]在另一个优选例中,客户机的待识别连接对象为作为待继续保持数据连接对象的基站,由于在客户机与真基站的数据连接过程中客户机有可能会被强制连接至伪基站,因此需要在数据连接中定期或不定期地对当前数据连接的基站进行真伪识别,若当前数据连接的基站为真基站,则客户机继续保持与该真基站的数据连接,若当前数据连接的基站为伪基站,则客户机直接断开数据连接或者生成伪基站的提示。具体地,可以利用基站的固件标签作为真伪基站的识别依据,对客户机实现主动连接自保护。
[0161 ] 所述步骤I包括如下步骤:
[0162]步骤1-1:以客户机主动发起的连接作为可靠连接,将这种可靠连接发起时获取到的基站信息进行本地存储为历史基站信息,和/或该基站对应认证站点的认证信息作为历史认证信息;;
[0163]所述步骤2包括在客户机与基站数据连接中执行的如下步骤:
[0164]步骤2-1:判断随着数据连接时间的推移,后续获取的基站信息与所述历史基站信息是否匹配,和/或后续获取的基站对应的认证站点的认证信息与所述历史认证信息是否匹配。
[0165]当通过上述步骤1.1-1.2或者其它方式可以确认基站为真基站(以及相应确认基站对应的认证站点为真认证站点)后,则客户机主动发起对真基站的连接并认为该连接为可靠连接,也就是说,只有在确认基站为真基站时客户机才会主动发起连接,否则当基站的真伪未识别时客户机不会主动发起连接。
[0166]通过步骤1-1、步骤2-1需要多次获取基站信息(和/或认证站点的认证信息),可靠连接发起时获取的基站信息是在客户机主动发起连接之前最近一次获取的基站信息(以及对应的认证站点的认证信息),其中,客户机正是通过所述最近一次获取的基站信息识别出基站为真基站(或者通过认证信息识别出认证站点为真认证站点),从而建立可靠连接,因此所述客户机主动发起连接之前最近一次获取的基站信息对应于可靠连接。当然,次优选地,也可以将建立可靠连接后第一次获取的基站信息作为所述可靠连接发起时获取的基站彳g息。
[0167]所述后续获取的基站信息与所述历史基站信息是否匹配,具体是指后续获取的基站信息与对应可靠连接发起时获取的基站信息进行匹配,若匹配一致,则客户机继续保持当前的数据连接,若匹配不一致,则客户机断开当前的数据连接或者生成伪基站提示。
[0168]所述后续获取的基站对应的认证站点的认证信息与所述历史认证信息是否匹配,具体是指后续获取的认证信息与对应可靠连接发起时获取的认证信息进行匹配,若匹配一致,则客户机继续保持当前的数据连接,若匹配不一致,则客户机断开当前的数据连接或者生成伪基站提不。
[0169]所述基站信息包括固件标签,相应地,所述步骤1-1具体为以客户机主动发起的连接作为可靠连接,并将对应可靠连接的首次获取的固件标签作为历史基站信息进行存储,所述步骤2-1具体为判断随着数据连接时间的推移,后续次获取的固件标签与所述首次获取的固件标签是否匹配。
[0170]获取固件标签的方法包括如下步骤:
[0171]步骤il:接收基站和/或基站对应的认证站点对于客户机所发送报文的响应和/或反馈报文;
[0172]步骤i2:从所述响应和/或反馈报文中提取出关键字,组成固件标签作为基站信息。
[0173]在建立数据连接后,客户机通过主动发送应用层和数据链路层的报文(例如:HTTP,LLDP, ICMP,DHCP或者SNMP等TCP/UDP协议)与基站私密对话,并接收基站对于客户机所发送报文的响应和/或反馈报文。
[0174]其中,所述客户机所发送报文,是指客户机针对可靠连接中基站的固件设备发送的报文,所述报文要求当前与客户机数据连接的基站返回记载有该基站的固件设备信息的响应和/或反馈报文,然后客户机从所述响应和/或反馈报文中提取出关于固件设备信息的关键字,组成固件标签。所述固件设备信息可以是固件出厂日期、固件品牌厂家、固件版本号、固件管理标识。所述响应可以为有无响应、TCP连接请求响应等。例如,固件标签可以由标签“tagl (回应报文第一关键字)”、“tag2(回应报文第二关键字)”、“tag3(响应/无响应)”、“tag4(IP网络地址号)”、“tag5(设备管理标识)”以及“tag6 (9000个端口的轮训TCP连接请求响应情况)构成。
[0175]所述客户机所发送报文,可以是指客户机针对可靠连接中基站对应的认证站点发送的报文。具体地,所述报文可以是SNMP报文。
[0176]如果后续次获取的固件标签与所述首次获取的固件标签不一致,则向用户预警与客户机连接的基站已发生变化,提示中断与当前基站的连接,确保安全性。
[0177]进一步地,所述报文所要求当前与客户机数据连接的基站返回的固件标签为多种固件设备信息的随机组合。所述的多种固件设备信息的随机组合是相对于基站而言的,即所述随机是指对于基站是不规律的,而不是固定的。而对于客户机而言,所述随机并不是纯粹的随机,随机组合中的固件设备信息可以基于时间、连接对象的信号强度以及客户机支持的IP协议侦测等因素进行设定。这样的好处是,在数据连接中的后续多次获取的固件标签对应的随机组合各不相同,这样就可以实现通过多次识别,避免一次识别就向伪基站暴露客户机所有的识别方法。
[0178]更进一步地,所述报文是针对可靠连接中基站的固件设备的,因此,伪基站的固件设备由于不同于真基站的固件设备,因此真基站的固件设备信息对于伪基站来讲是未知的,从而针对可靠连接中基站的固件设备的报文所要求返回的固件设备信息对伪基站来讲是随机的。
[0179]在又一个优选例中,客户机的待识别连接对象为与尚未数据连接的基站对应的待登录认证站点。所述步骤I包括在客户机登录与基站对应的认证站点前执行的如下步骤:
[0180]步骤101:获取与基站对应的认证站点的站点标签;
[0181]步骤102:将站点标签与历史认证信息进行匹配,根据匹配结果对所述基站进行真伪识别。
[0182]所述站点标签可以是站点的DNS、站点服务器标签,IP地址等用于识别站点身份的标签。
[0183]对于面向公众的开放式的无线局域网(例如快餐店中的无线局域网),在允许客户机接入无线局域网基站之前,需要客户机通过统一的后台认证站点登录后做用户名认证,然后才能获得上网密码。对于这样的开放式的无线局域网,客户机在连接到伪基站后,与伪基站对应的认证站点可以是钓鱼站点,这样不仅仅可以继续诱骗,还能得到用户的个性化的用户认证信息。此时,这种标签进一步拓宽到后台的认证站点检测(DNS、站点服务器标签,IP地址等等)。因此,客户机可以在往次主动与基站建立数据连接后将与该基站对应的认证站点的站点标签存储形成为所述历史认证信息,从而在当前客户机准备对待登录的与基站对应的认证站点进行真伪识别以发送登录信息之前,将当前认证站点的站点标签与所述历史认证信息进行匹配,若匹配一致,则将当前认证站点识别为真,否则识别为伪。
[0184]下面对一个优选的【具体实施方式】进行描述。
[0185]在作为客户机的智能移动设备系统(android/1s/wp/linux等系统)中嵌入本发明提供的基于无线安全的客户机自连接保护系统,或者在集成电路芯片中(如51单片机/arm单片机/avr单片机/嵌入式模块中),嵌入本发明提供的基于无线安全的客户机自连接保护系统,采用如下步骤:
[0186]-客户机判断附近是否存在可连接且历史上数据连接过的热点基站;若存在,则进入下述步骤继续执行;若不存在,则对可用热点基站进行手动触发连接;
[0187]-通过执行上述步骤1.1、步骤2.1利用表示标签对基站进行真伪识别;若识别结果为真,则与该真基站进行数据连接,若识别结果为伪,则由用户判断是否需要手动触发连接;
[0188]-在数据连接中,通过执行上述步骤1-1、步骤2-1利用固件标签对当前连接的基站进行真伪识别;若识别结果为真,则与该真基站保持数据连接,若识别结果为伪,则由用户判断是否需要继续;
[0189]-通讯结束后,客户机记载热点基站的表示标签和固件标签作为历史基站信息。
[0190]本发明还提供一种存储有计算机程序的计算机可读存储介质,其中,所述计算机可读存储介质中的计算机程序使计算机执行所述基于无线安全的客户机自连接保护方法,所述计算机可读存储介质包括光盘、磁盘、ROM、PROM, VCD, DVD等;所述基于无线安全的客户机自连接保护方法包括如下步骤:
[0191]步骤1:获取待识别连接对象信息,其中,所述待识别连接对象信息包括基站信息和/或与基站对应的认证信息;
[0192]步骤2:根据所述待识别连接对象信息与客户机本地的历史连接对象信息的匹配结果,对待识别连接对象进行真伪识别;
[0193]其中,所述历史连接对象信息包括历史基站信息和/或历史认证信息。
[0194]优选地,历史基站信息包括如下任意一种或任意多种信息:
[0195]-客户机往次数据连接基站形成的历史信息;
[0196]-客户机本次数据连接基站形成的历史信息;
[0197]-客户机上存有的历史基站信息表。
[0198]优选地,历史认证信息包括:
[0199]-基站对应的认证站点给与客户机的反馈信息
[0200]优选地,所述步骤I包括在客户机与基站数据连接前执行的如下步骤:
[0201]步骤1.1:获取基站的第一无线标识信息和第二无线标识信息;
[0202]所述步骤2包括在客户机与基站数据连接前执行的如下步骤:
[0203]步骤2.1:将第一无线标识信息与第二无线标识信息的组合,与历史基站信息进行匹配,根据匹配结果对所述基站进行真伪识别;
[0204]其中,所述第一无线标识信息与第二无线标识信息的组合,记为表示标签;