WO2016169142A1

WO2016169142A1 - 识别无线接入点合法性的方法、终端、系统及存储介质

Info

Publication number: WO2016169142A1
Application number: PCT/CN2015/084485
Authority: WO
Inventors: 徐懋鹏
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-04-20
Filing date: 2015-07-20
Publication date: 2016-10-27
Also published as: CN106162649A

Abstract

本发明公开了一种识别无线接入点(AP)合法性的方法，所述方法包括：终端获取待连接AP的识别信息；将所述识别信息与第一数据库中存储的识别信息进行匹配；匹配成功时，确定所述AP的合法性。本发明还公开了一种终端、识别AP合法性的系统及存储介质。

Description

识别无线接入点合法性的方法、终端、系统及存储介质

技术领域

本发明涉及移动通信安全技术领域，尤其涉及一种识别无线接入点(AP，Access Point)合法性的方法、终端、系统及存储介质。

背景技术

随着无线通信技术的发展，Wi-Fi正在被大量部署，由于Wi-Fi接入点AP部署的廉价性，使得普通用户可以轻易部署AP，因此，很多不法分子非法部署恶意AP进行违法犯罪活动，非法窃取用户信息，严重威胁用户的信息安全。

现有技术中对非法AP的解决方案主要包括两种：一是对非法AP进行侦测定位，然后取缔或屏蔽所述AP；二是运营商判断运营商用户终端连接的AP的合法性然后通知该用户；然而，对于第一种方案，其直接目的并不是为了保护终端的信息安全而是自身网络安全，且实时性差，特别是对于动态随机部署的非法AP，在这些AP被发现前，终端可能早已被攻击了；对于第二种方案，通用性差，仅能保护某个运营商的用户的信息安全，且重要的是，由于用户终端已经连接上了AP，即便再发现该AP为非法AP，用户信息实际已处于危险中，而且实现成本也较高。

发明内容

有鉴于此，本发明实施例期望提供一种识别AP合法性的方法、终端、系统及存储介质，能够准确的识别非法AP，有效的维护终端的信息安全，增强用户体验感，且通用性强、实时性好、成本低。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种识别无线接入点AP合法性的方法，所述方法包括：

终端获取待连接AP的识别信息；

将所述识别信息与第一数据库中存储的识别信息进行匹配，匹配成功时，确定所述AP的合法性。

上述方案中，所述识别信息包括：所述AP的服务集标识SSID、所述AP的介质访问控制MAC地址及所述AP的加密认证算法；

相应的，将所述识别信息与第一数据库中存储的识别信息进行匹配，包括：

将所述AP的SSID、MAC地址及加密认证算法分别与第一数据库中存储的SSID、MAC地址及加密认证算法进行匹配，当SSID、MAC地址及加密认证算法均匹配成功时，确定所述AP的识别信息与第一数据库中存储的识别信息匹配成功；否则，确定所述AP的识别信息与第一数据库中存储的识别信息匹配失败。

上述方案中，所述方法还包括：

确定识别信息匹配失败时，发送所述AP的合法性查询请求给服务器，并依据所述服务器返回的查询结果建立或拒绝建立与所述AP之间的连接。

上述方案中，所述查询结果包括：所述AP为未知AP的信息；

相应的，依据所述服务器返回的查询结果建立或拒绝建立与所述AP之间的连接之前，所述方法还包括：

生成并显示所述AP为未知AP的一级或二级警告。

上述方案中，所述查询结果包括：所述AP为未知AP的信息；

相应的，依据所述服务器返回的查询结果建立或拒绝建立与所述AP之间的连接之后，所述方法还包括：

为所述AP进行可信度评分，并将评分结果上报至所述服务器；所述评分结果用作服务器再次接收所述AP的合法性查询请求时，返回的查询结果中的参考信息。

上述方案中，所述查询结果包括：所述AP的合法性信息；

相应的，所述方法还包括：记录所述AP的识别信息及所述AP的合法性信息至第一数据库并更新所述第一数据库。

上述方案中，所述AP的合法性查询请求中包括所述AP的识别信息；

所述识别信息，用于服务器将所述识别信息与第二数据库中存储的识别信息进行匹配，匹配成功时，确定所述AP的合法性；匹配失败时，确定所述AP为未知AP；

相应的，发送所述AP的合法性查询请求给服务器之后，所述方法还包括：

所述服务器将所述识别信息与第二数据库中存储的识别信息进行匹配，匹配成功时，确定所述AP的合法性；匹配失败时，确定所述AP为未知AP。

本发明实施例还提供了一种终端，所述终端包括：获取模块及匹配模块；其中，

所述获取模块，配置为获取待连接AP的识别信息；

所述匹配模块，配置为将所述识别信息与第一数据库中存储的识别信息进行匹配，匹配成功时，确定所述AP的合法性。

上述方案中，所述识别信息包括：所述AP的SSID、所述AP的MAC地址及所述AP的加密认证算法；

相应的，所述匹配模块，配置为将所述AP的SSID、MAC地址及加密认证算法分别与第一数据库中存储的SSID、MAC地址及加密认证算法分别进行匹配，当SSID、MAC地址及加密认证算法均匹配成功时，确定所述AP的识别信息与第一数据库中存储的识别信息匹配成功；否则，确定所述AP的识别信息与第一数据库中存储的识别信息匹配失败。

上述方案中，所述匹配模块，还配置为确定识别信息匹配失败时，发送所述AP的合法性查询请求给服务器；

相应的，所述终端还包括第一控制模块，配置为依据所述服务器返回的查询结果建立或拒绝建立与所述AP之间的连接。

上述方案中，所述查询结果包括：所述AP为未知AP的信息；

相应的，所述终端还包括警告模块，配置为生成并显示所述AP为未知AP的一级或二级警告。

上述方案中，所述查询结果包括：所述AP为未知AP的信息；

相应的，所述终端还包括评分模块，配置为为所述AP进行可信度评分，并将评分结果上报至所述服务器；所述评分结果用作服务器再次接收所述AP的合法性查询请求时，返回的查询结果中的参考信息。

上述方案中，所述查询结果包括：所述AP的合法性信息；

相应的，所述终端还包括更新模块，配置为记录所述AP的识别信息及所述AP的合法性信息至第一数据库并更新所述第一数据库。

本发明实施例还提供了一种识别AP合法性的系统，所述系统包括：终端及服务器；其中，

所述终端，配置为获取待连接AP的识别信息，将所述识别信息与第一数据库中存储的识别信息进行匹配，匹配成功时，确定所述AP的合法性；匹配失败时，发送所述AP的合法性查询请求给服务器；

所述服务器，配置为接收所述AP的合法性查询请求，并返回查询结果给所述终端。

相应的，所述终端，配置为将所述AP的SSID、MAC地址及加密认证算法分别与第一数据库中存储的SSID、MAC地址及加密认证算法分别进行匹配，当SSID、MAC地址及加密认证算法均匹配成功时，确定所述AP的识别信息与第一数据库中存储的识别信息匹配成功；否则，确定所述AP的识别信息与第一数据库中存储的识别信息匹配失败。

相应的，所述服务器，还配置为将所述识别信息与第二数据库中存储的识别信息进行匹配，匹配成功时，确定所述AP的合法性；匹配失败时，确定所述AP为未知AP。

上述方案中，所述查询结果包括：所述AP为未知AP的信息；

相应的，所述终端，还配置为生成并显示所述AP为未知AP的一级或二级警告。

上述方案中，所述查询结果包括：所述AP为未知AP的信息；

相应的，所述终端，还配置为为所述AP进行可信度评分，并将评分结果上报至所述服务器；所述评分结果用作服务器再次接收所述AP的合法性查询请求时，返回的查询结果中的参考信息。

上述方案中，所述查询结果包括：所述AP的合法性信息；

相应的，所述终端，还配置为记录所述AP的识别信息及所述AP的合法性信息至第一数据库并更新所述第一数据库。

上述方案中，所述服务器，还配置为获取并记录AP的合法性信息及识别信息至第二数据库。

本发明实施例还提供了一种计算机存储介质，所述计算机存储介质存储有计算机程序，该计算机程序用于执行本发明实施例的上述识别AP合法性的方法。

本发明实施例所提供的识别AP合法性的方法、终端、系统及存储介质，终端获取待连接AP的识别信息；将所述识别信息与第一数据库中存储的识别信息进行匹配；匹配成功时，确定所述AP的合法性。如此，能够准确的识别非法AP，有效的维护终端的信息安全，增强用户体验，且通用性强、实时性好、成本低。

附图说明

图1为本发明实施例一识别AP合法性的方法流程示意图；

图2为本发明实施例二识别AP合法性的方法流程示意图；

图3为本发明实施例三识别AP合法性的方法流程示意图；

图4为本发明实施例四识别AP合法性的方法流程示意图；

图5为本发明实施例终端的组成结构示意图；

图6为本发明实施例识别AP合法性的系统组成结构示意图。

具体实施方式

现有技术中的非法AP主要存在两种形态：1)、与合法AP具有相同的SSID及密码，使用户无威胁感知的仿冒AP；2)、无密码AP，供免费上网的AP；

第一种仿冒AP的工作模式主要是通过将仿冒AP的信号强度调高，超过合法AP信号强度，则新进入网络的终端设备会自动连接仿冒AP，对于已在正常连接中的终端设备，或者终端自己会自动断开当前连接的AP转而连接仿冒AP；或者攻击者主动攻击破坏该正常连接，使终端设备断开当前连接，转而连接仿冒AP；

第二种AP完全是钓鱼方式，或者说是守株待兔方式，是终端用户自动自愿搜索该仿冒AP并主动连接，该模式对安全意识薄弱的终端用户威胁最大。

在本发明实施例中，终端获取待连接AP的识别信息；将所述识别信息与第一数据库中存储的识别信息进行匹配；匹配成功时，确定所述AP的合法性；如此，能够准确的识别非法AP，有效的维护终端的信息安全。

实施例一

图1所示为本发明实施例一识别AP合法性的方法流程示意图，如图1所示，本发明实施例识别AP合法性的方法包括：

步骤101：终端获取待连接AP的识别信息；

本步骤之前，所述方法还包括：搜索并确定所述待连接AP；

这里，终端执行搜索并确定所述待连接AP的操作可以在终端未建立Wi-Fi连接的情况下自动执行的对AP的搜索及确定，也可以为在用户触发的情况下进行的对AP的搜索及确定，还可以是在终端已建立Wi-Fi连接的情况下被动的被当前连接的AP断开了连接而进行的对AP的搜索及确定，或者是在终端已建立Wi-Fi连接的情况下对更强信号的AP的搜索及确定。

在一实施例中，所述AP的识别信息包括：所述AP的服务集标识(SSID，Service Set Identifier)、所述AP的介质访问控制(MAC，Media Access Control)地址及所述AP的加密认证算法；

所述AP的识别信息还可以包括：所述AP的部署者信息、所述AP的部署位置等信息。

步骤102：将所述识别信息与第一数据库中存储的识别信息进行匹配，匹配成功时，确定所述AP的合法性；

这里，当终端进行的识别信息的匹配成功时，则可依据所述第一数据库中存储的所述AP对应的合法性信息确定所述AP的合法性，即确定所述AP是否合法。

将所述识别信息与第一数据库中存储的识别信息进行匹配包括：

终端将所述AP的SSID、MAC地址及加密认证算法分别与第一数据库中存储的SSID、MAC地址及加密认证算法分别进行匹配，当SSID、MAC地址及加密认证算法均匹配成功时，确定所述AP的识别信息与第一数据库中存储的识别信息匹配成功；否则，确定所述AP的识别信息与第一数据库中存储的识别信息匹配失败；

在一实施例中，终端将所述AP的SSID与第一数据库中存储的SSID进行匹配，SSID匹配失败时，确定识别信息匹配失败；SSID匹配成功时，将所述AP的MAC地址与匹配得到的SSID对应的MAC地址进行匹配，MAC地址匹配失败时，确定识别信息匹配失败；MAC地址匹配成功时，将所述AP的加密认证算法与匹配得到的MAC地址对应的加密认证算法进行匹配，加密认证算法匹配失败时，确定识别信息匹配失败；加密认证算法匹配成功时，确定识别信息匹配成功；

也就是说，终端对所述待连接AP依次进行SSID、MAC地址及加密认证算法的匹配，当SSID、MAC地址及加密认证算法均匹配成功时，才确定识别信息匹配成功，当SSID、MAC地址及加密认证算法任一匹配失败，均认为识别信息匹配失败。

在一实施例中，由于所述AP的识别信息还可包括：所述AP的部署者信息、所述AP的部署位置等可选信息，因此，当AP的识别信息包括所述可选信息时，所述可选信息可作为关键词信息，缩小上述匹配的范围，进而提高对AP的合法性的识别效率及准确率，但由于增加所述可选信息会增加识别成本，因此，所述AP的识别信息是否包括所述可选信息可依据实际需要进行设定。

在一实施例中，所述第一数据库中存储的AP的识别信息至少分为合法AP的识别信息及非法AP的识别信息两类；

相应的，将所述识别信息与第一数据库中存储的识别信息进行匹配包括：

将所述识别信息先与第一数据库中存储的合法AP的识别信息进行识别信息的匹配，再进行非法AP的识别信息进行识别信息的匹配，当合法AP的识别信息匹配成功时，不再进行非法AP识别信息的匹配；如此，可以提高对AP的合法性的识别速度。

在一实施例中，所述方法还包括：确定识别信息匹配失败时，发送所述AP的合法性查询请求给服务器，并依据所述服务器返回的查询结果建立或拒绝建立与所述AP之间的连接；

这里，终端进行的识别信息匹配失败可能由于SSID匹配失败，即当前待连接的AP为未知AP，也可能由于MAC地址匹配失败，还可能由于加密认证算法匹配失败；当识别信息匹配失败的原因是由于加密认证算法匹配失败时，该AP为非法AP的可能性就非常高，需要寻求服务器的再次匹配确认，但也有可能是因为该AP的加密设置被修改。

所述AP的合法性查询请求中包括所述AP的识别信息；

所述服务器将所述识别信息与第二数据库中存储的识别信息进行识别信息匹配，识别信息匹配成功时，确定所述AP的合法性；识别信息匹配失败时，确定所述AP为未知AP；

其中，所述将所述识别信息与第二数据库中存储的识别信息进行识别信息匹配包括：

将所述AP的SSID、MAC地址及加密认证算法分别与第二数据库中存储的SSID、MAC地址及加密认证算法分别进行匹配，当SSID、MAC地址及加密认证算法均匹配成功时，确定所述AP的识别信息与第二数据库中存储的识别信息匹配成功；否则，确定所述AP的识别信息与第二数据库中存储的识别信息匹配失败；

在一实施例中，将所述AP的SSID与第二数据库中存储的SSID进行匹配，SSID匹配失败时，确定识别信息匹配失败；SSID匹配成功时，将所述AP的MAC地址与匹配得到的SSID对应的MAC地址进行匹配，MAC 地址匹配失败时，确定识别信息匹配失败；MAC地址匹配成功时，将所述AP的加密认证算法与匹配得到的MAC地址对应的加密认证算法进行匹配，加密认证算法匹配失败时，确定识别信息匹配失败；加密认证算法匹配成功时，确定识别信息匹配成功；

所述服务器可以为云端服务器；所述第二数据库中至少存储有合法AP的识别信息及非法AP的识别信息两类；

相应的，将所述识别信息与第二数据库中存储的识别信息进行匹配包括：将所述识别信息先与第二数据库中存储的合法AP的识别信息进行识别信息的匹配，再进行非法AP的识别信息进行识别信息的匹配，当合法AP的识别信息匹配成功时，不再进行非法AP识别信息的匹配；如此，可以提高对AP的合法性的识别速度。

在一实施例中，当终端进行的对所述AP的识别信息匹配失败，但用户确认该AP为该用户私用AP时，可由用户触发保存所述AP的识别信息及合法性至第一数据库；如此，避免了终端每次连接该AP时进行的识别信息的匹配过程及不必要的风险提醒，增强用户体验感。

在一实施例中，所述将所述识别信息与第二数据库中存储的识别信息进行匹配之前，所述方法还包括：

所述服务器获取并记录AP的合法性信息及识别信息至第二数据库；包括：所述服务器通过AP运营企业、组织或个人进行的对合法AP或非法AP的注册获取AP的识别信息，然后对所述AP的注册信息进行正确性确认，当确认了该AP的合法性时，将该AP的合法性信息及识别信息记录至第二数据库；当服务器不能确定该AP的合法性时，不进行对该AP相关信息的记录；

其中，对所述AP的注册信息进行正确性确认，可以通过技术手段和/或信任机制进行对所述AP的注册信息正确性的确认；

这里，通过技术手段进行对所述AP的注册信息正确性的确认包括：通过对所述AP进行验证测试，如与已知合法AP是否有冲突；或通过连接该AP进行网络操作并监测是否产生风险；或通过对用户提交的相关信息进行的分析判断等；

通过信任机制进行对所述AP的注册信息正确性的确认包括：通过对注册所述AP的用户的分析，如用户为某可信任的运营商，则认为其提供的信息为合法可信的。

在一实施例中，当服务器确定所述AP为未知AP时，所述服务器返回的查询结果中则包括所述AP为未知AP的信息；可以包括：所述AP为未知AP及所述AP识别信息匹配情况，如：SSID匹配失败/MAC地址匹配失败/加密认证算法匹配失败；

相应的，终端依据所述服务器返回的查询结果建立或拒绝建立与所述AP之间的连接之前，所述方法还包括：

生成并显示所述AP为未知AP的一级或二级警告；

这里，所述AP为未知AP的一级警告与二级警告可分别对应所述AP存在风险的不同程度，即所述未知AP为非法AP的可能性大小；如：当所述AP的加密认证算法匹配失败时，则认为该AP存在很大风险，终端则显示并生成所述AP为未知AP的一级警告；如此，可提醒用户勿轻易连接。

在一实施例中，当所述查询结果包括所述AP为未知AP的信息时，依据所述服务器返回的查询结果建立或拒绝建立与所述AP之间的连接之后，所述方法还包括：

终端为所述AP进行可信度评分，并将评分结果上报至所述服务器；

相应的，所述第二数据库还存储有未知AP的识别信息及相应的可信度评分；

这里，所述评分结果用作服务器再次接收所述AP的合法性查询请求时，返回的查询结果中的参考信息；

所述评分结果用作服务器再次接收所述AP的合法性查询请求时，返回的查询结果中的参考信息，即当其他终端向服务器发送该AP的合法性查询请求时，服务器返给该终端的查询结果中包含对该AP的评分信息，以便作为用户是否连接该AP的参考依据。

在一实施例中，当服务器进行的对所述AP的识别信息匹配成功时，服务器返给所述终端的查询结果中包括所述AP的合法性信息；

相应的，所述方法还包括：记录所述AP的识别信息及所述AP的合法性信息至第一数据库并更新所述第一数据库；以便于终端再次连接所述AP时，自身完成对所述AP合法性的识别，提高了识别速度；

由于所述第一数据库存储空间的限制，可设置所述第一数据库存储的AP信息的数目，如可存储1000条AP信息；相应的，所述更新所述第一数据库包括：当所述第一数据库存储的AP信息条目达到上限时，用最新记录的所述AP的识别信息及所述AP的合法性信息替换记录时间最早的AP的相关信息，或用最新记录的所述AP的识别信息及所述AP的合法性信息替换最久未被使用的AP的相关信息。

在一实施例中，当终端进行的对所述AP的识别信息匹配失败，且无法建立与服务器的连接时，终端生成并显示所述AP为未知AP的一级或二级警告。

在一实施例中，所述确定所述AP的合法性之后，所述方法还包括：

终端依据确定的所述AP合法性建立或拒绝建立与所述AP之间的连接；包括：若确定所述AP为合法AP，则终端建立与所述AP之间的连接，若确定所述AP为非法AP，则终端拒绝建立与所述AP之间的连接。

实施例二

图2为本发明实施例二识别AP合法性的方法流程示意图；应用于终端未建立Wi-Fi连接的场景下，如图2所示，本发明实施例识别AP合法性的方法包括：

步骤201：终端搜索并确定待连接AP；

这里，终端搜索并确定待连接的AP可以为终端自动执行的对可用AP的搜索及确定，也可以为在用户触发的情况下进行的对可用AP的搜索及确定。

步骤202：获取所述待连接AP的识别信息；

在本实施例中，所述AP的识别信息包括：所述AP的SSID、所述AP的MAC地址及所述AP的加密认证算法。

步骤203：将所述识别信息与第一数据库中存储的识别信息进行识别信息匹配；

本步骤包括：终端将所述AP的SSID与第一数据库中存储的SSID进行匹配，SSID匹配失败时，确定识别信息匹配失败；SSID匹配成功时，将所述AP的MAC地址与匹配得到的SSID对应的MAC地址进行匹配，MAC地址匹配失败时，确定识别信息匹配失败；MAC地址匹配成功时，将所述AP的加密认证算法与匹配得到的MAC地址对应的加密认证算法进行匹配，加密认证算法匹配失败时，确定识别信息匹配失败；加密认证算法匹配成功时，确定识别信息匹配成功；

在本实施例中，所述第一数据库中存储的AP的识别信息分为合法AP的识别信息及非法AP的识别信息两类；

相应的，将所述识别信息与第一数据库中存储的识别信息进行识别信息匹配包括：

将所述识别信息先与第一数据库中存储的合法AP的识别信息进行识别信息的匹配，再进行非法AP的识别信息进行识别信息的匹配，当合法AP的识别信息匹配成功时，不再进行非法AP识别信息的匹配。

在本实施例中，终端进行的识别信息的匹配，确定匹配成功。

步骤204：识别信息匹配成功，确定所述AP的合法性，并依据所所述AP的合法性建立或拒绝建立与所述AP的连接；

终端依据确定的所述AP合法性建立或拒绝建立与所述AP之间的连接；包括：若确定所述AP为合法AP，则终端建立与所述AP之间的连接，若确定所述AP为非法AP，则终端拒绝建立与所述AP之间的连接；在本实施例中，确定所述AP合法，即终端建立与所述AP之间的连接。

实施例三

图3为本发明实施例三识别AP合法性的方法流程示意图；应用于终端已建立Wi-Fi连接的场景下，如图3所示，本发明实施例识别AP合法性的方法包括：

步骤301：终端搜索并确定待连接AP；

这里，终端搜索并确定待连接的AP可以为终端被动的被当前连接的AP断开了连接而进行的对AP的搜索及确定，或者是终端对更强信号的AP的搜索及确定。

步骤302：获取所述待连接AP的识别信息；

步骤303：将所述识别信息与第一数据库中存储的识别信息进行识别信息匹配；

在本实施例中，终端将所述AP的SSID与第一数据库中存储的SSID进行匹配，SSID匹配失败，即所述AP为未知AP。

步骤304：确定识别信息匹配失败，发送所述AP的合法性查询请求给服务器；

这里，所述AP的合法性查询请求中包括所述AP的识别信息。

步骤305：服务器将所述识别信息与第二数据库中存储的识别信息进行识别信息匹配；

本步骤之前，所述方法还包括：

在一实施例中，本步骤包括：服务器将所述AP的SSID与第二数据库中存储的SSID进行匹配，SSID匹配失败时，确定识别信息匹配失败；SSID匹配成功时，将所述AP的MAC地址与匹配得到的SSID对应的MAC地址进行匹配，MAC地址匹配失败时，确定识别信息匹配失败；MAC地址匹配成功时，将所述AP的加密认证算法与匹配得到的MAC地址对应的加密认证算法进行匹配，加密认证算法匹配失败时，确定识别信息匹配失败；加密认证算法匹配成功时，确定识别信息匹配成功；

在本实施例中，所述服务器为云端服务器；所述第二数据库中存储有合法AP的识别信息及非法AP的识别信息两类；

相应的，将所述识别信息与第二数据库中存储的识别信息进行识别信息匹配包括：将所述识别信息先与第二数据库中存储的合法AP的识别信息进行识别信息的匹配，再进行非法AP的识别信息进行识别信息的匹配，当合法AP的识别信息匹配成功时，不再进行非法AP识别信息的匹配；如此，可以提高对AP的合法性的识别速度。

在本发明实施例中，进行的识别信息的匹配，确定匹配成功。

步骤306：识别信息匹配成功，服务器确定所述AP的合法性，并返回包含所述AP合法性信息的查询结果给终端；

这里，当服务器进行的对所述AP的识别信息的匹配成功时，可依据第二数据库中存储的对应所述AP的识别信息的合法性信息确定所述AP是否合法。

步骤307：终端依据服务器返回的查询结果建立或拒绝建立与所述AP之间的连接；

本步骤包括：若确定所述AP为合法AP，则终端建立与所述AP之间的连接，若确定所述AP为非法AP，则终端拒绝建立与所述AP之间的连接；在本实施例中，确定所述AP为非法AP，即终端拒绝建立与所述AP之间的连接。

步骤308：终端记录所述AP的合法性信息及识别信息至第一数据库并更新所述第一数据库；

实施例四

图4为本发明实施例四识别AP合法性的方法流程示意图；应用于终端已建立Wi-Fi连接的场景下，如图4所示，本发明实施例识别AP合法性的方法包括：

步骤401：终端搜索并确定待连接AP；

这里，终端搜索并确定待连接的AP可以为终端被动的被当前连接的 AP断开了连接而进行的对AP的搜索及确定，或者是终端对更强信号的AP的搜索及确定。

步骤402：获取所述待连接AP的识别信息；

步骤403：将所述识别信息与第一数据库中存储的识别信息进行识别信息匹配；

本步骤之前，所述方法还包括：

服务器获取并记录AP的合法性信息及识别信息至第二数据库；包括：所述服务器通过AP运营企业、组织或个人进行的对合法AP或非法AP的注册获取AP的识别信息，然后对所述AP的注册信息进行正确性确认，当确认了该AP的合法性时，将该AP的合法性信息及识别信息记录至第二数据库；当服务器不能确定该AP的合法性时，不进行对该AP相关信息的记录；

通过信任机制进行对所述AP的注册信息正确性的确认包括：通过对注册所述AP的用户信息的分析，如用户为某可信任的运营商，则认为其提供的信息为合法可信的。

在本实施例中，终端将所述AP的MAC地址与第一数据库中存储的MAC地址进行匹配时，MAC地址匹配失败。

步骤404：确定识别信息匹配失败，发送所述AP的合法性查询请求给服务器；

这里，所述AP的合法性查询请求中包括所述AP的识别信息。

步骤405：服务器将所述识别信息与第二数据库中存储的识别信息进行识别信息匹配；

本步骤包括：服务器将所述AP的SSID与第二数据库中存储的SSID进行匹配，SSID匹配失败时，确定识别信息匹配失败；SSID匹配成功时，将所述AP的MAC地址与匹配得到的SSID对应的MAC地址进行匹配，MAC地址匹配失败时，确定识别信息匹配失败；MAC地址匹配成功时，将所述AP的加密认证算法与匹配得到的MAC地址对应的加密认证算法进行匹配，加密认证算法匹配失败时，确定识别信息匹配失败；加密认证算法匹配成功时，确定识别信息匹配成功；

在本发明实施例中，服务器进行对所述AP的SSID与第二数据库中存储的SSID的匹配时，确定匹配失败，即确定所述AP为未知AP。

步骤406：识别信息匹配失败，服务器确定所述AP为未知AP，并返回包含所述AP为未知AP的信息的查询结果给终端；

这里，所述AP为未知AP的信息包括：所述AP为未知AP及所述AP识别信息匹配情况，如：SSID匹配失败/MAC地址匹配失败/加密认证算法匹配失败；

在本实施例中，所述查询结果中包括：所述AP为未知AP，对所述AP进行的MAC地址匹配失败。

步骤407：终端依据服务器返回的查询结果生成并显示所述AP为未知AP的二级警告；

这里，所述终端可依据服务器返回的查询结果生成并显示所述AP为未知AP的一级或二级警告；所述一级警告与二级警告可分别对应所述AP存在风险的不同程度；如：当所述AP的加密认证算法匹配失败时，则认为该AP存在很大风险，终端则显示并生成所述AP为未知AP的一级警告；当所述AP的SSID匹配失败/MAC地址匹配失败时，则生成并显示所述AP为未知AP的二级警告，以提示用户该AP存在一定风险。

步骤408：终端建立与所述AP之间的连接；

这里，终端建立与所述AP之间连接的操作由用户依据终端显示的二级警告触发。

步骤409：终端对所述AP进行可信度评分，并将评分结果上报至所述服务器存储；

在本发明实施例中，所述第二数据库还存储有未知AP的识别信息及相应的可信度评分；

所述评分结果用作服务器再次接收所述AP的合法性查询请求时，返回的查询结果中的参考信息；

实施例五

图5为本发明实施例终端的组成结构示意图；如图5所示，本发明实施例终端的组成结构包括：获取模块51及匹配模块52；其中，

所述获取模块51，配置为获取待连接AP的识别信息；

所述匹配模块52，配置为将所述识别信息与第一数据库中存储的识别信息进行匹配，匹配成功时，确定所述AP的合法性。

在一实施例中，所述终端还包括：搜索模块53，配置为搜索并确定所述待连接AP。

在一实施例中，所述识别信息包括：所述AP的SSID、所述AP的MAC地址及所述AP的加密认证算法；

相应的，所述匹配模块52，配置为将所述AP的SSID、MAC地址及加密认证算法分别与第一数据库中存储的SSID、MAC地址及加密认证算法分别进行匹配，当SSID、MAC地址及加密认证算法均匹配成功时，确定所述AP的识别信息与第一数据库中存储的识别信息匹配成功；否则，确定所述AP的识别信息与第一数据库中存储的识别信息匹配失败；

在一实施例中，所述匹配模块52，配置为将所述AP的SSID与第一数据库中存储的SSID进行匹配，SSID匹配失败时，确定识别信息匹配失败；SSID匹配成功时，将所述AP的MAC地址与匹配得到的SSID对应的AP的MAC地址进行匹配，MAC地址匹配失败时，确定识别信息匹配失败；MAC地址匹配成功时，将所述AP的加密认证算法与匹配得到的MAC地址对应的加密认证算法进行匹配，加密认证算法匹配失败时，确定识别信息匹配失败；加密认证算法匹配成功时，确定识别信息匹配成功。

相应的，所述匹配模块52将所述识别信息与第一数据库中存储的识别信息进行匹配包括：

所述匹配模块52将所述识别信息先与第一数据库中存储的合法AP的识别信息进行匹配，再进行非法AP的识别信息进行匹配，当合法AP的识别信息匹配成功时，不再进行非法AP识别信息的匹配；如此，可以提高对AP的合法性的识别速度。

在一实施例中，所述匹配模块52，还配置为确定识别信息匹配失败时，发送所述AP的合法性查询请求给服务器；以便所述服务器将所述识别信息与第二数据库中存储的识别信息进行识别信息匹配，识别信息匹配成功时，确定所述AP的合法性；识别信息匹配失败时，确定所述AP为未知AP；

所述AP的合法性查询请求中包括所述AP的识别信息；

相应的，所述终端还包括第一控制模块54，配置为依据所述服务器返回的查询结果建立或拒绝建立与所述AP之间的连接；

所述匹配模块52进行的识别信息匹配失败可能由于SSID匹配失败，即当前待连接的AP为未知AP，也可能由于MAC地址匹配失败，还可能由于加密认证算法匹配失败；当识别信息匹配失败的原因是由于加密认证算法匹配失败时，该AP为非法AP的可能性就非常高，需要寻求服务器的再次匹配确认，但也有可能是因为该AP的加密设置被修改；

这里，所述服务器可以为云端服务器；所述第二数据库中至少存储有合法AP的识别信息及非法AP的识别信息两类。

在一实施例中，所述查询结果包括：所述AP为未知AP的信息；可以包括：所述AP为未知AP及所述AP识别信息匹配情况，如：SSID匹配失败/MAC地址匹配失败/加密认证算法匹配失败；

相应的，所述终端还包括警告模块55，配置为生成并显示所述AP为未知AP的一级或二级警告；

这里，所述AP为未知AP的一级警告与二级警告可分别对应所述AP存在风险的不同程度；如：当所述AP的加密认证算法匹配失败时，则认为该AP存在很大风险，终端则显示并生成所述AP为未知AP的一级警告；如此，可提醒用户勿轻易连接。

在一实施例中，所述查询结果包括：所述AP为未知AP的信息；

相应的，所述终端还包括评分模块56，配置为为所述AP进行可信度评分，并将评分结果上报至所述服务器；所述评分结果用作服务器再次接收所述AP的合法性查询请求时，返回的查询结果中的参考信息。

在一实施例中，所述查询结果包括：所述AP的合法性信息；

相应的，所述终端还包括更新模块57，配置为记录所述AP的识别信息及所述AP的合法性信息至第一数据库并更新所述第一数据库。

在一实施例中，所述终端还包括第二控制模块58，配置为依据确定的所述AP合法性建立或拒绝建立与所述AP之间的连接；

第二控制模块58依据确定的所述AP合法性建立或拒绝建立与所述AP之间的连接包括：

第二控制模块58若确定所述AP为合法AP，则建立与所述AP之间的连接，若确定所述AP为非法AP，则终端拒绝建立与所述AP之间的连接。

在一实施例中，所述警告模块55，还配置为匹配模块52无法建立与服务器的连接时，生成并显示所述AP为未知AP的一级或二级警告。

实施例六

图6为本发明实施例识别AP合法性的系统组成结构示意图；如图6所示，本发明实施例识别AP合法性的系统组成包括：终端61及服务器62；其中，

所述终端61，配置为获取待连接AP的识别信息，将所述识别信息与第一数据库中存储的识别信息进行识别信息匹配，识别信息匹配成功时，确定所述AP的合法性；确定识别信息匹配失败时，发送所述AP的合法性查询请求给服务器；

所述服务器62，配置为接收所述AP的合法性查询请求，并返回查询结果给所述终端。

在一实施例中，所述终端61，还配置为搜索并确定所述待连接AP。

相应的，所述终端61，配置为将所述AP的SSID、MAC地址及加密认证算法分别与第一数据库中存储的SSID、MAC地址及加密认证算法分别进行匹配，当SSID、MAC地址及加密认证算法均匹配成功时，确定所述AP的识别信息与第一数据库中存储的识别信息匹配成功；否则，确定所述AP的识别信息与第一数据库中存储的识别信息匹配失败；

在一实施例中，所述终端61，配置为将所述AP的SSID与第一数据库中存储的SSID进行匹配，SSID匹配失败时，确定识别信息匹配失败；SSID匹配成功时，将所述AP的MAC地址与匹配得到的SSID对应的AP的MAC地址进行匹配，MAC地址匹配失败时，确定识别信息匹配失败；MAC地址匹配成功时，将所述AP的加密认证算法与匹配得到的MAC地址对应的AP的加密认证算法进行匹配，加密认证算法匹配失败时，确定识别信息匹配失败；加密认证算法匹配成功时，确定识别信息匹配成功。

相应的，所述终端61将所述识别信息与第一数据库中存储的识别信息进行识别信息匹配包括：

所述终端61将所述识别信息先与第一数据库中存储的合法AP的识别信息进行识别信息的匹配，再进行非法AP的识别信息进行识别信息的匹配，当合法AP的识别信息匹配成功时，不再进行非法AP识别信息的匹配；如此，可以提高对AP的合法性的识别速度。

在一实施例中，所述AP的合法性查询请求中包括所述AP的识别信息；

相应的，所述服务器62，还配置为将所述识别信息与第二数据库中存储的识别信息进行识别信息匹配，识别信息匹配成功时，确定所述AP的合法性；识别信息匹配失败时，确定所述AP为未知AP。

在一实施例中，所述服务器62将所述识别信息与第二数据库中存储的识别信息进行识别信息匹配包括：

所述服务器62将所述AP的SSID、MAC地址及加密认证算法分别与第二数据库中存储的SSID、MAC地址及加密认证算法分别进行匹配，当SSID、MAC地址及加密认证算法均匹配成功时，确定所述AP的识别信息与第二数据库中存储的识别信息匹配成功；否则，确定所述AP的识别信息与第二数据库中存储的识别信息匹配失败；

在一实施例中，所述服务器62将所述AP的SSID与第二数据库中存储的SSID进行匹配，SSID匹配失败时，确定识别信息匹配失败；SSID匹配成功时，将所述AP的MAC地址与匹配得到的SSID对应的MAC地址进行匹配，MAC地址匹配失败时，确定识别信息匹配失败；MAC地址匹配成功时，将所述AP的加密认证算法与匹配得到的MAC地址对应的加密认证算法进行匹配，加密认证算法匹配失败时，确定识别信息匹配失败；加密认证算法匹配成功时，确定识别信息匹配成功；

所述第二数据库中至少存储有合法AP的识别信息及非法AP的识别信息两类；

相应的，所述服务器62将所述识别信息与第二数据库中存储的识别信息进行匹配包括：

所述服务器62将所述识别信息先与第二数据库中存储的合法AP的识别信息进行识别信息的匹配，再进行非法AP的识别信息进行识别信息的匹配，当合法AP的识别信息匹配成功时，不再进行非法AP识别信息的匹配；如此，可以提高对AP的合法性的识别速度。

在一实施例中，所述查询结果包括：所述AP为未知AP的信息；

相应的，所述终端61，还配置为生成并显示所述AP为未知AP的一级或二级警告。

在一实施例中，所述查询结果包括：所述AP为未知AP的信息；

相应的，所述终端61，还配置为为所述AP进行可信度评分，并将评分结果上报至所述服务器62；

相应的，所述服务器62将所述未知AP的识别信息及可信度评分存储至第二数据库；

所述服务器62再次接收所述AP的合法性查询请求时，将所述评分结果作为返回的查询结果中的参考信息。

在一实施例中，所述查询结果包括：所述AP的合法性信息；

相应的，所述终端61，还配置为记录所述AP的识别信息及所述AP的合法性信息至第一数据库并更新所述第一数据库。

在一实施例中，所述终端61，还配置为依据确定的所述AP合法性建立或拒绝建立与所述AP之间的连接；或者，依据服务器返回的查询结果建立或拒绝建立与所述AP之间的连接。

在一实施例中，所述服务器62，还配置为获取并记录AP的合法性信息及识别信息至第二数据库；

这里，所述服务器62获取AP的合法性信息及识别信息包括：

所述服务器62通过AP运营企业、组织或个人进行的对合法AP或非法AP的注册获取AP的识别信息，然后对所述AP的注册信息进行正确性确认，当确认了该AP的合法性时，将该AP的合法性信息及识别信息记录至第二数据库；当服务器不能确定该AP的合法性时，不进行对该AP相关信息的记录；

在一实施例中，所述服务器62，还配置为对第二数据库中存储的AP的信息进行维护和更新，如对AP加密认证算法的更新。对被停用的AP信息的更新、对未知AP确定其合法性后的信息的更新等。

本发明实施例中提出的所述获取模块、匹配模块、搜索模块、第一控制模块、警告模块、评分模块、更新模块及第二控制模块均可以通过处理器来实现，当然也可通过具体的逻辑电路实现；在实际应用中，处理器可以为中央处理器(CPU)、微处理器(MPU)或现场可编程门阵列(FPGA)等。

本发明实施例中，如果以软件功能模块的形式实现上述识别AP合法性的方法，并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read Only Memory，ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本发明实施例不限制于任何特定的硬件和软件结合。

相应地，本发明实施例还提供一种计算机存储介质，该计算机存储介质中存储有计算机程序，该计算机程序用于执行本发明实施例的上述识别AP合法性的方法。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

Claims

一种识别无线接入点AP合法性的方法，所述方法包括：

终端获取待连接AP的识别信息；

将所述识别信息与第一数据库中存储的识别信息进行匹配，匹配成功时，确定所述AP的合法性。
根据权利要求1所述方法，其中，所述识别信息包括：所述AP的服务集标识SSID、所述AP的介质访问控制MAC地址及所述AP的加密认证算法；

相应的，将所述识别信息与第一数据库中存储的识别信息进行匹配，包括：

将所述AP的SSID、MAC地址及加密认证算法分别与第一数据库中存储的SSID、MAC地址及加密认证算法进行匹配，当SSID、MAC地址及加密认证算法均匹配成功时，确定所述AP的识别信息与第一数据库中存储的识别信息匹配成功；否则，确定所述AP的识别信息与第一数据库中存储的识别信息匹配失败。
根据权利要求1或2所述方法，其中，所述方法还包括：

确定识别信息匹配失败时，发送所述AP的合法性查询请求，并依据返回的查询结果建立或拒绝建立与所述AP之间的连接。
根据权利要求3所述方法，其中，所述查询结果包括：所述AP为未知AP的信息；

相应的，依据返回的查询结果建立或拒绝建立与所述AP之间的连接之前，所述方法还包括：

生成并显示所述AP为未知AP的一级或二级警告。
根据权利要求3所述方法，其中，所述查询结果包括：所述AP为未知AP的信息；

相应的，依据返回的查询结果建立或拒绝建立与所述AP之间的连接之后，所述方法还包括：

为所述AP进行可信度评分，并上报评分结果；所述评分结果用作再次发送所述AP的合法性查询请求时，返回的查询结果中的参考信息。
根据权利要求3所述方法，其中，所述查询结果包括：所述AP的合法性信息；

相应的，所述方法还包括：记录所述AP的识别信息及所述AP的合法性信息至第一数据库并更新所述第一数据库。
根据权利要求4-6任一项所述方法，其中，所述AP的合法性查询请求中包括所述AP的识别信息；

所述识别信息，用于服务器将所述识别信息与第二数据库中存储的识别信息进行匹配，匹配成功时，确定所述AP的合法性；匹配失败时，确定所述AP为未知AP。
一种终端，所述终端包括：获取模块及匹配模块；其中，

所述获取模块，配置为获取待连接AP的识别信息；

所述匹配模块，配置为将所述识别信息与第一数据库中存储的识别信息进行匹配，匹配成功时，确定所述AP的合法性。
根据权利要求8所述终端，其中，所述识别信息包括：所述AP的SSID、所述AP的MAC地址及所述AP的加密认证算法；

相应的，所述匹配模块，配置为将所述AP的SSID、MAC地址及加密认证算法分别与第一数据库中存储的SSID、MAC地址及加密认证算法分别进行匹配，当SSID、MAC地址及加密认证算法均匹配成功时，确定所述AP的识别信息与第一数据库中存储的识别信息匹配成功；否则，确定所述AP的识别信息与第一数据库中存储的识别信息匹配失败。
根据权利要求8或9所述终端，其中，所述匹配模块，还配置为确定识别信息匹配失败时，发送所述AP的合法性查询请求；

相应的，所述终端还包括第一控制模块，配置为依据返回的查询结果建立或拒绝建立与所述AP之间的连接。
根据权利要求10所述终端，其中，所述查询结果包括：所述AP为未知AP的信息；

相应的，所述终端还包括警告模块，配置为生成并显示所述AP为未知AP的一级或二级警告。
根据权利要求10所述终端，其中，所述查询结果包括：所述AP为未知AP的信息；

相应的，所述终端还包括评分模块，配置为为所述AP进行可信度评分，并上报评分结果；所述评分结果用作再次发送所述AP的合法性查询请求时，返回的查询结果中的参考信息。
根据权利要求10所述终端，其中，所述查询结果包括：所述AP的合法性信息；

相应的，所述终端还包括更新模块，配置为记录所述AP的识别信息及所述AP的合法性信息至第一数据库并更新所述第一数据库。
一种识别AP合法性的系统，所述系统包括：终端及服务器；其中，

所述终端，配置为获取待连接AP的识别信息，将所述识别信息与第一数据库中存储的识别信息进行匹配，匹配成功时，确定所述AP的合法性；匹配失败时，发送所述AP的合法性查询请求给服务器；

所述服务器，配置为接收所述AP的合法性查询请求，并返回查询结果给所述终端。
根据权利要求14所述系统，其中，所述识别信息包括：所述AP的SSID、所述AP的MAC地址及所述AP的加密认证算法；

相应的，所述终端，配置为将所述AP的SSID、MAC地址及加密认证算法分别与第一数据库中存储的SSID、MAC地址及加密认证算法分别进行匹配，当SSID、MAC地址及加密认证算法均匹配成功时，确定所述AP的识别信息与第一数据库中存储的识别信息匹配成功；否则，确定所述AP的识别信息与第一数据库中存储的识别信息匹配失败。
根据权利要求14或15所述系统，其中，所述AP的合法性查询请求中包括所述AP的识别信息；

相应的，所述服务器，还配置为将所述识别信息与第二数据库中存储的识别信息进行匹配，匹配成功时，确定所述AP的合法性；匹配失败时，确定所述AP为未知AP。
根据权利要求14或15所述系统，其中，所述查询结果包括：所述AP为未知AP的信息；

相应的，所述终端，还配置为生成并显示所述AP为未知AP的一级或二级警告。
根据权利要求14或15所述系统，其中，所述查询结果包括：所述AP为未知AP的信息；

相应的，所述终端，还配置为为所述AP进行可信度评分，并将评分结果上报至所述服务器；所述评分结果用作服务器再次接收所述AP的合法性查询请求时，返回的查询结果中的参考信息。
根据权利要求14或15所述系统，其中，所述查询结果包括：所述AP的合法性信息；

相应的，所述终端，还配置为记录所述AP的识别信息及所述AP的合法性信息至第一数据库并更新所述第一数据库。
根据权利要求14或15所述系统，其中，所述服务器，还配置为获取并记录AP的合法性信息及识别信息至第二数据库。
一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，该计算机可执行指令用于执行权利要求1至7任一项所述的识别AP合法性的方法。