CN102624725A - 一种pin码接入方式的安全保护方法 - Google Patents
一种pin码接入方式的安全保护方法 Download PDFInfo
- Publication number
- CN102624725A CN102624725A CN2012100582906A CN201210058290A CN102624725A CN 102624725 A CN102624725 A CN 102624725A CN 2012100582906 A CN2012100582906 A CN 2012100582906A CN 201210058290 A CN201210058290 A CN 201210058290A CN 102624725 A CN102624725 A CN 102624725A
- Authority
- CN
- China
- Prior art keywords
- client
- pin code
- blacklist
- security protection
- client end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000007246 mechanism Effects 0.000 abstract description 2
- 230000008676 import Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001143 conditioned effect Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种PIN码接入方式的安全保护方法,包括步骤:建立黑名单,初始化为空;在检测到有客户端使用PIN码接入时,判断该客户端是否在黑名单中,若在,则拒绝接入;若不在,则执行下一步;判断客户端提供的PIN码是否合法,若合法,则接入该客户端;若不合法,则拒绝接入并执行下步;记录客户端的信息,判断该客户端是否符合预设的列入黑名单条件,若符合,则将其添加至黑名单;若不符合,则等待下一次连接。本发明引入了黑名单机制,在客户端PIN码接入失败达到预设条件时将该客户端添加至黑名单,实现了针对某个客户端进行锁定,在保证正常客户端可以正常接入的同时,所有的恶意攻击者都能被锁定,进一步提升了WPS的安全性。
Description
技术领域
本发明涉及WPS(Wi-Fi Protected Setup,Wi-Fi保护装置)技术领域,尤其涉及一种PIN码接入方式的安全保护方法。
背景技术
随着无线宽带上网业务的迅速发展,无线家庭网关等无线接入设备发展迅猛。为了适应业务需求,简化用户配置,由Wi-Fi联盟组织制定的WPS标准,主要致力于简化无线局域网的安装及安全性能配置工作。WPS能帮助用户自动配置网络名SSID(Service Set Identifier,服务集标识)、配置WPA(Wi-Fi Protected Access,Wi-Fi网络安全存取)数据编码及认证功能,用户只需输入个人信息码PIN(Personal Identification Number,个人标识号),大大简化了无线安全设置的操作。
WPS有两种操作方式:按键方式和PIN码接入方式。
按键方式:用户同时在AP和station上按下wps键,两者之间就会自动协商AP使用的密码,协商成功后station自动连接到AP。
PIN码方式:在station上输入AP的pin码,或在ap上输入station的pin码,两者之间也会自动协商AP使用的密码,协商成功后station自动连接到AP。
在AP使用静态PIN码时,station输入AP的PIN码连接。PIN码有8位,如果暴力破解,理论上需要尝试最多100000000次。但是后来研究发现并非如此,PIN码实际上分为三部分:前4位、中间3位和最后1位。AP收到后首先检测前4位,如果错误AP会直接发送错误信息,而不会看后4位。这样就为攻击者提供了一个思路:可以先尝试前4位,这样最多只有10000次就可以尝试成功。在前4位破解成功后,同样的原理,中间3位最多1000次就可以破解成功,最后1位是前7位的校验值,可以直接从前7位算出,不增加尝试次数。因此最多11000次就可以破解成功,大大小于设计时的预想。
为了弥补此缺陷,Wi-Fi联盟在《Wi-Fi Simple Configuration Technical Specification Version 2.0.2》中作了规定,当AP连续10次收到错误的PIN码,将进入锁状态,在此状态下任何Registrar都不允许接入,但是仍然可以接入Enrollee;也有些厂商实现为进入锁状态后不允许任何Registrar和Enrollee接入。但是这样也会造成合法的用户不能正常登录到AP,给合法用户带来诸多不便。
发明内容
本发明的目的在于提供一种PIN码接入方式的安全保护方法,该方法提升了WPS的安全性。
本发明的目的是通过以下技术方案实现的。
一种PIN码接入方式的安全保护方法,包括步骤:
建立黑名单,初始化为空;
在检测到有客户端使用PIN码接入时,判断该客户端是否在黑名单中,若在,则拒绝接入;若不在,则执行下一步;
判断所述客户端提供的PIN码是否合法,若合法,则验证成功,接入该客户端;若不合法,则拒绝本次接入并执行下一步;
记录所述客户端的信息,判断该客户端是否符合预设的列入黑名单条件,若符合,则将该客户端添加至所述黑名单;若不符合,则不作处理,等待下一次连接。
优选的,上述方法还包括:在将客户端添加至黑名单的同时,对当前客户端设定锁定时间LockTime;定时扫描所述黑名单,删除其中锁定时间超时的客户端。
优选的,上述方法还包括:所述列入黑名单的条件具体为:在时间段Tmax内当前客户端连续PIN码接入失败次数N达到预设阈值Nmax。
优选的,上述所述记录的客户端的信息包括:MAC地址、首次PIN码接入失败时间、连续PIN码接入失败总次数。
优选的,上述方法中,所述Tmax预设为1分钟,所述阈值Nmax预设为3次。
优选的,上述方法中,所述锁定时间LockTime的预设值为300秒。
优选的,上述方法中,对于被添加至黑名单的次数大于1的客户端,在该客户端再次被添加至黑名单时延长其锁定时间LockTime(可根据情况来适当延长,比如加倍延长)。
与现有技术相比,本发明实施例具有以下有益效果。
本发明引入了黑名单机制,在客户端PIN码接入失败达到预设条件时将该客户端添加至黑名单,实现了针对某个客户端进行锁定,在保证正常客户端可以正常接入的同时,所有的恶意攻击者都能被锁定,进一步提升了WPS的安全性。
附图说明
图1是本发明提供的PIN码接入方式的安全保护方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本实施例中,PIN码接入方式的安全保护方法具体包括以下步骤。
101、有客户端使用PIN码接入。
102、判断该客户端是否在黑名单中,如果在黑名单中,拒绝接入,返回AP Setup locked;如果不在黑名单中,进入步骤103。
103、判断客户端提供的PIN码是否合法,如果PIN码合法,验证OK,允许接入;如果PIN码不合法,进入步骤104。
104、记录或者更新客户端的信息,包括客户端的MAC地址、首次PIN码接入失败的时间、连续PIN码接入失败总次数。若当前已存在记录信息,则将其中的连续PIN码接入失败总次数加1。
105、判断此客户端在1分钟内的连续PIN码接入失败总次数是否达到3次,如果不是,则拒绝本次接入,等待下一次的连接;如果是,则拒绝本次接入,并将此客户端加入黑名单,设定其锁定时间为300秒。
106、系统同时启动一个定时任务,定期扫描黑名单,如果发现其中由客户端锁定超时,将此客户端从黑名单中删除。
综上,本发明的优点在于可以针对某个客户端进行锁定,避免因有恶意攻击使得AP进入锁状态从而导致正常用户不能接入,同时也保证了所有的恶意攻击者都可以被锁定,保证了WPS的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种PIN码接入方式的安全保护方法,其特征在于,该方法包括步骤:
建立黑名单,初始化为空;
在检测到有客户端使用PIN码接入时,判断该客户端是否在黑名单中,若在,则拒绝接入;若不在,则执行下一步;
判断所述客户端提供的PIN码是否合法,若合法,则验证成功,接入该客户端;若不合法,则拒绝本次接入并执行下一步;
记录所述客户端的信息,判断该客户端是否符合预设的列入黑名单条件,若符合,则将该客户端添加至所述黑名单;若不符合,则不作处理,等待下一次连接。
2.如权利要求1所述的PIN码接入方式的安全保护方法,其特征在于,该方法还包括:
在将客户端添加至黑名单的同时,对当前客户端设定锁定时间LockTime;
定时扫描所述黑名单,删除其中锁定时间超时的客户端。
3..如权利要求1或2所述的PIN码接入方式的安全保护方法,其特征在于,该方法还包括:所述列入黑名单的条件具体为:在时间段Tmax内当前客户端连续PIN码接入失败次数N达到预设阈值Nmax。
4..如权利要求3所述的PIN码接入方式的安全保护方法,其特征在于,所述记录的客户端的信息包括:MAC地址、首次PIN码接入失败时间、连续PIN码接入失败总次数。
5..如权利要求3所述的PIN码接入方式的安全保护方法,其特征在于,该方法中,所述Tmax预设为1分钟,所述阈值Nmax预设为3次。
6..如权利要求2所述的PIN码接入方式的安全保护方法,其特征在于,该方法中,所述锁定时间LockTime的预设值为300秒。
7.如权利要求2或6所述的PIN码接入方式的安全保护方法,其特征在于,该方法中,对于被添加至黑名单的次数大于1的客户端,在该客户端再次被添加至黑名单时延长其锁定时间LockTime。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210058290.6A CN102624725B (zh) | 2012-03-07 | 2012-03-07 | 一种pin码接入方式的安全保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210058290.6A CN102624725B (zh) | 2012-03-07 | 2012-03-07 | 一种pin码接入方式的安全保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102624725A true CN102624725A (zh) | 2012-08-01 |
| CN102624725B CN102624725B (zh) | 2016-04-20 |
Family
ID=46564410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210058290.6A Expired - Fee Related CN102624725B (zh) | 2012-03-07 | 2012-03-07 | 一种pin码接入方式的安全保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102624725B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103716796A (zh) * | 2014-01-03 | 2014-04-09 | 上海斐讯数据通信技术有限公司 | 一种无线接入点设备及其错误连接检测方法 |
| CN104080148A (zh) * | 2013-03-29 | 2014-10-01 | 华为终端有限公司 | 实现快速网络连接的方法和装置 |
| CN104796896A (zh) * | 2015-04-29 | 2015-07-22 | 北京奇艺世纪科技有限公司 | 一种无线网络授权访问的方法、装置及系统 |
| CN105939348A (zh) * | 2016-05-16 | 2016-09-14 | 杭州迪普科技有限公司 | Mac地址认证方法以及装置 |
| CN106936854A (zh) * | 2017-05-09 | 2017-07-07 | 成都市宏山科技有限公司 | 用于路由器的安全保护系统 |
| CN107426161A (zh) * | 2017-05-09 | 2017-12-01 | 成都市宏山科技有限公司 | 一种家用路由器登录验证方法 |
| CN107659983A (zh) * | 2017-10-12 | 2018-02-02 | 上海斐讯数据通信技术有限公司 | 一种用户无法连接无线ap的处理方法及装置 |
| CN107819768A (zh) * | 2017-11-15 | 2018-03-20 | 厦门安胜网络科技有限公司 | 服务端主动断开非法长连接的方法、终端设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296182A (zh) * | 2008-05-20 | 2008-10-29 | 华为技术有限公司 | 一种数据传输控制方法以及数据传输控制装置 |
| CN101895962A (zh) * | 2010-08-05 | 2010-11-24 | 华为终端有限公司 | Wi-Fi接入方法、接入点及Wi-Fi接入系统 |
-
2012
- 2012-03-07 CN CN201210058290.6A patent/CN102624725B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296182A (zh) * | 2008-05-20 | 2008-10-29 | 华为技术有限公司 | 一种数据传输控制方法以及数据传输控制装置 |
| CN101895962A (zh) * | 2010-08-05 | 2010-11-24 | 华为终端有限公司 | Wi-Fi接入方法、接入点及Wi-Fi接入系统 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104080148A (zh) * | 2013-03-29 | 2014-10-01 | 华为终端有限公司 | 实现快速网络连接的方法和装置 |
| CN103716796A (zh) * | 2014-01-03 | 2014-04-09 | 上海斐讯数据通信技术有限公司 | 一种无线接入点设备及其错误连接检测方法 |
| CN104796896A (zh) * | 2015-04-29 | 2015-07-22 | 北京奇艺世纪科技有限公司 | 一种无线网络授权访问的方法、装置及系统 |
| CN104796896B (zh) * | 2015-04-29 | 2019-04-12 | 北京奇艺世纪科技有限公司 | 一种无线网络授权访问的方法、装置及系统 |
| CN105939348A (zh) * | 2016-05-16 | 2016-09-14 | 杭州迪普科技有限公司 | Mac地址认证方法以及装置 |
| CN105939348B (zh) * | 2016-05-16 | 2019-09-17 | 杭州迪普科技股份有限公司 | Mac地址认证方法以及装置 |
| CN106936854A (zh) * | 2017-05-09 | 2017-07-07 | 成都市宏山科技有限公司 | 用于路由器的安全保护系统 |
| CN107426161A (zh) * | 2017-05-09 | 2017-12-01 | 成都市宏山科技有限公司 | 一种家用路由器登录验证方法 |
| CN107659983A (zh) * | 2017-10-12 | 2018-02-02 | 上海斐讯数据通信技术有限公司 | 一种用户无法连接无线ap的处理方法及装置 |
| CN107819768A (zh) * | 2017-11-15 | 2018-03-20 | 厦门安胜网络科技有限公司 | 服务端主动断开非法长连接的方法、终端设备及存储介质 |
| CN107819768B (zh) * | 2017-11-15 | 2020-07-31 | 厦门安胜网络科技有限公司 | 服务端主动断开非法长连接的方法、终端设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102624725B (zh) | 2016-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102624725A (zh) | 一种pin码接入方式的安全保护方法 | |
| EP2922327B1 (en) | Communications terminal and system and rights management method | |
| US10284540B2 (en) | Secure method for MTC device triggering | |
| CN101384079A (zh) | 一种终端移动时防止降质攻击的方法、系统及装置 | |
| US10582389B2 (en) | Secured paging | |
| CN108353283B (zh) | 防止来自伪基站的攻击的方法和装置 | |
| US10135795B2 (en) | Downlink control channel encryption for jamming resilience | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| WO2017128546A1 (zh) | 一种WiFi网络安全接入方法及装置 | |
| CN101616017A (zh) | 对网络应用设备进行配置的方法、设备及系统 | |
| CN101686463B (zh) | 一种保护用户终端能力的方法、装置和系统 | |
| CN103249040A (zh) | 一种无线接入认证的方法及装置 | |
| CN101711023B (zh) | 一种实现机卡互锁的方法及系统 | |
| CN101640685A (zh) | 一种传递私有属性信息的方法及系统 | |
| KR20080093256A (ko) | 무선 이동 통신 시스템에서 인증 시스템 및 방법 | |
| CN100484292C (zh) | 一种锁定非法复制的移动终端的方法、系统及基站 | |
| JP5987707B2 (ja) | 端末装置、プログラム及び通信システム | |
| CN100499900C (zh) | 一种无线通信终端接入鉴权方法 | |
| CN101163326A (zh) | 一种抗重放攻击的方法、系统及移动终端 | |
| US8245029B2 (en) | System and method for enhanced network entrance into a wireless network | |
| EP2371155A1 (en) | Prevention of a bidding-down attack in a communication system | |
| KR100656519B1 (ko) | 네트워크의 인증 시스템 및 방법 | |
| GB2458102A (en) | Providing authorised access to a cellular communication network (100) via an access point using the transmitted identification of wireless communication units | |
| CN101330761B (zh) | 一种wimax系统及其接入方法 | |
| CN108934060B (zh) | 一种基于无线网络接入的功耗调整方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160420 |