CN104994118A - 一种基于动态密码的WiFi认证系统及方法 - Google Patents

Abstract

本发明公开了一种基于动态密码的WiFi认证系统及方法，设置有移动终端，移动终端在服务器上注册；无线接入点在认证服务器上注册并提交相关的信息；无线接入点对移动终端是否有接入网络的权限进行管理；服务器会将WiFi密码以加密的方式发送给合法用户的移动终端；移动终端通过WPA PSK认证并接入网络；无线接入点在24小时候后将随机生成新的强密码提交给认证服务器；服务器将新的WiFi密码以加密的方式发送给系统的合法用户；合法用户的移动终端通过WPA PSK认证并接入网络。本发明解决了弱密码问题和内部人员泄露密码的问题；采用安全性极高的数字动态密码；密码自动更新并认证，最大限度地减少了人为因素。

Description

一种基于动态密码的WiFi认证系统及方法

技术领域

本发明属于无线网络技术领域，尤其涉及一种基于动态密码的WiFi认证系统及方法。

背景技术

Wi-Fi是一种可以将个人电脑、手持设备(如pad、手机)等终端以无线方式互相连接的技术，事实上它是一个高频无线电信号。无线保真是一个无线网络通信技术的品牌，由Wi-Fi联盟所持有。目的是改善基于IEEE 802.11标准的无线网路产品之间的互通性。无线网络在无线局域网的范畴是指“无线相容性认证”，实质上是一种商业认证，同时也是一种无线联网技术，以前通过网线连接电脑，而无线保真则是通过无线电波来连网；常见的就是一个无线路由器，那么在这个无线路由器的电波覆盖的有效范围都可以采用无线保真连接方式进行联网，如果无线路由器连接了一条ADSL线路或者别的上网线路，则又被称为热点。WiFi的常见认证方式包括Open System，web认证，Mac认证，WPA-RADIUS认证，WPS-PSK认证等方式。OpenSystem不使用任何认证和加密技术，任何人都可以连接WiFi热点使用网络，主要适用于无安全要求的场所，如咖啡厅，饭店等公共场所。Web认证是通过从端口控制用户访问网络的权限的一种认证方式。用户不必使用认证客户端软件，任何支持HTTP服务的浏览器都可以连接网络。Web认证的典型组网方式一般由三个基本部分组成:客户端浏览器、WiFi接入点和认证服务器。其流程为：用户浏览器发起HTTP请求，WiFi接入点将其重定向到认证服务器，认证服务器向用户发送Web认证页面，用户将认证信息提交到认证服务器，认证服务器接收到信息后按CHAP握手认证协议向路由器请求Challenge，路由器返回Challenge ID和Challenge，浏览器显示认证成功。MAC认证是基于MAC的访问控制列表进行认证，该方式不能用于加密。将允许接入设备的无线网卡MAC地址输入访问控制列表，不在此清单的设备无法连入网络。该方法实用性较好，但操作复杂。WPA-Enterprise认证需要一个Radius认证服务器，主要适用于大型企业。当一个设备试图接入网络时，首先根据MAC地址查看Radius认证服务器上保存的设备列表，如果发现该移动终端在这个清单中，则允许该设备访问网络，并对数据进行WPA加密。移动终端，WiFi接入点和RADIUS服务器的PMK通过多次EAPOL消息来获得，获取的方法与具体的EAP method有关，这是迄今为止保护数据和网络的最安全的方法，但耗费时间较长，且中小型企业和家庭不可能为此特意配置一台服务器。WPA-PSK模式更加适合中小型企业和家庭用户，不需要专门的RADIUS认证服务器，仅要求在每个WiFi接入点预先输入一个密钥即可。目前绝大多数家庭用户采用这种方法，WiFi联盟官方首页也推介使用WPA2PSK+AES的加密方式。但是由于弱密码现象，绝大多数非法盗接网络的问题也是发生在家庭用户中。非法用户一旦破解了WiFi密码，就可以使用网络，甚至可能威胁WiFi接入点的数据安全。目前国内1亿台路由器中，没有WiFi密码的数量依然有80万台，采用不安全的WEP加密的数量有330万台。即使使用了WPA/WPA2-PSK加密方式，WiFi密码本身的强度不够，也很容易被破解和入侵。由《2014年中国家用路由器安全报告》统计数据可知,约有9.5％的路由器设备会被人非法盗接网络。“WiFi万能钥匙”是一款很有代表性的蹭网软件，截至2014年9月底，WiFi万能钥匙用户量超过6亿，月活跃用户2.3亿，“WiFi万能钥匙”破解WiFi网络的原理如下：1，内部人员泄露密码，将WiFi接入点密码上传到服务器供其他会员使用；2，弱密码直接用软件自带的字典破解，弱密码多为简单的数字组合或与帐号相同的组合，例如“12345678”、“11111111”等。针对上述软件破解WiFi密码的防范措施有MAC地址绑定；将弱密码改为数字+区分大小写字母的强密码组合；缩短组密钥更新周期；定时手动修改密码等。家庭用户大多不会配置路由器，也不会绑定Mac地址。很多时候用户为了便于记住密码，明明知道弱密码是WiFi路由的安全隐患也会设置成简单的弱密码，且单凭设置复杂密码也不能完全解决该隐患，因为不论密码设置的再复杂，只要装有“WiFi万能钥匙”的移动终端(得到了WiFi热点主人的临时授权)接入该WiFi热点，就会把密码传播给其他装有“WiFi万能钥匙”的用户(未得到WiFi热点主人授权)。缩短组密钥更新周期可以在一定程度上防止暴力破解，但周期如果太短，路由器的负载会增大，而且这种方法的实际效果很有限。手动修改WiFi密码在一定程度上可以防范破解，但修改太频繁会导致用户操作不便，且容易忘记密码。

现有的WiFi弱密码、强密码遗忘且不便于输入，内部人员容易泄露密码。

发明内容

本发明的目的在于提供一种基于动态密码的WiFi认证系统及方法，旨在解决现有的WiFi弱密码、强密码遗忘且不便于输入，内部人员容易泄露密码的问题。

本发明是这样实现的，一种基于动态密码的WiFi认证方法，所述基于动态密码的WiFi认证方法包括以下步骤：

移动终端在服务器上注册；

无线接入点在认证服务器上注册并提交相关的信息；

无线接入点对移动终端是否有接入网络的权限进行管理；

服务器会将WiFi密码以加密的方式发送给合法用户的移动终端；

移动终端通过WPA PSK认证并接入网络；

无线接入点在24小时候后将随机生成的新的强密码提交给认证服务器；

服务器将新的WiFi密码以加密的方式发送给系统的合法用户；

合法用户的移动终端通过WPA PSK认证并接入网络。

进一步，所述提交相关的信息包括Mac地址，IP地址，初始密码，地理位置信息。

进一步，所述移动终端通过WPA、WPA2或WEP认证接入网络。

进一步，所述强密码由随机序列生成器生成。

进一步，所述合法用户的移动终端通过WPA、WPA2或WEP认证接入网络。

本发明的另一目的在于提供一种基于动态密码的WiFi认证系统，所述基于动态密码的WiFi认证系统包括：

注册模块，用于实现移动终端在服务器上的注册；

注册信息提交模块，用于实现无线接入点在认证服务器上注册并提交相关的信息；

权限管理模块，用于实现无线接入点对移动终端是否有接入网络的权限进行管理；

密码发送模块，用于服务器将WiFi密码以加密的方式发送给合法用户的移动终端；

认证模块，用于实现移动终端通过WPA PSK认证并接入网络；

强密码提交模块，用于无线接入点在24小时候后将随机生成的新的强密码提交给认证服务器；

新密码发送模块，用于服务器将新的WiFi密码以加密的方式发送给系统的合法用户；

用户认证模块，用于合法用户的移动终端通过WPA PSK认证并接入网络。

本发明提供的WiFi认证系统及方法，针对家庭WiFi应用最为广泛的WPA-PSK认证模式进行了改进，兼顾了用户的易操作性和安全性，解决了弱密码问题和内部人员泄露密码的问题。本发明推介使用当前安全性最好的WPA2-PSK+AES的加密方式，但对WEP，WPA，WPA2也提供支持，无需购买新的硬件设备；动态密码采用数字，大小写字母和特殊字符的组合，安全性极高；密码自动更新并认证，用户无需记忆或操作复杂的密码，最大限度地减少了人为因素，有效地防止了内部人员泄露密码。WiFi接入点会定时产生伪随机WiFi密码(该密码为含有大小写字母，特殊符号和数字组合的强密码)，并即时将该密码传给认证服务器。服务器会将当前WiFi密码以加密的方式发送给所有合法用户。合法用户的移动终端app根据新获得的wifi密码重新认证并自动接入网络。新用户可以通过移动终端app注册成为合法用户；定时产生的随机密码的时间间隔是可控的，可以根据实际情况设定；密码长度与破解的时间有一定关系，密码长度越长，复杂度越高，破解时间越长；如果在密码破解需要时间之内更换新密码，理论上非法用户将无法破解密码；动态密码采用大小写字母，数字和特殊符号组合，一般情况下非法用户在几个小时之内无法破解就会放弃。即使在一个密码的生命周期之内，已经被非法用户破解，但在下一个密码更新之后，非法用户因无法获得新的密码将被剔除，达到保护网络的目的。

附图说明

图1是本发明实施例提供的基于动态密码的WiFi认证方法流程图。

图2是本发明实施例提供的通过动态密码剔除非法移动终端用户方法流程图；

图中：(a)合法用户采用动态认证方式接入WiFi网络的流程，特殊情况下非法用户通过暴力破解等方式接入WiFi网络；(b)WiFi接入点更新动态密码后合法用户不受影响而非法用户被从网络中删除。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例的基于动态密码的WiFi认证方法包括以下步骤：

第一步，移动终端在服务器上注册；

第二步，无线接入点(AP)需在认证服务器上注册并提交相关的信息(如Mac地址，IP地址，初始密码，地理位置信息等)；

第三步，无线接入点(AP)对移动终端是否有接入网络的权限进行管理；

第四步，服务器会将WiFi密码以加密的方式发送给合法用户的移动终端；(该过程无需手动输入密码，因此无需记忆复杂的密码，但又能使用复杂的密码来防范他人破解)

第五步，移动终端通过WPA PSK认证接入网络；(同样适用于WPA,WPA2，WEP等多种加密方式)

第六步，无线接入点在24小时候后将随机生成的新的强密码提交给认证服务器；(强密码由随机序列生成器生成)

第七步，服务器将新的WiFi密码以加密的方式发送给系统的合法用户；(只发送新密码给系统的合法用户，曾临时接入AP的临时用户因有可能将密码泄露)

第八步，合法用户的移动终端通过WPA PSK认证接入网络。(同样适用于WPA,WPA2，WEP等多种加密方式)之前曾获得WiFi密码的非法用户因密码更新无法通过认证接入网络(之前获得的过程可以是通过猜测，暴力破解，WiFi万能钥匙等多种方法)

当WiFi接入点采用WPA-PSK加密方式，密码本身的强度不够时很容易被破解，如果密码设置复杂度太高，又不便于记忆和手动输入。动态密码是根据特定的算法生成一个不可预测的随机序列。其主要思想是在认证中加入不确定因素，用户每次登录认证过程中提交的密码都不同，提高安全性的同时降低了遗忘密码的几率。而且采用动态密码认证时密钥生成和管理完全交给系统自动完成，最大限度地减少了人为因素，有效地防止了内部人员泄露密码。如图2所示，WiFi接入点会定时产生伪随机WiFi密码(该密码为含有大小写字母，特殊符号和数字组合的强密码)，并即时将该密码传给认证服务器。服务器会将当前WiFi密码以加密的方式发送给所有合法用户。合法用户的移动终端app根据新获得的WiFi密码重新认证并自动接入网络。新用户可以通过移动终端app注册成为合法用户。定时产生的随机密码的时间间隔是可控的，可以根据实际情况设定。密码长度与破解的时间有一定关系，密码长度越长，复杂度越高，破解时间越长。如果在密码破解需要时间之内更换新密码，理论上非法用户将无法破解密码。动态密码采用大小写字母，数字和特殊符号组合，一般情况下非法用户在几个小时之内无法破解就会放弃。即使在一个密码的生命周期之内，已经被非法用户破解，但在下一个密码更新之后，非法用户因无法获得新的密码将被剔除，达到保护网络的目的。

通过以下的实验对本发明的应用效果作进一步的说明：

1系统设计，本发明由移动终端，WiFi接入点和认证服务器三部分组成。移动终端客户端使用Android平台开发，开发环境为eclipse，服务器端采用Python搭建，数据库采用MySQL。Android在无线网络管理和控制方面直接使用了开源的wpa_supplicant。所有Framework层中和WiFi相关的操作都由wpa_supplicant实现。wpa_supplicant是一个station对无线网络进行管理和控制的开源软件项目^[7]，完全支持WPA和WPA2，包括PMKSA缓存，预认证等功能。WiFi接入点注册时将Mac地址、网络名、WiFi密码、IP地址、地理位置等信息上传给服务器，服务器将以上信息发送给移动终端，移动终端扫描找到WiFi接入点并完成认证。

2系统测试，本实验WiFi接入点采用TL-LINK TL WDR75002.0无线路由器，支持64/128/152位WEP加密，WPA-PSK/WPA2-PSK、WPA/WPA2安全机制，由路由器卫士来更新WiFi密码。移动终端选用两台搭载Android4.1系统，支持802.11b/g/n无线网络的红米1s手机，一台是合法用户,另外一台是非法用户(假设最坏情况下非法用户通过暴力破解或其他方法获得了WiFi密码)。服务器采用thinkpad E440运行tomcat服务器软件。整个实验流程数据包通过一台装有wireshark数据分析软件的thinkpad X250抓包验证。

3实验流程：启动服务器，启动无线路由器，合法移动终端通过“WiFi动态密码更新器”app获取WiFi密码，非法移动终端通过暴力破解获取WiFi密码。WiFi接入点更新WiFi密码并上传给服务器，服务器将新密码发送给合法移动终端，非法移动终端被剔除。

14点21分时刻之前IP地址为192.168.191.2和192.168.191.3的两台移动终端通过AP访问互联网资源。

14点23分时刻两台移动终端均因WiFi接入点更新密码掉线。

14点24分40秒时刻IP地址为192.168.191.2的移动终端通过ARP(地址解析协议)获取到WiFi接入点的物理地址，通过DHCP(动态主机配置协议)为移动终端分配IP地址。IP地址为192.168.191.3的非法移动终端被剔除。

14点26分时刻之后IP地址为192.168.191.2的移动终端可以正常访问互联网资源。由wireshark数据包分析软件发现IP地址为192.168.191.2的合法移动终端在22点56分50秒时刻因WiFi接入点更新密码导致移动终端掉线，在22点59分40秒接收到从服务器发来的新密码重新通过认证。而IP地址为192.168.191.2的非法移动终端掉线后无法再接入网络。

合法移动终端的密码更新日志，显示本机已同步更新了密码，右上角WiFi图标显示WiFi功能已开启。非法移动终端的密码更新日志，显示在14点21分时刻因WiFi接入点更新密码而无法接入网络，右上角WiFi图标显示WiFi功能已失效。测试效果表明：该系统操作简单，无需进行复杂的配置，无需记忆复杂的密码，可以有效防范蹭网者，安全性极高。

本发明提出一种新的定时动态密码的WiFi认证方式，针对家庭WiFi应用最为广泛的WPA-PSK认证模式进行了改进，兼顾了用户的易操作性和安全性，解决了弱密码问题和内部人员泄露密码的问题。本发明推介使用当前安全性最好的WPA2-PSK+AES的加密方式，对WEP，WPA，WPA2均提供支持，无需购买新的硬件设备；动态密码采用数字，大小写字母和特殊字符的组合，安全性极高；密码自动更新并认证，用户无需记忆或操作复杂的密码，最大限度地减少了人为因素，有效地防止了内部人员泄露密码。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于动态密码的WiFi认证方法，其特征在于，所述WiFi认证方法包括以下步骤：

移动终端在服务器上注册；

无线接入点在认证服务器上注册并提交相关的信息；

无线接入点对移动终端是否有接入网络的权限进行管理；

服务器会将WiFi密码以加密的方式发送给合法用户的移动终端；

移动终端通过WPA PSK认证并接入网络；

无线接入点将随机生成的新的强密码提交给认证服务器；WiFi接入点会定时产生伪随机WiFi密码，并即时将该密码传给认证服务器，服务器将新的WiFi密码以加密的方式发送给系统的合法用户；

合法用户的移动终端通过WPA PSK认证并接入网络。

2.如权利要求1所述的基于动态密码的WiFi认证方法，其特征在于，所述提交相关的信息包括Mac地址，IP地址，初始密码，地理位置信息。

3.如权利要求1所述的基于动态密码的WiFi认证方法，其特征在于，所述移动终端通过WPA、WPA2或WEP认证接入网络。

4.如权利要求1所述的基于动态密码的WiFi认证方法，其特征在于，所述强密码由随机序列生成器生成。

5.如权利要求1所述的基于动态密码的WiFi认证方法，其特征在于，所述合法用户的移动终端通过WPA、WPA2或WEP认证接入网络。

6.如权利要求1所述的基于动态密码的WiFi认证方法，其特征 在于，WiFi密码为动态密码，采用大小写字母，数字和特殊符号组合 。

7.一种基于动态密码的WiFi认证系统，其特征在于，所述基于动态密码的WiFi认证系统包括：

注册模块，用于实现移动终端在服务器上的注册；

注册信息提交模块，用于实现无线接入点在认证服务器上注册并提交相关的信息；

权限管理模块，用于实现无线接入点对移动终端是否有接入网络的权限进行管理；

密码发送模块，用于服务器将WiFi密码以加密的方式发送给合法用户的移动终端；

认证模块，用于实现移动终端通过WPA PSK认证并接入网络；

强密码提交模块，用于无线接入点在24小时候后将随机生成的新的强密码提交给认证服务器；

新密码发送模块，用于服务器将新的WiFi密码以加密的方式发送给系统的合法用户；

用户认证模块，用于合法用户的移动终端通过WPA PSK认证并接入网络。