本发明属于移动互联网安全领域,具体而言,本发明涉及一种基于无线语境的路由器身份鉴定方法和终端设备。
背景技术:
随着无线网络技术的日益发展,传统的有线接入越来越局限于IT运营企业和固定设施的接入,而在日常生活中,人们也主要以无线接入方式为主。可以说,无线网络已经在人们平常的生活和工作中占据了非常重要的地位,今天的人们已经不能离开无线网络,人们的生活也越来越依赖于无线网络。与此同时,随着无线网络流量的增加,无线网络承载了越来越多的私密信息,成为黑客和不法分子攻击的对象,无线网络通信的安全隐患日益明显。
在现有的无线攻击手段中,钓鱼攻击是较为常见的一种方式。在此方式中,攻击者通过伪造虚假的wifi热点,诱导用户无线连接,然后对用户的网络传输过程进行窃听,造成用户的私密信息泄露,对用户的安全和经济带来较大的影响。
之所以钓鱼攻击如此普遍,因为该方式的简便易行,由于现有的操作系统主要是根据SSID(服务集标识)来识别接入无线热点的身份,而无线热点的SSID是用户可以随意设定的,因此,攻击者甚至都无需要专门的工具和复杂的技术,即可实现对目标热点的伪装。更为甚者,现在大多数终端设备的系统中都内置有断线重连机制,出于方便用户使用体验的目的,操作系统会记住用户连接过的热点的名称和密码,当出现无线网络连接中断的情况时,系统自动检测该名称的热点,当检测到时可自动重连,并且,这些操作都是系统在用户未知的情况下在后台自动完成的,目的在于方便用户,提高用户的使用体验,但是却也为不法分子和攻击者提供了便利,他们通过设定SSID来冒充正常安全环境下的热点,诱导客户连接他们伪装的热点,从而完成非法攻击的目的,给客户带来了很大的安全隐患和损失。
针对上述问题,目前已经提出一些解决方案,例如在SSID之外,加入了热点MAC地址(物理地址)作为身份识别的加强措施,但不幸的是,MAC地址的SSID均属于可以轻易修改的身份标识,所以此解决方案没有从根本上解决此技术问题。
技术实现要素:
本发明针对现有的方式的上述缺点,提出一种基于无线语境的路由器身份鉴定方法和终端设备,用以解决现有技术存在的无线路由器的身份标识信息易于伪装,致使非法分子通过伪装无线路由器的热点,诱导客户连接他们伪装的热点,从而完成非法攻击的目的,从而给客户带来较大的安全隐患和经济损失的问题。
本发明的实施例根据一个方面,提供了一种基于无线语境的路由器身份鉴定方法,包括:
收集周边无线语境下路由器的无线网络信息;
设定安全策略,根据安全策略和无线网络信息确定出安全维度参数,基于安全维度参数以不同的检测模型对网络信息进行检测,并输出检测结果;
根据安全策略,对检测结果进行分析,以评估路由器的安全性。
优选地,无线网络信息包括:SSID、MAC和RSSI等。
优选地,收集到的无线网络信息以XML结构化方式组织并存储。
优选地,检测模型与网络信息相对应,不同的网络信息或其组合对应一种检测模型。
优选地,根据安全维度参数和检测模型的检测结果,判断是否需要进行更高级别的检测。
优选地,当检测结果低于预定的安全阈值时,则需要进行更高级别的检测;
当检测结果高于设定的安全阈值时,如果安全策略有要求,则需进行更高级别的检测,如果安全策略无要求,则无需进行更高级别的检测。
优选地,将检测结果进行分析时,以预存的默认安全语境中的参数与检测结果进行比较分析。
优选地,比较分析的方法是基于字符串相似度来进行分析的方法。
优选地,比较分析的方法是利用NCD算法来进行比较分析的方法。
另外,本发明还公开了一种终端设备,其包括:
收集模块,用以收集周边无线语境下路由器的无线网络信息;
检测模块,用以设定安全策略,根据安全策略和无线网络信息确定出安全维度参数,基于安全维度参数以不同的检测模型对网络信息进行检测,并输出检测结果;
评估分析模块,用以根据安全策略,对检测结果进行分析,以评估路由器的安全性。
本发明的实施例中,不是简单地基于路由器自身的SSID和MAC地址等信息来进行身份判断标准,而是根据路由器所处的无线网络环境进行判定,由于路由器的网络环境设计到很多方方面面的因素,所以对于攻击者来说,远不是简单修改自身的设置所能伪造的,极大的提升了攻击的难度。另外本发明通过对路由器身份的深度鉴别,避开了攻击者的钓鱼陷阱,提升了用户在无线网络环境中的安全水平,避免了信息泄露,预防了经济损失,提高了安全性能。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明基于无线语境的路由器身份鉴定方法其中一实施例的流程示意图;
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端设备”、“终端设备设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,进行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communications Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
下面根据附图1,通过实施例,详细介绍本发明公开的基于无线语境的路由器身份鉴定方法。
本发明的实施例中,终端设备采集周边无线语境下路由器的无线信息,该无线信息包括但不仅限于SSID、MAC以及RSSI(接受的信号强度指示)等关键信息。
将上述收集到的无线信息以xml(可扩展标识语言)集的方式组织并存储,使网络整体信息结构化,这里以xml集的方式进行组织和存储,具有描述简单,直接的优点,这里也可以选择其他的方式来组织和存储,此处不做具体的限制。
然后,进行模型监测,即首先设定安全策略,然后根据该安全策略以及收集并存储的无线网络信息确定出当前的安全维度参数,再以该安全维度参数以不同的检测模型对网络信息进行检测,并输出检测的结果。需要说明的是,这里检测模型是通过安全维度参数的信息来进行构建的,而此安全维度的信息又取决于网络环境的关键参数以及设定的安全策略。下面通过一个具体的实施例来说明一下检测模型及其进行的安全检测,而此模型所用到的无线网络信息以及数据并不作为本发明的限制。
1.首先,基于采集到的SSID信息,构造安全检测模型1,具体过程为:
将采集到的SSID表示为n个字符串,然后按照字母的顺序(汉字按照音序)进行排序,完成排序后执行字符串拼接操作,形成一个长字符串S1。将预存的默认安全环境参数下的SSID也提取出来,按照此环境下SSID的表示方式,同样形成一个长字符串S0。然后需要对字符串S0和字符串S1的相似度进行比较和衡量。
根据网络环境的表达方式,衡量两个网络环境之间相似性时通常采用字符串相似度的计算方法,常用的计算方法有局部敏感哈希LSH(Locality Sensitive Hashing)、归一化压缩距离NCD(Normalized Compressed Distance)、扰动算法(Rounding Algorithm)和编辑距离(Edit Distance)等方法,这里我们运用的是NCD算法,该算法是一种可用来衡量信息内容相似程度的方法,该方法已经在多个领域应用并取得了良好的效果,如基因检测、蠕虫与恶意软件识别等。另外,NCD算法有标准库支持,易于实现,可以得到较理想的结果。
NCD的定义如下:
其中,m+n中的“+”表示字符串连接操作,Compress(m)表示字符串m被压缩之后的长度,本文中的压缩函数采用zlib(提供数据压缩用的数据库)。很明显,NCD(m,n)表征m和n之间内容重合的程度,而m,n内容重合程度越高,则我们可以说这两者越相似,因此可以用NCD(m,n)衡量m,n之间的相似度。典型地,如果NCD(m,n)=1,则我们认为m,n完全相同。
一般来说,设路由器的默认无线语境为Pi,路由器的当前无线语境为Pj,则两者的行为相似度为:
行为相似度Sim(i,j)刻画了节点(集合)i和节点(集合)j的评价行为的相似程度。
将字符串S0和S1代入此计算方法就可以得出检测结果,检测完成成输出身份检测结果R1,根据检测结果与检测阈值的对比结果判定是否需要进一步检测,检测阈值在安全策略中预先设定。如果低于设定的安全阈值,则需要进一步检测,执行下一步操作,如果高于安全阈值,但安全策略要求,也需要执行下一步操作。
2.下面,基于采集到的SSID和MAC地址信息,构造安全模型2.
构造模型的过程是将采集到的每个热点的SSID和MAC对表示为ssid+mac的字符串,然后按照字母顺序(汉字按照音序)进行排序,完成排序后执行字符串拼接操作,形成一个长字符串S1,将默认安全环境参数中的SSID和MAC提取出来,按照上述方式,同样形成一个长字符串S0。
然后参考步骤1中的NCD算法,对当前无线语境与默认无线语境的相似度进行衡量。
检测完成成输出身份检测结果R2,根据检测结果与检测阈值的对比结果判定是否需要进一步检测,检测阈值在安全策略中预先设定。如果低于设定的安全阈值,则需要进一步检测,执行下一步操作,如果高于安全阈值,但安全策略要求,也需要执行下一步操作。
3.进一步地,基于采集到的SSID、MAC地址信息和RSSI信息,构造安全模型3.
构造模型的过程是将采集到的每个热点的SSID、MAC和RSSI对表示为ssid+mac+rssi的字符串,然后按照字母顺序(汉字按照音序)进行排序,完成排序后执行字符串拼接操作,形成一个长字符串S1,将默认安全环境参数中的SSID、MAC和RSSI提取出来,按照上述方式,同样形成一个长字符串S0。
然后参考步骤1中的NCD算法,对当前无线语境与默认无线语境的相似度进行衡量。
检测完成成输出身份检测结果R3。
以上检测仅为距离说明,并不做具体的限制,比如以上检测仅为根据采集到的SSID、MAC地址信息和RSSI信息做出了三个等级的检测,这里也可以用不同的种类信息,尽心多种组合的信息检测或更高级别的信息检测。
最后,根据设定的安全策略,以及每个步骤所检测出来的结果,综合考虑,对当前路由器的身份状态给出一个最终鉴定结果,以评估该路由器是否具有安全性,能否进行无线连接。
按照上述检测结果,大概来说,根据所采用的安全策略的严格程度,可以分为如下几种情况,简要分析如下。
情况一:当安全策略要求的安全等级比较高时,主要以R3为判定依据,可以参考R2,对于R1结果可以忽略。
情况二,当安全策略要求的适中的安全等级时,主要以R2为判定依据,可以参考R1和R3,进行综合判定后给出最终结论。
情况三:当安全策略要求的安全等级比较低时,主要以R1为判定依据,可以参考R2,R3。
对于专业人士,还可以根据该模型和检测过程设计自己的算法和利用方法,在具体环境中达到最好的效果,从而对路由器身份进行更加全面分析,这里并不做具体的限制。
另外,本发明还公开了一种采用上述方法的终端设备,该设备至少包括以下部分:
收集模块,用以收集周边无线语境下路由器的无线网络信息;
检测模块,用以设定安全策略,根据该安全策略和该无线网络信息确定出安全维度参数,基于所述安全维度参数以不同的检测模型对该网络信息进行检测,并输出检测结果;
评估分析模块,用以根据该安全策略,对该检测结果进行分析,以评估所述路由器的安全性。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。