种子密钥更新技术,对sta的mac地址生成唯一的ssid名称和唯一的密码。
在执行步骤5时,在ap发送给sta的探测响应帧中设置或取消ssid选项:当设置ssid选项时,其ssid名称为与sta的mac地址对应的唯一的ssid名称,此时sta可以发现该ssid名称的网络,并且sta在输入密码后,ap对sta进行接入认证;当取消ssid选项时,此时sta无法发现ssid名称,需要在sta中输入ssid和密码后,ap对sta进行接入认证。
本发明所述的一种wifi安全认证方法,解决了在wifi连接时密码容易泄露的技术问题,能够在不改变当前系统硬件和协议的情况下,实现同一个wifi,每个sta接入的ssid和密码不一样,避免密码泄露问题,从而保证wifi接入认证的安全性。
附图说明
图1是本发明的ap与1个sta的网络连接认证示意图;
图2是本发明的ap与2个sta的网络连接认证示意图。
具体实施方式
wifi存在密码泄露风险,根本原因是所有用户都使用同样的ssid和密码接入一个ap。本发明实现同一个wifi,每个sta接入的ssid和密码不一样,就能避免密码泄露问题,从而保证wifi接入认证的安全性。
如图1和图2所示的一种wifi安全认证方法,包括如下步骤:
步骤1:在ap中隐藏ap广播的beacon帧,即,取消ssid选项,用于使sta无法通过被动扫描获得ssid名称;
步骤2:ap等待sta的探测请求帧;
步骤3:sta主动向ap发送探测请求帧,ap根据sta的mac地址和准入机制进行判断:若不允许接入则不对该sta的无线帧进行任何相应处理,执行步骤2;若允许接入则执行步骤4;
步骤4:ap根据sta的mac地址,生成与sta的mac地址对应的唯一的ssid名称和唯一的密码;
步骤5:ap向sta发送探测响应帧;
步骤6:ap允许sta进行后续的网络连接,并对通过sta输入的ssid名称和密码进行认证:认证成功,则ap建立与sta的网络连接,执行步骤7;认证不成功,则ap不建立与sta的网络连接,执行步骤7;
步骤7:认证过程结束,执行步骤2。
在执行步骤3时,所述准入机制为ap中设置的基于mac地址的黑名单或白名单:只有黑名单中的mac地址不允许接入;只有白名单中的mac地址允许接入;黑名单和白名单中的mac地址均由网络层管理人员录入。
在执行步骤4时,在ap建立sta的mac地址、ssid名称和密码的映射表,该映射表由网络层管理人员编写并录入ap;每一个sta的mac地址对应一个唯一的ssid名称和一个唯一的密码;当然本发明不拘泥于上述形式,在执行步骤4时,在ap通过挑战/应答技术,对sta的mac地址生成唯一的ssid名称和唯一的密码;或者在执行步骤4时,在ap通过种子密钥更新技术,对sta的mac地址生成唯一的ssid名称和唯一的密码。
在执行步骤5时,在ap发送给sta的探测响应帧中设置或取消ssid选项:当设置ssid选项时,其ssid名称为与sta的mac地址对应的唯一的ssid名称,此时sta可以发现该ssid名称的网络,并且sta在输入密码后,ap对sta进行接入认证;当取消ssid选项时,此时sta无法发现ssid名称,需要在sta中输入ssid和密码后,ap对sta进行接入认证。
所述ap(wirelessaccesspoint)为无线访问接入点,所述sta(station)为连接所述ap的无线网络设备。
wifi接入流程的第一个阶段是扫描阶段,分为被动扫描和主动扫描两种:通常状况下,ap会定时广播信标帧,并在信标帧中包含ssid选项,也就是该wifi的网络名称。sta收到该信标帧就获取了相关信息。通过被动扫描,所有的sta获得的ssid是一样的。因此为了实现每个sta接入的ssid和密码不一样,需要去除信标帧中的ssid选项,让sta无法通过被动扫描获得ssid。另一种方式是主动扫描,sta会定时在所有信道依次广播探测请求帧,通过接收并解析ap回复的探测响应帧获取相关信息。此时如果ap回复的探测响应帧若设置其对应的ssid选项,sta就可以发现该名称的网络,输入密码后可进行接入认证;探测响应帧也可以隐藏ssid选项,此时sta无法发现网络名称,需要输入ssid和密码后方可进行接入认证。
本发明可以在被动扫描方式下不让所有sta获得同样的ssid,并且在主动扫描方式下为每个sta分配其相应的ssid和密码。如图1所示,ap采用黑名单准入机制,mac3代表的sta无法接入网络。设定1号sta的mac地址为mac1,设定2号sta的mac地址为mac2,mac-ssid-key映射表中事先录入了mac1对应的ssid1和key1。当mac1代表的sta进入信号覆盖范围进行主动扫描发送探测请求帧,ap回复设置了ssid1的探测响应帧,之后mac1代表的sta可以用key1作为密码接入网络。如图2所示,当mac2代表的sta进入信号覆盖范围进行主动扫描发送探测请求帧,ap根据mac2生成与之对应的ssid2和key2。以挑战/应答技术为例,ssid2是一个生成的随机数作为挑战值,key2是单向hash值。mac2代表的sta接收到ap回复的设置了ssid2的探测响应帧,获得ssid2作为挑战值,计算出单向hash值key2,以此便能通过认证接入网络。
以上已经描述了本发明的实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的实施例。在不偏离所说明的实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
本发明所述的一种wifi安全认证方法,解决了在wifi连接时密码容易泄露的技术问题,能够在不改变当前系统硬件和协议的情况下,实现同一个wifi,每个sta接入的ssid和密码不一样,避免密码泄露问题,从而保证wifi接入认证的安全性。
- 还没有人留言评论。精彩留言会获得点赞!