保护无线网络连接中网络敏感信息的方法及装置与流程

本发明涉及网络安全技术领域，尤其涉及一种保护无线网络连接中网络敏感信息的方法及装置。

背景技术：

目前所有Android(安卓)系统的智能终端(手机，PDA以及平板电脑等)均使用无线网卡管理程序WPA Supplicant作为无线网络中间件。WPA Supplicant会将所有连接过无线AP路由器的相关信息保存到智能终端的配置文件“wpa_supplicant.conf”中。具体的保存的相关信息包括无线网络的名称SSID、加密的模式、用户名以及密码等网络敏感信息。

然而，目前市场有许多的能够破解Wi-Fi网络的软件，比如“wifi万能钥匙”，其工作原理如图1所示，其中第三方软件为“wifi万能钥匙”，它通过获取智能终端中的“wifi”用户权限，访问智能终端的配置文件(“wpa_supplicant.conf”)，并将其中的网络敏感信息上传到一个通用服务器。该服务器接收所有安装过该软件的智能终端(终端设备A、终端设备B等)上传来的网络敏感信息，并将其保存到云端数据库中。下次如果其他终端设备(终端设备C等)向其发出希望破解该无线AP路由器密码的请求。该服务器会遍历其云端数据库，寻找是否有用户曾经上传过与该无线AP路由器的SSID匹配的密码。找到后则将密码等敏感相关信息反馈给之前发送请求的终端(终端设备C等)，最终达到破解目标网络密码的目的。另外，目前有很多“root”工具(比如“root精灵”)也可以辅助用户拿到系统最高权限。在获取“root”权限后，该用户可以访问智能终端的网络配置文件(“wpa_supplicant.conf”)，并依此来获取网络敏感信息。

综上，现有的连接无线网络的网络敏感信息不安全，存在被泄露的风险。

技术实现要素：

鉴于上述问题，本发明提供一种保护无线网络连接中网络敏感信息的方法及装置，用以解决现有的连接无线网络的网络敏感信息不安全的问题。

为解决上述技术问题，第一方面，本发明提供了一种保护无线网络连接中网络敏感信息的方法，所述方法包括：

接收用户初次连接无线网络输入的网络敏感信息；

利用预设密钥对所述网络敏感信息进行加密，生成加密后的网络敏感信息；

将所述加密后的网络敏感信息写入无线网络连接对应的网络配置文件中。

可选的，利用预设密钥对所述网络敏感信息进行加密，生成加密后的网络敏感信息包括：

将所述预设密钥按位与网络敏感信息进行异或操作，生成加密后的网络敏感信息。

3、根据权利要求2所述的方法，其特征在于，当用户再次请求连接所述无线网络时，所述方法还包括：

从所述网络配置文件中获取加密后的网络敏感信息；

利用所述预设密钥对加密后的网络敏感信息进行解密，获取解密后的网络敏感信息；

根据解密后的网络敏感信息实现无线网络的连接。

可选的，利用所述预设密钥对加密后的网络敏感信息进行解密，获取解密后的网络敏感信息包括：

将所述预设密钥按位与加密后的网络敏感信息进行异或操作，获取解密后的网络敏感信息。

可选的，所述预设密钥为预先存储在无线网络管理组件的库文件中的静态密钥。

可选的，所述静态密钥为固定大小的编码数组，所述编码数组内容随机生成。

可选的，所述网络敏感信息包括：

进行无线网络连接的用户名和密码或者密码。

第二方面，本发明提供了一种保护无线网络连接中网络敏感信息的装置，所述装置包括：

接收单元，用于接收用户初次连接无线网络输入的网络敏感信息；

生成单元，用于利用预设密钥对所述网络敏感信息进行加密，生成加密后的网络敏感信息；

写入单元，用于将所述加密后的网络敏感信息写入无线网络连接对应的网络配置文件中。

可选的，生成单元用于：

将所述预设密钥按位与网络敏感信息进行异或操作，生成加密后的网络敏感信息。

可选的，所述装置还包括：

第一获取单元，用于当用户再次请求连接所述无线网络时，从所述网络配置文件中获取加密后的网络敏感信息；

第二获取单元，用于利用所述预设密钥对加密后的网络敏感信息进行解密，获取解密后的网络敏感信息；

连接单元，用于根据解密后的网络敏感信息实现无线网络的连接。

可选的，第二获取单元用于：

将所述预设密钥按位与加密后的网络敏感信息进行异或操作，获取解密后的网络敏感信息。

可选的，所述预设密钥为预先存储在无线网络管理组件的库文件中的静态密钥。

可选的，所述生成单元中的静态密钥为固定大小的编码数组，所述编码数组内容随机生成。

可选的，所述接收单元中的网络敏感信息包括：

进行无线网络连接的用户名和密码或者密码。

借由上述技术方案，本发明提供的保护无线网络连接中网络敏感信息的方法及装置，将用户输入的网络敏感信息通过密钥进行加密，并把加密后的敏感信息写入配置文件中，使第三方软件无法通过配置文件直接获取到敏感信息，因此保证了网络敏感信息的安全。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1为现有的“wifi万能钥匙”的工作原理示意图；

图2示出了本发明实施例提供的一种保护无线网络连接中网络敏感信息的方法的流程图；

图3示出了本发明实施例提供的一种保护无线网络连接中网络敏感信息的原理示意图；

图4示出了一种现有的网络敏感信息写入网络配置文件的原理的示意图；

图5示出了本发明实施例提供的另一种保护无线网络连接中网络敏感信息的方法的流程图；

图6示出了本发明实施例提供的一种关于网络敏感信息加解密的原理图；

图7示出了本发明实施例提供的一种保护无线网络连接中网络敏感信息的效果图；

图8示出了本发明实施例提供的一种保护无线网络连接中网络敏感信息的装置的组成框图；

图9示出了本发明实施例提供的另一种保护无线网络连接中网络敏感信息的装置的组成框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

为解决现有的连接无线网络的网络敏感信息不安全的问题，本发明实施例提供了一种保护无线网络连接中网络敏感信息的方法，如图2所示，该方法包括：

101、接收用户初次连接无线网络输入的网络敏感信息。

当用户首次连接无线AP路由器时，在选择无线AP路由器的名称SSID后，需要通过输入网络敏感信息来连接无线网络，其中的网络敏感信息包括用户名和密码或者密码。用户输入网络敏感信息后，智能终端中的管理无线网路连接的wpa supplicant程序会获取该网络敏感信息。

102、利用预设密钥对网络敏感信息进行加密，生成加密后的网络敏感信息。

为了保证网络敏感信息的安全性，则在将网络敏感信息写入对应的网络配置文件“wpa_supplicant.conf”之前，对网络敏感信息进行加密，得到加密后的网络敏感信息。具体的对网络敏感信息进行加密的方式，本发明实施例中不做限定，可以选择现有的任意一种能够对网络敏感信息进行加密的加密算法进行加密。

103、将加密后的网络敏感信息写入无线网络连接对应的网络配置文件中。

“将加密后的网络敏感信息写入无线网络连接对应的网络配置文件中”可以为“将加密后的网络敏感信息写入无线网络连接对应的“wpa_supplicant.conf”文件中”。需要说明的是，为了使第三方应用无法获取到未加密的网络敏感信息，因此对网络敏感信息进行加密的预设密钥不保存在网络配置文件中。

给出关于应用本发明实施例提供的保护无线网络连接中网络敏感信息的方法前后对应的网络配置文件“wpa_supplicant.conf”中的内容的区别的示例，如下所示：

假设应用保护无线网络连接中网络敏感信息的方法前，网络配置文件“wpa_supplicant.conf”中的内容为：

应用保护无线网络连接中网络敏感信息的方法后，对应的网络配置文件“wpa_supplicant.conf”中的内容为：

从上述示例中应用保护无线网络连接中网络敏感信息的方法前，网络配置文件中记录的网络敏感信息identity和password中对应的内容都是未加密的真实的信息，第三方软件(wifi万能钥匙等)可以通过配置文件“wpa_supplicant.conf”获取到连接无线网络的网络敏感信息，造成网络敏感信息的泄露；而应用保护无线网络连接中网络敏感信息的方法后，对应的网络配置文件“wpa_supplicant.conf”中网络敏感信息identity和password中对应的内容为加密后的网络敏感信息，因此第三方软件(wifi万能钥匙等)通过配置文件“wpa_supplicant.conf”无法获取到连接无线网络的未加密的真实的网络敏感信息，能够保护网络敏感信息不被泄露。

对于上述步骤101-103的方法流程，本发明实施例提供了对应的保护无线网络连接中网络敏感信息的原理示意图，如图3所示，其中网络敏感信息具体为密码，临时密码对应上述的加密后的网络敏感信息。从图3中可以看到密码在用户初次输入后，会通过加密生成临时密码，然后将临时密码写入到网络配置文件中。

而现有的对用户输入的网络敏感信息写入网络配置文件的原理为直接将未加密的网络敏感信息写入到网络配置文件中，如图4所示。其中网络敏感信息具体为密码，从图4中可以看到密码在用户初次输入后，直接将密码写入到网络配置文件中，没有进行加密。

本发明实施例提供的保护无线网络连接中网络敏感信息的方法，将用户输入的网络敏感信息通过密钥进行加密，并把加密后的敏感信息写入配置文件中，使第三方软件无法通过配置文件直接获取到敏感信息，因此保证了网络敏感信息的安全。

对图2所示方法的细化及扩展，本发明实施例还提供了一种保护无线网络连接中网络敏感信息的方法，如图5所示，所述方法包括：

201、接收用户初次连接无线网络输入的网络敏感信息。

本步骤的实现方式与图2步骤101的实现方式相同，此处不再赘述。

202、将预设密钥按位与网络敏感信息进行异或操作，生成加密后的网络敏感信息。

其中，预设密钥为预先存储在无线网络管理组件wpa supplicant的库文件中的静态密钥，是写死在执行程序中的，对于wpa supplicant的库文件如果不提供暴露其中包含的信息的方法，其他的应用程序是无法从中获取信息。因此预设密钥保存在wpa supplicant的库文件中是无法被第三方应用窃取到的。另外，本发明实施例中静态密钥为固定大小的编码数组，具体的编码数组可以为16进制的编码数组。为了增加密钥的复杂度，防止被尝试破解，通常在生成编码数组的内容时，是随机生成的。其中随机生成是指随机的选择字符组合得到的内容(比如，多种特殊字符随机组合等)，区别于有一定规律等容易破解的内容(比如，123456，11111等)。

预设密钥按位与网络敏感信息进行异或操作具体是通过异或加密算法(XOR)对网络敏感信息进行加密，得到加密后的网络敏感信息。其中，加密后的网络敏感信息的长度与加密前的网络敏感信息的长度是相等的。给出以网络敏感信息为密码，对密码进行加密的示意图，如图6中a图所示，将密码与密钥进行异或运算，得到临时密码，其中，密钥对应上述的静态密钥，得到的临时密码为加密后的密码。

203、将加密后的网络敏感信息写入无线网络连接对应的网络配置文件中。

本步骤的实现方式与图2步骤103的实现方式相同，此处不再赘述。

204、当用户再次请求连接无线网络时，从网络配置文件中获取加密后的网络敏感信息。

当用户再次请求连接上述无线网络时，需要从网络配置文件中获取连接无线网络需要的相关信息。由步骤203可知，网络配置文件中记录的是加密后的网络敏感信息，因此直接从网络配置文件中获取到的是加密后的网络敏感信息。

205、利用预设密钥对加密后的网络敏感信息进行解密，获取解密后的网络敏感信息。

由于连接网络需要的是未加密的网络敏感信息，因此当从网络配置文件中获取到加密的网络敏感信息后需要对其进行解密，以获得网络敏感信息。具体的对加密的网络敏感信息进行解密的过程为：依据对网络敏感信息加密的方式进行解密，对应于步骤202的加密方式，本步骤中需要将预设密钥按位与加密后的网络敏感信息进行异或操作，获取解密后的网络敏感信息，即得到加密前的网络敏感信息。需要说明的是，对某一敏感信息进行加密和解密时使用的预设密钥为同一静态密钥。

以敏感信息为密码，给出对加密后的密码进行解密的示意图，如图6中b图所示，其中密钥对应上述的预设密钥，临时密码为加密后的密码，将加密后的密码与密钥进行异或运算，可以将密码还原。

对应于上述步骤202中网络敏感信息为密码，加密后的网络敏感信息为临时密码的示例，对当用户再次请求连接已经连接过的无线网络时的操作过程进行说明，具体的如图3中所示，首先从网络配置文件中读取临时密码，然后使用静态密钥对临时密码进行解密得到密码，然后使终端设备通过密码实现无线网络的连接。

206、根据解密后的网络敏感信息实现无线网络的连接。

智能终端在应用图2以及图5所示的保护无线网络连接中网络敏感信息的方法后，便可以保护网络敏感信息的安全。具体的，以“wifi万能钥匙”为例，说明保护无线网络连接中网络敏感信息的效果，具体的效果示意图如图7所示。终端A为成功连接到无线AP路由器的设备，可以看到终端设备C获取到与无线AP路由器的SSID对应的密码后，无法实现网络的成功连接，是由于获取到的与SSID对应的密码为加密后的密码，因此无法实现网络的成功连接。

进一步的，作为对上述各实施例的实现，本发明实施例的另一实施例还提供了一种保护无线网络连接中网络敏感信息的装置，用于实现上述图2以及图5所述的方法。如图8所示，该装置包括：接收单元31、生成单元32以及写入单元33。

接收单元31，用于接收用户初次连接无线网络输入的网络敏感信息；

当用户首次连接无线AP路由器时，在选择无线AP路由器的名称SSID后，需要通过输入网络敏感信息来连接无线网络，其中的网络敏感信息包括用户名和密码或者密码。用户输入网络敏感信息后，智能终端中的管理无线网路连接的wpa supplicant程序会获取该网络敏感信息。

生成单元32，用于利用预设密钥对网络敏感信息进行加密，生成加密后的网络敏感信息；

为了保证网络敏感信息的安全性，则在将网络敏感信息写入对应的网络配置文件“wpa_supplicant.conf”之前，对网络敏感信息进行加密，得到加密后的网络敏感信息。具体的对网络敏感信息进行加密的方式，本发明实施例中不做限定，可以选择现有的任意一种能够对网络敏感信息进行加密的加密算法进行加密。

写入单元33，用于将加密后的网络敏感信息写入无线网络连接对应的网络配置文件中。

“将加密后的网络敏感信息写入无线网络连接对应的网络配置文件中”可以为“将加密后的网络敏感信息写入无线网络连接对应的“wpa_supplicant.conf”文件中”。

需要说明的是，为了使第三方应用无法获取到未加密的网络敏感信息，因此对网络敏感信息进行加密的预设密钥不保存在网络配置文件中。

给出关于应用本发明实施例提供的保护无线网络连接中网络敏感信息的装置前后对应的网络配置文件“wpa_supplicant.conf”中的内容的区别的示例，具体的参看图2步骤103中的示例，可以看到，应用保护无线网络连接中网络敏感信息的装置前，网络配置文件“wpa_supplicant.conf”中记录的网络敏感信息identity和password中对应的内容都是未加密的真实的信息，第三方软件(wifi万能钥匙等)可以通过配置文件“wpa_supplicant.conf”获取到连接无线网络的网络敏感信息，造成网络敏感信息的泄露；而应用保护无线网络连接中网络敏感信息的装置后，网络配置文件“wpa_supplicant.conf”中网络敏感信息identity和password中对应的内容为加密后的网络敏感信息，因此第三方软件(wifi万能钥匙等)通过配置文件“wpa_supplicant.conf”无法获取到连接无线网络的未加密的真实的网络敏感信息，能够保护网络敏感信息不被泄露。

生成单元32用于：

将预设密钥按位与网络敏感信息进行异或操作，生成加密后的网络敏感信息。

预设密钥按位与网络敏感信息进行异或操作具体是通过异或加密算法(XOR)对网络敏感信息进行加密，得到加密后的网络敏感信息。其中，加密后的网络敏感信息的长度与加密前的网络敏感信息的长度是相等的。给出以网络敏感信息为密码，对密码进行加密的示意图，如图6中a图所示，将密码与密钥进行异或运算，得到临时密码，其中，密钥对应上述的静态密钥，得到的临时密码为加密后的密码。

如图9所示，装置还包括：

第一获取单元34，用于当用户再次请求连接无线网络时，从网络配置文件中获取加密后的网络敏感信息；

第二获取单元35，用于利用预设密钥对加密后的网络敏感信息进行解密，获取解密后的网络敏感信息；

由于连接网络需要的是未加密的网络敏感信息，因此当从网络配置文件中获取到加密的网络敏感信息后需要对其进行解密，以获得网络敏感信息。

连接单元36，用于根据解密后的网络敏感信息实现无线网络的连接。

第二获取单元35用于：

将预设密钥按位与加密后的网络敏感信息进行异或操作，获取解密后的网络敏感信息。

具体的对加密的网络敏感信息进行解密的过程为：依据对网络敏感信息加密的方式进行解密，对应于生成单元32的加密方式，需要将预设密钥按位与加密后的网络敏感信息进行异或操作，获取解密后的网络敏感信息，即得到加密前的网络敏感信息。需要说明的是，对某一敏感信息进行加密和解密时使用的预设密钥为同一静态密钥。

以敏感信息为密码，给出对加密后的密码进行解密的示意图，如图6中b图所示，其中密钥对应上述的预设密钥，临时密码为加密后的密码，将加密后的密码与密钥进行异或运算，可以将密码还原。

生成单元32中的预设密钥为预先存储在无线网络管理组件的库文件中的静态密钥。

生成单元32中的静态密钥为固定大小的编码数组，编码数组内容随机生成。

预设密钥为预先存储在无线网络管理组件wpa supplicant的库文件中的静态密钥，是写死在执行程序中的，对于wpa supplicant的库文件如果不提供暴露其中包含的信息的方法，其他的应用程序是无法从中获取信息。因此预设密钥保存在wpa supplicant的库文件中是无法被第三方应用窃取到的。另外，本发明实施例中静态密钥为固定大小的编码数组，具体的编码数组可以为16进制的编码数组。为了增加密钥的复杂度，防止被尝试破解，通常在生成编码数组的内容时，是随机生成的。其中随机生成是指随机的选择字符组合得到的内容(比如，多种特殊字符随机组合等)，区别于有一定规律等容易破解的内容(比如，123456，11111等)。

接收单元31中的网络敏感信息包括：

进行无线网络连接的用户名和密码或者密码。

智能终端在应用图8以及图9所示的保护无线网络连接中网络敏感信息的装置后，便可以保护网络敏感信息的安全。具体的，以“wifi万能钥匙”为例，说明保护无线网络连接中网络敏感信息的效果，具体的效果示意图如图7所示。终端A为成功连接到无线AP路由器的设备，可以看到终端设备C获取到与无线AP路由器的SSID对应的密码后，无法实现网络的成功连接，是由于获取到的与SSID对应的密码为加密后的密码，因此无法实现网络的成功连接。

本发明实施例提供的保护无线网络连接中网络敏感信息的装置，将用户输入的网络敏感信息通过密钥进行加密，并把加密后的敏感信息写入配置文件中，使第三方软件无法通过配置文件直接获取到敏感信息，因此保证了网络敏感信息的安全。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如保护无线网络连接中网络敏感信息的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。