具有保護功能的無線區域網路系統及其防攻擊的方法
2023-12-03 12:33:36 2
專利名稱:具有保護功能的無線區域網路系統及其防攻擊的方法
技術領域:
本發明涉及無線通信領域,尤其涉及一種保護未加密幀的方法。
背景技術:
電氣與電子工程師協會(IEEE)於1997年制定出802.11標準,以使各廠商的無線網絡設備可以互相兼容,從而提供穩定的無線傳輸環境。
IEEE 802.11協議中有定義數十種幀格式,其中大部分幀需經加密後才可在接入點與移動站之間發送。然而,依IEEE 802.11協議規定,媒體訪問控制管理協議數據單元(Media Access Control Management Protocol Data Unit,MMPDU)幀、省電輪詢(Power-Save-Poll,PS-Poll)幀以及服務質量(Quality of Service-Null,QoS-Null)幀在發送之前無需先加密。所以黑客較容易截取上述未經加密而在無線區域網(Wireless Local Area Network,WLAN)中發送的幀,並根據被截取幀上記錄的接入點或移動站的媒體訪問控制(Media Access Control,MAC)地址,對接入點或移動站進行攻擊,從而使得無限區域網路較為不安全。
發明內容
為解決上述現有技術存在的不足,需要提供一種具有保護功能的無線區域網路系統,以增強無線區域網路的安全性。
此外,還需要提供一種防攻擊的方法,應用於上述無線區域網路系統中,以增強無線區域網路的安全性。
一種具有保護功能的無線區域網路系統,用於保護網絡通信中未加密幀,所述具有保護功能的無線區域網路系統包括接入點以及移動站。所述接入點包括地址產生模塊、地址發送模塊、第一識別模塊以及第一欄位設定模塊。所述移動站包括第二識別模塊以及第二欄位設定模組。地址產生模塊用於產生假媒體訪問控制地址。地址發送模塊用於發送地址產生模塊產生的假媒體訪問控制地址。第一識別模塊用於判斷接入點將要發出的幀是否經過加密。第一欄位設定模塊用於設定接入點將要發出未加密幀的地址欄位。第二識別模塊用於判斷移動站將要發出的幀是否經過加密。第二欄位設定模塊用於設定移動站將要發出未加密幀的地址欄位。
一種無線區域網路防攻擊方法,應用於包括接入點及移動站的無線區域網路系統中,所述無線區域網路防攻擊方法包括通過接入點產生假媒體訪問控制地址;通過接入點將所述假媒體訪問控制地址發送給移動站;判斷接入點及移動站將要發出的幀是否經過加密;若接入點及移動站將要發出的幀未經加密,則接入點及移動站將未加密幀的地址欄位設定為假媒體訪問控制地址且發送所述幀。
本發明實施方式中的具有保護功能的無線區域網路系統及其防攻擊方法,每次在移動站與接入點建立連接後,通過接入點為其自身及移動站產生假媒體訪問控制地址,並設定所述假媒體訪問控制地址於未加密幀的地址欄位中且予以發送,因此,可減少接入點及移動站被黑客攻擊的機率。
圖1為本發明實施方式中具有保護功能的無線區域網路系統的示意圖。
圖2A為本發明實施方式中接入點的模塊圖。
圖2B為本發明實施方式中經第一欄位設定模塊所設定後的幀欄位示意圖。
圖3A為本發明實施方式中移動站的模塊圖。
圖3B為本發明實施方式中經第二欄位設定模塊所設定後的幀欄位示意圖。
圖4為本發明實施方式中無線區域網路防攻擊方法的流程圖。
圖5A為本發明實施方式中接入點所廣播信標的欄位示意圖。
圖5B為本發明實施方式中移動站所發送的連接請求幀的欄位示意圖。
具體實施例方式
請參閱圖1,所示為本發明實施方式中具有保護功能的無線區域網路系統10的示意圖。具有保護功能的無線區域網路系統10包括接入點100以及多個移動站200,接入點100通過802.11協議與多個移動站200建立通信連接,移動站200可為筆記型計算機、個人數字助理(Personal Digital Assistant,PDA)等移動電子裝置。
請參閱圖2A,所示為本發明實施方式中接入點100的模塊圖。接入點100包括地址產生模塊120、地址發送模塊140、第一識別模塊160以及第一欄位設定模塊180。
地址產生模塊120用於產生假媒體訪問控制(Media Access Control,MAC)地址。
在本實施方式中,為避免假MAC地址與其它接入點100及移動站200的真實MAC地址相同而發生地址衝突,地址產生模塊120所產生的假MAC地址與其它接入點100及移動站200的真實MAC地址不同。
地址發送模塊140用於將地址產生模塊120所產生的假MAC地址發送給接入點100及移動站200。
第一識別模塊160用於判斷接入點100將要發出的幀是否經過加密。
由於在802.11協議中MMPDU幀以及QoS-Null幀是不經接入點100加密就向移動站200發送的。亦即,未經加密幀包括MMPDU幀以及QoS-Null幀。所以在本實施方式中,第一識別模塊160通過判斷接入點100發出的幀是否為MMPDU幀以及QoS-Null幀來判斷接入點100發出的幀是否經過加密。
第一欄位設定模塊180用於設定接入點100將要發出的未加密幀的地址欄位。
在本實施方式中,當接入點100將要發出的幀被第一識別模塊160判定為未加密幀時,第一欄位設定模塊180將所述幀的源地址欄位以及目的地址欄位分別設定為接入點100及移動站200的假MAC地址。
請參閱圖2B,所示為本發明實施方式中經第一欄位設定模塊180設定後的未加密幀400的欄位示意圖。
在本實施方式中,未加密幀400包括如下欄位地址欄位420及數據欄位440。其中地址欄位420包括目的地址422以及源地址424。本實施方式的第一欄位設定模塊180將目的地址422設定為移動站200的假MAC地址。源地址424設定為接入點100的假MAC地址。
請參閱圖3A,所示為本發明實施方式中移動站200的模塊圖。移動站200包括第二識別模塊220以及第二欄位設定模塊240。
第二識別模塊220用於判斷移動站200將要發出的幀是否經過加密。
如上所述,由於在802.11協議中PS-Poll幀、MMPDU幀以及QoS-Null幀是不經移動站200加密就向接入點100發送的。所以在本實施方式中,第二識別模塊220通過判斷移動站200將要發出的幀是否為PS-Poll幀、MMPDU幀以及QoS-Null幀來判斷移動站200將要發出的幀是否經過加密。
第二欄位設定模塊240用於設定移動站200將要發出的未加密幀的地址欄位。
在本實施方式中,當移動站200將要發出的幀被第二識別模塊220判定為未加密幀時,第二欄位設定模塊240將所述幀的源地址欄位以及目的地址欄位分別設定為移動站200及接入點100的假MAC地址。
請參閱圖3B,所示為本發明實施方式中經第二欄位設定模塊240設定後的未加密幀500的欄位示意圖。
在本實施方式中,未加密幀500包括如下欄位地址欄位520、及數據欄位540。其中地址欄位520包括目的地址522以及源地址524。目的地址522設定為接入點100的假MAC地址。源地址524設定為移動站200的假MAC地址。
請參閱圖4,所示為本發明實施方式中無線區域網路防攻擊方法的流程圖。
在步驟S300,接入點100向移動站200廣播信標(Beacon)。
在本實施方式中,接入點100所廣播的信標中包含有接入點100是否支持保護未加密幀的信息。具體為,接入點100通過對信標中尚未定義的信息元(Information Element,IE)的內容進行設定來表明接入點100是否支持保護未加密幀。當信息元的內容設為數值1時,表明接入點100支持保護未加密幀;當信息元的內容設為數值0時,表明接入點100不支持保護未加密幀。
在步驟S301,移動站200向接入點100發送連接請求(Association Request)幀。
在本實施方式中,接收到接入點100發送的信標的移動站200,通過查詢信息元中的內容確定接入點100是否支持保護未加密幀。移動站200所發送的連接請求幀包含移動站200是否支持保護未加密幀的信息。具體為,移動站200通過對連接請求幀中尚未定義的信息元進行設定來表明移動站200是否支持保護未加密幀。當信息元的內容設為數值1時,表明移動站200支持保護未加密幀;當所述信息元的內容設為數值0時,表明移動站200不支持保護未加密幀。
在步驟S302,接入點100向移動站200發送連接響應(AssociationResponse)幀與移動站200建立通信連接。
在本實施方式中,接入點100接收到移動站200發送的連接請求幀後,通過查詢連接請求幀中信息元的內容確定移動站200是否支持保護未加密幀。接入點100首先確定有空閒的信道可提供給移動站200後才發送連接響應幀與移動站200建立通信連接。
在步驟S303,接入點100產生假MAC地址。
在本實施方式中,接入點100與移動站200建立通信連接後,地址產生模塊120即分別為接入點100與移動站200產生假MAC地址。為避免假MAC地址與其它接入點100及移動站200的真實MAC地址相同而發生地址衝突,地址產生模塊120所產生的假MAC地址與其它接入點100及移動站200的真實MAC地址不同。
進入步驟S304,接入點100將假MAC地址發送給移動站200。
在本實施方式中,地址發送模塊140使用經過加密的數據幀同時將接入點100及移動站200的假MAC地址發送給移動站200。
在步驟S305,接入點100及移動站200判斷將要發出的幀是否經過加密。若接入點100及移動站200將要發出的幀未經過加密,則進入步驟306。若接入點100及移動站200將要發出的幀經過加密,則進入步驟307。
在本實施方式中,在步驟305,判斷將要發出的幀是否經過加密的方式如下,因MMPDU幀、PS-Poll幀以及QoS-Null幀在802.11協議中不經加密就在無線區域網中發送的。所以當接入點100向移動站200發送幀時需通過第一識別模塊160判斷將要發出的幀是否為MMPDU幀以及QoS-Null幀。當移動站200向接入點100發送幀時需通過第二識別模塊220判斷將要發出的幀是否為MMPDU幀、PS-Poll幀以及QoS-Null幀。
若接入點100及移動站200將要發出的幀未經過加密,則進入步驟306,接入點100及移動站200使用假MAC地址發送未經加密的幀,即,將未加密的幀設定為假MAC地址且予以發送。
在本實施方式中,當接入點100向移動站200發送未加密幀時,通過第一欄位設定模塊180將要發送幀的目的地址及源地址分別設定為移動站200的假MAC地址及接入點100的假MAC地址,此幀如圖2B所示。當移動站200向接入點100發送未加密幀時,通過第二欄位設定模塊240將要發送幀的目的地址及源地址分別設定為接入點100及移動站200的假MAC地址,此幀如圖3B所示。
若接入點100及移動站200將要發出的幀已經經過加密,則在步驟307,接入點100及移動站200使用真實MAC地址發送經過加密的幀。
在本實施方式中,當接入點100及移動站200發送經過加密的幀時,經過加密的幀的目的地址及源地址均為接入點100或移動站200的真實MAC地址。
請參閱圖5A,所示為本發明實施方式中接入點100所廣播信標600的欄位示意圖。
IEEE 802.11定義的信標600包括如下欄位幀控制610及幀主體620。其中幀主體620包括多個信息元(Information Element,IE)621、622等。每一個信息元均由三個欄位組成,例如信息元621包括標識碼6211、長度6212及內容6213欄位。目前,IEEE 802.11標準並未對所有信息元進行定義,部分信息元處於空閒狀態。在本發明的實施方式中,即佔用一個處於空閒狀態的信息元621。並將信息元621的內容6213欄位設定為1,以表明接入點100支持保護未加密幀。
請參閱圖5B,所示為本發明實施方式中移動站200所發送的連接請求幀700的欄位示意圖。
IEEE 802.11定義的連接請求幀700包括如下欄位基本服務集標識符(Basic Service Set Identifier,BSSID)欄位710、目的地址(Destination Addtess,DA)欄位720及源地址(Source Address,SA)欄位730。其中基本服務集標識符欄位710包括多個信息元711、712等。每個信息元均由三個欄位組成,例如信息元711包括標識碼7111、長度7112及內容7113欄位。目前,IEEE802.11標準並未對所有信息元進行定義,部分信息元處於空閒狀態。在本發明實施方式中,即佔用一個處於空閒狀態的信息元711。並將信息元711的內容7113欄位設定為1,以表明移動站200支持保護未加密幀。
本發明實施方式中的具有保護功能的無線區域網路系統10及其防攻擊方法,當接入點100及移動站200發出的幀未經過加密,可通過地址產生模塊120為接入點100及移動站200分別產生假MAC地址,當接入點100及移動站200發送未加密幀時,將未加密幀的地址欄位設定為假MAC地址且予以發送,進而增強無線區域網路的安全性。
在其它實施方式中,在接入點100與移動站200建立通信連接後,假MAC地址也可由移動站200產生並發送給接入點100。
權利要求
1.一種具有保護功能的無線區域網路系統,用於保護網絡通信中未加密幀,所述具有保護功能的無線區域網路系統包括接入點,包括地址產生模塊,用於產生假媒體訪問控制地址;地址發送模塊,用於發送所述地址產生模塊產生的假媒體訪問控制地址;第一識別模塊,用於判斷所述接入點將要發出的幀是否經過加密;以及第一欄位設定模塊,用於設定所述接入點將要發出且未加密幀的地址欄位;以及移動站,包括第二識別模塊,用於判斷所述移動站將要發出的幀是否經過加密;以及第二欄位設定模塊,用於設定所述移動站將要發出未加密幀的地址欄位。
2.如權利要求1所述的具有保護功能的無線區域網路系統,其特徵在於,所述接入點通過802.11協議與移動站建立通信連接。
3.如權利要求1所述的具有保護功能的無線區域網路系統,其特徵在於,所述地址發送模塊分別發送假媒體訪問控制地址至所述接入點以及所述移動站。
4.如權利要求1所述的具有保護功能的無線區域網路系統,其特徵在於,所述地址欄位包括源地址欄位以及目的地址欄位。
5.如權利要求4所述的具有保護功能的無線區域網路系統,其特徵在於,所述第一欄位設定模塊將所述接入點將要發出且未加密幀的目的地址及源地址分別設定為所述移動站以及所述接入點的假媒體訪問控制地址。
6.如權利要求4所述的具有保護功能的無線區域網路系統,其特徵在於,所述第二欄位設定模塊將所述移動站將要發出且未加密幀的目的地址及源地址分別設定為所述接入點以及所述移動站的假媒體訪問控制地址。
7.一種無線區域網路系統防攻擊方法,應用於包括接入點及移動站的無線區域網路系統中,所述無線區域網路系統防攻擊方法包括通過所述接入點產生假媒體訪問控制地址;通過所述接入點將假媒體訪問控制地址發送給所述移動站;判斷所述接入點及所述移動站將要發出的幀是否經過加密;若所述接入點及所述移動站將要發出的幀未經加密,則所述接入點及所述移動站將未加密幀的地址欄位設定為假媒體訪問控制地址且發送所述幀。
8.如權利要求7所述的無線區域網路系統防攻擊方法,其特徵在於,所述接入點通過數據幀將所述接入點及所述移動站的假媒體訪問控制地址發送給所述移動站。
9.如權利要求7所述的無線區域網路系統防攻擊方法,其特徵在於,若所述接入點及所述移動站發出的幀經過加密,則所述接入點及所述移動站直接發送所述幀。
10.如權利要求7所述的無線區域網路系統防攻擊方法,其特徵在於,所述將要發出的未經加密幀包括媒體訪問控制管理協議數據單元幀,省電輪詢幀以及服務質量幀。
全文摘要
一種無線區域網路防攻擊方法,應用於包括接入點及移動站的網絡系統中,所述無線區域網路防攻擊方法包括通過接入點產生假媒體訪問控制地址;通過接入點將所述假媒體訪問控制地址發送給移動站;判斷接入點與移動站將要發出的幀是否經過加密;若接入點及移動站將要發出的幀未經加密,則將未加密幀的地址欄位設定為假媒體訪問控制地址且發送所述幀。本發明實施方式中的無線區域網路防攻擊方法,可通過接入點為其自身及移動站產生假媒體訪問控制地址並用所述假媒體訪問控制地址發送未加密幀,以防止未加密幀被黑客截取後,黑客根據未加密幀中接入點以及移動站的媒體訪問控制地址對接入點或移動站進行攻擊。
文檔編號H04L12/56GK101090331SQ20061006117
公開日2007年12月19日 申請日期2006年6月16日 優先權日2006年6月16日
發明者唐正文 申請人:鴻富錦精密工業(深圳)有限公司, 鴻海精密工業股份有限公司, 國基電子(上海)有限公司