CN108260188A - 一种Wi-Fi连接控制方法及系统 - Google Patents

Abstract

本发明提供了一种Wi‑Fi连接控制方法及系统，通过用户终端同步加入Wi‑Fi AP组建Wi‑Fi Aware网络中，且监听所述Wi‑Fi AP周期性在Wi‑Fi Aware网络中广播的服务发现帧，然后，用户终端扫描附近Wi‑Fi AP周期性广播的信标帧，判断信标帧的参数信息是否存在于服务发现帧的参数信息组中；若存在，则根据参数信息组中含有的连接参数信息接入所述Wi‑Fi AP的热点。本发明所述的方法及系统，可以实现智能手机与商店路由器的信令交互，使得智能手机自动安全地连接商店路由器，并可以检测到商店里可能存在的钓鱼路由器，实现较好的防范用户接入钓鱼路由器，避免了用户产生不必要的损失。

Description

一种Wi-Fi连接控制方法及系统

技术领域

本发明涉及无线通讯控制技术领域，尤其涉及的是一种基于Wi-Fi Aware技术的Wi-Fi连接控制方法及系统。

背景技术

现如今，顾客去商场、饭馆、游乐场等公共场所消费时，大多数商家会向店内顾客提供免费的Wi-Fi网络服务，方便顾客上网。与此同时，层出不穷的Wi-Fi安全性问题也越来越引起人们的重视，多家媒体曾报道过顾客连接钓鱼路由器（具有和商家路由器一样名称密码的假路由器），从而造成顾客智能手机里的银行账户密码被盗走的新闻，对顾客的财产造成了损失。现有的一些技术，从商家在店里醒目位置张贴Wi-Fi账号密码，到顾客扫描商家的二维码（二维码带有Wi-Fi账号密码），都无法阻止顾客误连钓鱼路由器；还有一些方法需要顾客在智能手机安装Wi-Fi安全管家等应用，对顾客而言，不仅需要额外下载应用，而且该应用会占用智能手机的内存。

因此，现有技术有待于进一步的改进。

发明内容

鉴于上述现有技术中的不足之处，本发明的目的在于为用户提供一种基于Wi-FiAware技术的Wi-Fi连接控制方法及系统，克服现有技术中用户终端误接入钓鱼路由器的缺陷。

本发明公开的第一实施例为一种基于Wi-Fi Aware技术的Wi-Fi连接控制方法，其中，包括以下步骤：

Wi-Fi AP组建Wi-Fi Aware网络，用户终端同步加入到所述Wi-Fi Aware网络中；

所述Wi-Fi AP在Wi-Fi Aware网络中周期性广播服务发现帧；

所述用户终端在Wi-Fi Aware网络中监听所述服务发现帧，然后所述用户终端扫描附近Wi-Fi AP周期性广播的信标帧，并判断信标帧的参数信息是否存在于服务发现帧的参数信息组中；

若存在，则根据参数信息组中含有的连接参数信息接入所述Wi-Fi AP的热点。

可选地，所述Wi-Fi AP组建Wi-Fi Aware网络，用户终端同步加入到所述Wi-FiAware网络中的步骤还包括：

多个Wi-Fi AP各自作为主设备组建Wi-Fi Aware网络；

用户终端根据检测到的Wi-Fi信号强度，自动加入到Wi-Fi信号最强的Wi-Fi Aware网络中。

可选地，所述Wi-Fi AP组建Wi-Fi Aware网络，用户终端同步加入到所述Wi-FiAware网络中的步骤还包括：

各个Wi-Fi AP在本地都存有所有AP的MAC地址和NAN群组编号列表；各个Wi-Fi AP在以主设备的身份组建NAN群组的同时，以普通Wi-Fi设备的身份监听其他主设备发送的发现信标帧；如果AP接收到的其他主设备的发现信标帧中的MAC地址和NAN群组编号位于本地存放的MAC地址和NAN群组编号列表中，则说明所有NAN群组都是合法的；反之，如果AP接收到的其他主设备的发现信标帧中的MAC地址和NAN群组编号不在本地存放的MAC地址和NAN群组编号列表中，则说明有伪AP试图组建伪NAN群组，则AP通过有线方式通知网络管理平台；

所述Wi-Fi AP在Wi-Fi Aware网络中周期性广播服务发现帧；

用户终端在Wi-Fi Aware网络中监听所述服务发现帧。

可选地，所述判断信标帧的参数信息是否存在于服务发现帧的参数信息组中的步骤还包括：

然后用户终端扫描附近Wi-Fi AP周期性广播的信标帧，并判断信标帧的参数信息是否存在于服务发现帧的参数信息组中；

若存在，则根据参数信息组中含有的连接参数信息接入所述Wi-Fi AP的热点；若不存在，则判定为伪Wi-Fi AP。

可选地，所述判定为伪Wi-Fi AP网络的步骤之后，还包括：

检测所述伪Wi-Fi AP的Wi-Fi信号强度，并将检测到的Wi-Fi信号强度与预设信号强度阈值进行比较；

若检测到的Wi-Fi信号强度超出预设信号强度阈值，则根据信号强度的大小随设备之间距离增加而减弱的趋势，定位出所述伪Wi-Fi AP的所在位置。

可选地，所述根据信号强度的大小随设备之间距离增加而减弱的趋势，定位出所述伪Wi-Fi AP的所在位置的步骤包括：

用户终端选取检测到伪Wi-Fi AP信号强度为最强时所处的地点作为定位地点；

以及，依次选取检测到的信号强度的各个Wi-Fi AP所在位置作为圆心，以用户终端与选取的各个Wi-Fi AP之间的距离为半径；根据信号强度的大小与设备之间随设备之间距离增加而减弱的趋势，估算出用户终端所在位置；

根据估算出的用户终端所在位置，定位出伪Wi-Fi AP的所在位置。

可选地，所述根据参数信息组接入所述Wi-Fi AP的热点的步骤包括：

用户终端发送认证请求帧至Wi-Fi AP；

所述Wi-Fi AP接收所述发送认证请求帧，并返回认证回复帧至用户终端；

所述用户终端接收所述认证回复帧，并返回关联请求帧至与所述Wi-Fi AP；

所述Wi-Fi AP接收所述关联请求帧，并返回关联回复帧至用户终端；

所述用户终端根据接收到的关联回复帧接入所述Wi-Fi AP的热点。

本发明公开的第二实施例为一种基于Wi-Fi Aware技术的Wi-Fi连接控制系统，其中，包括：Wi-Fi AP和用户终端；

所述Wi-Fi AP组建Wi-Fi Aware网络，用户终端同步加入到所述Wi-Fi Aware网络中；

所述Wi-Fi AP在Wi-Fi Aware网络中周期性广播服务发现帧；

所述用户终端在Wi-Fi Aware网络中监听所述服务发现帧，然后所述用户终端扫描附近Wi-Fi AP周期性广播的信标帧，并判断信标帧的参数信息是否存在于服务发现帧的参数信息组中；若存在，则根据参数信息组中含有的连接参数信息接入所述Wi-Fi AP的热点。

可选地，所述Wi-Fi AP有多个，且多个Wi-Fi AP各自作为主设备组建Wi-Fi Aware网络；用户终端根据检测到的Wi-Fi信号强度，自动加入到Wi-Fi信号最强的Wi-Fi Aware网络中；

各个Wi-Fi AP在本地都存有所有AP的MAC地址和NAN群组编号列表；各个Wi-Fi AP在以主设备的身份组建NAN群组的同时，以普通Wi-Fi设备的身份监听其他主设备发送的发现信标帧；如果AP接收到的其他主设备的发现信标帧中的MAC地址和NAN群组编号位于本地存放的MAC地址和NAN群组编号列表中，则说明所有NAN群组都是合法的；反之，如果AP接收到的其他主设备的发现信标帧中的MAC地址和NAN群组编号不在本地存放的MAC地址和NAN群组编号列表中，则说明有伪AP试图组建伪NAN群组，则AP通过有线方式通知网络管理平台；

所述Wi-Fi AP在Wi-Fi Aware网络中周期性广播服务发现帧；

用户终端在Wi-Fi Aware网络中监听所述服务发现帧。

可选地，所述用户终端还用于；

所述用户终端扫描附近Wi-Fi AP周期性广播的信标帧，并判断信标帧的参数信息是否存在于服务发现帧的参数信息组中；

若存在，则根据参数信息组中含有的连接参数信息接入所述Wi-Fi AP的热点；若不存在，则判定为伪Wi-Fi AP。

检测所述伪Wi-Fi AP的Wi-Fi信号强度，并将检测到的Wi-Fi信号强度与预设信号强度阈值进行比较；

若检测到的Wi-Fi信号强度超出预设信号强度阈值，则根据信号强度的大小随设备之间距离增加而减弱的趋势，定位出所述伪Wi-Fi AP的所在位置。

有益效果：本发明提供了一种Wi-Fi连接控制方法及系统，所述方法及系统基于Wi-Fi Aware技术，通过将Wi-Fi AP组建Wi-Fi Aware网络，用户终端同步加入到所述Wi-FiAware网络中；所述用户终端监听所述Wi-Fi AP周期性在Wi-Fi Aware网络中广播的服务发现帧，然后，所述用户终端扫描附近Wi-Fi AP周期性广播的信标帧，判断信标帧的参数信息是否存在于服务发现帧的参数信息组中；若存在，则根据参数信息组中含有的连接参数信息接入所述Wi-Fi AP的热点。本发明所述的方法及系统，可以实现智能手机自动加入商店路由器组建的Wi-Fi Aware网络，通过Wi-Fi Aware网络中用户终端与商店路由器的信令交互，使得智能手机自动安全地连接商店路由器，并可以检测到商店里可能存在的钓鱼路由器，实现较好的防范用户接入钓鱼路由器，避免了客户产生不必要的损失。

附图说明

图1是本发明中一个典型的NAN群组的结构示意图；

图2是本发明中NAN设备的类型及其对应的收发帧的格式框图；

图3是本发明中NAN操作的流程图；

图4是本发明中NAN操作的时序图；

图5是本发明中NAN发现信标帧的格式的示意图；

图6是本发明中NAN信息元素的格式的示意图；

图7是本发明中NAN属性的通用格式的示意图；

图8是本发明中属性ID的类别及其对应的帧类别的格式框图；

图9是本发明中NAN服务发现帧的格式框图；

图10是本发明中服务发现帧的属性中所述制造商特定属性格式框图；

图11是本发明中服务发现帧的格式框图；

图12是本发明所提供的Wi-Fi连接控制方法的步骤流程图；

图13a是本发明所述方法的中用户终端采用被动扫描模式去寻找Wi-Fi AP时的连接步骤示意图；

图13b是本发明所述方法的中用户终端采用主动扫描模式去寻找Wi-Fi AP时的连接步骤示意图；

图14是本发明所述方法的具体应用实施例中商场内多个Wi-Fi AP建立的Wi-Fi Aware网络示意图；

图15是本发明所述方法中所有AP的MAC地址和NAN群组编号列表；

图16是本发明所述方法中简化的服务发现帧的格式；

图17是本发明所述方法中消息ID的定义及其说明；

图18是本发明所述方法中商店AP广播连接参数消息；

图19是本发明所述方法中商店AP连接参数列表；

图20是本发明所述方法中定位伪AP的原理示意图；

图21是本发明所述方法中智能手机向商店AP发送伪AP报警消息结构示意图；

图22是本发明所述系统的原理结构框图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚、明确，以下参照附图并举实施例对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用于解释本发明，并不用于限定本发明。

Wi-Fi Aware协议是一种基于位置邻近的Wi-Fi协议，即在Wi-Fi Aware群组里的设备无需建立Wi-Fi连接就可以发现其他设备及其服务，因此，Wi-Fi Aware协议也称为Wi-Fi NAN（Neighbor Awareness Networking）协议。相比于普通Wi-Fi协议，Wi-Fi Aware协议在组建网络方面具有稳固、低功耗的优点，可应用于物联网领域。

Wi-Fi Aware网络中的所有NAN设备保持同步时钟，处在同一信道，一个典型的NAN群组如图1所示。在这个群组里，一个设备既可以向另外一个设备发送信息，也可以向多个设备发送信息。NAN群组的传输范围与普通Wi-Fi相同。每个NAN群组都有一个编号（6字节），用于区分不同的群组；NAN的群组中的每个设备都有一个接口地址（6字节），用来区分不同的设备。两个或两个以上NAN群组也可以重叠，即NAN设备还可以同时参与到两个NAN群组的活动。

在NAN群组里，NAN设备可分为三类，如图2所示，其中，主设备可以更换，也就是说，当主设备离开群组时，非主同步设备和非主非同步设备可以根据等级高低竞选成为新的主设备，而不会破坏原先的群组，这也是NAN协议的一大优点。

Wi-Fi Aware操作是指NAN设备加入Wi-Fi Aware网络时的动作，包括设备发现、时钟同步、服务发现。各个操作对应的流程，如图3所示。

各个操作对应的时序如图4所示。主设备在发现窗口之外发送发现信标帧，在发现窗口内发送同步信标帧和服务发现帧；非主同步设备在发现窗口内发送同步信标帧和服务发现帧；非主非同步设备在发现窗口内发送服务发现帧。主设备在发现窗口之外发送发现信标帧，目的是主设备发现未在NAN群组的设备。

NAN发现信标帧的格式，如图5所示。NAN信息元素（Information Element，IE）的格式，如图6所示。NAN属性（Attributes）的通用格式如图7所示。在图7中，ID是指NAN属性的编号，属性ID的类别及其对应的帧类别，如图8所示。具体的，在图8中，YES/M表示该帧必须包含该属性，YES/O表示该帧可选择性地包含该属性，NO表示该帧不包含该属性，NA表示无效。

在一个NAN群组里，主设备和非主同步设备在发现窗口内发送同步信标帧，且每个设备在一个发现窗口内最多发送一次。时钟同步的目的是使群组里的所有设备的时钟保持一致，这样可以降低时延和功耗。NAN同步信标帧的格式与NAN发现信标帧相同。

在NAN群组里的任何一台设备都可以发送服务发现帧，目的是让设备发布（Publish）自己的服务，并订阅（Subscribe）其他设备的服务。NAN服务发现帧的格式，如图9所示。

服务发现帧中的属性可参考图7和图8，即服务发现帧必须包含服务描述属性，可选择性地包含NAN连接能力属性、WLAN基础设施属性、P2P操作属性、IBSS属性、Mesh属性、未来NAN服务发现属性、未来有效地图属性、国家代码属性、范围属性和制造商特定属性。

本发明的一个创新点是让各个NAN设备利用服务发现帧互相收发本发明规定的信息，因此，本发明在符合Wi-Fi NAN协议的基础上，规定服务发现帧的属性只有服务描述属性和制造商特定属性。服务描述属性最小占12字节。制造商特定属性格式如图10所示。其中，制造商的特定信息，用作本发明中所规定的信息。总的来说，在本发明所公开的Wi-FiNAN协议机制下，任何一台NAN设备发送的服务发现帧格式如图11所示。

在上述Wi-Fi NAN协议机制的基础上，本发明提供了一种基于Wi-Fi Aware技术的Wi-Fi接入控制方法，如图12所示，包括以下步骤：

本发明公开的第一实施例为一种基于Wi-Fi Aware技术的Wi-Fi连接方法，其中，包括以下步骤：

步骤S1、Wi-Fi AP组建Wi-Fi Aware网络，用户终端同步加入到所述Wi-Fi Aware网络中。

Wi-Fi AP可以基于上述内容中所提到的Wi-Fi Aware协议组建Wi-Fi Aware网络，其处于同一个Wi-Fi Aware网络中的所有NAN设备保持同步时钟，处在同一信道，便于快速的接收或者发送指定信息。

当Wi-Fi AP组建以其为主设备的Wi-Fi Aware网络后，周期性广播发现信标帧，处于该Wi-Fi AP附近的用户终端，比如用户的智能手机，可以检测到所述发现信标帧，并同步加入到所述Wi-Fi Aware网络中。

具体的，所述Wi-Fi AP组建Wi-Fi Aware网络，用户终端同步加入到所述Wi-FiAware网络中的步骤还包括：

多个Wi-Fi AP各自作为主设备组建Wi-Fi Aware网络；

用户终端根据检测到的Wi-Fi信号强度，自动加入到Wi-Fi信号最强的Wi-Fi Aware网络中。

可选地，所述Wi-Fi AP组建Wi-Fi Aware网络，用户终端同步加入到所述Wi-FiAware网络中的步骤还包括：

各个Wi-Fi AP在本地都存有所有AP的MAC地址和NAN群组编号列表。各个Wi-Fi AP在以主设备的身份组建NAN群组的同时，以普通Wi-Fi设备的身份监听其他主设备发送的发现信标帧。如果AP接收到的其他主设备的发现信标帧中的MAC地址和NAN群组编号位于本地存放的MAC地址和NAN群组编号列表中，则说明所有NAN群组都是合法的；反之，如果AP接收到的其他主设备的发现信标帧中的MAC地址和NAN群组编号不在本地存放的MAC地址和NAN群组编号列表中，则说明有伪AP试图组建伪NAN群组，则AP通过有线方式通知网络管理平台。

步骤S2、所述Wi-Fi AP在Wi-Fi Aware网络中周期性广播服务发现帧。

Wi-Fi AP在Wi-Fi Aware网络中周期性广播服务发现帧。

步骤S3、所述用户终端在Wi-Fi Aware网络中监听所述服务发现帧，然后所述用户终端扫描附近Wi-Fi AP周期性广播的信标帧，并判断信标帧的参数信息是否存在于服务发现帧的参数信息组中。若存在，则根据参数信息组中含有的连接参数信息接入所述Wi-FiAP的热点。

较佳的，所述判断信标帧的参数信息是否存在于服务发现帧的参数信息组中的步骤还包括：

判断信标帧的参数信息是否存在于服务发现帧的参数信息组中。若不存在，则判定为伪Wi-Fi AP。

这里有两个机制都用于鉴定是否存在伪AP。

机制1：商店合法AP，在Wi-Fi Aware网络中监听其他主设备广播的发现信标帧。如果发现信标帧中的MAC地址和NAN群组编号不在本地存放的MAC地址和NAN群组编号列表中，则判断有伪AP。

机制2：AP在Wi-Fi Aware网络中广播服务发现帧，智能手机扫描附近AP广播的信标帧。如果信标帧中的参数信息不在服务发现帧中的参数信息列表中，则判断有伪AP。

可以想到的是，检测出周围有伪Wi-Fi AP后，还需要对该伪Wi-Fi AP进行定位，查找出其具体位置，因此在所述判定为伪Wi-Fi AP网络的步骤之后，还包括：

检测所述伪Wi-Fi AP的Wi-Fi信号强度，并将检测到的Wi-Fi信号强度与预设信号强度阈值进行比较；

若检测到的Wi-Fi信号强度超出预设信号强度阈值，则根据信号强度的大小随设备之间距离增加而减弱的趋势，定位出所述伪Wi-Fi AP的所在位置。

本步骤中存在两种不同的模式，一种为Wi-Fi Aware模式：智能手机加入到AP组建的Wi-Fi Aware网络中，AP在Wi-Fi Aware网络中广播连接参数信息组（包括AP的SSID，BSSID和密码），智能手机在Wi-Fi Aware网络中接收该广播消息。另一种模式为普通Wi-Fi模式：智能手机扫描附近的AP，可以在AP的信标帧中获取AP的SSID和BSSID信息。以上两种模式，智能手机先加入Wi-Fi Aware网络，获取连接参数信息组，然后扫描附近的AP广播的信标帧，通过比较信标帧中的连接参数信息是否存在于连接参数信息组，来判断真伪AP。

为了更好的实现伪Wi-Fi AP与用户终端之间的信息交互，当所述根据参数信息组接入所述Wi-Fi AP的热点的步骤包括：

用户终端发送认证请求帧至Wi-Fi AP；

所述Wi-Fi AP接收所述发送认证请求帧，并返回认证回复帧至用户终端；

所述用户终端接收所述认证回复帧，并返回关联请求帧至与所述Wi-Fi AP；

所述Wi-Fi AP接收所述关联请求帧，并返回关联回复帧至用户终端；

所述用户终端根据接收到的关联回复帧接入所述Wi-Fi AP的热点。

具体的，用户终端通过上述步骤接入Wi-Fi AP热点的需要通过以下连接参数信息：

SSID：Service Set Identifier，服务集标识，也就是Wi-Fi AP的名称。每个Wi-Fi AP都有一个可以被人识别的SSID，比如WiFi_Link_5G，但SSID不唯一，即不同Wi-Fi AP可能有相同的SSID。

BSSID：Basic Service Set Identifier，即基本服务集标识，也就是Wi-Fi AP的MAC地址。每个Wi-Fi AP都有一个BSSID，且每个Wi-Fi AP的BSSID时是唯一的。

密码：如果Wi-Fi AP配置成加密模式的话，用户终端去连接Wi-Fi AP的时候，就需要输入Wi-Fi密码，才能成功连接Wi-Fi AP。

用户终端连接Wi-Fi AP的过程，连接过程中，用户终端和Wi-Fi AP的信令交互会涉及SSID，BSSID和密码，且具有如下两种不同的连接过程：

图13a所示，用户终端采用被动扫描模式去寻找Wi-Fi AP，即Wi-Fi AP周期性地发送信标帧，用户终端接收信标帧，信标帧包含Wi-Fi AP的SSID和BSSID信息。然后，用户终端向Wi-Fi AP发送认证请求帧，所述认证请求帧包含Wi-Fi密码信息，Wi-Fi AP向用户终端发送认证回复帧。最后，用户终端向Wi-Fi AP发送关联请求帧，Wi-Fi AP向用户终端发送关联回复帧。最终，用户终端成功连接Wi-Fi AP。

结合图13b所示，用户终端采用主动扫描模式去寻找Wi-Fi AP，用户终端向Wi-FiAP发送探测请求帧，探测请求帧包含Wi-Fi AP的SSID信息，Wi-Fi AP向用户终端发送探测回复帧。然后，用户终端向Wi-Fi AP发送认证请求帧，认证请求帧包含Wi-Fi密码信息，Wi-Fi AP向用户终端发送认证回复帧。最后，用户终端向Wi-Fi AP发送关联请求帧，Wi-Fi AP向用户终端发送关联回复帧。最终，用户终端成功连接Wi-Fi AP。

一般来说，被动扫描方式比较常见，对应的实际应用场景可以描述为，用户打开智能手机的Wi-Fi，智能手机会扫描到一系列的Wi-Fi AP名称（即Wi-Fi AP的SSID），用户选择指定的SSID，输入Wi-Fi密码，智能手机就可以连接Wi-Fi AP。当智能手机扫描到两个或两个以上具有相同SSID的Wi-Fi AP时，用户往往难以辨别真Wi-Fi AP和伪Wi-Fi AP，智能手机就有可能连接伪Wi-Fi AP，对信息安全性构成了较大的威胁。但是，如果用户知道真Wi-Fi AP的BSSID，由于BSSID的唯一性，智能手机就可以根据BSSID连接到正确的Wi-Fi AP。

下面以本发明所述方法的具体实施例为例，对本发明所述的方法对进一步的说明。

根据协议规定，Wi-Fi Aware协议和802.11 MAC层协议可以共存，即Wi-Fi NAN群组里的Wi-Fi Station可以去连接Wi-Fi NAN群组里的Wi-Fi AP。基于此，本专利设计了这样一种机制，当顾客进入商店后，即智能手机进入商店Wi-Fi AP的信号覆盖范围，智能手机自动加入商店Wi-Fi AP组建的Wi-Fi NAN群组，并通过群组里设备之间的信令交互，使得智能手机自动连接正确的商店Wi-Fi AP，保障用户的信息安全。智能手机自动加入商店Wi-FiAP组建的Wi-Fi NAN群组的过程，如图14所示举例，商店共部署了4台Wi-Fi AP（简称商店AP），4台商店AP采用相同的SSID和密码，但4台商店AP的BSSID各不相同。

根据Wi-Fi Aware协议，智能手机加入商店AP组建的Wi-Fi NAN群组的过程，可分为以下3步：

步骤1、4台商店AP各自组建NAN群组，且均在群组中扮演主设备的角色，并且各自发送发现信标帧，用来发现周边的智能手机。智能手机检测附近商店AP的Wi-Fi信号强度，加入Wi-Fi信号强度最强的商店AP所组建的NAN群组，并随机成为非主同步设备或非主非同步设备；

步骤2、每个NAN群组的主设备和非主同步设备发送同步信标帧，用来同步整个NAN群组的时钟，降低群组的功耗；

步骤3、每个NAN群组的主设备、非主同步设备和非主非同步设备，收发服务发现帧，获取特定信息。

4台商店AP采用有线的方式连接，并且每台商店AP在本地都存有所有商店AP的MAC地址和NAN群组编号列表（图5所示的NAN发现信标帧的格式中的A2字段即为MAC地址，A3字段即为NAN群组编号），如图15所示。

重要的是，商店里可能有伪AP同样在发送发现信标帧，使得智能手机加入伪AP所组建的NAN群组。根据Wi-Fi Aware协议，支持Wi-Fi Aware的设备可以同时参与两个不同的NAN群组的活动。因此，本发明公开了这么一种机制：4台商店AP在以主设备的身份组建NAN群组的同时，以普通Wi-Fi设备的身份监听其他主设备发送的发现信标帧，如果商店AP接收到其他主设备的发现信标帧中的A2字段和A3字段在图15所示的所有商店AP的MAC地址和NAN群组编号列表中，则说明商店里的NAN群组都是合法的；反之，如果商店AP接收到其他主设备的发现信标帧中的A2字段和A3字段不在图15所示的所有商店AP的MAC地址和NAN群组编号列表中，则判断商店里可能有伪AP试图组建伪NAN群组，商店AP通过有线方式通知商店管理中心。可以想到的是，商店AP还可以通过其他方式建立相互之间的通讯连接，也可以通过其他方式通知商店管理中心。

顾客的智能手机加入商店AP组建的NAN群组后，本专利通过NAN群组里的设备之间的信令交互，使得智能手机安全连接商店Wi-Fi AP。

为了更好地理解本专利的方案，这里将图11所描述的服务发现帧进行简化表示，如图16所示。图16中的Body字段即为图11中的Body字段。其中，消息ID的定义及其说明，参见图17中给出的定义及说明表。

首先，4台商店AP周期性地向各自NAN群组里的智能手机广播连接参数消息，如图18所示。其中，商店AP的BSSID是指4台商店AP的BSSID依次顺序组合，每个BSSID的长度是6字节，共计24字节。4个NAN群组里的智能手机收到图18所示的商店AP广播连接参数消息后，提取消息中的SSID、BSSID和密码信息，存放于本地。然后，智能手机采用被动扫描方式扫描附近的AP，提取AP Beacon帧中的SSID和BSSID信息，智能手机会扫描到多台具有和图19所示的商店AP连接参数列表相同SSID的AP，如果扫描到的AP的BSSID信息都在图19所示的商店AP连接参数列表中，则判断商店里的AP都是合法的，智能手机按照第2章描述的802.11MAC层协议，自动连接自己所在NAN群组的商店AP。

值得注意的是，商店里可能会出现伪AP，该伪AP虽然不会组建伪NAN群组，但是具备普通AP的能力，智能手机可能误连伪AP使得用户的信息安全受到威胁。

智能手机会扫描到多台具有和图19所示的商店AP连接参数列表相同SSID的AP，如果扫描到的其中一台AP的BSSID信息不在图19所示的商店AP连接参数列表中，则判断这台AP是伪AP。本专利设计了这么一种定位伪AP的机制，具体的检测定位方法如下所示：

智能手机扫描到伪AP后，继续检测伪AP的Wi-Fi信号强度，并设置较高的Wi-Fi信号强度门限值，如果检测值超过门限值，则判断这些智能手机离伪AP距离较近。然后，这些离伪AP距离较近的智能手机，检测商店AP#1的Wi-Fi信号强度，根据Wi-Fi信号强度随着智能手机与商店AP#1的距离的增加而出现减少的趋势，可以根据检测到的商店AP#1的Wi-Fi信号强度值，大致估算出智能手机与商店AP#1的距离。所以，智能手机位于以商店AP#1为圆心，以估算出的智能手机与商店AP#1的距离为半径的圆周上。同理，这些智能手机依次检测商店AP#2、AP#3和AP#4的Wi-Fi信号强度，同样画出以商店AP为圆心，以估算出的智能手机与商店AP的距离为半径的圆周，如图20所示。从图中可以看出，这些智能手机位于4个圆的交集处附近，同时代表着伪AP位于4个圆的交集处附近。

一方面，智能手机按照上述的802.11 MAC层协议，自动连接自己所在NAN群组的商店AP。另一方面，智能手机向自己所在NAN群组的商店AP发送伪AP报警消息，如图21所示。其中，Wi-Fi信号强度是指智能手机分别对4台商店AP的Wi-Fi信号强度检测值，每个检测值的长度是1个字节，共计4个字节。

本发明所述的方法通过商品AP向NAN群组里的智能手机广播连接参数消息，智能手机扫描附近AP并提取信标帧信息。智能手机比较连接参数消息和信标帧信息，从而判断扫描到的AP是否合法。若扫描到的AP既有合法的又有不合法的，一方面，智能手机自动连接合法的商店AP；另一方面，智能手机通过检测Wi-Fi信号强度来定位伪AP，并上报给商店管理中心。

本发明提供的第二实施例为一种基于Wi-Fi Aware技术的Wi-Fi连接控制系统220，如图22所示，包括：Wi-Fi AP 2210和用户终端2220；

所述Wi-Fi AP 2210组建Wi-Fi Aware网络，用户终端2220同步加入到所述Wi-FiAware网络中；

所述Wi-Fi AP 2210，在Wi-Fi Aware网络中周期性广播服务发现帧；

所述用户终端2220，所述用户终端在Wi-Fi Aware网络中监听所述服务发现帧，然后所述用户终端扫描附近Wi-Fi AP周期性广播的信标帧，并判断信标帧的参数信息是否存在于服务发现帧的参数信息组中；若存在，则根据参数信息组中含有的连接参数信息接入所述Wi-Fi AP的热点。

可选地，所述Wi-Fi AP有多个，且多个Wi-Fi AP各自作为主设备组建Wi-Fi Aware网络；用户终端2220根据检测到的Wi-Fi信号强度，自动加入到Wi-Fi信号最强的Wi-Fi Aware网络中；

各个Wi-Fi AP 2210在本地都存有所有AP的MAC地址和NAN群组编号列表。各个Wi-FiAP在以主设备的身份组建NAN群组的同时，以普通Wi-Fi设备的身份监听其他主设备发送的发现信标帧。如果AP接收到的其他主设备的发现信标帧中的MAC地址和NAN群组编号位于本地存放的MAC地址和NAN群组编号列表中，则说明所有NAN群组都是合法的；反之，如果AP接收到的其他主设备的发现信标帧中的MAC地址和NAN群组编号不在本地存放的MAC地址和NAN群组编号列表中，则说明有伪AP试图组建伪NAN群组，则AP通过有线方式通知网络管理平台。然后，Wi-Fi AP在Wi-Fi Aware网络中周期性广播服务发现帧；

所述用户终端2220，用户终端在Wi-Fi Aware网络中监听所述服务发现帧。

可选地，所述用户终端2220还用于；

用户终端扫描附近Wi-Fi AP周期性广播的信标帧，并判断信标帧的参数信息是否存在于服务发现帧的参数信息组中；若不存在，则判定为伪Wi-Fi AP。

检测所述伪Wi-Fi AP的Wi-Fi信号强度，并将检测到的Wi-Fi信号强度与预设信号强度阈值进行比较；

若检测到的Wi-Fi信号强度超出预设信号强度阈值，则根据信号强度的大小随设备之间距离增加而减弱的趋势，定位出所述伪Wi-Fi AP的所在位置。

本发明提供了一种Wi-Fi连接控制方法及系统，所述方法及系统基于Wi-Fi Aware技术，通过将Wi-Fi AP组建Wi-Fi Aware网络，用户终端同步加入到所述Wi-Fi Aware网络中；用户终端监听所述Wi-Fi AP周期性在Wi-Fi Aware网络中广播的服务发现帧，然后，用户终端扫描附近Wi-Fi AP周期性广播的信标帧，判断信标帧的参数信息是否存在于服务发现帧的参数信息组中；若存在，则根据参数信息组中含有的连接参数信息接入所述Wi-FiAP的热点。

本发明所述的方法及系统，可以实现智能手机自动加入商店路由器组建的Wi-FiAware网络，通过Wi-Fi Aware网络中用户终端与商店路由器的信令交互，使得智能手机自动安全地连接商店路由器，并可以检测到商店里可能存在的钓鱼路由器，实现较好的防范用户接入钓鱼路由器，避免了客户产生不必要的损失。

可以理解的是，对本领域普通技术人员来说，可以根据本发明的技术方案及其发明构思加以等同替换或改变，而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。

Claims (10)

1.一种基于Wi-Fi Aware技术的Wi-Fi连接控制方法，其特征在于，包括以下步骤：

Wi-Fi AP组建Wi-Fi Aware网络，用户终端同步加入到所述Wi-Fi Aware网络中；

所述Wi-Fi AP在Wi-Fi Aware网络中周期性广播服务发现帧；

所述用户终端在Wi-Fi Aware网络中监听所述服务发现帧，然后所述用户终端扫描附近Wi-Fi AP周期性广播的信标帧，并判断信标帧的参数信息是否存在于服务发现帧的参数信息组中；

若存在，则根据参数信息组中含有的连接参数信息接入所述Wi-Fi AP的热点。

2.根据权利要求1所述的Wi-Fi连接控制方法，其特征在于，所述Wi-Fi AP组建Wi-FiAware网络，用户终端同步加入到所述Wi-Fi Aware网络中的步骤还包括：

多个Wi-Fi AP各自作为主设备组建Wi-Fi Aware网络；

用户终端根据检测到的Wi-Fi信号强度，自动加入到Wi-Fi信号最强的Wi-Fi Aware网络中。

3.根据权利要求2所述的Wi-Fi连接控制方法，其特征在于，所述Wi-Fi AP组建Wi-FiAware网络，用户终端同步加入到所述Wi-Fi Aware网络中的步骤还包括：

各个Wi-Fi AP在本地都存有所有AP的MAC地址和NAN群组编号列表；各个Wi-Fi AP在以主设备的身份组建NAN群组的同时，以普通Wi-Fi设备的身份监听其他主设备发送的发现信标帧；如果AP接收到的其他主设备的发现信标帧中的MAC地址和NAN群组编号位于本地存放的MAC地址和NAN群组编号列表中，则说明所有NAN群组都是合法的；反之，如果AP接收到的其他主设备的发现信标帧中的MAC地址和NAN群组编号不在本地存放的MAC地址和NAN群组编号列表中，则说明有伪AP试图组建伪NAN群组，则AP通过有线方式通知网络管理平台；

所述Wi-Fi AP在Wi-Fi Aware网络中周期性广播服务发现帧；

用户终端在Wi-Fi Aware网络中监听所述服务发现帧。

4.根据权利要求3所述的Wi-Fi连接控制方法，其特征在于，所述判断信标帧的参数信息是否存在于服务发现帧的参数信息组中的步骤还包括：

然后用户终端扫描附近Wi-Fi AP周期性广播的信标帧，并判断信标帧的参数信息是否存在于服务发现帧的参数信息组中；

若存在，则根据参数信息组中含有的连接参数信息接入所述Wi-Fi AP的热点；若不存在，则判定为伪Wi-Fi AP。

5.根据权利要求4所述的Wi-Fi连接控制方法，其特征在于，所述判定为伪Wi-Fi AP网络的步骤之后，还包括：

检测所述伪Wi-Fi AP的Wi-Fi信号强度，并将检测到的Wi-Fi信号强度与预设信号强度阈值进行比较；

若检测到的Wi-Fi信号强度超出预设信号强度阈值，则根据信号强度的大小随设备之间距离增加而减弱的趋势，定位出所述伪Wi-Fi AP的所在位置。

6.根据权利要求1所述的Wi-Fi连接控制方法，其特征在于，所述根据信号强度的大小随设备之间距离增加而减弱的趋势，定位出所述伪Wi-Fi AP的所在位置的步骤包括：

用户终端选取检测到伪Wi-Fi AP信号强度为最强时所处的地点作为定位地点；

以及，依次选取检测到的信号强度的各个Wi-Fi AP所在位置作为圆心，以用户终端与选取的各个Wi-Fi AP之间的距离为半径；根据信号强度的大小与设备之间随设备之间距离增加而减弱的趋势，估算出用户终端所在位置；

根据估算出的用户终端所在位置，定位出伪Wi-Fi AP的所在位置。

7.根据权利要求1所述的Wi-Fi连接控制方法，其特征在于，所述根据参数信息组接入所述Wi-Fi AP的热点的步骤包括：

用户终端发送认证请求帧至Wi-Fi AP；

所述Wi-Fi AP接收所述发送认证请求帧，并返回认证回复帧至用户终端；

所述用户终端接收所述认证回复帧，并返回关联请求帧至与所述Wi-Fi AP；

所述Wi-Fi AP接收所述关联请求帧，并返回关联回复帧至用户终端；

所述用户终端根据接收到的关联回复帧接入所述Wi-Fi AP的热点。

8.一种基于Wi-Fi Aware技术的Wi-Fi连接控制系统，其特征在于，包括：Wi-Fi AP和用户终端；

所述Wi-Fi AP组建Wi-Fi Aware网络，用户终端同步加入到所述Wi-Fi Aware网络中；

所述Wi-Fi AP在Wi-Fi Aware网络中周期性广播服务发现帧；

所述用户终端在Wi-Fi Aware网络中监听所述服务发现帧，然后所述用户终端扫描附近Wi-Fi AP周期性广播的信标帧，并判断信标帧的参数信息是否存在于服务发现帧的参数信息组中；若存在，则根据参数信息组中含有的连接参数信息接入所述Wi-Fi AP的热点。

9.根据权利要求7所述的Wi-Fi连接控制系统，其特征在于，所述Wi-Fi AP有多个，且多个Wi-Fi AP各自作为主设备组建Wi-Fi Aware网络；用户终端根据检测到的Wi-Fi信号强度，自动加入到Wi-Fi信号最强的Wi-Fi Aware网络中；

各个Wi-Fi AP在本地都存有所有AP的MAC地址和NAN群组编号列表；各个Wi-Fi AP在以主设备的身份组建NAN群组的同时，以普通Wi-Fi设备的身份监听其他主设备发送的发现信标帧；如果AP接收到的其他主设备的发现信标帧中的MAC地址和NAN群组编号位于本地存放的MAC地址和NAN群组编号列表中，则说明所有NAN群组都是合法的；反之，如果AP接收到的其他主设备的发现信标帧中的MAC地址和NAN群组编号不在本地存放的MAC地址和NAN群组编号列表中，则说明有伪AP试图组建伪NAN群组，则AP通过有线方式通知网络管理平台；

所述Wi-Fi AP在Wi-Fi Aware网络中周期性广播服务发现帧；

用户终端在Wi-Fi Aware网络中监听所述服务发现帧。

10.根据权利要求7所述的Wi-Fi连接控制系统，其特征在于，所述用户终端还用于；

所述用户终端扫描附近Wi-Fi AP周期性广播的信标帧，并判断信标帧的参数信息是否存在于服务发现帧的参数信息组中；

若存在，则根据参数信息组中含有的连接参数信息接入所述Wi-Fi AP的热点；若不存在，则判定为伪Wi-Fi AP。

检测所述伪Wi-Fi AP的Wi-Fi信号强度，并将检测到的Wi-Fi信号强度与预设信号强度阈值进行比较；

若检测到的Wi-Fi信号强度超出预设信号强度阈值，则根据信号强度的大小随设备之间距离增加而减弱的趋势，定位出所述伪Wi-Fi AP的所在位置。