申请/专利权人：重庆邮电大学

申请日：2016-09-14

公开（公告）日：2019-03-22

公开（公告）号：CN106330654B

主分类号：H04L12/46(2006.01)I

分类号：H04L12/46(2006.01)I;H04W12/06(2009.01)I

优先权：

专利状态码：有效-授权

法律状态：2019.03.22#授权;2017.02.08#实质审查的生效;2017.01.11#公开

摘要：本发明涉及一种基于WPA2‑PSK的虚拟局域网之间的无线数据传输方法，首先，数据发送者终端从AP接入点获得认证PSK密钥，并向AP接入点发送合法认证请求。然后，AP接入点授权允许数据发送者终端接入，并将接入终端划分到不同的虚拟局域网VLAN，接入终端自动保留其所属VLAN网段的成员身份。再然后，数据发送者终端不断向AP接入点发送急需处理的干扰信息，使AP接入点无法正常工作，同时启动模拟AP。最后，接入终端将模拟AP作为新的默认路由器，重新发起连接并与模拟AP进行稳定的通信。本发明能够实现不同VLAN间的数据直接传输，且不经过原AP接入点也不受接入点的客户端隔离和MAC地址校验的影响。

主权项：1.一种基于WPA2‑PSK的虚拟局域网之间的无线数据传输方法，其特征在于,包括以下步骤：（1）数据发送者终端从AP接入点获得PSK预共享密钥，并向AP接入点发送合法认证请求；（2）AP接入点授权允许数据发送者终端接入，并将所有接入终端划分到不同的虚拟局域网VLAN，接入终端自动保留其所属VLAN网段的成员身份；（3）数据发送者终端不断向AP接入点发送急需处理的干扰信息，使AP接入点无法正常工作，同时启动模拟AP；（4）接入终端将模拟AP作为新的默认路由器，重新发起连接并与模拟AP进行稳定的通信，实现虚拟局域网VLAN之间的接入终端的直接通信。

全文数据：一种基于WPA2-PSK的虚拟局域网之间的无线数据传输方法技术领域本发明涉及网络通信技术领域，特别是涉及一种基于WPA2-PSK的虚拟局域网之间的无线数据传输方法。背景技术近年来，WPA2的196漏洞出现源于允许所有客户端使用一个普通GTK共享密钥接收来自接入点的广播信号，授权过的用户可使用共享密钥传回利用组共享密钥加密的数据包，即漏洞196会导致一个类似于中间人的攻击方式AirTight的试验：凭借内部授权用户和开源软件，可以在半空中解密其他用户私密数据、注入恶意流量至网络、危害其它授权设备，进而可以控制流量、发起拒绝服务攻击或者嗅探。为了解决这个漏洞来保护基于WPA2-PSK的无线网络，802.11的安全专家Gast提出，这种攻击的范围有限。攻击者要求共享加密密钥，在虚拟接入点之间也称为BSSID密钥是不共享的，所以这种攻击仅发生在同一个AP接入点上相同SSID相连接的接入终端上。这样一来，就可使用接入点的客户端隔离或者将不同的接入终端进行分组，将其划分到不同的虚拟VLAN，这样便不能利用GTK共享密钥进行直接数据传输。目前VLAN在组网中已经用到下列五种划分方式：按端口划分、按MAC地址划分、基于网络层划分、基于IP广播组划分和基于规则的划分。大家都认为这五种划分方式都能防止无线数据的直接传输，并保证数据传输的安全性。2014年，中国专利CN103905285A公布了一种实现同一MAC地址用户划分到多个不同VLAN的方法，提出根据MAC地址可将同一MAC地址用户划分到不同VLAN，实现同一个MAC地址的用户其不同的业务流在不同的VLAN中传输和交换。2007年，中国专利CN101110821公开了一套利用校验MAC地址来防止数据传输的方法。2015年，中国专利CN105472622A将一个或多个消息经过WiFi接入点广播至一个或多个WiFi节点，一个或多个消息被配置为防止WiFi节点在信道上传输。因此，解决不同的虚拟局域网之间的数据直接传输问题具有现实意义。发明内容本发明的目的是提供一种基于WPA2-PSK的虚拟局域网之间的无线数据传输方法，该方法基于WPA2-PSK技术，实现不同的虚拟局域网之间的数据直接传输，且不经过原AP接入点也不受接入点的客户端隔离和MAC地址校验的影响。为达到发明目的采用的具体技术方案如下：一种基于WPA2-PSK的虚拟局域网之间的无线数据传输方法：（1）数据发送者终端从AP接入点获得PSK预共享密钥，并向AP接入点发送合法认证请求。（2）AP接入点授权允许数据发送者终端接入，并将所有接入终端划分到不同的虚拟局域网VLAN，接入终端自动保留其所属VLAN网段的成员身份。（3）数据发送者终端不断向AP接入点发送急需处理的干扰信息，使AP接入点无法正常工作，同时启动模拟AP。（4）接入终端将模拟AP作为新的默认路由器，重新发起连接并与模拟AP进行稳定的通信，实现虚拟局域网VLAN之间的接入终端的直接通信。具体地，所述合法认证请求中包括AP接入点的合法BSSID号以及获得相应的认证PSK密钥。具体地，接入终端划分到不同的虚拟局域网VLAN是根据接入终端的MAC地址和功能属性完成的。具体地，模拟AP是通过SoftAP将无线网卡模拟成为无线路由器；具体步骤为：首先进入SoftAP设置页面；然后在设置选项“Basic”标签页中找到NetworkName的SSID项，在下方的选择框中输入与原AP接入点一样的SSID名称；设置完名称后，设置与原AP相同的认证接入密钥；接着在“Channel”选择频道，选择与原AP接入点一样的频道；网卡模仿的路由的具体参数设置不进行修改；接着在“AccessControlList”中设置虚拟路由器的MAC地址，设置与原AP接入点一样的MAC地址。本发明中数据发送者利用数据包途经路由器这一特性，通过发送大量的连接请求和数据包阻止默认路由器正常工作，同时重新建立模拟AP但不改变原AP的MAC地址的方法，转换路由路径，从而实现不同VLAN间的数据直接传输，且不经过原AP接入点也不受接入点的客户端隔离和MAC地址校验的影响。附图说明图1为本发明的方法流程示意图；图2为数据发送者向AP接入点发送合法认证请求的具体流程示意图；图3为模拟AP的配置流程示意图；图4为干扰AP正常工作的流程示意图；图5为虚拟客户端发送连接请求的流程示意图；图6为发送合法数据包干扰的流程示意图。具体实施方式结合附图对本发明进一步阐述。如图1所示，一种基于WPA2-PSK的虚拟局域网之间的无线数据传输方法的具体步骤：步骤11：数据发送者终端从AP接入点获得认证PSK密钥，并向AP接入点发送合法认证请求。合法认证请求包括AP接入点的合法BSSID号以及获得相应的认证PSK密钥。数据发送者终端成功连接上AP接入点，成为AP接入点的合法客户端。合法认证请求的具体流程如图2所示，首先无线终端给AP接入点配置WPA2-PSK密钥。然后数据发送者终端获得AP的WPA2-PSK接入密码，再向AP接入点发起连接，根据提示输入密码，发起认证请求。之后AP接入点检查数据发送者终端的WPA2-PSK密钥，如果正确，就允许连接。若允许连接，数据发送者无线终端会回复认证应答确认，WPA2-PSK密钥会被传送和装载，数据发送者无线终端和无线AP接入点之间开始执行数据加密传输。步骤12：AP接入点将用户组划分到不同的虚拟VLAN。接入点AP将用户组（数据发送者在内）按照接入终端的功能以及MAC地址划分到不同的VLAN。每个网卡都有一个独一无二的MAC地址，MAC地址属于数据链路层，以此作为划分VLAN的依据，能很好的独立于网络层上的各种应用，是一种基于用户的网络划分手段。用此种方法构成的VLAN就是一些MAC地址的集合，它解决了网络处理站点的移动问题。按照MAC地址划分的VLAN允许网络从一个物理位置移动到另一个物理位置，并且自动保留其所属VLAN网段的成员身份，这种划分适用于少量节点的类似于学校、企业、家庭等使用的小型网络。但是为了能更好的管理各种不同的接入终端，与按照接入终端的功能划分VLAN的结合也必不可少，分类包括：电脑、笔记本、手机等一般客户端，电视、空调、冰箱等家用设备，门锁、摄像头等防护设备等。这不仅有利于路由器管理，也有利于接入终端的维护。步骤13：制作并开启与原AP接入点的MAC地址、名称、密码、加密方式、工作信道等完全一样的模拟AP接入点。如图3所示，模拟AP是通过SoftAP将无线网卡模拟成为无线路由器；具体步骤为：首先进入SoftAP设置页面；然后在设置选项“Basic”标签页中找到NetworkName的SSID项，在下方的选择框中输入与原AP接入点一样的SSID名称；设置完名称后，设置与原AP相同的认证接入密钥；接着在“Channel”选择频道，选择与原AP接入点一样的频道；网卡模仿的路由的具体参数设置不进行修改；接着在“AccessControlList”中设置虚拟路由器的MAC地址，设置与原AP接入点一样的MAC地址。步骤14：数据发送者终端不断向AP发送急需处理的干扰信息扰乱AP接入点，使其无法正常工作。如图4所示，经过合法认证连接上AP接入点的数据发送者通过虚拟客户端不断向AP发送连接请求，并且不断向AP接入点发送大量的需要经AP接入点转发的合法数据包进行干扰，扰乱AP接入点的正常工作秩序。干扰AP接入点正常工作的流程图。如图5所示，虚拟客户端不断向AP发送连接请求，其原理就是数据发送者使用一些看起来合法其实是随机生成的MAC地址来虚拟工作站，然后就可以向AP发送大量的连接请求，对AP接入点发送持续的且猛烈的连接请求，这种请求数量一旦超过了无线AP所能承受的范围，会导致AP接入点的无线连接列表出现错误，AP也就会自动断开合法用户的正常连接，使合法用户无法正常使用无线网络。如图6所示，同时不断向AP接入点发送大量的需要经AP转发的合法数据包进行干扰。这种模式的前提条件是数据发送者合法接入AP接入点，并且以注入模式发送合法数据包。为让AP接受数据包，必须使数据发送者的网卡和AP接入点关联。如果没有关联的话，目标AP将忽略所有发送的数据包。数据发送者终端成功连接以后才能发送注入命令，让路由器接受到注入命令后才可反馈数据从而产生ARP包，再用注入攻击模式来发送大量数据包。相比大型路由器而言，一般AP接入点的承受能力较弱，这个时候这两种方法结合的同时干扰可以让AP迅速与接入终端断开连接或者工作信号变弱，使其无法正常迅速接收来自接入终端的数据包。步骤15：接入终端认为模拟AP才是默认路由器，与模拟AP相连，并与其通信。这种情况下，原AP已经无法正常工作（断开与接入终端的连接或者信号变弱），接入终端会误认为AP有问题，然后自动断开连接，此时存在与原AP在名称、密码、加密方式、工作信道等完全一样的模拟AP接入点信号很强，于是接入终端误认为模拟AP才是真正的默认AP，于是发起连接，用与原来相同的认证方式连接上模拟AP，并与模拟AP正常相互通信，此时利用模拟AP便可以发送一些数据给接入终端，实现虚拟VLAN间的直接数据传输。步骤16：停止对原默认AP接入点的干扰且关闭模拟AP，原默认AP接入点可恢复正常工作；当完成了虚拟VLAN间的直接数据传输后，如果停止用虚拟客户端不断向原默认AP发送连接请求和不断向AP发送大量的需要经AP转发的合法数据包进行干扰，同时关闭模拟AP，此时原默认AP可以恢复正常工作，其它接入终端将重新接入到原默认AP，恢复原来的数据传输工作。

权利要求：1.一种基于WPA2-PSK的虚拟局域网之间的无线数据传输方法，其特征在于,包括以下步骤：（1）数据发送者终端从AP接入点获得PSK预共享密钥，并向AP接入点发送合法认证请求；（2）AP接入点授权允许数据发送者终端接入，并将所有接入终端划分到不同的虚拟局域网VLAN，接入终端自动保留其所属VLAN网段的成员身份；（3）数据发送者终端不断向AP接入点发送急需处理的干扰信息，使AP接入点无法正常工作，同时启动模拟AP；（4）接入终端将模拟AP作为新的默认路由器，重新发起连接并与模拟AP进行稳定的通信，实现虚拟局域网VLAN之间的接入终端的直接通信。2.根据权利要求1所述的无线数据传输方法，其特征在于：所述合法认证请求包括AP接入点的合法BSSID号以及获得相应的认证PSK密钥。3.根据权利要求1所述的无线数据传输方法，其特征在于：接入终端划分到不同的虚拟局域网VLAN是根据接入终端的MAC地址和功能属性完成的。4.根据权利要求1所述的无线数据传输方法，其特征在于：模拟AP是通过SoftAP将无线网卡模拟成为无线路由器；具体步骤为：首先进入SoftAP设置页面；然后在设置选项“Basic”标签页中找到NetworkName的SSID项，在下方的选择框中输入与原AP接入点一样的SSID名称；设置完名称后，设置与原AP相同的认证接入密钥；接着在“Channel”选择频道，选择与原AP接入点一样的频道；网卡模拟的路由的具体参数设置不进行修改；接着在“AccessControlList”中设置虚拟路由器的MAC地址，设置与原AP接入点一样的MAC地址。

百度查询： 重庆邮电大学 一种基于WPA2-PSK的虚拟局域网之间的无线数据传输方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD