[发明专利]一种PIN码接入方式的安全保护方法

说明书

技术领域

 本发明涉及WPS（Wi-Fi Protected Setup，Wi-Fi保护装置）技术领域，尤其涉及一种PIN码接入方式的安全保护方法。

背景技术

随着无线宽带上网业务的迅速发展，无线家庭网关等无线接入设备发展迅猛。为了适应业务需求，简化用户配置，由Wi-Fi联盟组织制定的WPS标准，主要致力于简化无线局域网的安装及安全性能配置工作。WPS能帮助用户自动配置网络名SSID（Service Set Identifier，服务集标识）、配置WPA（Wi-Fi Protected Access，Wi-Fi网络安全存取）数据编码及认证功能，用户只需输入个人信息码PIN（Personal Identification Number，个人标识号），大大简化了无线安全设置的操作。

WPS有两种操作方式：按键方式和PIN码接入方式。

按键方式：用户同时在AP和station上按下wps键，两者之间就会自动协商AP使用的密码，协商成功后station自动连接到AP。

PIN码方式：在station上输入AP的pin码，或在ap上输入station的pin码，两者之间也会自动协商AP使用的密码，协商成功后station自动连接到AP。

在AP使用静态PIN码时，station输入AP的PIN码连接。PIN码有8位，如果暴力破解，理论上需要尝试最多100000000次。但是后来研究发现并非如此，PIN码实际上分为三部分：前4位、中间3位和最后1位。AP收到后首先检测前4位，如果错误AP会直接发送错误信息，而不会看后4位。这样就为攻击者提供了一个思路：可以先尝试前4位，这样最多只有10000次就可以尝试成功。在前4位破解成功后，同样的原理，中间3位最多1000次就可以破解成功，最后1位是前7位的校验值，可以直接从前7位算出，不增加尝试次数。因此最多11000次就可以破解成功，大大小于设计时的预想。

为了弥补此缺陷，Wi-Fi联盟在《Wi-Fi Simple Configuration Technical Specification Version 2.0.2》中作了规定，当AP连续10次收到错误的PIN码，将进入锁状态，在此状态下任何Registrar都不允许接入，但是仍然可以接入Enrollee；也有些厂商实现为进入锁状态后不允许任何Registrar和Enrollee接入。但是这样也会造成合法的用户不能正常登录到AP，给合法用户带来诸多不便。

发明内容

本发明的目的在于提供一种PIN码接入方式的安全保护方法，该方法提升了WPS的安全性。

本发明的目的是通过以下技术方案实现的。

一种PIN码接入方式的安全保护方法，包括步骤：

建立黑名单，初始化为空；

在检测到有客户端使用PIN码接入时，判断该客户端是否在黑名单中，若在，则拒绝接入；若不在，则执行下一步；

判断所述客户端提供的PIN码是否合法，若合法，则验证成功，接入该客户端；若不合法，则拒绝本次接入并执行下一步；

记录所述客户端的信息，判断该客户端是否符合预设的列入黑名单条件，若符合，则将该客户端添加至所述黑名单；若不符合，则不作处理，等待下一次连接。

优选的，上述方法还包括：在将客户端添加至黑名单的同时，对当前客户端设定锁定时间LockTime；定时扫描所述黑名单，删除其中锁定时间超时的客户端。

优选的，上述方法还包括：所述列入黑名单的条件具体为：在时间段Tmax内当前客户端连续PIN码接入失败次数N达到预设阈值Nmax。

优选的，上述所述记录的客户端的信息包括：MAC地址、首次PIN码接入失败时间、连续PIN码接入失败总次数。

优选的，上述方法中，所述Tmax预设为1分钟，所述阈值Nmax预设为3次。

优选的，上述方法中，所述锁定时间LockTime的预设值为300秒。

优选的，上述方法中，对于被添加至黑名单的次数大于1的客户端，在该客户端再次被添加至黑名单时延长其锁定时间LockTime（可根据情况来适当延长，比如加倍延长）。

与现有技术相比，本发明实施例具有以下有益效果。

本发明引入了黑名单机制，在客户端PIN码接入失败达到预设条件时将该客户端添加至黑名单，实现了针对某个客户端进行锁定，在保证正常客户端可以正常接入的同时，所有的恶意攻击者都能被锁定，进一步提升了WPS的安全性。