一种基于动态密钥的无线热点的接入控制方法及系统的制作方法
一种基于动态密钥的无线热点的接入控制方法及系统的制作方法
【技术领域】
[0001] 本发明设及通信技术领域,具体设及一种基于动态密钥的无线热点的接入控制方 法及系统。
【背景技术】
[0002] 在信息化、网络化、自动化不断融入办公体系的今天,局域网架设已经成为一个单 位提升办公效率的必然选择,是内部建设的重要组成部分,同时也是企业内部员工及时获 取资源和更新信息的直接途径,而无线网络技术的普及应用,更是将整个企业内部全部搭 建为办公平台,不论是在办公室还是在生产车间及仓库、室外空地,随时随地介入网络实现 与内网及互联网的对接。由于传统有线局域网的局限性,无线办公显得尤为重要,无线局域 网能够非常方便的扩容,对于传统的有线局域网来讲,改变往往意味着重新建设,而重新进 行布线将是一件非常费时、费力的事情,而无线局域网的搭建将有效避免该种情况的出现。 而无线局域网面临着很多安全威胁,例如;通过身份假冒的中间人攻击、钓鱼AP等等。该些 攻击可W带来很多虚假信息并且窃取用户资料,例如:上网账号、密码等等,从而威胁用户 的私人财产安全。
[0003] 无线接入点攻击是指在公众场所攻击者私自架设一个伪装的无线接入点,设置与 被攻击无线接入点相同的服务组标识符,使得受害者误连接伪装的无线接入点,该样,伪装 的无线接入点可W攻击受害者窃取账号密码等重要资料。该样,在单位外部通过架设一个 与单位内部相同的AP,就可W很简单的实现钓鱼,或者通过暴力破解窃取单位内部无线热 点的密码,进而实现中间人攻击,威胁用户的私人财产安全。
[0004] 针对网络设备的可信接入方法,其中之一为验证网络设备的启动过程,当所述网 络设备的启动过程符合预设要求时,允许所述网络设备完成启动W使所述网络设备接入网 络。该方法并没有指定特定的预设要求,因此不能确定它的安全性与性能稳定性。另外预 设要求仅对网络设备进行验证,而没有对AP端的验证,对于钓鱼AP等攻击,此种方法不能 进行防御。
[0005] 另一种基于可信性验证的可信接入网关,认证处理板、可信性度量处理板、完整性 修复处理板、访问控制处理板、安全标签管理处理板通过交换控制板与网络接口板连接W 此实现认证。此种方法由于添加了硬件,带来的可实施性的复杂度大大增加。并且不能对 局部范围内(例如设密场所)的无线连接设备W及AP进行双重安全保护。
【发明内容】
[0006] 针对现有技术中的缺陷,本发明提供了一种基于动态密钥的无线热点的接入控制 方法及系统,实现了局域网范围内信息系统数据传输的安全性。
[0007] 第一方面,本发明提供一种基于动态密钥的无线热点的接入控制方法,包括:
[000引无线热点端与终端连接后,向所述终端发送第一公钥和第一私钥,同时所述无线 热点端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公钥;
[0009] 所述终端在与所述无线热点端连接后,在预设时间段内未收到所述无线热点端发 送第一公钥和第一私钥时,所述终端断开与所述无线热点端的连接;
[0010] 所述无线热点端在接收到所述终端断开的指令后,向所述终端发送获取接入密码 和MAC地址的请求;
[001U 所述无线热点端通过接收所述终端发送的接入密码和MAC地址,并将所述接入密 码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断是否允 许所述终端访问网络。
[0012] 可选的,在所述无线热点端与所述终端连接之前,所述方法还包括:
[0013] 所述无线热点端通过获取所述终端发送的连接密码与所述无线热点端连接;
[0014] 所述无线热点端与所述终端连接后,不允许所述终端访问网络。
[0015] 可选的,所述无线热点端根据向所述终端发送的时间W及连接的终端的不同,贝U 向所述终端发送W及保存的所述第一公钥、第一私钥、第二公钥和第二私钥均不同。
[0016] 可选的,所述无线热点端通过接收所述终端发送的接入密码和MAC地址,并将所 述接入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判 断是否允许所述终端访问网络,包括:
[0017] 所述无线热点端向所述终端发送获取接入密码的第一请求,并对所述第一请求通 过所述第二公钥进行加密;
[001引所述终端接收到所述无线热点端发送的第一请求后,通过所述第一私钥对所述第 一请求进行解密,并将接入密码通过所述第一公钥加密后发送给所述无线热点端;
[0019] 所述无线热点端通过所述第二私钥获取所述接入密码,并将所述接入密码与预设 数据库中的接入密码进行匹配,根据匹配结果判断是否允许所述终端访问网络。
[0020] 可选的,所述无线热点端通过接收所述终端发送的接入密码和MC地址,并将所 述接入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判 断是否允许所述终端访问网络,还包括:
[0021] 所述接入密码与预设数据库中的接入密码不匹配时,断开与所述终端的连接,如 果匹配,则向所述终端发送接入MC地址的第二请求,并对所述第二请求通过所述第二公 钥进行加密;
[0022] 所述终端接收到所述无线热点端发送的第二请求后,通过所述第一私钥对所述第 二请求进行解密,并将接入MAC地址通过所述第一公钥加密后发送给所述无线热点端;
[0023] 所述无线热点端通过所述第二私钥获取所述接入MAC地址,并将所述接入MAC地 址与预设数据库中的接入MAC地址进行匹配,如果不匹配,则断开与所述终端的连接,如果 匹配,则所述终端访问网络。
[0024] 第二方面,本发明还提供了一种基于动态密钥的无线热点的接入控制系统,包括: 终端和无线热点端;
[0025] 所述无线热点端,用于在与终端连接后,向所述终端发送第一公钥和第一私钥, 同时所述无线热点端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公 钥;
[0026] 所述终端,用于在与所述无线热点端连接后,在预设时间段内未收到所述无线热 点端发送第一公钥和第一私钥时,所述终端断开与所述无线热点端的连接;
[0027] 所述无线热点端,用于在接收到所述终端断开的指令后,向所述终端发送获取接 入密码和MAC地址的请求;
[002引所述无线热点端,用于通过接收所述终端发送的接入密码和MAC地址,并将所述 接入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断 是否允许所述终端访问网络。
[0029] 可选的,所述无线热点端,还用于:
[0030] 在与所述终端连接之前,通过获取所述终端发送的连接密码与所述无线热点端连 接;
[0031] 在与所述终端连接后,不允许所述终端访问网络。
[003引可选的,所述无线热点端根据向所述终端发送的时间W及连接的终端的不同,贝U向所述终端发送W及保存的所述第一公钥、第一私钥、第二公钥和第二私钥均不同。
[0033] 可选的,所述无线热点端,用于向所述终端发送获取接入密码的第一请求,并对所 述第一请求通过所述第二公钥进行加密;
[0034] 所述终端,用于接收到所述无线热点端发送的第一请求后,通过所述第一私钥对 所述第一请求进行解密,并将接入密码通过所述第一公钥加密后发送给所述无线热点端;
[0035] 所述无线热点端,用于通过所述第二私钥获取所述接入密码,并将所述接入密码 与预设数据库中的接入密码进行匹配,根据匹配结果判断是否允许所述终端访问网络。
[0036] 可选的,所述无线热点端,还用于在所述接入密码与预设数据库中的接入密码不 匹配时,断开与所述终端的连接,如果匹配,则向所述终端发送接入MAC地址的第二请求, 并对所述第二请求通过所述第二公钥进行加密;
[0037] 所述终端,用于接收到所述无线热点端发送的第二请求后,通过所述第一私钥对 所述第二请求进行解密,并将接入MAC地址通过所述第一公钥加密后发送给所述无线热点 端;
[003引所述无线热点端,用于通过所述第二私钥获取所述接入MC地址,并将所述接入MAC地址与预设数据库中的接入MAC地址进行匹配,如果不匹配,则断开与所述终端的连 接,如果匹配,则所述终端访问网络。
[0039] 由上述技术方案可知,本发明提供的一种基于动态密钥的无线热点的接入控制方 法及系统,该方法通过对终端W及AP端进行扩展修改,增加一层新的动态密钥双向交互验 证,终端和AP端相互认证。使得局域网内的终端仅与局域网内部架设的可信AP连接,局域 网内部架设的可信A P仅使得局域网内部终端与之连接。从根源上避免了一些攻击,有效地 提升单位无线网络的安全性。通过构建的无线网络动态密钥双向交互验证的可信接入,能 够解决局域网内部信息系统数据传输的安全性;保密性、完整性和不可抵赖性。
【附图说明】
[0040] 图1为本发明一实施例提供的一种基于动态密钥的无线热点的接入控制方法的 流程示意图;
[0041] 图2为本发明另一实施例提供的一种基于动态密钥的无线热点的接入控制方法 的流程示意图。
【具体实施方式】
[0042] 下面结合附图,对发明的【具体实施方式】作进一步描述。W下实施例仅用于更加清 楚地说明本发明的技术方案,而不能W此来限制本发明的保护范围。
[0043] 图1示出了本发明实施例提供的一种基于动态密钥的无线热点的接入控制方法 的流程示意图,如图1所示,该方法包括如下步骤:
[0044] 101、无线热点端与终端连接后,向所述终端发送第一公钥和第一私钥,同时所述 无线热点端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公钥;
[0045] 102、所述终端在与所述无线热点端连接后,在预设时间段内未收到所述无线热点 端发送第一公钥和第一私钥时,所述终端断开与所述无线热点端的连接;
[0046] 103、所述无线热点端在接收到所述终端断开的指令后,向所述终端发送获取接入 密码和MAC地址的请求;
[0047] 104、所述无线热点端通过接收所述终端发送的接入密码和MC地址,并将所述接 入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断是 否允许所述终端访问网络。
[0048] 该方法通过对终端W及AP端进行扩展修改,增加一层新的动态密钥双向交互验 证,终端和AP端相互认证。使得局域网内的终端仅与局域网内部架设的可信AP连接,局域 网内部架设的可信AP仅使得局域网内部终端与之连接。从根源上避免了一些攻击,有效地 提升单位无线网络的安全性。通过构建的无线网络动态密钥双向交互验证的可信接入,能 够解决局域网内部信息系统数据传输的安全性;保密性、完整性和不可抵赖性。
[0049] 上述步骤101中在无线热点端与所述终端连接之前,所述方法还包括图1中未示 出的步骤:
[0050] 所述无线热点端通过获取所述终端发送的连接密码与所述无线热点端连接; [0化1] 所述无线热点端与所述终端连接后,不允许所述终端访问网络。
[005引具体的,所述无线热点端根据向所述终端发送的时间W及连接的终端的不同,贝U向所述终端发送W及保存的所述第一公钥、第一私钥、第二公钥和第二私钥均不同。此种方 法使用动态密钥,每次使用不同的配对公钥私钥,防御了暴力破解。
[0053] 上述步骤104具体包括W下几种:
[0化4] 1041、所述无线热点端向所述终端发送获取接入密码的第一请求,并对所述第一 请求通过所述第二公钥进行加密;
[0化5] 1042、所述终端接收到所述无线热点端发送的第一请求后,通过所述第一私钥对 所述第一请求进行解密,并将接入密码通过所述第一公钥加密后发送给所述无线热点端; [0化6] 1043、所述无线热点端通过所述第二私钥获取所述接入密码,并将所述接入密码 与预设数据库中的接入密码进行匹配。
[0化7] 1044、所述接入密码与预设数据库中的接入密码不匹配时,断开与所述终端的连 接,如果匹配,则向所述终端发送接入MAC地址的第二请求,并对所述第二请求通过所述第 二公钥进行加密;
[0化引 1045、所述终端接收到所述无线热点端发送的第二请求后,通过所述第一私钥对 所述第二请求进行解密,并将接入MAC地址通过所述第一公钥加密后发送给所述无线热点 端;
[0化9] 1046、所述无线热点端通过所述第二私钥获取所述接入MAC地址,并将所述接入 MAC地址与预设数据库中的接入MAC地址进行匹配,如果不匹配,则断开与所述终端的连 接,如果匹配,则所述终端访问网络。
[0060] 上述方法使用动态密钥双向交互验证的可信接入方法,对用户设定的安全接入 APP密码和MAC地址进行双重验证,增大了安全性。上述方法没有修改网络信令,能够高效 地运行。在根源上对无线网络安全性提供更高的安全保障,避免了中间人攻击W及钓鱼AP 等多种攻击,解除了用户的私人财产安全的威胁。
[0061] 下面对上述认证方法进行详细说明:
[0062] 下述中的终端的动作均代表设置在终端中的第S方软件或者APP的动作,无线热 点端可W理解为AP端,也即路由器。
[006引如图2所示,在认证过程中具体包括W下步骤:
[0064] (1)移动终端输入正确的无线热点密码之后,无线热点与之相连但是不授予该移 动终端访问任何网络的权限。
[0065] (2)服务器控制AP端向移动终端发送一组公钥A和私钥B,AP端保留与之对应的 私钥A和公钥B。其中公钥A与私钥A配对,公钥B与私钥B配对。
[0066] 做在一定时间范围内,若移动终端未收到该组公钥A和私钥B,则移动终端APP 控制其断开无线网络连接。
[0067] (4)AP端向移动终端请求该无线接入APP的密码。请求内容用公钥S进行加密。
[0068] (5)移动终端接收到密文后,用私钥B对密文进行解密,得知请求密码后,输入用 户自己设定的密码。
[0069] (6)此密码经过公钥A加密后将密文发送给AP端.
[0070] (7)AP端通过私钥A对密文进行解密,得到的密码与数据库相对比,如果不相匹 配,则断开与无线终端的连接。如果相匹配,则向移动终端请求MAC地址。将此信息通过公 钥B进行加密,并将密文发送至移动终端。AP端数据库内容如表1所示:
[0071]表 1
[0072]
[007引 做移动终端收到密文后,用私钥B对密文进行解密,得知请求MAC地址后,将自己 的MAC地址通过公钥A加密后发送至AP端。
[0074] (9)AP端收到密文后,通过私钥A对密文进行解密,得到的密码与数据库密码相对 比,如果不相匹配,则断开与无线终端的连接。如果相匹配,则允许该移动终端访问网络。
[0075] 上述步骤(2)的公钥A和私钥AW及公钥B和私钥B由服务器随机分配,即不同 时间的不同客户端收到的配对的公钥、私钥均不同,避免了通过暴力破解使得移动终端连 接AP。
[0076] 上述步骤(3)保证了单位内部安装安全接入APP的移动终端不能连接外部网络。
[0077] 上述步骤(7)保证了非单位人员(也就是未安装安全接入APP的移动终端)不可 W连接AP。
[007引上述步骤(7)和(9)两步分别验证了MAC地址W及用户自己设定的密码,防止了 通过暴力破解密码连接,增大了安全性。
[0079] 上述方法在现有无线接入的基础上,在移动终端添加应用对AP进行鉴权,同时对 AP进行扩展进行移动终端的鉴权识别,构建单位无线网络动态密钥双向交互验证的可信接 入,终端和可信接入网关相互认证,从根源上避免了一些攻击,有效地提升了单位无线网络 的安全性。
[0080] 本发明还提供了一种基于动态密钥的无线热点的接入控制系统,该系统包括:终 端和无线热点端;
[0081] 所述无线热点端,用于在与终端连接后,向所述终端发送第一公钥和第一私钥, 同时所述无线热点端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公 钥;
[0082] 所述终端,用于在与所述无线热点端连接后,在预设时间段内未收到所述无线热 点端发送第一公钥和第一私钥时,所述终端断开与所述无线热点端的连接;
[0083] 所述无线热点端,用于在接收到所述终端断开的指令后,向所述终端发送获取接 入密码和MAC地址的请求;
[0084] 所述无线热点端,用于通过接收所述终端发送的接入密码和MAC地址,并将所述 接入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断 是否允许所述终端访问网络。
[0085] 在本发明一个优选的实施例中,所述无线热点端,还用于:
[0086] 在与所述终端连接之前,通过获取所述终端发送的连接密码与所述无线热点端连 接;
[0087] 在与所述终端连接后,不允许所述终端访问网络。
[008引在本发明一个优选的实施例中,所述无线热点端根据向所述终端发送的时间W及 连接的终端的不同,则向所述终端发送W及保存的所述第一公钥、第一私钥、第二公钥和第 二私钥均不同。
[00 89] 在本发明一个优选的实施例中,所述无线热点端,用于向所述终端发送获取接入 密码的第一请求,并对所述第一请求通过所述第二公钥进行加密;
[0090] 所述终端,用于接收到所述无线热点端发送的第一请求后,通过所述第一私钥对 所述第一请求进行解密,并将接入密码通过所述第一公钥加密后发送给所述无线热点端;
[0091] 所述无线热点端,用于通过所述第二私钥获取所述接入密码,并将所述接入密码 与预设数据库中的接入密码进行匹配,根据匹配结果判断是否允许所述终端访问网络。
[0092] 在本发明一个优选的实施例中,所述无线热点端,还用于在所述接入密码与预设 数据库中的接入密码不匹配时,断开与所述终端的连接,如果匹配,则向所述终端发送接入 MAC地址的第二请求,并对所述第二请求通过所述第二公钥进行加密;
[0093] 所述终端,用于接收到所述无线热点端发送的第二请求后,通过所述第一私钥对 所述第二请求进行解密,并将接入MAC地址通过所述第一公钥加密后发送给所述无线热点 端;
[0094] 所述无线热点端,用于通过所述第二私钥获取所述接入MC地址,并将所述接入 MAC地址与预设数据库中的接入MAC地址进行匹配,如果不匹配,则断开与所述终端的连 接,如果匹配,则所述终端访问网络。
[0095] 上述系统与上述方法是一一对应的关系,本实施例不再对上述系统的实施细节进 行详细说明。
[0096] 本发明的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可W 在没有该些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技 术,W便不模糊对本说明书的理解。
[0097] 最后应说明的是;W上各实施例仅用W说明本发明的技术方案,而非对其限制; 尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其 依然可W对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征 进行等同替换;而该些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技 术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
【主权项】
1. 一种基于动态密钥的无线热点的接入控制方法,其特征在于,包括: 无线热点端与终端连接后,向所述终端发送第一公钥和第一私钥,同时所述无线热点 端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公钥; 所述终端在与所述无线热点端连接后,在预设时间段内未收到所述无线热点端发送第 一公钥和第一私钥时,所述终端断开与所述无线热点端的连接; 所述无线热点端在接收到所述终端断开的指令后,向所述终端发送获取接入密码和MAC地址的请求; 所述无线热点端通过接收所述终端发送的接入密码和MAC地址,并将所述接入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断是否允许所 述终端访问网络。2. 根据权利要求1所述的方法,其特征在于,在所述无线热点端与所述终端连接之前, 所述方法还包括: 所述无线热点端通过获取所述终端发送的连接密码与所述无线热点端连接; 所述无线热点端与所述终端连接后,不允许所述终端访问网络。3. 根据权利要求1所述的方法,其特征在于, 所述无线热点端根据向所述终端发送的时间以及连接的终端的不同,则向所述终端发 送以及保存的所述第一公钥、第一私钥、第二公钥和第二私钥均不同。4. 根据权利要求1所述的方法,其特征在于,所述无线热点端通过接收所述终端发送 的接入密码和MAC地址,并将所述接入密码和MAC地址与预设数据库中的接入密码和MAC 地址进行匹配,通过匹配结果判断是否允许所述终端访问网络,包括: 所述无线热点端向所述终端发送获取接入密码的第一请求,并对所述第一请求通过所 述第二公钥进行加密; 所述终端接收到所述无线热点端发送的第一请求后,通过所述第一私钥对所述第一请 求进行解密,并将接入密码通过所述第一公钥加密后发送给所述无线热点端; 所述无线热点端通过所述第二私钥获取所述接入密码,并将所述接入密码与预设数据 库中的接入密码进行匹配,根据匹配结果判断是否允许所述终端访问网络。5. 根据权利要求4所述的方法,其特征在于,所述无线热点端通过接收所述终端发送 的接入密码和MAC地址,并将所述接入密码和MAC地址与预设数据库中的接入密码和MAC 地址进行匹配,通过匹配结果判断是否允许所述终端访问网络,还包括: 所述接入密码与预设数据库中的接入密码不匹配时,断开与所述终端的连接,如果匹 配,则向所述终端发送接入MAC地址的第二请求,并对所述第二请求通过所述第二公钥进 行加密; 所述终端接收到所述无线热点端发送的第二请求后,通过所述第一私钥对所述第二请 求进行解密,并将接入MC地址通过所述第一公钥加密后发送给所述无线热点端; 所述无线热点端通过所述第二私钥获取所述接入MAC地址,并将所述接入MAC地址 与预设数据库中的接入MAC地址进行匹配,如果不匹配,则断开与所述终端的连接,如果匹 配,则所述终端访问网络。6. -种基于动态密钥的无线热点的接入控制系统,其特征在于,包括:终端和无线热 点端; 所述无线热点端,用于在与终端连接后,向所述终端发送第一公钥和第一私钥,同时所 述无线热点端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公钥; 所述终端,用于在与所述无线热点端连接后,在预设时间段内未收到所述无线热点端 发送第一公钥和第一私钥时,所述终端断开与所述无线热点端的连接; 所述无线热点端,用于在接收到所述终端断开的指令后,向所述终端发送获取接入密 码和MAC地址的请求; 所述无线热点端,用于通过接收所述终端发送的接入密码和MAC地址,并将所述接入 密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断是否 允许所述终端访问网络。7. 根据权利要求6所述的系统,其特征在于,所述无线热点端,还用于: 在与所述终端连接之前,通过获取所述终端发送的连接密码与所述无线热点端连接; 在与所述终端连接后,不允许所述终端访问网络。8. 根据权利要求6所述的系统,其特征在于, 所述无线热点端根据向所述终端发送的时间以及连接的终端的不同,则向所述终端发 送以及保存的所述第一公钥、第一私钥、第二公钥和第二私钥均不同。9. 根据权利要求6所述的系统,其特征在于, 所述无线热点端,用于向所述终端发送获取接入密码的第一请求,并对所述第一请求 通过所述第二公钥进行加密; 所述终端,用于接收到所述无线热点端发送的第一请求后,通过所述第一私钥对所述 第一请求进行解密,并将接入密码通过所述第一公钥加密后发送给所述无线热点端; 所述无线热点端,用于通过所述第二私钥获取所述接入密码,并将所述接入密码与预 设数据库中的接入密码进行匹配,根据匹配结果判断是否允许所述终端访问网络。10. 根据权利要求9所述的系统,其特征在于, 所述无线热点端,还用于在所述接入密码与预设数据库中的接入密码不匹配时,断开 与所述终端的连接,如果匹配,则向所述终端发送接入MAC地址的第二请求,并对所述第二 请求通过所述第二公钥进行加密; 所述终端,用于接收到所述无线热点端发送的第二请求后,通过所述第一私钥对所述 第二请求进行解密,并将接入MC地址通过所述第一公钥加密后发送给所述无线热点端; 所述无线热点端,用于通过所述第二私钥获取所述接入MC地址,并将所述接入MC地 址与预设数据库中的接入MAC地址进行匹配,如果不匹配,则断开与所述终端的连接,如果 匹配,则所述终端访问网络。
【专利摘要】本发明公开了一种基于动态密钥的无线热点的接入控制方法及系统,该方法包括:无线热点端与终端连接后,向所述终端发送第一公钥和第一私钥,同时所述无线热点端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公钥;终端在与无线热点端连接后,在预设时间段内未收到无线热点端发送第一公钥和第一私钥时,终端断开与所述无线热点端的连接;无线热点端在接收到终端断开的指令后,向终端发送获取接入密码和MAC地址的请求;无线热点端通过接收终端发送的接入密码和MAC地址,并将接入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断是否允许所述终端访问网络。解决了局域网内部信息系统数据传输的安全性。
【IPC分类】H04W48/02, H04L9/32, H04W12/06, H04L29/06, H04W12/04
【公开号】CN104902470
【申请号】CN201510223227
【发明人】朱大立, 庞娜, 朱海涛, 荣文晶, 冯维淼, 曾佳, 范哲铭
【申请人】中国科学院信息工程研究所
【公开日】2015年9月9日
【申请日】2015年5月5日
【技术领域】
[0001] 本发明设及通信技术领域,具体设及一种基于动态密钥的无线热点的接入控制方 法及系统。
【背景技术】
[0002] 在信息化、网络化、自动化不断融入办公体系的今天,局域网架设已经成为一个单 位提升办公效率的必然选择,是内部建设的重要组成部分,同时也是企业内部员工及时获 取资源和更新信息的直接途径,而无线网络技术的普及应用,更是将整个企业内部全部搭 建为办公平台,不论是在办公室还是在生产车间及仓库、室外空地,随时随地介入网络实现 与内网及互联网的对接。由于传统有线局域网的局限性,无线办公显得尤为重要,无线局域 网能够非常方便的扩容,对于传统的有线局域网来讲,改变往往意味着重新建设,而重新进 行布线将是一件非常费时、费力的事情,而无线局域网的搭建将有效避免该种情况的出现。 而无线局域网面临着很多安全威胁,例如;通过身份假冒的中间人攻击、钓鱼AP等等。该些 攻击可W带来很多虚假信息并且窃取用户资料,例如:上网账号、密码等等,从而威胁用户 的私人财产安全。
[0003] 无线接入点攻击是指在公众场所攻击者私自架设一个伪装的无线接入点,设置与 被攻击无线接入点相同的服务组标识符,使得受害者误连接伪装的无线接入点,该样,伪装 的无线接入点可W攻击受害者窃取账号密码等重要资料。该样,在单位外部通过架设一个 与单位内部相同的AP,就可W很简单的实现钓鱼,或者通过暴力破解窃取单位内部无线热 点的密码,进而实现中间人攻击,威胁用户的私人财产安全。
[0004] 针对网络设备的可信接入方法,其中之一为验证网络设备的启动过程,当所述网 络设备的启动过程符合预设要求时,允许所述网络设备完成启动W使所述网络设备接入网 络。该方法并没有指定特定的预设要求,因此不能确定它的安全性与性能稳定性。另外预 设要求仅对网络设备进行验证,而没有对AP端的验证,对于钓鱼AP等攻击,此种方法不能 进行防御。
[0005] 另一种基于可信性验证的可信接入网关,认证处理板、可信性度量处理板、完整性 修复处理板、访问控制处理板、安全标签管理处理板通过交换控制板与网络接口板连接W 此实现认证。此种方法由于添加了硬件,带来的可实施性的复杂度大大增加。并且不能对 局部范围内(例如设密场所)的无线连接设备W及AP进行双重安全保护。
【发明内容】
[0006] 针对现有技术中的缺陷,本发明提供了一种基于动态密钥的无线热点的接入控制 方法及系统,实现了局域网范围内信息系统数据传输的安全性。
[0007] 第一方面,本发明提供一种基于动态密钥的无线热点的接入控制方法,包括:
[000引无线热点端与终端连接后,向所述终端发送第一公钥和第一私钥,同时所述无线 热点端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公钥;
[0009] 所述终端在与所述无线热点端连接后,在预设时间段内未收到所述无线热点端发 送第一公钥和第一私钥时,所述终端断开与所述无线热点端的连接;
[0010] 所述无线热点端在接收到所述终端断开的指令后,向所述终端发送获取接入密码 和MAC地址的请求;
[001U 所述无线热点端通过接收所述终端发送的接入密码和MAC地址,并将所述接入密 码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断是否允 许所述终端访问网络。
[0012] 可选的,在所述无线热点端与所述终端连接之前,所述方法还包括:
[0013] 所述无线热点端通过获取所述终端发送的连接密码与所述无线热点端连接;
[0014] 所述无线热点端与所述终端连接后,不允许所述终端访问网络。
[0015] 可选的,所述无线热点端根据向所述终端发送的时间W及连接的终端的不同,贝U 向所述终端发送W及保存的所述第一公钥、第一私钥、第二公钥和第二私钥均不同。
[0016] 可选的,所述无线热点端通过接收所述终端发送的接入密码和MAC地址,并将所 述接入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判 断是否允许所述终端访问网络,包括:
[0017] 所述无线热点端向所述终端发送获取接入密码的第一请求,并对所述第一请求通 过所述第二公钥进行加密;
[001引所述终端接收到所述无线热点端发送的第一请求后,通过所述第一私钥对所述第 一请求进行解密,并将接入密码通过所述第一公钥加密后发送给所述无线热点端;
[0019] 所述无线热点端通过所述第二私钥获取所述接入密码,并将所述接入密码与预设 数据库中的接入密码进行匹配,根据匹配结果判断是否允许所述终端访问网络。
[0020] 可选的,所述无线热点端通过接收所述终端发送的接入密码和MC地址,并将所 述接入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判 断是否允许所述终端访问网络,还包括:
[0021] 所述接入密码与预设数据库中的接入密码不匹配时,断开与所述终端的连接,如 果匹配,则向所述终端发送接入MC地址的第二请求,并对所述第二请求通过所述第二公 钥进行加密;
[0022] 所述终端接收到所述无线热点端发送的第二请求后,通过所述第一私钥对所述第 二请求进行解密,并将接入MAC地址通过所述第一公钥加密后发送给所述无线热点端;
[0023] 所述无线热点端通过所述第二私钥获取所述接入MAC地址,并将所述接入MAC地 址与预设数据库中的接入MAC地址进行匹配,如果不匹配,则断开与所述终端的连接,如果 匹配,则所述终端访问网络。
[0024] 第二方面,本发明还提供了一种基于动态密钥的无线热点的接入控制系统,包括: 终端和无线热点端;
[0025] 所述无线热点端,用于在与终端连接后,向所述终端发送第一公钥和第一私钥, 同时所述无线热点端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公 钥;
[0026] 所述终端,用于在与所述无线热点端连接后,在预设时间段内未收到所述无线热 点端发送第一公钥和第一私钥时,所述终端断开与所述无线热点端的连接;
[0027] 所述无线热点端,用于在接收到所述终端断开的指令后,向所述终端发送获取接 入密码和MAC地址的请求;
[002引所述无线热点端,用于通过接收所述终端发送的接入密码和MAC地址,并将所述 接入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断 是否允许所述终端访问网络。
[0029] 可选的,所述无线热点端,还用于:
[0030] 在与所述终端连接之前,通过获取所述终端发送的连接密码与所述无线热点端连 接;
[0031] 在与所述终端连接后,不允许所述终端访问网络。
[003引可选的,所述无线热点端根据向所述终端发送的时间W及连接的终端的不同,贝U向所述终端发送W及保存的所述第一公钥、第一私钥、第二公钥和第二私钥均不同。
[0033] 可选的,所述无线热点端,用于向所述终端发送获取接入密码的第一请求,并对所 述第一请求通过所述第二公钥进行加密;
[0034] 所述终端,用于接收到所述无线热点端发送的第一请求后,通过所述第一私钥对 所述第一请求进行解密,并将接入密码通过所述第一公钥加密后发送给所述无线热点端;
[0035] 所述无线热点端,用于通过所述第二私钥获取所述接入密码,并将所述接入密码 与预设数据库中的接入密码进行匹配,根据匹配结果判断是否允许所述终端访问网络。
[0036] 可选的,所述无线热点端,还用于在所述接入密码与预设数据库中的接入密码不 匹配时,断开与所述终端的连接,如果匹配,则向所述终端发送接入MAC地址的第二请求, 并对所述第二请求通过所述第二公钥进行加密;
[0037] 所述终端,用于接收到所述无线热点端发送的第二请求后,通过所述第一私钥对 所述第二请求进行解密,并将接入MAC地址通过所述第一公钥加密后发送给所述无线热点 端;
[003引所述无线热点端,用于通过所述第二私钥获取所述接入MC地址,并将所述接入MAC地址与预设数据库中的接入MAC地址进行匹配,如果不匹配,则断开与所述终端的连 接,如果匹配,则所述终端访问网络。
[0039] 由上述技术方案可知,本发明提供的一种基于动态密钥的无线热点的接入控制方 法及系统,该方法通过对终端W及AP端进行扩展修改,增加一层新的动态密钥双向交互验 证,终端和AP端相互认证。使得局域网内的终端仅与局域网内部架设的可信AP连接,局域 网内部架设的可信A P仅使得局域网内部终端与之连接。从根源上避免了一些攻击,有效地 提升单位无线网络的安全性。通过构建的无线网络动态密钥双向交互验证的可信接入,能 够解决局域网内部信息系统数据传输的安全性;保密性、完整性和不可抵赖性。
【附图说明】
[0040] 图1为本发明一实施例提供的一种基于动态密钥的无线热点的接入控制方法的 流程示意图;
[0041] 图2为本发明另一实施例提供的一种基于动态密钥的无线热点的接入控制方法 的流程示意图。
【具体实施方式】
[0042] 下面结合附图,对发明的【具体实施方式】作进一步描述。W下实施例仅用于更加清 楚地说明本发明的技术方案,而不能W此来限制本发明的保护范围。
[0043] 图1示出了本发明实施例提供的一种基于动态密钥的无线热点的接入控制方法 的流程示意图,如图1所示,该方法包括如下步骤:
[0044] 101、无线热点端与终端连接后,向所述终端发送第一公钥和第一私钥,同时所述 无线热点端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公钥;
[0045] 102、所述终端在与所述无线热点端连接后,在预设时间段内未收到所述无线热点 端发送第一公钥和第一私钥时,所述终端断开与所述无线热点端的连接;
[0046] 103、所述无线热点端在接收到所述终端断开的指令后,向所述终端发送获取接入 密码和MAC地址的请求;
[0047] 104、所述无线热点端通过接收所述终端发送的接入密码和MC地址,并将所述接 入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断是 否允许所述终端访问网络。
[0048] 该方法通过对终端W及AP端进行扩展修改,增加一层新的动态密钥双向交互验 证,终端和AP端相互认证。使得局域网内的终端仅与局域网内部架设的可信AP连接,局域 网内部架设的可信AP仅使得局域网内部终端与之连接。从根源上避免了一些攻击,有效地 提升单位无线网络的安全性。通过构建的无线网络动态密钥双向交互验证的可信接入,能 够解决局域网内部信息系统数据传输的安全性;保密性、完整性和不可抵赖性。
[0049] 上述步骤101中在无线热点端与所述终端连接之前,所述方法还包括图1中未示 出的步骤:
[0050] 所述无线热点端通过获取所述终端发送的连接密码与所述无线热点端连接; [0化1] 所述无线热点端与所述终端连接后,不允许所述终端访问网络。
[005引具体的,所述无线热点端根据向所述终端发送的时间W及连接的终端的不同,贝U向所述终端发送W及保存的所述第一公钥、第一私钥、第二公钥和第二私钥均不同。此种方 法使用动态密钥,每次使用不同的配对公钥私钥,防御了暴力破解。
[0053] 上述步骤104具体包括W下几种:
[0化4] 1041、所述无线热点端向所述终端发送获取接入密码的第一请求,并对所述第一 请求通过所述第二公钥进行加密;
[0化5] 1042、所述终端接收到所述无线热点端发送的第一请求后,通过所述第一私钥对 所述第一请求进行解密,并将接入密码通过所述第一公钥加密后发送给所述无线热点端; [0化6] 1043、所述无线热点端通过所述第二私钥获取所述接入密码,并将所述接入密码 与预设数据库中的接入密码进行匹配。
[0化7] 1044、所述接入密码与预设数据库中的接入密码不匹配时,断开与所述终端的连 接,如果匹配,则向所述终端发送接入MAC地址的第二请求,并对所述第二请求通过所述第 二公钥进行加密;
[0化引 1045、所述终端接收到所述无线热点端发送的第二请求后,通过所述第一私钥对 所述第二请求进行解密,并将接入MAC地址通过所述第一公钥加密后发送给所述无线热点 端;
[0化9] 1046、所述无线热点端通过所述第二私钥获取所述接入MAC地址,并将所述接入 MAC地址与预设数据库中的接入MAC地址进行匹配,如果不匹配,则断开与所述终端的连 接,如果匹配,则所述终端访问网络。
[0060] 上述方法使用动态密钥双向交互验证的可信接入方法,对用户设定的安全接入 APP密码和MAC地址进行双重验证,增大了安全性。上述方法没有修改网络信令,能够高效 地运行。在根源上对无线网络安全性提供更高的安全保障,避免了中间人攻击W及钓鱼AP 等多种攻击,解除了用户的私人财产安全的威胁。
[0061] 下面对上述认证方法进行详细说明:
[0062] 下述中的终端的动作均代表设置在终端中的第S方软件或者APP的动作,无线热 点端可W理解为AP端,也即路由器。
[006引如图2所示,在认证过程中具体包括W下步骤:
[0064] (1)移动终端输入正确的无线热点密码之后,无线热点与之相连但是不授予该移 动终端访问任何网络的权限。
[0065] (2)服务器控制AP端向移动终端发送一组公钥A和私钥B,AP端保留与之对应的 私钥A和公钥B。其中公钥A与私钥A配对,公钥B与私钥B配对。
[0066] 做在一定时间范围内,若移动终端未收到该组公钥A和私钥B,则移动终端APP 控制其断开无线网络连接。
[0067] (4)AP端向移动终端请求该无线接入APP的密码。请求内容用公钥S进行加密。
[0068] (5)移动终端接收到密文后,用私钥B对密文进行解密,得知请求密码后,输入用 户自己设定的密码。
[0069] (6)此密码经过公钥A加密后将密文发送给AP端.
[0070] (7)AP端通过私钥A对密文进行解密,得到的密码与数据库相对比,如果不相匹 配,则断开与无线终端的连接。如果相匹配,则向移动终端请求MAC地址。将此信息通过公 钥B进行加密,并将密文发送至移动终端。AP端数据库内容如表1所示:
[0071]表 1
[0072]
[007引 做移动终端收到密文后,用私钥B对密文进行解密,得知请求MAC地址后,将自己 的MAC地址通过公钥A加密后发送至AP端。
[0074] (9)AP端收到密文后,通过私钥A对密文进行解密,得到的密码与数据库密码相对 比,如果不相匹配,则断开与无线终端的连接。如果相匹配,则允许该移动终端访问网络。
[0075] 上述步骤(2)的公钥A和私钥AW及公钥B和私钥B由服务器随机分配,即不同 时间的不同客户端收到的配对的公钥、私钥均不同,避免了通过暴力破解使得移动终端连 接AP。
[0076] 上述步骤(3)保证了单位内部安装安全接入APP的移动终端不能连接外部网络。
[0077] 上述步骤(7)保证了非单位人员(也就是未安装安全接入APP的移动终端)不可 W连接AP。
[007引上述步骤(7)和(9)两步分别验证了MAC地址W及用户自己设定的密码,防止了 通过暴力破解密码连接,增大了安全性。
[0079] 上述方法在现有无线接入的基础上,在移动终端添加应用对AP进行鉴权,同时对 AP进行扩展进行移动终端的鉴权识别,构建单位无线网络动态密钥双向交互验证的可信接 入,终端和可信接入网关相互认证,从根源上避免了一些攻击,有效地提升了单位无线网络 的安全性。
[0080] 本发明还提供了一种基于动态密钥的无线热点的接入控制系统,该系统包括:终 端和无线热点端;
[0081] 所述无线热点端,用于在与终端连接后,向所述终端发送第一公钥和第一私钥, 同时所述无线热点端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公 钥;
[0082] 所述终端,用于在与所述无线热点端连接后,在预设时间段内未收到所述无线热 点端发送第一公钥和第一私钥时,所述终端断开与所述无线热点端的连接;
[0083] 所述无线热点端,用于在接收到所述终端断开的指令后,向所述终端发送获取接 入密码和MAC地址的请求;
[0084] 所述无线热点端,用于通过接收所述终端发送的接入密码和MAC地址,并将所述 接入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断 是否允许所述终端访问网络。
[0085] 在本发明一个优选的实施例中,所述无线热点端,还用于:
[0086] 在与所述终端连接之前,通过获取所述终端发送的连接密码与所述无线热点端连 接;
[0087] 在与所述终端连接后,不允许所述终端访问网络。
[008引在本发明一个优选的实施例中,所述无线热点端根据向所述终端发送的时间W及 连接的终端的不同,则向所述终端发送W及保存的所述第一公钥、第一私钥、第二公钥和第 二私钥均不同。
[00 89] 在本发明一个优选的实施例中,所述无线热点端,用于向所述终端发送获取接入 密码的第一请求,并对所述第一请求通过所述第二公钥进行加密;
[0090] 所述终端,用于接收到所述无线热点端发送的第一请求后,通过所述第一私钥对 所述第一请求进行解密,并将接入密码通过所述第一公钥加密后发送给所述无线热点端;
[0091] 所述无线热点端,用于通过所述第二私钥获取所述接入密码,并将所述接入密码 与预设数据库中的接入密码进行匹配,根据匹配结果判断是否允许所述终端访问网络。
[0092] 在本发明一个优选的实施例中,所述无线热点端,还用于在所述接入密码与预设 数据库中的接入密码不匹配时,断开与所述终端的连接,如果匹配,则向所述终端发送接入 MAC地址的第二请求,并对所述第二请求通过所述第二公钥进行加密;
[0093] 所述终端,用于接收到所述无线热点端发送的第二请求后,通过所述第一私钥对 所述第二请求进行解密,并将接入MAC地址通过所述第一公钥加密后发送给所述无线热点 端;
[0094] 所述无线热点端,用于通过所述第二私钥获取所述接入MC地址,并将所述接入 MAC地址与预设数据库中的接入MAC地址进行匹配,如果不匹配,则断开与所述终端的连 接,如果匹配,则所述终端访问网络。
[0095] 上述系统与上述方法是一一对应的关系,本实施例不再对上述系统的实施细节进 行详细说明。
[0096] 本发明的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可W 在没有该些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技 术,W便不模糊对本说明书的理解。
[0097] 最后应说明的是;W上各实施例仅用W说明本发明的技术方案,而非对其限制; 尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其 依然可W对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征 进行等同替换;而该些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技 术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
【主权项】
1. 一种基于动态密钥的无线热点的接入控制方法,其特征在于,包括: 无线热点端与终端连接后,向所述终端发送第一公钥和第一私钥,同时所述无线热点 端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公钥; 所述终端在与所述无线热点端连接后,在预设时间段内未收到所述无线热点端发送第 一公钥和第一私钥时,所述终端断开与所述无线热点端的连接; 所述无线热点端在接收到所述终端断开的指令后,向所述终端发送获取接入密码和MAC地址的请求; 所述无线热点端通过接收所述终端发送的接入密码和MAC地址,并将所述接入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断是否允许所 述终端访问网络。2. 根据权利要求1所述的方法,其特征在于,在所述无线热点端与所述终端连接之前, 所述方法还包括: 所述无线热点端通过获取所述终端发送的连接密码与所述无线热点端连接; 所述无线热点端与所述终端连接后,不允许所述终端访问网络。3. 根据权利要求1所述的方法,其特征在于, 所述无线热点端根据向所述终端发送的时间以及连接的终端的不同,则向所述终端发 送以及保存的所述第一公钥、第一私钥、第二公钥和第二私钥均不同。4. 根据权利要求1所述的方法,其特征在于,所述无线热点端通过接收所述终端发送 的接入密码和MAC地址,并将所述接入密码和MAC地址与预设数据库中的接入密码和MAC 地址进行匹配,通过匹配结果判断是否允许所述终端访问网络,包括: 所述无线热点端向所述终端发送获取接入密码的第一请求,并对所述第一请求通过所 述第二公钥进行加密; 所述终端接收到所述无线热点端发送的第一请求后,通过所述第一私钥对所述第一请 求进行解密,并将接入密码通过所述第一公钥加密后发送给所述无线热点端; 所述无线热点端通过所述第二私钥获取所述接入密码,并将所述接入密码与预设数据 库中的接入密码进行匹配,根据匹配结果判断是否允许所述终端访问网络。5. 根据权利要求4所述的方法,其特征在于,所述无线热点端通过接收所述终端发送 的接入密码和MAC地址,并将所述接入密码和MAC地址与预设数据库中的接入密码和MAC 地址进行匹配,通过匹配结果判断是否允许所述终端访问网络,还包括: 所述接入密码与预设数据库中的接入密码不匹配时,断开与所述终端的连接,如果匹 配,则向所述终端发送接入MAC地址的第二请求,并对所述第二请求通过所述第二公钥进 行加密; 所述终端接收到所述无线热点端发送的第二请求后,通过所述第一私钥对所述第二请 求进行解密,并将接入MC地址通过所述第一公钥加密后发送给所述无线热点端; 所述无线热点端通过所述第二私钥获取所述接入MAC地址,并将所述接入MAC地址 与预设数据库中的接入MAC地址进行匹配,如果不匹配,则断开与所述终端的连接,如果匹 配,则所述终端访问网络。6. -种基于动态密钥的无线热点的接入控制系统,其特征在于,包括:终端和无线热 点端; 所述无线热点端,用于在与终端连接后,向所述终端发送第一公钥和第一私钥,同时所 述无线热点端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公钥; 所述终端,用于在与所述无线热点端连接后,在预设时间段内未收到所述无线热点端 发送第一公钥和第一私钥时,所述终端断开与所述无线热点端的连接; 所述无线热点端,用于在接收到所述终端断开的指令后,向所述终端发送获取接入密 码和MAC地址的请求; 所述无线热点端,用于通过接收所述终端发送的接入密码和MAC地址,并将所述接入 密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断是否 允许所述终端访问网络。7. 根据权利要求6所述的系统,其特征在于,所述无线热点端,还用于: 在与所述终端连接之前,通过获取所述终端发送的连接密码与所述无线热点端连接; 在与所述终端连接后,不允许所述终端访问网络。8. 根据权利要求6所述的系统,其特征在于, 所述无线热点端根据向所述终端发送的时间以及连接的终端的不同,则向所述终端发 送以及保存的所述第一公钥、第一私钥、第二公钥和第二私钥均不同。9. 根据权利要求6所述的系统,其特征在于, 所述无线热点端,用于向所述终端发送获取接入密码的第一请求,并对所述第一请求 通过所述第二公钥进行加密; 所述终端,用于接收到所述无线热点端发送的第一请求后,通过所述第一私钥对所述 第一请求进行解密,并将接入密码通过所述第一公钥加密后发送给所述无线热点端; 所述无线热点端,用于通过所述第二私钥获取所述接入密码,并将所述接入密码与预 设数据库中的接入密码进行匹配,根据匹配结果判断是否允许所述终端访问网络。10. 根据权利要求9所述的系统,其特征在于, 所述无线热点端,还用于在所述接入密码与预设数据库中的接入密码不匹配时,断开 与所述终端的连接,如果匹配,则向所述终端发送接入MAC地址的第二请求,并对所述第二 请求通过所述第二公钥进行加密; 所述终端,用于接收到所述无线热点端发送的第二请求后,通过所述第一私钥对所述 第二请求进行解密,并将接入MC地址通过所述第一公钥加密后发送给所述无线热点端; 所述无线热点端,用于通过所述第二私钥获取所述接入MC地址,并将所述接入MC地 址与预设数据库中的接入MAC地址进行匹配,如果不匹配,则断开与所述终端的连接,如果 匹配,则所述终端访问网络。
【专利摘要】本发明公开了一种基于动态密钥的无线热点的接入控制方法及系统,该方法包括:无线热点端与终端连接后,向所述终端发送第一公钥和第一私钥,同时所述无线热点端保存分别与所述第一公钥和所述第一私钥对应的第二私钥和第二公钥;终端在与无线热点端连接后,在预设时间段内未收到无线热点端发送第一公钥和第一私钥时,终端断开与所述无线热点端的连接;无线热点端在接收到终端断开的指令后,向终端发送获取接入密码和MAC地址的请求;无线热点端通过接收终端发送的接入密码和MAC地址,并将接入密码和MAC地址与预设数据库中的接入密码和MAC地址进行匹配,通过匹配结果判断是否允许所述终端访问网络。解决了局域网内部信息系统数据传输的安全性。
【IPC分类】H04W48/02, H04L9/32, H04W12/06, H04L29/06, H04W12/04
【公开号】CN104902470
【申请号】CN201510223227
【发明人】朱大立, 庞娜, 朱海涛, 荣文晶, 冯维淼, 曾佳, 范哲铭
【申请人】中国科学院信息工程研究所
【公开日】2015年9月9日
【申请日】2015年5月5日
最新回复(0)