WiFi热点的安全登录方法及系统技术方案

本发明专利技术提出一种WiFi热点的安全登录方法及系统，是在热点的SSID中嵌入一个全局唯一的标签，服务器将该标签作为关键线索来查询热点的描述信息，用户通过发送自服务器的热点描述信息来识别周边的热点；通过在请求登录热点的用户和热点的主人之间建立联系人关系，使得用户能够登录所有以其本人或其联系人为主人的热点；位于互联网的服务器维护并使用预共享密钥来生成个人登录方式中用户所需的临时密钥，用户使用的终端通过派发自服务器的临时密钥与热点进行握手通信，降低了预共享密钥遭到泄露或破解的可能；用户通过在服务器注册的账号和密码来登录工作在任意登录方式下的热点，热点可根据需要在不同的登录方式之间任意切换，整个切换过程对用户透明。

【技术实现步骤摘要】

本专利技术涉及无线通信领域，尤其涉及一种实现终端安全登录WiFi热点的方法及系统。
技术介绍
WiFi是一种遵循IEEE 802. 11协议标准的无线局域网通信技术，一个WiFi热点(access point，AP)能够向登录的用户提供互联网接入服务，目前常用的WiFi安全登录协议WPA (Wi-Fi protected access)有个人和企业两种登录方式。每个热点有一个可任意设定的、最大长度为32个字节的SSID (service set identifier，服务集标识)，热点周期性地在其信道上广播该SSID，供终端扫描识别和登录连接。在个人登录方式中，用户通过终端登录热点的典型过程为：用户和热点事先约定一个预共享密钥PSlUpre-shared key，预共享密钥)，终端与热点进行四次握手通信来根据PSK生成一个临时密钥PTK (pairwise transient key，成对临时密钥）并继而使用生成的PTK建立加密的通信连接。在企业登录方式中，用户通过终端登录热点的典型过程为：用户通过终端经热点与位于互联网的认证服务器（比如RADIUS服务器)进行认证通信，服务器和终端在认证成功后分别生成一个主密钥PMK (pairwise master key，成对主密钥）且服务器将PMK发送给热点，其后终端与热点进行四次握手通信来根据PMK生成一个临时密钥PTK并继而使用生成的PTK建立加密的通信连接。在上述传统WPA个人和企业登录方式中的四次握手协议的过程为： (1)热点生成一个随机数Anonce并向终端发送第一握手消息，消息的内容包括{随机数Anonce，热点的MAC地址}； (2)终端生成一个随机数Bnonce并使用{PSK/PMK，随机数Anonce，热点的MAC地址，随机数Bnonce，终端的MAC地址}来生成一个临时密钥PTK。(3)终端生成一个完整性编码Amic并向热点发送第二握手消息，消息的内容包括{随机数Bnonce，终端的MAC地址，完整性编码Amic }; (4)热点使用{PSK/PMK，随机数Anonce，热点的MAC地址，随机数Bnonce，终端的MAC地址}来生成临时密钥PTK，然后验证完整性编码Amic来确认本地和终端生成的PTK是否一致； (5)热点生成一个完整性编码Bmic并向终端发送第三握手消息，消息的内容为{完整性编码Bmic}； (6)终端验证完整性编码Bmic;若验证通过，则终端生成一个完整性编码Cmic并向热点发送第四握手消息，消息的内容为{完整性编码Cmic};否则，终止处理Alice的登录请求； (7)热点验证完整性编码Cmic;若验证失败，则终止处理Alice的登录过程； (8)终端和热点使用PTK建立加密的通信连接。上述WiFi热点的安全登录方法存在一个较大的缺点:对采用个人登录方式的热点而言，其预共享密钥PSK需要向所有允许登录该热点的用户公开，密钥管理困难且容易泄露。现有技术针对个人登录方式的安全性问题提出了多种解决方案，其中包括: (I) 一种智能手机便携式热点安全接入的方法及系统，作为无线接入点的智能手机通过近场通信技术NFC与作为接入终端的智能手机进行WPA-PSK安全认证来生成加密通信所需的临时密钥，由于NFC的通信距离在10厘米以内，故而第三方难以破解PSK。(2)—种WiFi热点的登录方法及系统，位于互联网的服务器存储WiFi热点的登录信息(例如:WPA/WEP的密钥)，用户使用终端的WiFi网络接口登录第一 WiFi热点获取位于服务器的第二 WiFi热点的登录信息，或者用户以终端的移动网络接口接入互联网来获取位于服务器的第二 WiFi热点的登录信息，其后用户使用登录信息来登录第二 WiFi热点。(3) 一种预共享密钥的更新方法及系统，通信双方将待更新的预共享密钥所对应的素质数作为DifTie-Hellman密钥交换算法的质数参数P，然后通信双方使用质数参数P、小于P的正整数g，以及各自生成的随机数Sx和sy来分别计算PX和PY，通信双方继而交换PX和PY并使用{P，PX, PY, sx, sy}等参数来计算新的预共享密钥。分析可知，方案(I)和(3)针对个人登录方式，但是与IEEE 802.11的相关标准协议不兼容；方案(2)向终端用户公开登录密钥并在终端本地存储该密钥，缺乏安全性。这些方案在实施难度和安全性上有较大缺陷。
技术实现思路
为解决上述问题，本专利技术首先提出一种安全可靠的WiFi热点的安全登录方法。本专利技术的又一目的是提出一种安全可靠的WiFi热点的安全登录系统。为了解决上述技术问题，本专利技术的技术方案为: 一种WiFi热点的安全登录方法，该方法涉及一个位于互联网的服务器SVR、多个提供个人或企业登录方式的热点{API, AP2，…APj,…}以及多个配备有WiFi网络接口和移动网络接口(例如:3G、4G等)的终端{M1，M2，-,Mi,…}，用户既可以通过终端的WiFi网络接口登录周边的热点来接入互联网，也可以通过终端的移动网络接口来接入互联网。在所述登录方法中，用户、热点及服务器的任意两者之间通过会话来进行信息交换。在会话初期，通信双方相互验证彼此的身份并为会话生成凭证，该凭证被用于在会话期间对交换的信息进行签名。一个用户可使用多个终端来与服务器或热点建立多个会话，多个用户也可通过一个终端来分别与服务器或热点建立一个会话。WiFi热点的安全登录方法具体包括: (I)用户通过终端在服务器上进行用户注册，用户通过终端在服务器上为热点注册账号; 所述用户通过终端在服务器上进行用户注册过程为:用户Alice通过终端Mi向服务器发送注册用户账号的请求；服务器为用户Alice注册账号并向终端Mi返回注册结果； 用户通过终端在服务器上为热点注册账号的过程为:用户Alice通过终端Mi向服务器发送注册热点账号的请求；服务器生成热点APj的标签并为APj注册账号，然后服务器向终端Mi返回注册结果，结果中包含热点APj的标签； (2)用户Alice通过终端请求登录热点，其具体过程如下: (21)用户Alice通过终端Mi获取周边热点信息并生成热点列表；用户Alice根据热点列表查看周边热点的信息并选择热点APj， (22)终端根据热点APj所提供的登录方式来选择执行个人或企业登录； 在所述个人登录过程中，用户Alice、热点APj及服务器两两处于会话期间，服务器与热点APj共同持有一个预共享密钥PSK，用户Alice通过终端Mi请求登录热点APj的过程如下: (201)热点APj生成随机数Anonce并向终端Mi发送第一握手消息； (202)终端Mi向服务器转发热点APj的第一握手消息； (203)服务器验证热点APj的所有主人中是否至少有一个为用户Alice或其联系人；若验证通过则跳转到步骤(204)，否则终止处理用户Alice的登录请求； (204)服务器生成随机数Bnonce并使用预共享密钥PSK来生成一个临时密钥PTK，然后以用户Alice的密码对Bnonce和PTK进行加密并将密文发送给终端Mi ； (205)终端Mi以用户Alice的密码对密文解密来得到随机数Bn本文档来自技高网...

【技术保护点】
一种WiFi热点的安全登录方法，其特征在于，所述方法涉及位于互联网的服务器、多个提供个人或企业登录方式的热点｛AP1,AP2,…APj,…｝以及多个配备有至少一个WiFi网络接口和至少一个移动网络接口的终端｛M1,M2,…,Mi,…｝，用户通过终端的WiFi网络接口登录周边的热点来接入互联网，通过终端的WiFi网络接口或者移动网络接口来获得登录WiFi热点的信息；具体包括：（1）用户通过终端在服务器上进行用户注册，用户通过终端在服务器上为热点注册账号；所述用户通过终端在服务器上进行用户注册的过程为：用户Alice通过终端Mi向服务器发送注册用户账号的请求；服务器为用户Alice注册账号并向终端Mi返回注册结果；用户通过终端在服务器上为热点注册账号的过程为：用户Alice通过终端Mi向服务器发送注册热点账号的请求；服务器生成热点APj的标签并为APj注册账号，然后服务器向终端Mi返回注册结果，结果中包含热点APj的标签；（2）用户Alice通过终端请求登录热点，其具体过程如下：（21）用户Alice通过终端Mi获取周边热点信息并生成热点列表；用户Alice根据热点列表查看周边热点的信息并选择热点APj；（22）终端Mi根据热点APj所提供的登录方式来选择执行个人或企业登录；在所述个人登录过程中，用户Alice、热点APj及服务器两两处于会话期间，服务器与热点APj共同持有一个预共享密钥PSK，用户Alice通过终端Mi请求登录热点APj的过程如下：（201）热点APj生成随机数Anonce并向终端Mi发送第一握手消息；（202）终端Mi向服务器转发热点APj的第一握手消息；（203）服务器验证热点APj的所有主人中是否至少有一个为用户Alice或其联系人；验证通过则跳转到步骤（204），否则终止处理Alice的登录请求；（204）服务器生成随机数Bnonce并使用预共享密钥PSK来生成一个临时密钥PTK，然后以用户Alice的密码对Bnonce和PTK进行加密并将密文发送给终端Mi；（205）终端Mi以用户Alice的密码对密文解密来得到随机数Bnonce和临时密钥PTK，然后向热点APj发送第二握手消息；（206）热点APj使用预共享密钥PSK来生成一个临时密钥PTK并验证本地生成的PTK和终端的PTK是否相同；相同则跳转到步骤（207），否则终止处理用户Alice的登录请求；（207）热点APj和终端Mi执行传统WPA个人和企业登录方式中的四次握手协议的第三、四次握手通信过程来完成终端登录热点的过程；在所述企业登录过程中，用户Alice、热点APj与服务器两两处于会话期间，用户Alice通过终端Mi登录热点APj的过程如下：（211）用户Alice通过终端Mi向热点APj发送身份验证请求；（212）热点APj向服务器转发用户Alice的身份验证请求；（213）服务器和用户Alice互相验证彼此的身份并验证各自所知的热点APj的标签是否相符；验证通过则跳转到步骤（214），否则终止处理Alice的热点登录请求；（214）服务器验证热点APj的所有主人中是否至少有一个为用户Alice或其联系人；验证通过则跳转到步骤（215），否则终止处理Alice的热点登录请求；（215）服务器和终端Mi进行协商来各自生成主密钥PMK，然后服务器向热点APj发送主密钥PMK；（216）热点AP1和终端M1执行传统WPA个人和企业登录方式中的四次握手协议的握手通信过程来完成终端登录热点的过程。...

【技术特征摘要】

【专利技术属性】
技术研发人员：吴裔，劳斌，农革，
申请(专利权)人：中山大学，
类型：发明
国别省市：广东;44