本发明专利技术提供一种无线局域网认证机制的改进方法,双向认证过程中无线访问接入点向客户端明文发送认证成功报文后,包括步骤:提供一第一加密参数,该第一加密参数经客户端加密、无线访问接入点解密、无线访问接入点加密以及客户端解密处理后,仍然没有发生改变,则判定该无线访问接入点合法;提供一第二加密参数,在无线访问接入点对该第二加密参数进行加密、客户端解密、客户端再加密以及无线访问接入点再解密处理后,仍然没有发生改变,则判定整个认证过程完成。本发明专利技术能够有效防止“中间人攻击”,即非法用户不能够通过该合法用户的端口接入网络,从而避免了“通信劫持”攻击。
【技术实现步骤摘要】
【专利摘要】本专利技术提供,双向认证过程中无线访问接入点向客户端明文发送认证成功报文后,包括步骤:提供一第一加密参数,该第一加密参数经客户端加密、无线访问接入点解密、无线访问接入点加密以及客户端解密处理后,仍然没有发生改变,则判定该无线访问接入点合法;提供一第二加密参数,在无线访问接入点对该第二加密参数进行加密、客户端解密、客户端再加密以及无线访问接入点再解密处理后,仍然没有发生改变,则判定整个认证过程完成。本专利技术能够有效防止“中间人攻击”,即非法用户不能够通过该合法用户的端口接入网络,从而避免了“通信劫持”攻击。【专利说明】
本专利技术涉及通信
,尤其涉及。
技术介绍
随着无线网络的发展,越来越多的人在使用无线的方式接入网络。由于无线信道的开放性,入侵者很容易通过扫描或监听的方式截取无线数据或者接入无线网络,因此无线网络的安全问题越来越受到人们的重视。为了保护无线网络的安全,人们采用对终端认证的方式,目前人们一般采用IEEE 802.1X协议或EAP-TLS(基于数字证书的双向认证)的方式实现对设备的接入认证。IEEE 802.1X协议的主要目的是为了解决无线局域网用户的接入验证问题。EAP-TLS认证提供了一种基于数字证书的双向认证,它需要通过安全连接在STA( Stat 1n,客户端)和RADIUS(Remote Authenticat1n Dial In User Service,远程用户拨号认证系统)服务器端事先发布认证使用的数字证书。EAP-TLS既提供认证,又提供动态会话钥匙分发。RADIUS服务器需要支持EAP-TLS认证,和认证数字证书的管理能力,只有在双向认证通过以后,服务器才向AP (Wire I ess Access Point,无线访问接入点)发送EAP_Success(认证成功)报文,指示客户端可以接收数据流,该报文同时触发了对数据流加密,在加密密钥建立之前,客户端不发送数据。虽然EAP-TLS认证是基于STA和RADIUS服务器的双向认证,并且在认证过程中采用了预先颁发的数字证书上的密钥,但并没有对选用的AP进行充分的验证,AP被默认为是可靠的,因此就会有恶意的用户冒充AP,通过发送未受保护的EAP-Success等信息欺骗用户,使得用户连接到非法AP上,从而获得用户的所有网络通信,甚至可通过发送去关联帧使合法用户断开连接。而AP不知道合法用户已断开连接,继续进行通信,此时非法用户可以通过该合法用户的端口接入网络,从而进行“通信劫持”攻击。
技术实现思路
鉴于上述问题,本申请记载了,应用于客户端通过无线访问接入点与认证服务器之间进行基于数字证书的双向认证,其中,所述双向认证过程中所述无线访问接入点向所述客户端明文发送认证成功报文后,还包括以下步骤:步骤S1、所述客户端将一第一加密参数以一预设的加密算法加密形成一第一报文发送至所述无线访问接入点;步骤S2、所述无线访问接入点收到所述第一报文后根据所述加密算法对所述第一报文解密获得所述第一加密参数,并将所述第一加密参数与一第二加密参数分别以所述加密算法加密后组合形成一第二报文发送至所述客户端;步骤S3、所述客户端根据所述加密算法解密收到所述第二报文,以获得所述第二报文中的第一加密参数以及所述第二加密参数;步骤S4、所述客户端判断所述第一加密参数与所述第二报文中获得的第一加密参数是否相同,如不相同判断所述无线访问接入点非法,并退出;步骤S5、所述客户端将所述第二报文中获得的所述第二加密参数以所述加密算法加密后形成一第三报文发送至所述无线访问接入点;步骤S6、所述无线访问接入点根据所述加密算法解密收到所述第三报文,以获得所述第三报文中的第二参数;步骤S7、所述无线访问接入点判断所述第二加密参数与所述第三报文中的第二加密参数是否相同,如不相同则向所述客户端返回认证失败,并退出;步骤S8、所述无线访问接入点向所述客户端返回认证成功。较佳的,所述步骤S8包括以下步骤:步骤S81、所述无线访问接入点将一安全密钥及所述认证成功报文通过所述加密算法加密形成一第四报文发送至所述客户端;步骤S82、所述客户端根据所述加密算法解密收到所述第四报文,以获得所述安全密钥及所述认证成功报文;步骤S83、所述客户端向用户显示所述认证成功报文,并以所述安全密钥与所述无线访问接入点进行通信。较佳的,所述第一加密参数为所述客户端随机生成。较佳的,所述第二加密参数为所述无线访问接入点随机生成。较佳的,所述加密算法为所述客户端与所述无线访问接入点事先约定。较佳的,于所述安全密钥为所述无线访问接入点通过哈希算法生成。较佳的,所述哈希算法为MD5算法。较佳的,所述认证服务器提供一口令规则,所述双向认证过程中所述无线访问接入点向所述客户端明文发送认证成功报文之前还包括:步骤S01、所述认证服务器向所述客户端发送身份请求及关联于所述口令规则的请求口令;步骤S02、所述客户端接收所述身份请求后,返回所述客户端的身份以及对应所述请求口令的应答口令;步骤S03、所述认证服务器根据所述口令规则判断接收到的所述应答口令是否正确,如正确执行步骤S05;步骤S04、判断所述客户端应答口令不正确的次数是否达到一预设值,如未达到则记录所述客户端对应的应答口令不正确次数后返回所述步骤SOl,如达到则于一预定时间周期内忽略所述客户端的请求,并退出;步骤S05、继续认证过程。较佳的,所述口令规则为,提供一与所述客户端共享的口令表,所述口令表中储存至少一个请求口令,及与所述请求口令一一对应的应答口令,所述认证服务器发送所述请求口令后判断接收到的所述应答口令是否与所述口令表中所述请求口令对应的应答口令一致,如一致判断应答口令正确,如不一致则判断应答口令不正确;和/或所述步骤S04中于所述预定时间周期内忽略所述客户端请求的方法为,提供一静默列表,将所述客户端加入所述静默列表,所述认证服务器忽略所述静默列表中所有终端的请求,于所述预定时间周期后将所述客户端于所述静默列表中删除;和/或所述预设值为3;和/或所述预定时间周期为3分钟。较佳的,所述认证服务器为RADIUS服务器。上述技术方案具有如下优点或有益效果:本专利技术通过对客户端和无线访问接入点的双向认证,能够有效防止“中间人攻击”,即非法用户不能够通过该合法用户的端口接入网络,从而避免了 “通信劫持”攻击。【附图说明】参考所附附图,以更加充分的描述本专利技术的实施例。然而,所附附图仅用于说明和阐述,并不构成对本专利技术范围的限制。图1为本专利技术的流程示意图一;图2为本专利技术的流程示意图二;图3为本专利技术的流程示意图三。【具体实施方式】下面结合附图和具体实施例对本专利技术进行详细说明。,应用于客户端通过无线访问接入点与认证服务器之间进行基于数字证书的双向认证,其中,如图1所示,双向认证过程中无线访问接入点向客户端明文发送认证成功报文后,还包括以下步骤:步骤S1、客户端将一第一加密参数,利用预设的加密算法加密将第一加密算法加密形成一第一报文发送至无线访问接入点;步骤S2、无线访问接入点收到第一报文后根据上述加密算法对该第一报文解密以获得第一加密参数,并将该第一加密参数与一第二加密参数分别以上述加密算法加密后组合形成一第二报文发送至客户端;步骤S3、客户端根据加密本文档来自技高网...
【技术保护点】
一种无线局域网认证机制的改进方法,应用于客户端通过无线访问接入点与认证服务器之间进行基于数字证书的双向认证,其特征在于,所述双向认证过程中所述无线访问接入点向所述客户端明文发送认证成功报文后,还包括以下步骤:步骤S1、所述客户端将一第一加密参数以一预设的加密算法加密形成一第一报文发送至所述无线访问接入点;步骤S2、所述无线访问接入点收到所述第一报文后根据所述加密算法对所述第一报文解密获得所述第一加密参数,并将所述第一加密参数与一第二加密参数分别以所述加密算法加密后组合形成一第二报文发送至所述客户端;步骤S3、所述客户端根据所述加密算法解密收到所述第二报文,以获得所述第二报文中的第一加密参数以及所述第二加密参数;步骤S4、所述客户端判断所述第一加密参数与所述第二报文中获得的第一加密参数是否相同,如不相同判断所述无线访问接入点非法,并退出;步骤S5、所述客户端将所述第二报文中获得的所述第二加密参数以所述加密算法加密后形成一第三报文发送至所述无线访问接入点;步骤S6、所述无线访问接入点根据所述加密算法解密收到所述第三报文,以获得所述第三报文中的第二参数;步骤S7、所述无线访问接入点判断所述第二加密参数与所述第三报文中的第二加密参数是否相同,如不相同则向所述客户端返回认证失败,并退出;步骤S8、所述无线访问接入点向所述客户端返回认证成功。...
【技术特征摘要】
【专利技术属性】
技术研发人员:刘军华,
申请(专利权)人:上海斐讯数据通信技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。