技術領域

?本發明涉及WPS（Wi-Fi?Protected?Setup，Wi-Fi保護裝置）技術領域，尤其涉及一種PIN碼接入方式的安全保護方法。

背景技術

隨著無線寬帶上網業務的迅速發展，無線家庭網關等無線接入設備發展迅猛。為了適應業務需求，簡化用戶配置，由Wi-Fi聯盟組織制定的WPS標準，主要致力于簡化無線局域網的安裝及安全性能配置工作。WPS能幫助用戶自動配置網絡名SSID（Service?Set?Identifier，服務集標識）、配置WPA（Wi-Fi?Protected?Access，Wi-Fi網絡安全存取）數據編碼及認證功能，用戶只需輸入個人信息碼PIN（Personal?Identification?Number，個人標識號），大大簡化了無線安全設置的操作。

WPS有兩種操作方式：按鍵方式和PIN碼接入方式。

按鍵方式：用戶同時在AP和station上按下wps鍵，兩者之間就會自動協商AP使用的密碼，協商成功后station自動連接到AP。

PIN碼方式：在station上輸入AP的pin碼，或在ap上輸入station的pin碼，兩者之間也會自動協商AP使用的密碼，協商成功后station自動連接到AP。

在AP使用靜態PIN碼時，station輸入AP的PIN碼連接。PIN碼有8位，如果暴力破解，理論上需要嘗試最多100000000次。但是后來研究發現并非如此，PIN碼實際上分為三部分：前4位、中間3位和最后1位。AP收到后首先檢測前4位，如果錯誤AP會直接發送錯誤信息，而不會看后4位。這樣就為攻擊者提供了一個思路：可以先嘗試前4位，這樣最多只有10000次就可以嘗試成功。在前4位破解成功后，同樣的原理，中間3位最多1000次就可以破解成功，最后1位是前7位的校驗值，可以直接從前7位算出，不增加嘗試次數。因此最多11000次就可以破解成功，大大小于設計時的預想。

為了彌補此缺陷，Wi-Fi聯盟在《Wi-Fi?Simple?Configuration?Technical?Specification?Version?2.0.2》中作了規定，當AP連續10次收到錯誤的PIN碼，將進入鎖狀態，在此狀態下任何Registrar都不允許接入，但是仍然可以接入Enrollee；也有些廠商實現為進入鎖狀態后不允許任何Registrar和Enrollee接入。但是這樣也會造成合法的用戶不能正常登錄到AP，給合法用戶帶來諸多不便。

發明內容

本發明的目的在于提供一種PIN碼接入方式的安全保護方法，該方法提升了WPS的安全性。

本發明的目的是通過以下技術方案實現的。

一種PIN碼接入方式的安全保護方法，包括步驟：

建立黑名單，初始化為空；

在檢測到有客戶端使用PIN碼接入時，判斷該客戶端是否在黑名單中，若在，則拒絕接入；若不在，則執行下一步；

判斷所述客戶端提供的PIN碼是否合法，若合法，則驗證成功，接入該客戶端；若不合法，則拒絕本次接入并執行下一步；

記錄所述客戶端的信息，判斷該客戶端是否符合預設的列入黑名單條件，若符合，則將該客戶端添加至所述黑名單；若不符合，則不作處理，等待下一次連接。

優選的，上述方法還包括：在將客戶端添加至黑名單的同時，對當前客戶端設定鎖定時間LockTime；定時掃描所述黑名單，刪除其中鎖定時間超時的客戶端。

優選的，上述方法還包括：所述列入黑名單的條件具體為：在時間段Tmax內當前客戶端連續PIN碼接入失敗次數N達到預設閾值Nmax。

優選的，上述所述記錄的客戶端的信息包括：MAC地址、首次PIN碼接入失敗時間、連續PIN碼接入失敗總次數。

優選的，上述方法中，所述Tmax預設為1分鐘，所述閾值Nmax預設為3次。

優選的，上述方法中，所述鎖定時間LockTime的預設值為300秒。

優選的，上述方法中，對于被添加至黑名單的次數大于1的客戶端，在該客戶端再次被添加至黑名單時延長其鎖定時間LockTime（可根據情況來適當延長，比如加倍延長）。

與現有技術相比，本發明實施例具有以下有益效果。

本發明引入了黑名單機制，在客戶端PIN碼接入失敗達到預設條件時將該客戶端添加至黑名單，實現了針對某個客戶端進行鎖定，在保證正常客戶端可以正常接入的同時，所有的惡意攻擊者都能被鎖定，進一步提升了WPS的安全性。