一种WiFi网络安全接入方法及装置专利检索- .欺诈检测专利检索查询-专利查询网

一种WiFi网络安全接入方法及装置
申请号	CN201610066994.6	申请日	2016-01-29	公开(公告)号	CN107027121A	公开(公告)日	2017-08-08
申请人	宇龙计算机通信科技(深圳)有限公司;			发明人	张子敬; 路雄博;
摘要	本发明公开了一种WiFi网络安全接入方法及装置。该方法包括：获取扩展服务集ESS网络的可信任无线接入点AP列表；获取欲连接的AP的信息；判断欲连接的AP是否在可信任AP列表中；若是，则向欲连接的AP发送连接请求。本发明通过核查终端欲关联的AP是否为ESS网络中可信任AP，可有效阻止WiFi流氓接入点的攻击，提高WiFi网络接入的安全性，增加用户体验。
权利要求	1.一种WiFi网络安全接入方法，其特征在于，包括：获取扩展服务集ESS网络的可信任无线接入点AP列表；获取欲连接的AP的信息；判断所述欲连接的AP是否在所述可信任AP列表中；若是，则向所述欲连接的AP发送连接请求。 2.如权利要求1所述的方法，其特征在于，获取所述可信任AP列表的方式包括数据网络、可识别标签或者手动添加中的任一种或多种。 3.如权利要求2所述的方法，其特征在于，所述可识别标签包括近场通信NFC标签、二维码以及无线射频识别RFID标签中的任一种或多种。 4.如权利要求2所述的方法，其特征在于，通过所述数据网络获取所述可信任AP列表，包括：获取当前的位置信息，将所述位置信息通过所述数据网络发送至管理所述ESS网络的服务器，接收所述服务器根据所述位置信息反馈的可信任AP列表；或者，接收管理所述ESS网络的服务器通过所述数据网络推送的所述可信任AP列表。 5.如权利要求1～4任一项所述的方法，其特征在于，所述可信任AP列表包括所述ESS网络中的服务集标识SSID以及可信任AP的唯一标识码。 6.如权利要求5所述的方法，其特征在于，所述唯一标识码为媒介访问控制MAC地址或者由管理所述ESS网络的服务器配置。 7.一种WiFi网络安全接入装置，其特征在于，包括：第一获取模块，用于获取扩展服务集ESS网络的可信任无线接入点AP列表；第二获取模块，用于获取欲连接的AP的信息；判断模块，用于判断所述欲连接的AP是否在所述可信任AP列表中；发送模块，用于当判断所述欲连接的AP在所述可信任AP列表中，向所述欲连接的AP发送连接请求。 8.如权利要求7所述的装置，其特征在于，所述第一获取模块获取所述可信任AP列表的方式包括数据网络、可识别标签或者手动添加中的任一种或多种。 9.如权利要求8所述的装置，其特征在于，所述可识别标签包括近场通信NFC标签、二维码以及无线射频识别RFID标签中的任一种或多种。 10.如权利要求7所述的装置，其特征在于，所述第一获取模块通过所述数据网络获取所述可信任AP列表，包括：获取单元，用于获取当前的位置信息；发送单元，用于将所述获取单元获取的位置信息通过所述数据网络发送至管理所述ESS网络的服务器；第一接收单元，用于接收所述服务器根据所述发送单元发送的位置信息反馈的可信任AP列表；或者包括第二接收单元，用于接收管理所述ESS网络的服务器通过所述数据网络推送的所述可信任AP列表。 11.如权利要求7～10任一项所述的装置，其特征在于，所述第一获取模块获取的所述可信任AP列表包括所述ESS网络的服务集标识SSID以及可信任AP的唯一标识码。 12.如权利要求11所述的装置，其特征在于，所述唯一标识码为媒介访问控制MAC地址或者由管理所述ESS网络的服务器配置。
说明书全文	一种WiFi网络安全接入方法及装置技术领域 [0001] 本发明涉及网络安全领域，尤其涉及一种WiFi网络安全接入方法及装置。背景技术 [0002] 现有无线网络组网中，通常通过ESS(Extended Service Set，扩展服务集)网络来扩展WiFi的覆盖范围。ESS网络是将几个BSS(Basic Service Set，基本服务集)联合工作以构建一个覆盖更大的网络。在ESS网络中，各BSS使用相同的SSID(Service Set Identifier，服务集标识)，而有不同的BSSID(Basic Service Set Identifier，基本服务集标识)，SSID会显示在各STA(Station，站点)终端的扫描列表中。 [0003] 对于STA终端来说，整个ESS网络就像是一个BSS。在其扫描列表仅能看到ESS网络中的一个AP(Acess Point，无线接入点)热点，这个热点一般是ESS网络中当前位置信号最好的热点。例如，在某大厦中部署了一个ESS网络，其网络名称SSID为xinxigang，由于该大厦面积比较大，一个AP难以覆盖全面，因此其设立了多个AP热点。而这些AP热点的SSID都设置为xinxigang，但各AP的BSSID(通常为Mac地址)却是不同的，各AP也可工作在不同的信道上。STA终端在其扫描列表中仅能看到一个xinxigang的AP热点。 [0004] 然而在上述场景中，攻击者可能会设置一个SSID为xinxigang的流氓接入点AP。通过增大发射功率，来诱骗STA终端关联该流氓接入点AP。攻击者可以对STA终端进行中间人攻击(MITM)进而盗取用户的资料，对用户的人身及财产造成威胁。因此，WiFi流氓接入点的存在给WiFi安全带来了极大的安全隐患。发明内容 [0005] 本发明提供了一种WiFi网络安全接入方法及装置，用于解决现有技术中STA终端连接WiFi网络时，容易遭受流氓接入点攻击的问题。 [0006] 为实现上述发明目的，本发明采用下述的技术方案： [0007] 依据本发明的一方面，提供一种WiFi网络安全接入方法，包括： [0008] 获取扩展服务集ESS网络的可信任无线接入点AP列表； [0009] 获取欲连接的AP的信息； [0010] 判断所述欲连接的AP是否在所述可信任AP列表中，若是，则向所述欲连接的AP发送连接请求。 [0011] 进一步地，获取所述可信任AP列表的方式包括数据网络、可识别标签或者手动添加任一种或多种。 [0012] 进一步地，所述可识别标签包括近场通信NFC标签、二维码以及无线射频识别RFID标签中任一种或多种。 [0013] 进一步地，通过所述数据网络获取所述可信任AP列表，包括： [0014] 获取当前的位置信息，将所述位置信息通过所述数据网络发送至管理所述ESS网络的服务器，接收所述服务器根据所述位置信息反馈的可信任AP列表； [0015] 或者，接收管理所述ESS网络的服务器通过所述数据网络推送的所述可信任AP列表。 [0016] 进一步地，所述可信任AP列表包括所述ESS网络中的服务集标识SSID以及可信任AP的唯一标识码。 [0017] 进一步地，所述唯一标识码为媒介访问控制MAC地址或者由管理所述ESS网络的服务器配置。 [0018] 依据本发明的另一方面，提供一种WiFi网络安全接入装置，其特征在于，包括： [0019] 第一获取模块，用于获取扩展服务集ESS网络的可信任无线接入点AP列表； [0020] 第二获取模块，用于获取欲连接的AP的信息； [0021] 判断模块，用于判断所述欲连接的AP是否在所述可信任AP列表中； [0022] 发送模块，用于当判断所述欲连接的AP在所述可信任AP列表中，向所述欲连接的AP发送连接请求。 [0023] 进一步地，所述第一获取模块获取所述可信任AP列表的方式包括数据网络、可识别标签或者手动添加中的任一种或多种。 [0024] 进一步地，所述可识别标签包括近场通信NFC标签、二维码以及无线射频识别RFID标签中的任一种或多种。 [0025] 进一步地，所述第一获取模块通过所述数据网络获取所述可信任AP列表，包括： [0026] 获取单元，用于获取当前的位置信息； [0027] 发送单元，用于将所述获取单元获取的位置信息通过所述数据网络发送至管理所述ESS网络的服务器； [0028] 第一接收单元，用于接收所述服务器根据所述发送单元发送的位置信息反馈的可信任AP列表； [0029] 或者包括第二接收单元，用于接收管理所述ESS网络的服务器通过所述数据网络推送的所述可信任AP列表。 [0030] 进一步地，所述第一获取模块获取的所述可信任AP列表包括所述ESS网络的服务集标识SSID以及可信任AP的唯一标识码。 [0031] 进一步地，所述唯一标识码为媒介访问控制MAC地址或者由管理所述ESS网络的服务器配置。 [0032] 本发明有益效果如下： [0033] 本发明所提供的WiFi网络安全接入方法及装置，由ESS网络管理者发布该ESS网络可信任AP列表；当STA终端欲和该ESS网络的某AP关联时，通过可信任AP列表中的AP信息，核查欲关联的AP是否为可信任AP；当核查通过后，才允许关联，否则不予关联。本发明通过核查终端欲关联的AP是否为ESS网络中可信任AP可有效阻止WiFi流氓接入点的攻击，提高WiFi网络接入的安全性，增加用户体验。 [0034] 上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。附图说明 [0035] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。 [0036] 图1为本发明实施例中WiFi网络安全接入方法的流程图； [0037] 图2为本发明实施例中采用的可信任AP列表的示意图； [0038] 图3为本发明实施例中WiFi网络安全接入装置的结构示意图。具体实施方式 [0039] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。 [0040] 实施例1 [0041] 本发明实施例提供了一种WiFi网络安全接入方法，适用于STA终端，如图1所示，该方法具体包括： [0042] 步骤101，获取ESS网络的可信任无线接入点AP列表； [0043] 步骤102，获取欲连接的AP的信息； [0044] 步骤103，判断欲连接的AP是否在所述可信任AP列表中； [0045] 步骤104，若是，则向所述欲连接的AP发送连接请求。 [0046] 本实施例中以及下文的几个实施例中提到的ESS网络的可信任AP列表，具体包括ESS网络的SSID以及AP的唯一标识码。其中，对于唯一标识码，本发明实施例中优选采用AP的MAC(Medium/Media Access Control,，媒介访问控制)地址，具体形式，如图2所示。当然，该唯一标识码也可以由管理ESS网络的服务器配置，对每个AP进行唯一指定。 [0047] 在步骤101中，对于获取ESS网络可信任AP列表的方法很多，由ESS网络通过可信任途径发布，STA终端通过具有一定安全级别的通信方式获取。具体地，本发明实施例中获取可信任AP列表的方式包括：数据网络、可识别标签以及手动添加任一种或多种，后面将结合具体的实施例对获取可信任AP列表的过程进行说明，这里不做过多介绍。 [0048] 在步骤102中，对于获取欲连接的AP的信息的具体过程，可以由AP主动向STA终端发送信息，信息中携带AP的相关信息，例如MAC地址以及信号强度等；还可以由STA终端向AP请求获取，对于具体的实现过程，其已经为本领域人员所熟知的技术，具体地，在无线局域网标准IEEE 802.11协议簇中有相关介绍，本文不再进行赘述。 [0049] 在步骤103～104中，当STA终端获取欲连接的AP信息后，根据SSID对每个可信任的AP信息进行遍历，并将遍历的AP信息与欲连接的AP信息进行对比；当对比结果一致时，则向欲连接AP发送连接请求；当对比结果不一致时，不允许关联该AP，同时提示用户当前AP具有一定的危险性。 [0050] 实施例2 [0051] 本实施例基于实施例1，在获取ESS网络的可信任AP列表，通过数据网络实现，具体包括两种方式：主动方式、被动方式。 [0052] 对于通过数据网络主动获取可信任AP列表，包括如下步骤： [0053] 获取当前位置信息； [0054] 将位置信息通过数据网络发送至管理ESS网络的服务器； [0055] 当接收到服务器根据该位置信息反馈的可信任AP列表后，将可信任AP列表配置于本地。 [0056] 本实施例中获取可信任AP列表时，基于用户的位置实现。具体地，STA终端用户需要首先关注部署该ESS网络的管理者信息(例如微信的公共账号等)。通过该ESS网络的管理者实现与管理ESS网络的服务器侧的信息交互。其中，ESS网络服务器中预先存储了该ESS网络的位置区域。ESS网络的服务器根据STA终端位置可以获取该ESS网络的可信任AP列表。 [0057] 以麦当劳为例进行说明。STA终端用户刚进入某地麦当劳，STA终端通过GPS(Global Positioning System，全球定位系统)获取当前的位置信息，并将该位置信息发送至麦当劳公众账号；麦当劳公众账号根据该位置信息判断该位置是否在预先设置的位置区域内；当判断该位置在相应的部署区域时，将该区域的ESS网络对应的可信任AP列表通过数据网络发送至STA终端。 [0058] 当然，STA终端可以自动检测并连接可信任的AP。具体地，STA终端自动检测当前环境是否存在ESS网络；当存在时，获取当前的位置信息，并将该位置信息发送至关注的所有ESS网络的管理者；所有ESS网络的服务器根据该位置信息判断是否在所属的部署区域内，当确定在部署区域内时，获取可信任的AP列表。若当前区域存在多个可用ESS网络时，用户可以自行选取可用网络也可以根据用户预先设置的ESS网络信任排名对网络自动选取。对于多个可用ESS网络具体的选取过程，可以有多种，本发明不做具体的限定。 [0059] 对于通过数据网络被动获取可信任AP列表时，只需接收ESS网络推送的可信任AP列表即可。 [0060] 具体地，由ESS网络检测进入覆盖区域的STA终端信息；当检测到STA终端进入ESS网络后，通过数据网络将可信任AP列表推送至该STA终端中。 [0061] 具体地，对于ESS网络推送可信任AP列表的时间，需要经过STA终端的用户允许，才允许推送。例如，当用户打开WIFI，需要接入ESS网络时，ESS网络开始向STA终端进行推送；或者，当WIFI处于打开状态时，ESS网络检测到STA终端进行网络所覆盖的区域时，向STA终端询问是否需要连接，当需要时，将可信任AP列表推送至STA终端。STA终端接收ESS网络推送的可信任AP列表，将可信任AP列表配置于本地即可。 [0062] 实施例3 [0063] 本实施例基于实施例1，在获取ESS网络的可信任AP列表时，通过可识别标签由终端主动获取实现。其中，可识别标签包括NFC(Near Field Communication，近场通信)标签、二维码以及RFID(Radio Frequency Identification，无线射频识别)标签等可用于识别并且携带信息的标签。 [0064] 具体地，本实施例中，可将该ESS网络的可信任AP列表配置到NFC标签/二维码中，或者将可以获取的到该ESS网络的可信任AP列表信息的链接写入到NFC标签/二维码中，STA终端只有读的权限，STA终端用户进入该地区时，直接通过STA终端的NFC功能刷NFC标签/二维码即可获取到上述信息，并配置到STA终端中。对于读取RFID标签，STA终端可以通过RFID读取器读取RFID标签的信息。对于RFID读取器可以集成于STA终端，或者由ESS网络侧提供。 [0065] 需要说明的是，本发明对于STA终端获取可信任AP列表的具体方式并不局限于上述的实施例，用户还通过输入操作将ESS网络发布的可信任AP通过手动的方式进行添加。因此，对于STA终端通过其他方式获取可信任AP列表的方法都在本发明的保护范围之内。 [0066] 实施例4 [0067] 本发明实施例还提供了一种WiFi网络安全接入装置，用于实现实施例1～3中任一实施例所提供的方法。参见图3，该WiFi网络安全接入装置包括： [0068] 第一获取模块201，用于获取扩展服务集ESS网络的可信任无线接入点AP列表； [0069] 第二获取模块202，用于获取欲连接的AP的信息； [0070] 判断模块203，用于判断欲连接的AP是否在可信任AP列表中； [0071] 发送模块204，用于当判断欲连接的AP在可信任AP列表中，向欲连接的AP发送连接请求。 [0072] 进一步地，第一获取模块201获取可信任AP列表的方式包括数据网络、可识别标签或者手动添加中的任一种或多种。 [0073] 进一步地，可识别标签包括近场通信NFC标签、二维码以及无线射频识别RFID标签中的任一种或多种。 [0074] 进一步地，第一获取模块201通过数据网络获取可信任AP列表，包括： [0075] 获取单元，用于获取当前的位置信息； [0076] 发送单元，用于将获取单元获取的位置信息通过数据网络发送至管理ESS网络的服务器； [0077] 第一接收单元，用于接收服务器根据发送单元发送的位置信息反馈的可信任AP列表； [0078] 或者包括第二接收单元，用于接收管理ESS网络的服务器通过数据网络推送的可信任AP列表。 [0079] 进一步地，第一获取模块201获取的可信任AP列表包括ESS网络的服务集标识SSID以及可信任AP的唯一标识码。 [0080] 进一步地，唯一标识码为媒介访问控制MAC地址或者由管理ESS网络的服务器配置。 [0081] 综上所述，本发明实施例所提供的WiFi网络安全接入方法及装置，由ESS网络管理者发布该ESS网络可信任AP列表；当STA终端欲和该ESS网络的某AP关联时，通过可信任AP列表中的AP信息，核查欲关联的AP是否为可信任AP；当核查通过后，才允许关联，否则不予关联。本发明通过核查终端欲关联的AP是否为ESS网络中可信任AP，可有效阻止WiFi流氓接入点的攻击，提高WiFi网络接入的安全性，增加用户体验。 [0082] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。 [0083] 虽然通过实施例描述了本申请，本领域的技术人员知道，本申请有许多变形和变化而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

意见反馈