本发明专利技术公开了一种结合物理认证因素的Wi‑Fi口令动态更新方法及系统。本方法为:移动终端获取无线接入点的初始Wi‑Fi口令;其中,物理认证参数生成及发布设备按照设定时间周期更新并在设定的受控物理环境中发布物理认证参数,以及根据当前发布的所述物理认证参数和之前的Wi‑Fi口令计算当前使用的Wi‑Fi口令;移动终端收到Wi‑Fi信号后,判断当前使用的Wi‑Fi口令是否已更新,如果已更新,则在所述受控物理环境中获取所述物理认证参数生成及发布设备当前发布的所述物理认证参数;然后所述移动终端根据当前收到的所述物理认证参数和之前使用的Wi‑Fi口令计算当前使用的Wi‑Fi口令。
【技术实现步骤摘要】
一种结合物理认证因素的Wi-Fi口令动态更新方法及系统
本专利技术属于无线技术、信息安全
,涉及一种结合物理认证因素的Wi-Fi口令动态更新方法及系统;适用于单位内部的Wi-Fi接入认证的应用场景,同时支持访客的临时访问。
技术介绍
随着互联网及移动互联网的发展,Wi-Fi的覆盖范围已遍及住宅、工作场所、交通工具等各种场所。Wi-Fi网络成为人们工作生活所必不可少的通信工具,询问Wi-Fi口令已成为人们进入新场所要做的第一件事。在Wi-Fi普及的同时,Wi-Fi的安全问题也日益受到人们的关注,央视315晚会连续两年报道公共免费Wi-Fi存在安全隐患,并现场演示了通过公开Wi-Fi获取用户的隐私信息:用户接入晚会现场的公开Wi-Fi后打开一两个常用应用,浏览一下消费记录,该用户的姓名、手机号、银行卡号和身份证号等信息就在大屏幕上显示了出来。当人们通过Wi-Fi访问互联网时,移动终端会将通信数据以无线电波的形式发送给无线接入点,任何能够接收到无线电波的设备均可截获移动终端收发的数据。同时,公开Wi-Fi对其传输的数据不进行加密处理,一旦移动终端或无线接入点通过Wi-Fi传输了隐私数据,他人就可以获取到这些隐私信息。为了保护经Wi-Fi传输的数据的机密性和完整性,同时确保只有授权用户能够访问Wi-Fi,国际电工电子工程学会(IEEE)制定了802.11i标准,该标准规定了Wi-Fi接入认证和通讯加密等过程的安全要求及技术规范,正确应用上述标准可以确保无线通信的机密性和完整性,以及Wi-Fi的可控访问。802.11i规定了多种认证协议,可以实现不同的安全目标。其中的WPA/2-Personal是一种基于口令的无线认证协议,无线接入点和移动终端通过带外方式共享相同的口令。两者经过四次握手完成双向认证,同时产生后续通讯的会话密钥,通信数据使用该会话密钥加密后传输。即使移动应用在发送用户隐私数据时并未加密,无线网卡也会对其发出的数据进行加密。攻击者即使截获了通信数据,也无法获得用户的隐私数据。四次握手所需的主密钥由口令经过伪随机数生成函数产生。在WPA/2-Personal认证协议中,口令是身份鉴别和通信保密的基础。但在实际应用中,人们倾向于选择简单的Wi-Fi口令,且口令长期不变,这极易导致Wi-Fi口令泄露。一旦Wi-Fi口令泄露,该Wi-Fi就和公开Wi-Fi没有区别。非法用户不仅可以通过无线接入点的认证,抢占Wi-Fi流量,影响合法用户的上网体验,也能冒充无线接入点,欺骗移动终端与之建立连接,截获移动终端发送的数据包,还能解密无线接入点和移动终端之间收发的数据包。WPA/2-Enterprise为Wi-Fi提供了更高级别的安全保障。移动终端首先和无线接入点后台的服务器进行TLS协商,产生的会话密钥将作为后续移动终端和无线接入点进行四次握手的主密钥,之后在TLS隧道中服务器鉴别移动终端的用户身份。鉴别完毕后,服务器将主密钥发送给无线接入点,无线接入点和移动终端经过四次握手完成双向认证和会话密钥的协商。在WPA/2-Enterprise标准中,移动终端通过Wi-Fi访问互联网时,加密通信数据使用的会话密钥最终由移动终端和服务器的TLS协商过程派生而来,通信的安全性依赖于TLS协议而非固定不变的口令。但是此种认证方式要求管理员为每个用户预先创建账户,对于临时访问Wi-Fi的用户,还需要为临时账户设置访问期。管理员需要维护不断更新的数据库,维护成本较高。WebPortal认证是另外一种常见的Wi-Fi认证方案,严格上讲,该方案是用户管理方案而非Wi-Fi认证方案。移动终端接入Wi-Fi后,无线接入点首先会拒绝其对外网的访问,用户只有在内网Portal网站上登录后才能访问外网。该方案支持用户自己创建用户账户,无需管理员的参与。但是此种认证方式的安全性取决于移动终端在接入Wi-Fi时使用的认证方式,如果Wi-Fi本身时公开的,那么移动终端的通信数据也是未经加密处理就传输的,同样存在隐私数据泄露的隐患。
技术实现思路
本专利技术针对单位内部的Wi-Fi环境,提出了一种结合物理认证因素的Wi-Fi口令动态更新方法及系统,能够解决Wi-Fi口令简单且长期不变所带来的安全隐患,同时不降低用户体验。Wi-Fi口令按照设定的时间间隔自动更新。移动终端为了接入Wi-Fi,必须和无线接入点共享相同的口令。一旦无线接入点更新了Wi-Fi口令,移动终端也必须同步更新Wi-Fi口令,移动终端才能按照WPA/2-Personal标准接入Wi-Fi。为了更新Wi-Fi口令,持有移动终端的用户必须通过物理认证,进入单位内部设定的受控物理环境,移动终端才能更新Wi-Fi口令,从而接入Wi-Fi。本专利技术提出的Wi-Fi口令动态更新方法包含以下流程:口令初始化、物理认证参数的更新和发布、以及无线接入点和移动终端的口令更新。首先需要为无线接入点和移动终端设置初始口令。无线接入点的初始口令由Wi-Fi管理员手动设置,之后无线接入点按照设定的时间间隔自动更新口令。移动终端通过带外方式获得无线接入点当前的Wi-Fi口令,当前口令可以以文本消息、二维码、或者其他合适的方式传输,可以由Wi-Fi管理员分发给用户,也可以由获得了Wi-Fi口令的用户分发给其他用户。移动终端和无线接入点共享相同的Wi-Fi口令,移动终端能够使用标准的WPA/2-Personal协议接入Wi-Fi。物理认证参数是指移动终端只有在受控物理环境中才能获得的参数,是更新Wi-Fi口令的必需参数。在设定的口令更新时点,指定的物理认证参数生成及发布设备会生成新的物理认证参数并将其发布到设定的受控物理环境中,无线接入点从物理认证参数生成及发布设备获取新的物理认证参数。在实际的部署中,为了保证用户都能够接入Wi-Fi、有好的服务体验,Wi-Fi网络通常会部署多台无线接入点以保证Wi-Fi信号的覆盖范围,Wi-Fi信号范围通常都会大于受控物理环境的范围。可以指定其中的一台或者多台无线接入点作为物理认证参数生成及发布设备用以生成和发布物理认证参数,称之为主无线接入点,Wi-Fi网络内的其他无线接入点称为从无线接入点。主无线接入点借助其广播的Wi-Fi信标帧发布物理认证参数,参数承载于Wi-Fi信标帧的供应商自定义字段。为了保证只有经过物理认证、进入到受控物理环境内的移动终端才能获得物理认证参数,主无线接入点的Wi-Fi信号覆盖范围不得超出受控物理环境。从无线接入点的Wi-Fi信号覆盖范围不限于受控物理环境,但是从无线接入点不发布物理认证参数。物理认证参数更新间隔可以固定不变,也可以根据需求动态变化:例如,当遇到重大事情时,可以缩短更新周期。从无线接入点从主无线接入点获取物理认证参数的方式可以是和主无线接入点建立长连接,当物理认证参数更新时,主无线接入点将更新情况通知与之建立长连接的从无线接入点。也可以由从无线接入点主动向主无线接入点请求物理认证参数:如果物理认证参数更新间隔固定不变,从无线接入点可以以相同的时间间隔请求物理认证参数;如果物理认证参数更新间隔动态变化,主无线接入点在响应物理认证参数的同时声明该物理认证参数对应的有效期,从无线接入点物理认证参数有效期结束时再向主无线接入点请求新的物理认本文档来自技高网...
【技术保护点】
一种结合物理认证因素的Wi‑Fi口令动态更新方法,其步骤包括:无线接入点设有初始口令;移动终端获取无线接入点的当前口令作为初始口令;物理认证参数生成及发布设备按照设定时间周期更新并在设定的受控物理环境中发布物理认证参数;所述无线接入点从所述物理认证参数生成及发布设备获取所述物理认证参数,根据当前发布的所述物理认证参数和之前的Wi‑Fi口令计算当前使用的Wi‑Fi口令;所述移动终端收到Wi‑Fi信号后,判断当前使用的Wi‑Fi口令是否已更新,如果已更新,则在所述受控物理环境中获取所述物理认证参数生成及发布设备当前发布的所述物理认证参数;然后所述移动终端根据当前收到的所述物理认证参数和之前使用的Wi‑Fi口令计算当前使用的Wi‑Fi口令。
【技术特征摘要】
1.一种结合物理认证因素的Wi-Fi口令动态更新方法,其步骤包括:无线接入点设有初始口令;移动终端获取无线接入点的当前口令作为初始口令;物理认证参数生成及发布设备按照设定时间周期更新并在设定的受控物理环境中发布物理认证参数;所述无线接入点从所述物理认证参数生成及发布设备获取所述物理认证参数,根据当前发布的所述物理认证参数和之前的Wi-Fi口令计算当前使用的Wi-Fi口令;所述移动终端收到Wi-Fi信号后,判断当前使用的Wi-Fi口令是否已更新,如果已更新,则在所述受控物理环境中获取所述物理认证参数生成及发布设备当前发布的所述物理认证参数;然后所述移动终端根据当前收到的所述物理认证参数和之前使用的Wi-Fi口令计算当前使用的Wi-Fi口令。2.如权利要求1所述的方法,其特征在于,所述移动终端通过非无线信道传输的方式获得所述初始Wi-Fi口令。3.如权利要求1所述的方法,其特征在于,所述物理认证参数生成及发布设备根据需求生成并发布当次及后续若干次的物理认证参数。4.如权利要求1所述的方法,其特征在于,设定的口令更新周期长短是固定不变的,或者是随时动态调整的。5.如权利要求1或4所述的方法,其特征在于,所述无线接入点在广播Wi-Fi信标帧的同时声明其鉴别移动终端所用的Wi-Fi口令对应的序号或所属的口令更新周期;所述移动终端收到Wi-Fi信号后,根据Wi-Fi口令的序号或所述口令更新周期判断Wi-Fi口令是否已更新。6.如权利要求1所述的方法,其特征在于,所述无线接入点包括一主无线接入点和多个从无线接入点,所述物理认证参数生成及发布设备为所述主无线接入点;所述主无线接入点的Wi-Fi信号覆盖范围限制于所述受控物理环境中;所述主无线接入点按照固定不变的时间周期更新并利用Wi-Fi信标帧发布所述物理认证参数,所述物理认证参数存储于所述Wi-Fi信标帧的供应商自定义字段;各所述从无线接入点按照相同时间...
【专利技术属性】
技术研发人员:王琼霄,林璟锵,陈逸恺,曹洪瑾,
申请(专利权)人:中国科学院数据与通信保护研究教育中心,中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。