建立无线局域网连接的方法和装置与流程

1.本说明书一个或多个实施例涉及网络通信技术，尤其涉及建立无线局域网连接的方法和装置。


背景技术：

2.在建立无线局域网连接比如wifi连接时，通常需要用到信标(beacon)帧。在无线局域网中，接入点(通常就是无线路由器)会周期性地向外发送beacon帧，通过该beacon帧可以宣示该无线局域网的存在。当无线设备比如手机等移动终端接收到beacon帧之后，就能得知周围这个无线热点，并接入该接入点，从而接入了该无线局域网。
3.但是，目前建立无线局域网连接的方法安全性不高。


技术实现要素：

4.本说明书一个或多个实施例描述了建立无线局域网连接的方法和装置，能够提高安全性。
5.根据第一方面，提供了一种建立无线局域网连接的方法，其中，包括：
6.使用预先获取的公私钥对中的私钥，生成beacon帧的数字签名；
7.将数字签名携带在beacon帧中，然后广播该beacon帧；
8.接收无线设备发来的第一连接请求，根据该第一连接请求与无线设备建立无线局域网连接。
9.其中，所述将数字签名携带在beacon帧中，包括：将所述数字签名携带在所述beacon帧的扩展位中。
10.其中，所述beacon帧的frame body中包括通过id扩展出的第一扩展位；
11.所述将所述数字签名携带在所述beacon帧的扩展位中，包括：将所述数字签名携带在所述beacon帧的frame body中的第一扩展位上。
12.其中，在所述使用预先获取的公私钥对中的私钥生成beacon帧的数字签名之前，进一步包括：
13.接收所述无线设备发来的第二连接请求，该第二连接请求中携带有用户输入的入网密码；
14.在验证出所述入网密码正确之后，与无线设备建立无线局域网连接；
15.接收所述无线设备发来的公钥申请请求；
16.将所述公私钥对中的公钥携带在公钥申请响应中发送给所述无线设备。
17.在所述与无线设备建立无线局域网连接之后，进一步包括：
18.断开与所述无线设备的无线局域网连接；
19.接收所述无线设备发来的探测请求；
20.利用所述私钥对该探测请求中的frame body部分进行解密；
21.根据解密出的探测请求中的frame body，与无线设备建立所述无线局域网连接。
22.根据第二方面，提供了建立无线局域网连接的方法，其中，包括：
23.接收接入点广播的beacon帧；
24.判断该beacon帧中是否携带有数字签名，如果否，则拒绝接入接入点对应的无线局域网；
25.如果是，则根据预先获取的公私钥对中的公钥，对该数字签名进行验证，如果验证失败，则拒绝接入接入点对应的无线局域网；如果验证成功，则向该接入点发送第一连接请求以与接入点建立所述无线局域网连接。
26.其中，所述判断该beacon帧中是否携带有数字签名，包括：
27.判断所述beacon帧的扩展位中是否携带有数字签名。
28.其中，所述beacon帧的frame body中包括通过id扩展出的第一扩展位；
29.所述判断所述beacon帧的扩展位中是否携带有数字签名，包括：根据所述公钥判断所述beacon帧的frame body中的第一扩展位上是否携带有正确的数字签名。
30.其中，获取所述公私钥对中的公钥的方法包括：
31.向所述接入点发送第二连接请求，该第二连接请求中携带有用户输入的入网密码；
32.与该接入点建立无线局域网连接；
33.向该接入点发送公钥申请请求；
34.从接入点发来的公钥申请响应中获取所述公钥。
35.在所述接入该接入点对应的无线局域网之后，进一步包括：
36.断开与所述接入点的无线局域网连接；
37.利用所述公钥加密探测请求中的frame body部分；
38.将探测请求发送给所述接入点；
39.接收该接入点返回的探测响应；
40.与所述接入点建立无线局域网连接。
41.根据第三方面，提供了建立无线局域网连接的装置，其中，包括：
42.私钥获取模块，用于保存公私钥对中的私钥；
43.beacon帧处理模块，用于使用所述私钥，生成beacon帧的数字签名，将数字签名携带在beacon帧中，然后广播该beacon帧；
44.连接建立模块，用于接收无线设备发来的第一连接请求，根据该第一连接请求与无线设备建立无线局域网连接。
45.根据第四方面，提供了建立无线局域网连接的装置，其中，包括：
46.接收模块，用于接收接入点广播的beacon帧；
47.签名验证模块，用于判断该beacon帧中是否携带有数字签名，如果否，则拒绝接入接入点对应的无线局域网；如果是，则根据预先获取的公私钥对中的公钥，对该数字签名进行验证，如果验证失败，则拒绝与接入点建立所述无线局域网的连接；如果验证成功，则触发连接处理模块；
48.连接处理模块，用于被触发后，向所述接入点发送第一连接请求以与接入点建立无线局域网连接。
49.根据第五方面，提供了一种计算设备，包括存储器和处理器，所述存储器中存储有
可执行代码，所述处理器执行所述可执行代码时，实现本说明书任一实施例所述的方法。
50.本说明书实施例提供的建立无线局域网连接的方法和装置，接入点不是直接发送明文的beacon帧，而是会对该beacon帧进行数字签名，这样，beacon帧中携带的接入点的信息就不是明文形式，只有预先获取了公私钥对中公钥的无线设备才能得到接入点的信息，其他设备比如网络攻击者接收到beacon帧后，因为无法获取接入点的信息，因此无法进行攻击行为，大大提高了安全性。
附图说明
51.为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本说明书的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
52.图1是本说明书一个实施例所应用的系统架构的示意图。
53.图2是本说明书一个实施例在接入点中建立无线局域网连接的方法的流程图。
54.图3是本说明书一个实施例在无线设备中建立无线局域网连接的方法的流程图。
55.图4是本说明书又一个实施例中建立无线局域网连接的方法的流程图。
56.图5是本说明书一个实施例中建立无线局域网连接的装置的结构示意图。
57.图6是本说明书另一个实施例中建立无线局域网连接的装置的结构示意图。
具体实施方式
58.如前所述，建立无线局域网连接比如wifi连接时，需要由接入点周期性向外发送beacon帧，该beacon帧中携带有该接入点的信息，因此任何设备都可以从该beacon帧中得到接入点的信息，大大降低了安全性。比如，网络攻击者接收到beacon帧后，可以获取接入点的信息，并根据该接入点的信息伪造无线热点，从而诱使无线设备比如手机接入该网络攻击者伪造的无线局域网中，从而对无线设备进行诸如钓鱼攻击、读取该无线设备比如手机中的隐私信息等，大大降低了安全性，给用户带来很大的困扰和损失。
59.下面结合附图，对本说明书提供的方案进行描述。
60.为了方便对本说明书的理解，首先对本说明书所应用的系统架构进行描述。如图1中所示，该系统架构主要包括无线局域网的接入点和无线设备。其中，接入点通常就是路由器，有时可以为网关。无线设备通常就是移动终端，比如手机和笔记本电脑等。无线设备需要通过接入点连接到无线局域网比如wifi中。
61.下面分别描述本说明书在建立无线局域网连接的过程中，接入点的处理以及无线设备的处理。
62.实施例1：在建立无线局域网连接的过程中接入点的处理。
63.图2是本说明书一个实施例在接入点中建立无线局域网连接的方法的流程图。该方法的执行主体为接入点。可以理解，该方法也可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。参见图2，该方法包括：
64.步骤201：使用预先获取的公私钥对中的私钥，生成beacon帧的数字签名。
65.步骤203：将数字签名携带在beacon帧中，然后广播该beacon帧；
66.步骤205：接收无线设备发来的第一连接请求，根据该第一连接请求与无线设备建立无线局域网连接。
67.根据上述图2所示的过程可以看出，接入点不是直接发送明文的beacon帧，而是会对该beacon帧进行数字签名，这样，beacon帧中携带的接入点的信息就不是明文形式，只有预先获取了公私钥对中公钥的无线设备才能得到接入点的信息，其他设备比如网络攻击者接收到beacon帧后，因为无法获取接入点的信息，因此无法进行攻击行为，大大提高了安全性。
68.下面对图2中的每一个步骤分别进行说明。
69.首先在步骤201中使用预先获取的公私钥对中的私钥，生成beacon帧的数字签名。
70.为了提高安全性，需要对beacon帧进行数字签名。接入点获得公私钥对中的私钥，无线设备获得公私钥对中的公钥。在本发明的一个实施例中，可以由接入点在得到了公私钥对之后，自己保留私钥，并由该接入点将公钥发给无线设备。
71.接入点将公钥发给无线设备的方法可以是在上述步骤201之前，在该无线设备首次接入该接入点时，将公钥发给该无线设备，具体的过程可以包括：
72.步骤a1：接入点接收无线设备发来的第二连接请求，该第二连接请求中携带有用户输入的入网密码。
73.这里，无线设备比如手机在首次进入一个无线局域网的范围时，可以通过接入点发送的beacon帧得到无线局域网名称，之后，用户会在该无线设备上输入该无线局域网的入网密码，无线设备将该入网密码携带在第二连接请求中发给接入点，以使得接入点进行针对该无线设备的首次接入处理。
74.步骤a3：接入点在验证出入网密码正确之后，与无线设备建立无线局域网连接；
75.这里，入网密码正确后，无线设备则与接入点首次建立了无线局域网连接。此时，无线设备可以判断该接入点(ap)是否为可信任的热点，该判断过程可以由无线设备侧的用户进行人工判断，也可以通过无线设备加载的相关软件来辅助判断比如腾讯管家。在无线设备判断出该接入点是可信任的热点之后，就可以通过步骤a5至a7实现在无线设备与接入点之间进行公钥的申请与分发。
76.步骤a5：接入点通过无线局域网连接，接收无线设备发来的公钥申请请求。
77.在首次建立无线局域网连接之后，如果无线设备判断出该接入点是可信任的热点，那么该无线设备就可以向接入点发送公钥申请请求。
78.步骤a7：接入点将公私钥对中的公钥携带在公钥申请响应中发送给无线设备。
79.通过上述步骤a1至a7的过程，则使得无线设备获取了公钥。
80.接下来在步骤203中接入点将数字签名携带在beacon帧中，然后广播该beacon帧。
81.本步骤203中接入点可以将数字签名携带在beacon帧的扩展位中。
82.在beacon帧的帧格式中，frame body部分的内容可通过id进行扩展。因此，在本说明书的一个实施例中，beacon帧的frame body中包括通过id扩展出的第一扩展位；这样本步骤203中，是将数字签名携带在beacon帧的frame body中的该第一扩展位上。
83.相应地，在接入点广播了beacon帧之后，无线设备会接收到该beacon帧。无线设备可以利用已获取的公钥对beacon帧中的数字签名进行验证，如果beacon帧中没有数字签名或者该数字签名不正确，则无线设备会拒绝连接该接入点，从而避免接入由网络攻击者伪
造的无线热点。当无线设备根据公钥验证出beacon帧中的数字签名正确后，则可以向接入点发送第一连接请求。
84.接下来在步骤205中接入点接收无线设备发来的第一连接请求，根据该第一连接请求与无线设备建立无线局域网连接。
85.在本说明书一个实施例中，无线设备通过输入入网密码在首次与接入点建立无线局域网连接之后，会离开该无线局域网的范围，断开与接入点的连接。当该无线设备后续再次进入该无线局域网范围内时，有如下两种方式与接入点再次建立该无线局域网的连接：
86.方式一、通过上述步骤201至步骤205的过程与接入点建立无线局域网连接。
87.在该方式一中，无线设备是在接收到接入点发送的beacon帧之后，根据beacon帧与接入点建立无线局域网连接。具体过程参见上述对步骤201至步骤205的说明。
88.在该方式一中，为了提高安全性，在接入点一方利用私钥进行了数字签名即加密处理。
89.方式二、无线设备主动发起连接。
90.在该方式二中，因为无线设备不是首次连接该接入点，因此，无线设备可以无需等待接入点发送的beacon帧，就主动向接入点发起连接。
91.为了进一步提高安全性，在该方式二中，可以在无线设备一方利用公钥对发出的探测请求(probe reques)进行加密，比如加密探测请求中的frame body部分。针对该方式二，在接入点中的处理过程包括：
92.步骤1：在接入点断开与无线设备的无线局域网连接之后，接入点接收到无线设备发来的探测请求；
93.步骤2：接入点利用私钥对该探测请求中的frame body部分进行解密；
94.步骤3：根据解密出的探测请求中的frame body，与无线设备建立无线局域网连接。
95.探测请求中的frame body部分包括了无线设备的mac地址等隐私信息，因为无线设备对该frame body部分进行了加密，因此，保护了用户的隐私数据不外泄。
96.实施例2：说明在建立无线局域网连接过程中无线设备的处理。
97.图3示出了本说明书一个实施例中在无线设备中建立无线局域网连接的方法的流程图。该方法的执行主体为无线设备。可以理解，该方法也可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。参见图3，该方法包括：
98.步骤301：接收接入点广播的beacon帧。
99.步骤303：判断该beacon帧中是否携带有数字签名，如果否，则执行步骤305，否则执行步骤307。
100.步骤305：拒绝接入接入点对应的无线局域网，结束当前流程。
101.步骤307：根据预先获取的公私钥对中的公钥，对该数字签名进行验证，如果验证失败，则执行步骤305，如果验证成功，执行步骤309。
102.步骤309：向该接入点发送第一连接请求以与接入点建立无线局域网连接。
103.对上述步骤301至步骤309的详细说明可以对应参见上述实施例1中对步骤201至步骤205的详细说明。
104.实施例3：结合接入点及无线设备的处理，说明建立无线局域网连接的过程。
105.参见图4，以无线设备为手机，接入点为路由器，两者建立wifi连接为例说明该实施例3。该过程包括：
106.步骤401：当手机首次进入一个wifi网络的范围后，该手机接收到对应该wifi网络的路由器广播的beacon帧。
107.本步骤401中，由于手机还未获取公钥，因此，路由器广播的beacon帧中可以不携带利用私钥生成的数字签名。当然，在本说明书的一个实施例中，本步骤401中，路由器广播的beacon帧中也可以携带利用私钥生成的数字签名。
108.步骤403：手机根据beacon帧中携带的路由器的信息，向用户展示该路由器的名称，即wifi连接的名称。
109.步骤405：手机检测到用户针对该路由器的名称的点击指令，向用户提供密码输入框，并接收用户输入的入网密码。
110.步骤407：手机将入网密码携带在连接请求1中，发送给路由器。
111.步骤409：路由器验证连接请求1中携带的入网密码是否正确，如果是，则执行步骤413，否则执行步骤411。
112.步骤411：路由器拒绝该手机的入网请求，结束当前流程。
113.步骤413：路由器与手机建立wifi连接。
114.步骤415：手机判断该路由器是否为可信任的热点，如果是，则执行步骤419，否则执行步骤417。
115.步骤417：向用户进行风险提示，结束当前流程。
116.步骤419：手机向路由器发送公钥申请请求。
117.步骤421：路由器通过wifi连接将预先获取的公私钥对中的公钥发送给手机，手机保存该公钥。
118.步骤423：手机离开wifi网络的范围，断开与路由器的wifi连接。
119.步骤425：路由器使用预先获取的公私钥对中的私钥，生成beacon帧的数字签名。
120.步骤427：路由器将数字签名携带在beacon帧的frame body中的扩展位上，然后广播该beacon帧。
121.步骤429：当手机后续再次进入该wifi网络的范围时，接收到路由器广播的该beacon帧。
122.步骤431：手机利用公钥验证beacon帧中是否携带有正确的数字签名，如果是，执行步骤435，否则执行步骤433。
123.步骤433：手机拒绝接入wifi网络，结束当前流程。
124.步骤435：手机向路由器发送连接请求2。
125.步骤437：路由器根据接收到的连接请求2，与手机建立wifi连接。
126.如前所述，在执行完步骤401至步骤427之后，当手机后续又一次进入该wifi网络的范围时，该实施例3还可以包括如下步骤：
127.步骤b1：手机接收到用户针对该wifi连接主动输入的连接指示。
128.步骤b3：手机使用公钥对探测请求中的frame body部分进行加密，然后将该探测请求发送给路由器。
129.步骤b5：路由器利用私钥对该探测请求中的frame body部分进行解密，如果解密
正确，则执行步骤b9，否则执行步骤b7。
130.步骤b7：路由器拒绝手机接入，结束当前流程。
131.步骤b9：路由器根据解密出的探测请求中的frame body，与手机建立wifi连接。
132.在本说明书的一个实施例中，提供了一种建立无线局域网连接的装置，该装置设置在接入点中，参见图5，该装置500包括：
133.私钥获取模块501，用于保存公私钥对中的私钥；
134.beacon帧处理模块502，用于使用所述私钥，生成beacon帧的数字签名，将数字签名携带在beacon帧中，然后广播该beacon帧；
135.连接建立模块503，用于接收无线设备发来的第一连接请求，根据该第一连接请求与无线设备建立无线局域网连接。
136.在本说明书的一个实施例中，beacon帧处理模块502被配置为执行：将所述数字签名携带在所述beacon帧的扩展位中。
137.在本说明书的一个实施例中，所述beacon帧的frame body中包括通过id扩展出的第一扩展位；则上述beacon帧处理模块502被配置为执行：将所述数字签名携带在所述beacon帧的frame body中的第一扩展位上。
138.在本说明书的一个实施例中，所述连接建立模块503进一步被配置为执行：在使用预先获取的公私钥对中的私钥生成beacon帧的数字签名之前，接收所述无线设备发来的第二连接请求，该第二连接请求中携带有用户输入的入网密码；在验证出所述入网密码正确之后，与无线设备建立无线局域网连接；接收所述无线设备通过该无线局域网连接发来的公钥申请请求；将所述公私钥对中的公钥携带在公钥申请响应中发送给所述无线设备。
139.在本说明书的一个实施例中，所述连接建立模块503进一步被配置为执行：在与无线设备建立无线局域网连接之后，断开与所述无线设备的无线局域网连接；接收所述无线设备发来的探测请求；利用所述私钥对该探测请求中的frame body部分进行解密；根据解密出的探测请求中的frame body，与无线设备建立无线局域网连接。
140.在本说明书的一个实施例中，提供了一种建立无线局域网连接的装置，该装置设置在无线设备中，参见图6，该装置600包括：
141.公钥获取模块601，用于保存公私钥对中的公钥；
142.接收模块602，用于接收接入点广播的beacon帧；
143.签名验证模块603，用于判断该beacon帧中是否携带有数字签名，如果否，则拒绝接入接入点对应的无线局域网；如果是，则根据所述公钥，对该数字签名进行验证，如果验证失败，则拒绝与接入点建立无线局域网连接；如果验证成功，则触发连接处理模块604；
144.连接处理模块604，用于被触发后，向所述接入点发送第一连接请求以与接入点建立所述无线局域网连接。
145.在本说明书的一个实施例中，签名验证模块603被配置为执行：判断所述beacon帧的扩展位中是否携带有数字签名。
146.在本说明书的一个实施例中，所述beacon帧的frame body中包括通过id扩展出的第一扩展位；
147.签名验证模块603被配置为执行：根据公钥判断所述beacon帧的frame body中的第一扩展位上是否携带有正确的数字签名。
148.在本说明书的一个实施例中，连接处理模块604进一步被配置为执行：向所述接入点发送第二连接请求，该第二连接请求中携带有用户输入的入网密码；与该接入点建立无线局域网连接；
149.相应地，公钥获取模块601被配置为执行：利用该无线局域网连接向该接入点发送公钥申请请求；从接入点发来的公钥申请响应中获取所述公钥。
150.在本说明书的一个实施例中，连接处理模块604进一步被配置为执行：
151.在与接入点建立无线局域网连接之后，断开与所述接入点的无线局域网连接；
152.利用所述公钥加密探测请求中的frame body部分；
153.将探测请求发送给所述接入点；
154.接收接入点返回的探测响应；
155.与所述接入点建立无线局域网连接。
156.本说明书一个实施例提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行说明书中任一个实施例中的方法。
157.本说明书一个实施例提供了一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现执行说明书中任一个实施例中的方法。
158.可以理解的是，本说明书实施例示意的结构并不构成对本说明书实施例的装置的具体限定。在说明书的另一些实施例中，上述装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
159.上述装置、系统内的各模块之间的信息交互、执行过程等内容，由于与本说明书方法实施例基于同一构思，具体内容可参见本说明书方法实施例中的叙述，此处不再赘述。
160.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
161.本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、挂件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
162.以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。