一种用户和无线接入点之间的专有加密保护方法.pdf

本发明公开了一种用户和无线接入点之间的专有加密保护方法，在用户与无线接入点处于未认证且未关联状态时，加入专行加密保护特有的用户身份识别握手过程，即在未认证且未关联状态的认证前，用户对专有加密保护特有的用户标识码加密并发送，由无线接入点解密之后判断此识别码是否正确，若正确则进入用户认证状态，不正确则丢弃。此发明极大的改善了目前广泛存在的传统加密方式密码被破解造成网络资源被盗用的情况。在应用了此发明后，即使网络密码被破解，由于破解者不能发送含有专有加密保护标识的身份验证包，从而导致无线接入点不能对专有加密保护特有的用户识别码进行识别，依然无法接入网络，从而阻止了网络资源被盗用。

1.  一种用户和无线接入点之间的专有加密保护方法，其特征在于包括如下步骤：
步骤S1：用户和无线接入点都开启专有加密保护功能；
步骤S2：用户发送含有专有加密保护标识的探寻帧；
步骤S3：开启了专有加密保护的无线接入点识别到用户发来的探寻帧后，回送含有专有加密保护标识的探寻帧的响应帧；
步骤S4：用户发送经加密的、含有专有加密保护特有的用户标识的帧；
步骤S5：无线接入点对含有专有加密保护特有的用户标识的帧中的用户身份标识码进行解密，并判别用户标识是否合法，若不合法，则丢弃报文；若合法，则向用户回送含有专有加密保护特有的用户标识的帧的响应帧，并进入步骤S6；
步骤S6：用户和无线接入点之间进入普通认证阶段。

2.  根据权利要求1中所述的用户和无线接入点之间的专有加密保护方法，其特征在于：含有专有加密保护标识的探寻帧、含右专有加密保护标识的探寻帧的响应帧、含有专有加密保护特有的用户标识的帧，以及含有专有加密保护特有的用户标识的帧的响应帧使用IEEE 802.11帧的帧格式，且其控制帧字段的子类型采用未被定义的0110、0111、1101、1110作为判别不同的帧类型的标识。

3.  根据权利要求2中所述的用户和无线接入点之间的专有加密保护方法，其特征在于：
所述含有专有加密保护标识的探寻帧，其控制帧字段中的子类型为未被定义的0110；
所述含有专有加密保护标识的探寻帧的响应帧，其控制帧字段中的子类型为未被定义的0111；
所述含有专有加密保护特有的用户标识的帧，其控制帧字段中的子类型为未被定义的1101；
所述含有专有加密保护特有的用户标识的帧的响应帧，其控制帧字段中的子类型为未被定义的1110。

4.  根据权利要求1中所述的用户和无线接入点之间的专有加密保护方法，其特征在于：所述用户发送含有经过加密的、专有加密保护特有的用户标识的帧，将用户自行设定的密码加密生成身份标识码，并将身份标识码放入IEEE 802.11管理帧的帧主体中。

5.  根据权利要求4中所述的用户和无线接入点之间的专有加密保护方法，其特征在于：用户发送的含有专有加密保护特有的用户标识的帧，其身份标识码的加密算法如下：
(1)将用户设定的密码换算成ASC II的数值，假设用户设定的密码共有N位，第n位上的密码换算得到的ASC II数值为A_n，n＝1，2，……，N；
(2)对A_n做数值变换：s_n＝A_n×2ⁿ+n；
(3)在随机密码本上查询上一步骤计算出的值s_n所对应的值S_n；
(4)用S₁S₂S₃……S_N作为加密的用户身份标识码。

6.  根据权利要求5中所述的用户和无线接入点之间的专有加密保护方法，其特征在于：无线接入点在接到经过加密的、含有专有加密保护特有的用户标识的帧后，对其进行解密，解密过程为使用和身份标识码的加密算法相同的算法和随机密码本，从而推算得到用户身份标识码序列。

7.  根据权利要求5或6中所述的用户和无线接入点之间的专钉加密保护方法，其特征在于：所述随机密码本可以定期更换，或根据具体情况更换。

一种用户和无线接入点之间的专有加密保护方法
技术领域
本发明涉及无线局域网(WLAN，Wireless Local Area Network)中用户(STA，Station)和无线接入点(AP，Access Point)之间的链路，尤其涉及一种用户(STA)和无线接入点(AP)之间防止网络资源被盗用所采取的专有加密保护方法。
背景技术
无线局域网WLAN提供了一种局域网的无线连接服务，无线接入点(AP)是无线局域网中的无线收发设备，用于将从有线网络，比如因特网Internet中接收到的数据转换成无线信号发送，将接收到的无线信号转换成数据，并转发到有线网络。
如图1所示，用户(STA)可以经由连接无线接入点(AP)而接入无线网络。在不含有radius服务器认证的无线局域网络中，对于用户的身份验证大多是靠加密算法，比如WEP(Wired Equivalent Privacy，有线等效保密)、WPA(Wi-Fi Protected Access)、WPA2等来实现的，但对于加密算法，总是有被破解的时候，并且将破解方法广泛传播。
随着无线局域网(WLAN)越来越广泛的被使用，WEP、WPA、WPA2等加密算法相继被破解，造成用户合法的网络资源被盗用，导致网络质量下降，而对于网络分布稍大，无线接入点数量较多的地方，这种现象尤其明显。就目前来看，尚没有特别有效的保护无线网络资源被盗用的方法出现。
发明内容
本发明要解决的技术问题是：提供一种用户(STA)与无线接入点(AP)之间的专有加密保护方法，可以有效地防止由于网络密码被破解导致网络资源被盗用的情况，极大地改善合法用户的网络状况和利益。
本发明的技术方案可以通过以下方式来实现：
一种用户和无线接入点之间的专有加密保护方法，包括如下步骤：
步骤S1：用户和无线接入点都开启专有加密保护功能；
步骤S2：用户发送含有专有加密保护标识的探寻帧；
步骤S3：开启了专有加密保护的无线接入点识别到用户发来的探寻帧后，回送含有专有加密保护标识的探寻帧的响应帧；
步骤S4：用户发送经加密的、含有专有加密保护特有的用户标识的帧；
步骤S5：无线接入点对含有专有加密保护特有的用户标识的帧中的用户身份标识码进行解密，并判别用户标识是否合法，若不合法，则丢弃报文；若合法，则向用户回送含有专有加密保护特有的用户标识的帧的响应帧，并进入步骤S6；
步骤S6：用户和无线接入点之间进入普通认证阶段。
本发明的更详细的技术方案是：
含有专有加密保护标识的探寻帧、探寻帧的响应帧、含有专有加密保护特有的用户标识的帧，以及含有专有加密保护特有的用户标识的帧的响应帧使用IEEE 802.11帧的帧格式，且其控制帧(Frame Control)字段的子类型(Sub type)采用未被定义的0110、0111、1101、1110作为判别不同的帧类型的标识。
进一步的，所述含有专有加密保护标识的探寻帧，其控制帧字段中的子类型为未被定义的0110；含有专有加密保护标识的探寻帧的响应帧，其控制帧字段中的子类型为未被定义的0111；含有专有加密保护特有的用户标识的帧，其控制帧字段中的子类型为未被定义的1101；含有专有加密保护特有的用户标识的帧的响应帧，其控制帧字段中的子类型为未被定义的1110。
所述用户发送含有经过加密的、专有加密保护特有的用户标识的帧，将用户自行设定的密码加密生成身份标识码，并将身份标识码放入IEEE802.11管理帧的帧主体(Frame Body)中。
用户发送的含有专有加密保护特有的用户标识的帧，其身份标识码的加密算法如下：
(1)将用户设定的密码换算成ASC II的数值，假设用户设定的密码共有N位，第n位上的密码换算得到的ASC II数值为A_n，n＝1，2，……，N；
(2)对A_n做数值变换：s_n＝A_n×2ⁿ+n；
(3)在随机密码本上查询上一步骤计算出的值s_n所对应的值S_n；
(4)用S₁S₂S₃……S_N作为加密的用户身份标识码。
无线接入点在接到经过加密的含有专有加密保护特有的用户标识的帧后，对其进行解密，解密过程为使用和身份标识码的加密算法相同的算法和随机密码本，从而推算得到用户身份标识码序列。
所述随机密码本可以定期更换，或根据具体情况更换。
本发明的优点是：此发明的方法加入了专有加密保护特有的用户身份识别握手过程，可以作为目前普通的身份验证的补充，极大的改善了目前广泛存在的WEP以及WPA等传统加密方式密码被破解造成网络资源被盗用的情况，特别适用于对无线网络安全要求高的环境中。在应用了此发明的无线接入点中，即使网络密码被破解，由于进行破解的人不能发送含有专有加密保护标识的身份验证包，从而导致无线接入点不能对专有加密保护标识特有的用户识别码进行识别，依然无法接入网络，从而阻止了网络资源被盗用的情况。另外，本发明的方法可以应用于含有认证服务器的环境，也可以应用于不含有认证服务器的环境。
附图说明
下面结合附图及实施例对本发明作进一步描述：
图1为无线局域网接入点与用户基本网络结构图；
图2为本发明的实施例的流程图；
图3为本发明的实施例使用的帧结构。
具体实施方式
实施例：《802.11无线网络权威指南》中提到，在IEEE 802.11的网络发展中，用户和无线接入点之间存在三个阶段：第一阶段，未经认证且尚未关联状态；第二阶段，已经认证但尚未关联状态；第三阶段，已经认证且已经关联状态。本实施例的用户和无线接入点之间的专有加密保护方法，在用户与无线接入点处于第一阶段，即未认证且未关联状态时，加入专有加密保护特有的用户身份识别握手过程，即在第一阶段的认证前，用户发送经过加密的、含有专有加密保护特有的用户标识码，由无线接入点解密之后判断此标识码是否合法，若合法则进入用户认证状态，不正确则丢弃。
在使用此方法前，网络管理者要先开启用户以及无线接入点的网络保护选项，确定要使用此专有加密保护。用户和无线接入点都事前安装有可以进行专有加密保护的程序，在现有程序的基础上加入专有加密保护的部分，可以对采用或不采用此专有加密保护进行选择，客户端的程序内设定的通信规则参考IEEE802.11的标准。用户可以向无线接入点发送含有专有加密保护标识的探寻帧，和发送含有经过加密的专有加密保护特有的身份标识内容的帧，使无线接入点可以响应用户发来的帧，并返回相应的响应帧。同样，也可以不采用此专有加密保护，如果不采用，就完全和普通的无线局域网络接入方法相同，两者的区别仅在于本发明的专有加密保护加入了保护性的握手过程，而在这个握手过程之后，依然是进入普通的接入过程，仍然参考IEEE802.11标准，而这些选项的实现均是通过修改相应的程序来实现的。本领域的技术人员能很容易地根据本发明得到改进的程序。
用户和无线接入点之间的专有加密保护通信采用IEEE 802.11标准的帧结构，如图3所示。根据控制帧(Frame Control)字段中的子类型(Sub type)内容可以区分普通的帧和本实施例的专有加密保护的帧，帧的其余部分基本相同。在普通帧中，0110、0111、1101和1110在IEEE 802.11帧的控制帧(Frame Control)字段的子类型(Sub type)中未被定义，本实施例的用户和无线接入点之间的专有加密保护方法中所用的帧正是采用了这4个未被定义的子类型，可用来判别不同的帧类型，包括含有专有加密保护标识的探寻帧、探寻帧的响应帧、含有专有加密保护特有的用户标识的帧，以及含有用户标识的帧的响应帧。具体为：
首先，用户向无线接入点发送含有专有加密保护标识的探寻帧，IEEE802.11帧的控制帧字段中的子类型采用未被定义的0110，此探寻帧的原理同现有IEEE 802.11的帧原理相同，仅子类型定义不同，用于区别普通探寻帧，如图3所示。
然后，无线接入点在开启专有加密保护后，可以识别含有专有加密保护标识的探寻帧，并回送含有专有加密保护标识的探寻帧的响应帧，响应帧的Frame Control字段中Sub type子类型为未被定义的0111。
接着，在用户收到无线接入点返回的探寻帧的响应帧后，则发送含有经过加密的专有加密保护特有的身份标识内容的帧，其Frame Control字段中Sub type子类型为未被定义的1101，将用户自行设定的密码通过加密生成用户的身份标识码，并将身份标识码放入IEEE 802.11管理帧的帧主体(FrameBody)中。
身份标识码的加密算法如下：
(1)将用户设定的密码换算成ASC II的数值，假设用户设定的密码共有N位，第n位上的密码换算得到的ASC II数值为A_n，n＝1，2，……，N；
(2)对A_n做如下数值变换计算：s_n＝A_n×2ⁿ+n；
(3)在随机密码本上查询上一步骤计算出的值s_n所对应的值S_n；
(4)用S₁S₂S₃……S_N作为加密的用户身份标识码。
例如：用户密码为111222，1的ASC II码为49，2的ASCII码为50，经过计算得到s₁＝99，s₂＝198，s₃＝395，s₄＝804，s₅＝1605，s₆＝3206，然后在随机密码本上查询99、198、395、804、1605、3206对应的值S₁、S₂、S₃、S₄、S₅、S₆，并依次排列，作为加密的身份标识码。
其中，所用的随机密码本可以定时更换，或根据不同情况更换，从而增强保密效果。
随后，无线接入点在收到含有专有加密保护特有的身份标识的帧后，解密该含有专有加密保护特有的身份标识的帧中经过加密的身份标识内容，并检验是否为合法的用户标识，如果是合法的用户标识，无线接入点返回含有用户标识帧的响应帧，采用Frame Control字段中Sub type子类型为未被定义的1110的IEEE 802.11帧来区分，随之进入正常的身份验证阶段，后续过程与IEEE 802.11标准相同；若为非法用户标识，则做丢弃处理，阻止其继续后续的正常流程。
无线接入点对经过加密的含有专有加密保护特有的用户标识的帧进行解密的过程为：使用和身份标识码的加密算法相同的算法和随机密码本，从而推算得到用户密码序列。
例如：根据随机密码本，查询到S₁、S₂、S₃、……S₆对应的值分别为99、198、395、804、1605、3206，根据算法s_n＝A_n×2ⁿ+n得到A₁＝A₂＝A₃＝1，A₄＝A₅＝A₆＝2，则解密后的原用户标识码为111222。
本发明通过设计探测包和专有加密保护身份标识包的握手行为，来防止普通身份验证的密码被破解从而造成网络资源被盗用的情况。
以上所述，仅为本发明的优选实施例，并不能以此限定本发明实施的范围，凡依本发明权利要求及说明书内容所作的简单的变换，皆应仍属于本发明覆盖的保护范围。