非法WIFI检测方法、终端、AAA服务器和系统与流程

本申请涉及通信领域，尤其涉及一种非法无线保真(wirelessfidelity，wifi)检测方法、终端和验证、授权、记账(authentication、authorization、accounting，aaa)服务器和系统。

背景技术：

随着无线网络普及，wifi热点信号无处不在，用户在连接wifi热点时并不知道其是否合法。一旦连接至非法wifi热点，则网络安全无法保障，有可能造成经济损失。目前尚无完整的安全体系来保障终端接入wifi热点的合法性，仍需要人为判断，或者由应用程序自身去保障数据安全。现有技术中针对无线接入合法性，通过证书的唯一性来判断连接wifi热点的合法性，但证书在终端侧应用操作复杂，不能得到广泛应用。

技术实现要素：

本申请的实施例提供一种非法wifi检测方法、终端、aaa服务器和系统，用于实现对非法wifi热点的检测。

为达到上述目的，本申请的实施例采用如下技术方案：

第一方面，提供了一种非法wifi检测方法，该方法包括：

终端通过无线保真wifi向验证、授权和记账aaa服务器完成在无线系统上的认证，并在所述aaa服务器上生成认证记录表，所述认证记录表中包括所述终端的认证结果；

所述终端通过所述wifi以加密形式向所述aaa服务器发送认证查询报文；

所述aaa服务器接收来自所述终端的认证查询报文；

所述aaa服务器根据所述认证查询报文以及所述认证记录表，查询所述终端的认证结果，并根据所述认证结果生成认证结果报文；

所述aaa服务器以加密形式向所述终端发送所述认证结果报文；

所述终端根据是否收到所述认证结果报文，或者，根据所述认证结果报文中的认证结果，判断所述wifi是否合法。

第二方面，提供了一种终端，该终端包括：

认证单元，用于通过无线保真wifi向验证、授权和记账aaa服务器完成在无线系统上的认证，并在所述aaa服务器上生成认证记录表，所述认证记录表中包括所述终端的认证结果；

发送单元，用于通过所述wifi以加密形式向所述aaa服务器发送认证查询报文，所述认证查询报文用于所述aaa服务器根据所述认证记录表查询所述终端的认证结果，并根据所述认证结果生成认证结果报文；

接收单元，用于接收所述认证结果报文；

判断单元，用于根据所述接收单元是否收到所述认证结果报文，或者，根据所述认证结果报文中的认证结果，判断所述wifi是否合法。

第三方面，提供了一种aaa服务器，该aaa服务器包括：

认证单元，用于终端通过无线保真wifi完成在无线系统上的认证，并生成认证记录表，所述认证记录表中包括所述终端的认证结果；

接收单元，用于接收来自所述终端的以加密形式的认证查询报文；

查询单元，用于根据所述认证查询报文以及所述认证记录表，查询所述终端的认证结果，并根据所述认证结果生成认证结果报文；

发送单元，用于以加密形式向所述终端发送所述认证结果报文，所述认证结果报文用于所述终端判断所述wifi是否合法。

本申请的实施例提供的非法wifi检测方法、终端、aaa服务器和系统，通过终端在aaa服务器进行认证成功后在aaa服务器上生成认证记录表，然后终端向aaa服务器发送认证查询报文，由aaa服务器根据认证查询报文以及认证记录表，查询终端的认证结果，并将认证结果通过认证结果报文反馈给终端，由终端根据是否收到认证结果报文，或者，根据认证结果报文中的认证结果，来判断wifi是否合法。提供了一种检测wifi是否合法的方式，实现了对非法wifi热点的检测。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

图1为本申请的实施例提供的非法wifi检测系统的结构示意图；

图2为本申请的实施例提供的一种非法wifi检测方法的流程示意图；

图3为本申请的实施例提供的另一种非法wifi检测方法的流程示意图；

图4为本申请的实施例提供的又一种非法wifi检测方法的流程示意图；

图5为本申请的实施例提供的终端的结构示意图；

图6为本申请的实施例提供的aaa服务器的结构示意图。

具体实施方式

下面结合附图，对本申请的实施例进行描述。

参照图1中所示，为本申请实施例提供的一种非法wifi检测系统，该系统包括：终端(station，sta)11、接入点(accesspoint，ap)12、接入控制器(accesscontroller，ac)13和aaa服务器14。终端11包括手机、平板、电脑等可以通过wifi连接网络的设备；ap12、ac13主要用于构建无线网线系统；aaa服务器14用于为终端11接入无线信号提供认证服务，生成认证记录表项，同时用于查询终端的接入认证状态。

实施例1、

本申请实施例提供了一种非法wifi检测方法，应用于上述系统，参照图2中所示，该方法包括：

s101、终端通过wifi向aaa服务器完成在无线系统上的认证，并在aaa服务器上生成认证记录表，认证记录表中包括终端的认证结果。

认证记录表包括终端的账号、媒体访问控制(mediaaccesscontrol，mac)地址、互联网协议(internetprotocol，ip)地址、认证时间、认证结果等信息。

s102、终端通过该wifi以加密形式向aaa服务器发送认证查询报文。

认证查询报文主要包括终端的无线连接参数，无线连接参数包括终端的mac地址、终端的ip地址、当前时间戳(这三者也被称为三元组信息)。

终端对认证查询报文进行加密所采用算法可以是非对称加密算法，也可以是对称加密算法，例如三重数据加密标准(tdea，tripledataencryptionstandard)算法。

本发明实施例中，终端发起认证查询报文的时机可以为：无线连接并认证完成以后触发发送认证查询报文；也可以是终端需要使用某种应用时触发(如网银app打开时)等，不作具体限定。

s103、aaa服务器接收来自终端的认证查询报文。

需要说明的是，在终端发送了认证查询报文，如果aaa服务器没有收到认证查询报文则可以判断该wifi为非法。aaa服务器采用与终端一样的加密算法，将经加密的认证查询报文解密为明文的认证查询报文，如果无法解密，则判断该wifi为非法，或者，判断该终端为异常终端，丢弃该报文。

s104、aaa服务器根据认证查询报文以及认证记录表，查询终端的认证结果，并根据认证结果生成认证结果报文。

具体的，参照图3中所示，该步骤包括：

s1041、aaa服务器按照以下条件根据认证查询报文查询认证记录表得到匹配的认证记录表，并得到其中的认证结果：

第一，终端的ip地址和mac地址为精确匹配，必须一一对应，即认证查询报文中的mac地址等于认证记录表中的mac地址，并且，认证查询报文中的ip地址等于认证记录表中的ip地址。

第二，时间戳信息必须满足：认证时间<当前时间戳<(认证时间+在线时长)。

本实施例中，认证时间为终端通过aaa服务器认证的时间值；在线时长为终端在aaa服务器上认证以后，aaa服务器开始计时，一直到当前的收到查询报文的时间，即收到查询报文的时间值-上线认证的时间值。

查询得到该终端的认证结果包括三种情况：没有认证记录、有认证记录但认证结果为失败、有认证记录且认证结果为成功。

对于没有认证记录，说明该终端未在无线系统认证，返回无结果(noresult)。

对于有认证记录但认证结果为失败，说明该终端虽然连接了该无线系统但未认证成功，返回失败(fail)。

对于有认证记录且认证结果为成功，说明该终端连接了该无线系统并且认证成功，返回成功(success)。

s105、aaa服务器以加密形式向终端发送认证结果报文。

认证结果报文可以包括终端的账号、mac地址、ip地址、认证状态(noresult、fail、success)等信息。aaa服务器可以采用与解析认证查询报文相同或不同的加密算法。

s106、终端根据是否收到认证结果报文，或者，根据认证结果报文中的认证结果，判断wifi是否合法。

具体的，参照图4中所示，该步骤包括：

s1061、如果终端未收到认证结果报文，则判断wifi非法。

s1062、如果终端收到却无法解密认证结果报文，则判断wifi非法。

如果终端收到并解密认证结果报文成功，得到该终端的认证结果，则根据认证结果判断连接的wifi的合法性，分为以下三种情况：

s1063、认证结果为无结果(noresult)，说明该终端未在正确的无线系统连接认证，可能通过中间网络将认证查询报文发送到了aaa服务器，则判断wifi非法。

s1064、认证结果为失败(fail)，说明该终端连接了正确的无线系统但认证失败了，可能通过中间网络将认证查询报文发送到了aaa服务器，则判断wifi非法。

s1065、认证结果为成功(success)，说明该终端连接了正确的无线系统且认证成功，则判断所述wifi合法。

本申请实施例提供的非法wifi检测方法，通过终端在aaa服务器进行认证成功后在aaa服务器上生成认证记录表，然后终端向aaa服务器发送认证查询报文，由aaa服务器根据认证查询报文以及认证记录表，查询终端的认证结果，并将认证结果通过认证结果报文反馈给终端，由终端根据是否收到认证结果报文，或者，根据认证结果报文中的认证结果，来判断wifi是否合法。提供了一种检测wifi是否合法的方式，实现了对非法wifi热点的检测。

实施例2、

本申请实施例提供了一种终端11，应用于上述方法，参照图5中所示，该终端包括：

认证单元1101，用于通过无线保真wifi向验证、授权和记账aaa服务器完成在无线系统上的认证，并在aaa服务器上生成认证记录表，认证记录表中包括终端的认证结果。

发送单元1102，用于通过wifi以加密形式向aaa服务器发送认证查询报文，认证查询报文用于aaa服务器根据认证记录表查询终端的认证结果，并根据认证结果生成认证结果报文。

接收单元1103，用于接收认证结果报文。

判断单元1104，用于根据接收单元1103是否收到认证结果报文，或者，根据认证结果报文中的认证结果，判断wifi是否合法。

在一种可能的设计中，判断单元1104具体用于：如果终端未接收到认证结果报文，或者，终端无法解密认证结果报文，或者，认证结果指示终端未在无线系统认证，或者，认证结果指示终端在无线系统认证失败，则判断wifi非法；如果认证结果指示终端在无线系统认证成功，则判断wifi合法。

由于本申请实施例中的终端可以应用于上述方法，因此，其所能获得的技术效果也可参考上述方法实施例，本申请实施例在此不再赘述。

需要说明的是，认证单元、判断单元可以为单独设立的处理器，也可以集成在控制器的某一个处理器中实现，此外，也可以以程序代码的形式存储于控制器的存储器中，由控制器的某一个处理器调用并执行以上认证单元、判断单元的功能。这里所述的处理器可以是一个中央处理器(centralprocessingunit，cpu)，或者是特定集成电路(applicationspecificintegratedcircuit，asic)，或者是被配置成实施本申请实施例的一个或多个集成电路。

实施例3、

本申请实施例提供了一种aaa服务器14，应用于上述方法，参照图6中所示，该终端包括：

认证单元1401，用于终端通过无线保真wifi完成在无线系统上的认证，并生成认证记录表，认证记录表中包括终端的认证结果。

接收单元1402，用于接收来自终端的以加密形式的认证查询报文。

查询单元1403，用于根据认证查询报文以及认证记录表，查询终端的认证结果，并根据认证结果生成认证结果报文。

发送单元1404，用于以加密形式向终端发送认证结果报文，认证结果报文用于终端判断wifi是否合法。

在一种可能的设计中，认证记录表包括终端的账号、媒体访问控制mac地址、互联网协议ip地址、认证时间、认证结果；认证查询报文包括终端的mac地址、ip地址、当前时间戳。

查询单元1403，具体用于按照以下条件根据认证查询报文查询认证记录表得到匹配的认证记录表，并得到其中的认证结果：

认证查询报文中的mac地址等于认证记录表中的mac地址，并且，认证查询报文中的ip地址等于认证记录表中的ip地址，并且，认证时间<当前时间戳<(认证时间+在线时长)。

在一种可能的设计中，还包括判断单元1405，用于如果aaa服务器无法解密认证查询报文，则判断wifi非法。

由于本申请实施例中的aaa服务器可以应用于上述方法，因此，其所能获得的技术效果也可参考上述方法实施例，本申请实施例在此不再赘述。

需要说明的是，认证单元、查询单元、判断单元可以为单独设立的处理器，也可以集成在控制器的某一个处理器中实现，此外，也可以以程序代码的形式存储于控制器的存储器中，由控制器的某一个处理器调用并执行以上认证单元、查询单元、判断单元的功能。这里所述的处理器可以是一个cpu，或者是asic，或者是被配置成实施本申请实施例的一个或多个集成电路。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digitalsubscriberline，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solidstatedisk，ssd))等。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。