基于无线安全的客户机自连接保护方法和系统的制作方法
【技术领域】
[0001]本发明涉及网络安全,具体地,涉及基于无线安全的客户机自连接保护方法和系统。
【背景技术】
[0002]随着我国全网覆盖计划的推进,客户机也渐渐的实现了随时随地连接入网,然而与此同时无线网络安全问题也引起了越来越多的关注。
[0003]无线安全通常由基站安全与客户机安全两部分组成,其中基站安全比较常见,其主要是由基站端对接入点进行管理,从而实施例如密码保护,连接限制等方式以保证基站的安全及运行稳定。然而由于大部分基站安全并不能由客户机主动把控,从而使得客户机在无线连接中始终处于被动,虽然拥有选择权,但是传统的SSID+密码的验证方式却也过于简单,客户机一旦连接上以诱骗为目的的伪基站,则也意味着客户端的个人信息能够被随意截获。因此,客户机端在无线连接过程中必须采取一定的安全防护措施,以主动保护个人信息安全。当前连接安全中较为常见的技术方案有:
[0004](a)病毒查杀,通过一些安全软件的排查,找出系统中存在的“问题”程式,并对其进行限制或删除。
[0005](b)安装特定的安全应用,安全应用中的临时数据及存储数据通常使用加密的方式,防止外泄,被篡改等。
[0006](c)限制关键文件的访问,通过系统级修改使得数据存放位置无法从外部获取或者无权限访问。
[0007]然而上述传统技术方案在保护客户机信息安全的过程中也存在着各种无法规避的问题:
[0008](a) “问题”程式的定义界限较为模糊,容易存在病毒遗漏或误查杀的情况出现,不止如此,这类病毒查杀软件相互间往往存在利益竞争,一旦互相攻击,则会出现绑架使用者的行为。
[0009](b)这类安全应用覆盖面较窄,并且需要由于其特定性,容易产生暴力捆绑从而强加给客户机,同时,数据加密也存在一定被破解的可能,并不能从根本上保障其信息安全。
[0010](C)系统级修改需要较高的管理员权限,而对于一般的客户机使用者来说门槛较高,不具有普遍性,而非专业的修改也可能会影响系统稳定性。
[0011]经对现有技术进行检索,发现如下相关文献。
[0012]相关检索结果I
[0013]名称:无线局域网接入点验证的方法及站点
[0014]专利申请号:CN201110337877.6
[0015]申请公布号-CNlO3O963OlA
[0016]该本明公开了一种无线局域网接入点验证的方法及站点,涉及通信领域,用于解决伪装AP将STA用户接入非法网络以窃取STA用户的信息或控制STA用户进行非法行为,导致STA用户受到损失问题。本发明提供的方法包括:获取接入点发送的接入点标识符信息元素;根据所述接入点标识符信息元素对所述接入点进行验证。向接入点发送验证请求信息元素,所述验证请求信息元素用于指示所述接入点返回验证响应信息元素;获取所述接入点返回的验证响应信息元素;根据所述验证响应信息元素对所述接入点进行验证。
[0017]技术要点比较:
[0018]该专利文献属于基站验证,接入点需要提供基于接入点标识信息元素的验证方法,这样用户发送的验证请求才能生效,并得到正确返回,因此该专利文献中需要对基站端进行改动。而本发明针对于历史基站信息,从而将全部的真伪识别工作集中在客户机完成,并不涉及基站端的任何改动。
[0019]相关检索结果2
[0020]名称:识别虚假wifi的方法、客户端、服务器端和系统
[0021]专利申请号:CN201410447084.3
[0022]申请公布号:CN104219670A
[0023]该发明提供了一种识别虚假wifi的方法、客户端、服务器端和系统,属于无线网络安全领域。其中,所述的方法包括:客户端扫描wifi的服务集标识SSID,并获取所述服务集标识SSID对应的MAC地址;在MAC地址库中查询所述MAC地址是否存在,当查询结果表明所述MAC地址存在且位于MAC地址库的MAC黑库中时,将所述MAC地址对应的服务集标识SSID进行虚假标识。
[0024]技术要点比较:
[0025]该专利文献利用记载有伪造的虚假wifi的MAC地址库的MAC黑库来识别伪基站,但是,该专利文献并没有给出如何将暂时还没有实施风险行为的诱骗伪基站归纳入黑库,因此这些诱骗伪基站将长期游离于黑库之外。而在本发明中,即使伪基站没有实施风险行为,一样可以在数据连接前识别出来。
[0026]相关检索结果3:
[0027]名称:用于监测伪无线接入点AP的方法及装置
[0028]专利申请号:CN201410638322.9
[0029]申请公布号:CN104349325A
[0030]该发明公开了一种用于监测伪无线接入点AP的方法及装置,其中方法包括:运营商部署的每一合法AP按如下方式监测伪AP:运营商管理的多个合法AP采用蜂窝型组网方案进行部署,每个合法AP工作在指定的信道上,且在进行数据传输的同时,扫描附近AP发出的信标帧;从获取的信标帧中提取扫描到的AP信息;将提取的AP信息与合法AP信息数据库进行比对,其中,合法AP信息数据库中存储合法AP的信息;当提取的AP信息不在合法AP信息数据库中,判定扫描到的AP为伪AP。
[0031]技术要点比较:
[0032]—方面,该专利文献需要借助于运营商提供的合法AP数据库作为匹配的依据,属于基站验证,不属于客户机端的验证,即使一个合法AP识别出了伪AP,但是对于客户机来讲,其一无法得知发现该伪AP的信息,其二即使合法AP能够通知客户机发现了伪AP,可是客户机不能确定发出该通知的AP本身是否为合法AP还是伪AP ;而本发明从客户机角度出发,并不依赖于运营商提供的合法AP数据库作为匹配的依据。
[0033]另一方面,该专利文献中的伪AP指的是不合法、未登记AP,而合法AP进行复位设置而带来的AP诱骗信息问题则并没有被考虑进去,所以本发明能够有效针对诱骗伪基站。又一方面,既然合法AP能够扫描附近AP发出的信标帧,则伪基站同样能够扫描到附近AP发出的信标帧,进行伪基站可以将自身的信标帧伪装成附近AP发出的信标帧并将信号发射功率盖过合法AP,则仍可以实现诱骗;但是这样诱骗方式对本发明不起作用。
[0034]再一方面,该专利文献给出了与本发明完全相反的技术启示,具体地,该专利文献说明书第
[0004]段记载到“目前针对伪AP的治理主要包括……在手机端增加伪AP监测功能……需要在用户手机上安装一个相应的应用软件,且用户每到一个新的无线局域网内,都要重新进行数据更新,难以实现伪AP的无缝监测”。
[0035]相关检索结果4:
[0036]名称:实现移动终端无线认证加密的系统及方法
[0037]专利申请号:CN201410837945.9
[0038]申请公布号:CN104468626A
[0039]该发明涉及一种实现移动终端无线认证加密的系统及方法,其中包括移动终端,用以在与网络接入点初次建立通信时发送自身设备的MEI至网络接入点以及在原无线连接密码认证失败时发送包含自身设备MEI的认证请求报文至网络接入点;网络接入点,用以保存移动终端对应的頂EI和MAC地址以及当原无线连接密码认证失败时对移动终端进行认证。采用该种结构的实现移动终端无线认证加密的系统及方法,当AP中的无线连接密码被修改后,如果该移动终端设备已经连接过该AP,该移动设备可以使用頂EI进行认证,并且以頂EI为基础,重新生成加密的密钥,方便移动终端用户的连接网络,提高用户使用体验,具有更广泛的应用范围。
[0040]技术要点比较:
[0041]该专利文献与本发明所解决的技术问题完全不同。该专利文献的理由在于其提出的使用頂EI与MAC地址作为新的标识标签从而取代SSID与密码的传统组合使得即使历史AP更换了新密码客户机仍然可以进行连接,这是出于方便的考虑。而本发明的目的则是采用多样的标识组合达到个人信息安全的目的。
【发明内容】
[0042]针对现有技术中的缺陷,本发明的目的是提供一种基于无线安全的客户机自连接保护方法和系统,从而解决目前客户机通过基于SSID和密码即自动连接基站导致无主动连接自保护的问题。
[0043]根据本发明提供的一种基于无线安全的客户机自连接保护方法,包括如下步骤:
[0044]步骤1:获取待识别连接对象信息,其中,所述待识别连接对象信息包括基站信息和/或与基站对应的认证信息;
[0045]步骤2:根据所述待识别连接对象信息与客户机本地的历史连接对象信息的匹配结果,对待识别连接对象进行真伪识别;
[0046]其中,所述历史连接对象信息包括历史基站信息和/或历史认证信息;
[0047]优选地,历史基站信息包括如下任意一种或任意多种信息:
[0048]-客户机往次数据连接基站形成的历史信息;
[0049]-客户机本次数据连接基站形成的历史信息;
[0050]-客户机上存有的历史基站信息表。
[0051 ] 优选地,历史认证信息包括:
[0052]-基站对应的认证站点给与客户机的反馈信息
[0053]优选地,所述步骤I包括在客户机与基站数据连接前执行的如下步骤:
[0054]步骤1.1:获取基站的第一无线标识信息和第二无线标识信息;
[0055]所述步骤2包括在客户机与基站数据连接前执行的如下步骤:
[0056]步骤2.1:将第一无线标识信息与第二无线标识信息的组合,与历史基站信息进行匹配,根据匹配结果对所述基站进行真伪识别;
[0057]其中,所述第一无线标识信息与第二无线标识信息的组合,记为表示标签