一種基于動(dòng)態(tài)密碼的WiFi認(rèn)證系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)領(lǐng)域,尤其涉及一種基于動(dòng)態(tài)密碼的WiFi認(rèn)證系統(tǒng)及方法。
【背景技術(shù)】
[0002]W1-Fi是一種可以將個(gè)人電腦、手持設(shè)備(如pad、手機(jī))等終端以無(wú)線(xiàn)方式互相連接的技術(shù),事實(shí)上它是一個(gè)高頻無(wú)線(xiàn)電信號(hào)。無(wú)線(xiàn)保真是一個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)通信技術(shù)的品牌,由W1-Fi聯(lián)盟所持有。目的是改善基于IEEE 802.11標(biāo)準(zhǔn)的無(wú)線(xiàn)網(wǎng)路產(chǎn)品之間的互通性。無(wú)線(xiàn)網(wǎng)絡(luò)在無(wú)線(xiàn)局域網(wǎng)的范疇是指“無(wú)線(xiàn)相容性認(rèn)證”,實(shí)質(zhì)上是一種商業(yè)認(rèn)證,同時(shí)也是一種無(wú)線(xiàn)聯(lián)網(wǎng)技術(shù),以前通過(guò)網(wǎng)線(xiàn)連接電腦,而無(wú)線(xiàn)保真則是通過(guò)無(wú)線(xiàn)電波來(lái)連網(wǎng);常見(jiàn)的就是一個(gè)無(wú)線(xiàn)路由器,那么在這個(gè)無(wú)線(xiàn)路由器的電波覆蓋的有效范圍都可以采用無(wú)線(xiàn)保真連接方式進(jìn)行聯(lián)網(wǎng),如果無(wú)線(xiàn)路由器連接了一條ADSL線(xiàn)路或者別的上網(wǎng)線(xiàn)路,則又被稱(chēng)為熱點(diǎn)。WiFi的常見(jiàn)認(rèn)證方式包括Open System,web認(rèn)證,Mac認(rèn)證,WPA-RADIUS認(rèn)證,WPS-PSK認(rèn)證等方式。Open System不使用任何認(rèn)證和加密技術(shù),任何人都可以連接WiFi熱點(diǎn)使用網(wǎng)絡(luò),主要適用于無(wú)安全要求的場(chǎng)所,如咖啡廳,飯店等公共場(chǎng)所。Web認(rèn)證是通過(guò)從端口控制用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)的權(quán)限的一種認(rèn)證方式。用戶(hù)不必使用認(rèn)證客戶(hù)端軟件,任何支持HTTP服務(wù)的瀏覽器都可以連接網(wǎng)絡(luò)。Web認(rèn)證的典型組網(wǎng)方式一般由三個(gè)基本部分組成:客戶(hù)端瀏覽器、WiFi接入點(diǎn)和認(rèn)證服務(wù)器。其流程為:用戶(hù)瀏覽器發(fā)起HTTP請(qǐng)求,WiFi接入點(diǎn)將其重定向到認(rèn)證服務(wù)器,認(rèn)證服務(wù)器向用戶(hù)發(fā)送Web認(rèn)證頁(yè)面,用戶(hù)將認(rèn)證信息提交到認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接收到信息后按CHAP握手認(rèn)證協(xié)議向路由器請(qǐng)求Challenge,路由器返回Challenge ID和Challenge,瀏覽器顯示認(rèn)證成功。MAC認(rèn)證是基于MAC的訪(fǎng)問(wèn)控制列表進(jìn)行認(rèn)證,該方式不能用于加密。將允許接入設(shè)備的無(wú)線(xiàn)網(wǎng)卡MAC地址輸入訪(fǎng)問(wèn)控制列表,不在此清單的設(shè)備無(wú)法連入網(wǎng)絡(luò)。該方法實(shí)用性較好,但操作復(fù)雜。WPA-Enterprise認(rèn)證需要一個(gè)Radius認(rèn)證服務(wù)器,主要適用于大型企業(yè)。當(dāng)一個(gè)設(shè)備試圖接入網(wǎng)絡(luò)時(shí),首先根據(jù)MAC地址查看Radius認(rèn)證服務(wù)器上保存的設(shè)備列表,如果發(fā)現(xiàn)該移動(dòng)終端在這個(gè)清單中,則允許該設(shè)備訪(fǎng)問(wèn)網(wǎng)絡(luò),并對(duì)數(shù)據(jù)進(jìn)行WPA加密。移動(dòng)終端,WiFi接入點(diǎn)和RADIUS服務(wù)器的PMK通過(guò)多次EAPOL消息來(lái)獲得,獲取的方法與具體的EAP method有關(guān),這是迄今為止保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)的最安全的方法,但耗費(fèi)時(shí)間較長(zhǎng),且中小型企業(yè)和家庭不可能為此特意配置一臺(tái)服務(wù)器。WPA-PSK模式更加適合中小型企業(yè)和家庭用戶(hù),不需要專(zhuān)門(mén)的RADIUS認(rèn)證服務(wù)器,僅要求在每個(gè)WiFi接入點(diǎn)預(yù)先輸入一個(gè)密鑰即可。目前絕大多數(shù)家庭用戶(hù)采用這種方法,WiFi聯(lián)盟官方首頁(yè)也推介使用WPA2PSK+AES的加密方式。但是由于弱密碼現(xiàn)象,絕大多數(shù)非法盜接網(wǎng)絡(luò)的問(wèn)題也是發(fā)生在家庭用戶(hù)中。非法用戶(hù)一旦破解了 WiFi密碼,就可以使用網(wǎng)絡(luò),甚至可能威脅WiFi接入點(diǎn)的數(shù)據(jù)安全。目前國(guó)內(nèi)I億臺(tái)路由器中,沒(méi)有WiFi密碼的數(shù)量依然有80萬(wàn)臺(tái),采用不安全的WEP加密的數(shù)量有330萬(wàn)臺(tái)。即使使用了WPA/WPA2-PSK加密方式,WiFi密碼本身的強(qiáng)度不夠,也很容易被破解和入侵。由《2014年中國(guó)家用路由器安全報(bào)告》統(tǒng)計(jì)數(shù)據(jù)可知,約有9.5%的路由器設(shè)備會(huì)被人非法盜接網(wǎng)絡(luò)?!癢iFi萬(wàn)能鑰匙”是一款很有代表性的蹭網(wǎng)軟件,截至2014年9月底,WiFi萬(wàn)能鑰匙用戶(hù)量超過(guò)6億,月活躍用戶(hù)2.3億,“WiFi萬(wàn)能鑰匙”破解WiFi網(wǎng)絡(luò)的原理如下:1,內(nèi)部人員泄露密碼,將WiFi接入點(diǎn)密碼上傳到服務(wù)器供其他會(huì)員使用;2,弱密碼直接用軟件自帶的字典破解,弱密碼多為簡(jiǎn)單的數(shù)字組合或與帳號(hào)相同的組合,例如“ 12345678 ”、“ 11111111”等。針對(duì)上述軟件破解WiFi密碼的防范措施有MAC地址綁定;將弱密碼改為數(shù)字+區(qū)分大小寫(xiě)字母的強(qiáng)密碼組合;縮短組密鑰更新周期;定時(shí)手動(dòng)修改密碼等。家庭用戶(hù)大多不會(huì)配置路由器,也不會(huì)綁定Mac地址。很多時(shí)候用戶(hù)為了便于記住密碼,明明知道弱密碼是WiFi路由的安全隱患也會(huì)設(shè)置成簡(jiǎn)單的弱密碼,且單憑設(shè)置復(fù)雜密碼也不能完全解決該隱患,因?yàn)椴徽撁艽a設(shè)置的再?gòu)?fù)雜,只要裝有“WiFi萬(wàn)能鑰匙”的移動(dòng)終端(得到了 WiFi熱點(diǎn)主人的臨時(shí)授權(quán))接入該WiFi熱點(diǎn),就會(huì)把密碼傳播給其他裝有“WiFi萬(wàn)能鑰匙”的用戶(hù)(未得到WiFi熱點(diǎn)主人授權(quán))??s短組密鑰更新周期可以在一定程度上防止暴力破解,但周期如果太短,路由器的負(fù)載會(huì)增大,而且這種方法的實(shí)際效果很有限。手動(dòng)修改WiFi密碼在一定程度上可以防范破解,但修改太頻繁會(huì)導(dǎo)致用戶(hù)操作不便,且容易忘記密碼。
[0003]現(xiàn)有的WiFi弱密碼、強(qiáng)密碼遺忘且不便于輸入,內(nèi)部人員容易泄露密碼。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種基于動(dòng)態(tài)密碼的WiFi認(rèn)證系統(tǒng)及方法,旨在解決現(xiàn)有的WiFi弱密碼、強(qiáng)密碼遺忘且不便于輸入,內(nèi)部人員容易泄露密碼的問(wèn)題。
[0005]本發(fā)明是這樣實(shí)現(xiàn)的,一種基于動(dòng)態(tài)密碼的WiFi認(rèn)證方法,所述基于動(dòng)態(tài)密碼的WiFi認(rèn)證方法包括以下步驟:
[0006]移動(dòng)終端在服務(wù)器上注冊(cè);
[0007]無(wú)線(xiàn)接入點(diǎn)在認(rèn)證服務(wù)器上注冊(cè)并提交相關(guān)的信息;
[0008]無(wú)線(xiàn)接入點(diǎn)對(duì)移動(dòng)終端是否有接入網(wǎng)絡(luò)的權(quán)限進(jìn)行管理;
[0009]服務(wù)器會(huì)將WiFi密碼以加密的方式發(fā)送給合法用戶(hù)的移動(dòng)終端;
[0010]移動(dòng)終端通過(guò)WPA PSK認(rèn)證并接入網(wǎng)絡(luò);
[0011]無(wú)線(xiàn)接入點(diǎn)在24小時(shí)候后將隨機(jī)生成的新的強(qiáng)密碼提交給認(rèn)證服務(wù)器;
[0012]服務(wù)器將新的WiFi密碼以加密的方式發(fā)送給系統(tǒng)的合法用戶(hù);
[0013]合法用戶(hù)的移動(dòng)終端通過(guò)WPA PSK認(rèn)證并接入網(wǎng)絡(luò)。
[0014]進(jìn)一步,所述提交相關(guān)的信息包括Mac地址,IP地址,初始密碼,地理位置信息。
[0015]進(jìn)一步,所述移動(dòng)終端通過(guò)WPA、WPA2或WEP認(rèn)證接入網(wǎng)絡(luò)。
[0016]進(jìn)一步,所述強(qiáng)密碼由隨機(jī)序列生成器生成。
[0017]進(jìn)一步,所述合法用戶(hù)的移動(dòng)終端通過(guò)WPA、WPA2或WEP認(rèn)證接入網(wǎng)絡(luò)。
[0018]本發(fā)明的另一目的在于提供一種基于動(dòng)態(tài)密碼的WiFi認(rèn)證系統(tǒng),所述基于動(dòng)態(tài)密碼的WiFi認(rèn)證系統(tǒng)包括:
[0019]注冊(cè)模塊,用于實(shí)現(xiàn)移動(dòng)終端在服務(wù)器上的注冊(cè);
[0020]注冊(cè)信息提交模塊,用于實(shí)現(xiàn)無(wú)線(xiàn)接入點(diǎn)在認(rèn)證服務(wù)器上注冊(cè)并提交相關(guān)的信息;
[0021]權(quán)限管理模塊,用于實(shí)現(xiàn)無(wú)線(xiàn)接入點(diǎn)對(duì)移動(dòng)終端是否有接入網(wǎng)絡(luò)的權(quán)限進(jìn)行管理;
[0022]密碼發(fā)送模塊,用于服務(wù)器將WiFi密碼以加密的方式發(fā)送給合法用戶(hù)的移動(dòng)終端;
[0023]認(rèn)證模塊,用于實(shí)現(xiàn)移動(dòng)終端通過(guò)WPA PSK認(rèn)證并接入網(wǎng)絡(luò);
[0024]強(qiáng)密碼提交模塊,用于無(wú)線(xiàn)接入點(diǎn)在24小時(shí)候后將隨機(jī)生成的新的強(qiáng)密碼提交給認(rèn)證服務(wù)器;
[0025]新密碼發(fā)送模塊,用于服務(wù)器將新的WiFi密碼以加密的方式發(fā)送給系統(tǒng)的合法用戶(hù);
[0026]用戶(hù)認(rèn)證模塊,用于合法用戶(hù)的移動(dòng)終端通過(guò)WPA PSK認(rèn)證并接入網(wǎng)絡(luò)。
[0027]本發(fā)明提供的WiFi認(rèn)證系統(tǒng)及方法,針對(duì)家庭WiFi應(yīng)用最為廣泛的WPA-PSK認(rèn)證模式進(jìn)行了改進(jìn),兼顧了用戶(hù)的易操作性和安全性,解決了弱密碼問(wèn)題和內(nèi)部人員泄露密碼的問(wèn)題。本發(fā)明推介使用當(dāng)前安全性最好的WPA2-PSK+AES的加密方式,但對(duì)WEP,WPA,WPA2也提供支持,無(wú)需購(gòu)買(mǎi)新的硬件設(shè)備;動(dòng)態(tài)密碼采用數(shù)字,大小寫(xiě)字母和特殊字符的組合,安全性極高;密碼自動(dòng)更新并認(rèn)證,用戶(hù)無(wú)需記憶或操作復(fù)雜的密碼,最大限度地減少了人為因素,有效地防止了內(nèi)部人員泄露密碼。WiFi接入點(diǎn)會(huì)定時(shí)產(chǎn)生偽隨機(jī)WiFi密碼(該密碼為含有大小寫(xiě)字母,特殊符號(hào)和數(shù)字組合的強(qiáng)密碼),并即時(shí)將該密碼傳給認(rèn)證服務(wù)器。服務(wù)器會(huì)將當(dāng)前WiFi密碼以加密的方式發(fā)送給所有合法用戶(hù)。合法用戶(hù)的移動(dòng)終端app根據(jù)新獲得的wifi密碼重新認(rèn)證并自動(dòng)接入網(wǎng)絡(luò)。新用戶(hù)可以通過(guò)移動(dòng)終端app注冊(cè)成為合法用戶(hù);定時(shí)產(chǎn)生的隨機(jī)密碼的時(shí)間間隔是可控的,可以根據(jù)實(shí)際情況設(shè)定;密碼長(zhǎng)度與破解的時(shí)間有一定關(guān)系,密碼長(zhǎng)度越長(zhǎng),復(fù)雜度越高,破解時(shí)間越長(zhǎng);如果在密碼破解需要時(shí)間之內(nèi)更換新密碼,理論上非法用戶(hù)將無(wú)法破解密碼;動(dòng)態(tài)密碼采用大小寫(xiě)字母,數(shù)字和特殊符號(hào)組合,一般情況下非法用戶(hù)在幾個(gè)小時(shí)之內(nèi)無(wú)法破解就會(huì)放棄。即使在一個(gè)密碼的生命周期之內(nèi),已經(jīng)被非法用戶(hù)破解,但在下一個(gè)密碼更新之后,非法用戶(hù)因無(wú)法獲得新的密碼將被剔除,達(dá)到保護(hù)網(wǎng)絡(luò)的目的。
【附圖說(shuō)明】
[0028]圖1是本發(fā)明實(shí)施例提供的基于動(dòng)態(tài)密碼的WiFi認(rèn)證方法流程圖。
[0029]圖2是本發(fā)明實(shí)施例提供的通過(guò)動(dòng)態(tài)密碼剔除非法移動(dòng)終端用戶(hù)方法流程圖;
[0030]圖中:(a)合法用戶(hù)采用動(dòng)態(tài)認(rèn)證方式接入WiFi網(wǎng)絡(luò)的流程,特殊情況下非法用戶(hù)通過(guò)暴力破解等方式接入WiFi網(wǎng)絡(luò);(b)WiFi接入點(diǎn)更新動(dòng)態(tài)密碼后合法用戶(hù)不受影響而非法用戶(hù)被從網(wǎng)絡(luò)中刪除。
【具體實(shí)施方式】
[0031]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合實(shí)施例,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
[0032]下面結(jié)合附圖對(duì)本發(fā)明的應(yīng)用原理作詳細(xì)的描述。
[0033]如圖1所示,本發(fā)明實(shí)施例的基于動(dòng)態(tài)密碼的WiFi認(rèn)證方法包括以下步驟:
[0034]第一步,移動(dòng)終端在服務(wù)器上注冊(cè);
[0035]第二步,無(wú)線(xiàn)接入點(diǎn)(AP)需在認(rèn)證服務(wù)器上注冊(cè)并提交相關(guān)的信息(如Mac地址,IP地址,初始密碼,地理位置信息等);
[0036]第三步,無(wú)線(xiàn)接入點(diǎn)(