一种基于Android设备的wifi通信安全防御方法与装置与流程

本发明涉及计算机技术领域，尤其涉及一种基于android设备的wifi通信安全防御方法与装置。

背景技术：

在android设备的日常使用场景中，wifi功能的使用率很高，因此基于wifi的安全防御也是极为重要的。若用户的智能终端接入了钓鱼wifi热点，则容易造成用户的隐私泄露；尤其是用户在使用微信、qq等包含了用户个人隐私的应用以及支付宝、手机银行等金融软件时，一旦连接入了钓鱼wifi，很容易造成用户的财产损失，目前常用的wifi安全防御方法是对ap(wifi热点)端增强限制，针对恶意请求连接的sta进行访问限制。但现有方案是对ap端进行的管理，使用较为不便，且不能防御可能存在的以恶意伪装成钓鱼ap方式进行的攻击。

技术实现要素：

本发明针对上述的通过对ap端增强限制的安全防御方法具有局限性的技术问题，提出一种基于android设备的wifi通信安全防御方法与装置。

第一方面，本申请实施例提供了一种基于android设备的wifi通信安全防御方法，包括：

评分获取步骤：通过android设备进行漫游扫描获取ap的评分；

判断步骤：令评分最高的ap作为目标ap,通过白名单判断所述目标ap是否受信任；

ap连接步骤：若是，则通过所述android设备选择所述目标ap进行连接，并停止漫游扫描；或；

ap屏蔽步骤：若否，则通过所述android设备拒绝选择所述目标ap进行连接，并屏蔽所述目标ap，返回所述判断步骤。

上述wifi通信安全防御方法，其中，还包括：

评分步骤：通过评分标准对ap进行评分，决定所述评分标准的因素包括但不限于：ap信号强度、ap连接历史纪录、ap频段。

上述wifi通信安全防御方法，其中，所述ap连接步骤还包括：若所述目标ap受信任，则提高所述目标ap的评分。

上述wifi通信安全防御方法，其中，还包括：

白名单管理步骤：通过系统设置对所述白名单进行动态管理。

上述wifi通信安全防御方法，其中，所述白名单管理步骤还包括：

添加白名单步骤：在wpa_supplicant中增加白名单机制并提供对应的操作函数；

同步操作步骤：在framework层实现一个白名单，在操作所述framework层的白名单的同时对所述wpa_supplicant中的白名单进行同步操作；

封装步骤：将所述framework层的白名单进行逐层封装，最终在wifimanager中提供调用接口，并体现在系统设置中。

第二方面，本申请实施例提供了一种基于android设备的wifi通信安全防御装置，包括：

评分获取单元：通过android设备进行漫游扫描获取ap的评分；

判断单元：令评分最高的ap作为目标ap,通过白名单判断所述目标ap是否受信任；

ap连接单元：若所述目标ap受信任，则通过所述android设备选择所述目标ap进行连接，并停止漫游扫描；或；

ap屏蔽单元：若所述目标ap不受信任，则通过所述android设备拒绝选择所述目标ap进行连接，并屏蔽所述目标ap，返回所述判断单元。

上述wifi通信安全防御装置，其中，还包括：

评分单元：通过评分标准对ap进行评分，决定所述评分标准的因素包括但不限于：ap信号强度、ap连接历史纪录、ap频段。

上述wifi通信安全防御装置，其中，若所述目标ap受信任，则通过所述ap连接单元提高所述目标ap的评分。

上述wifi通信安全防御装置，其中，还包括：

白名单管理单元：通过系统设置对所述白名单进行动态管理。

上述wifi通信安全防御装置，其中，所述白名单管理单元还包括：

添加白名单模块：在wpa_supplicant中增加白名单机制并提供对应的操作函数；

同步操作模块：在framework层实现一个白名单，在操作所述framework层的白名单的同时对所述wpa_supplicant中的白名单进行同步操作；

封装模块：将所述framework层的白名单进行逐层封装，最终在wifimanager中提供调用接口，并体现在系统设置中。

与现有技术相比，本发明的优点和积极效果在于：

1.本发明在在android原生系统的基础上增加了wifi白名单机制来增强对wifi访问的限制，增强了android设备安全管理的健壮性和便利性，能够防御可能存在的以恶意伪装成钓鱼ap方式进行的攻击；

2.在系统设置中提供了管理白名单的对应接口，以便于使用者管理白名单；

3.本发明是从sta端着手进行的安全防御手段，能够单独管理单个设备，并且既可以管理同一名称的所有ap，也可以对单个ap做出限制，使用上较为灵活。

附图说明

图1为本发明提供的一种基于android设备的wifi通信安全防御方法的步骤示意图；

图2为本发明提供的白名单调用逻辑示意图；

图3为本发明提供的一种基于android设备的wifi通信安全防御方法一实施例流程示意图；

图4为本发明提供的一种基于android设备的wifi通信安全防御装置的框架图；

图5为根据本申请实施例的计算机设备的框架图。

其中，附图标记为：

1、评分单元；2、评分获取单元；3、判断单元；4、ap连接单元；5、ap屏蔽单元；6、白名单管理单元；61、添加白名单模块；62、同步操作模块；63、封装模块；81、处理器；82、存储器；83、通信接口；80、总线。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

下面结合附图所示的各实施方式对本发明进行详细说明，但应当说明的是，这些实施方式并非对本发明的限制，本领域普通技术人员根据这些实施方式所作的功能、方法、或者结构上的等效变换或替代，均属于本发明的保护范围之内。

在详细阐述本发明各个实施例之前，对本发明的核心发明思想予以概述，并通过下述若干实施例予以详细阐述。

本发明在android原生系统的基础上增加了wifi白名单机制来增强对wifi访问的限制，可以有效对wifi通信进行安全防御，同时在系统设置中提供对应接口，以便于使用者管理白名单。

实施例一：

图1为本发明提供的一种基于android设备的wifi通信安全防御方法的步骤示意图。如图1所示，本实施例揭示了一种基于android设备的wifi通信安全防御方法(以下简称“方法”)的具体实施方式。

具体而言，本实施例所揭示的方法主要包括以下步骤：

步骤s1：通过android设备进行漫游扫描获取ap的评分；

具体而言，其中，ap，也就是无线接入点，是一个无线网络的创建者，是网络的中心节点；sta站点，指的是每一个连接到无线网络中的终端。通过评分标准对ap进行评分，决定所述评分标准的因素包括但不限于：ap信号强度、ap连接历史纪录、ap频段。

步骤s2：令评分最高的ap作为目标ap,通过白名单判断所述目标ap是否受信任；

若是，则执行步骤s3：通过所述android设备选择所述目标ap进行连接，并停止漫游扫描，同时提高所述目标ap的评分；

若否，则执行步骤s3’：通过所述android设备拒绝选择所述目标ap进行连接，并屏蔽所述目标ap，返回所述判断步骤。

判断ap是否受信任时，是通过动态管理的白名单进行判断的，对于用户手动选择的ap，会自动将其加入到白名单中；如图2所示的调用部分逻辑最终在系统设置中提供了管理白名单的入口，同时也提供了相关api以便于二次开发。

关键点在于在framework层和wpa_supplicant中同步的白名单机制及实现白名单的方法，参照图2所示，如何实现通过系统设置对所述白名单进行动态管理的方法包括：在wpa_supplicant中增加白名单机制并提供对应操作函数，并在framework层实现一个白名单，在操作framework层白名单的同时对wpa_supplicant中的白名单进行同步操作；将framework层白名单进行逐层封装，最终在wifimanager中提供调用接口，并最终体现在系统设置中。并且用户既可以单独手动的管理某台特定设备的白名单，也可以通过云端进行批量管理。

以下，请参照图3。图3为本发明提供的一种基于android设备的wifi通信安全防御方法一实施例流程示意图，结合图3，具体说明本方法的应用流程如下：

在使用者使用wifi功能时可以选择具体的ap，此时系统会检查该ap是否受信任(通过白名单进行检查)，如果该ap是使用者信任的，系统会增加该ap的评分并在连接到该ap后停止漫游扫描以保证尽可能的使用该ap；若该ap不受使用者信任，系统会拒绝通过该ap进行连接，并屏蔽该ap，以防御恶意伪装的钓鱼ap可能进行的攻击。

在选择ap时，本发明提出的方法并非简单的分为可连接(信任)或不可连接(不信任)，而是使用了一套评分机制，综合考虑信号强度、连接历史纪录、频段等因素，对所有受信任的ap进行打分，最终选择综合分数最高的ap进行连接。

实施例二：

结合实施例一所揭示的一种基于android设备的wifi通信安全防御方法，本实施例揭示了一种基于android设备的wifi通信安全防御装置(以下简称“装置”)的具体实施示例。

参照图4所示，所述装置包括：

评分单元1：通过评分标准对ap进行评分，决定所述评分标准的因素包括但不限于：ap信号强度、ap连接历史纪录、ap频段。

评分获取单元2：通过android设备进行漫游扫描获取ap的评分；

判断单元3：令评分最高的ap作为目标ap,通过白名单判断所述目标ap是否受信任；

ap连接单元4：若所述目标ap受信任，则通过所述android设备选择所述目标ap进行连接，并停止漫游扫描；或；

ap屏蔽单元5：若所述目标ap不受信任，则通过所述android设备拒绝选择所述目标ap进行连接，并屏蔽所述目标ap，返回所述判断单元。

白名单管理单元6：通过系统设置对所述白名单进行动态管理。

添加白名单模块61：在wpa_supplicant中增加白名单机制并提供对应的操作函数；

同步操作模块62：在framework层实现一个白名单，在操作所述framework层的白名单的同时对所述wpa_supplicant中的白名单进行同步操作；

封装模块63：将所述framework层的白名单进行逐层封装，最终在wifimanager中提供调用接口，并体现在系统设置中。

本实施例所揭示的一种基于android设备的wifi通信安全防御装置与实施例一所揭示的一种基于android设备的wifi通信安全防御方法中其余相同部分的技术方案，请参照实施例一所述，在此不再赘述。

实施例三：

结合图5所示，本实施例揭示了一种计算机设备的一种具体实施方式。计算机设备可以包括处理器81以及存储有计算机程序指令的存储器82。

具体地，上述处理器81可以包括中央处理器(cpu)，或者特定集成电路(applicationspecificintegratedcircuit，简称为asic)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

其中，存储器82可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器82可包括硬盘驱动器(harddiskdrive，简称为hdd)、软盘驱动器、固态驱动器(solidstatedrive，简称为ssd)、闪存、光盘、磁光盘、磁带或通用串行总线(universalserialbus，简称为usb)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器82可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器82可在数据处理装置的内部或外部。在特定实施例中，存储器82是非易失性(non-volatile)存储器。在特定实施例中，存储器82包括只读存储器(read-onlymemory，简称为rom)和随机存取存储器(randomaccessmemory，简称为ram)。在合适的情况下，该rom可以是掩模编程的rom、可编程rom(programmableread-onlymemory，简称为prom)、可擦除prom(erasableprogrammableread-onlymemory，简称为eprom)、电可擦除prom(electricallyerasableprogrammableread-onlymemory，简称为eeprom)、电可改写rom(electricallyalterableread-onlymemory，简称为earom)或闪存(flash)或者两个或更多个以上这些的组合。在合适的情况下，该ram可以是静态随机存取存储器(staticrandom-accessmemory，简称为sram)或动态随机存取存储器(dynamicrandomaccessmemory，简称为dram)，其中，dram可以是快速页模式动态随机存取存储器(fastpagemodedynamicrandomaccessmemory，简称为fpmdram)、扩展数据输出动态随机存取存储器(extendeddateoutdynamicrandomaccessmemory，简称为edodram)、同步动态随机存取内存(synchronousdynamicrandom-accessmemory，简称sdram)等。

存储器82可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器81所执行的可能的计算机程序指令。

处理器81通过读取并执行存储器82中存储的计算机程序指令，以实现上述实施例中的任意一种wifi通信安全防御方法。

在其中一些实施例中，计算机设备还可包括通信接口83和总线80。其中，如图5所示，处理器81、存储器82、通信接口83通过总线80连接并完成相互间的通信。

通信接口83用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信端口83还可以实现与其他部件例如：外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。

总线80包括硬件、软件或两者，将计算机设备的部件彼此耦接在一起。总线80包括但不限于以下至少之一：数据总线(databus)、地址总线(addressbus)、控制总线(controlbus)、扩展总线(expansionbus)、局部总线(localbus)。举例来说而非限制，总线80可包括图形加速接口(acceleratedgraphicsport，简称为agp)或其他图形总线、增强工业标准架构(extendedindustrystandardarchitecture，简称为eisa)总线、前端总线(frontsidebus，简称为fsb)、超传输(hypertransport，简称为ht)互连、工业标准架构(industrystandardarchitecture，简称为isa)总线、无线带宽(infiniband)互连、低引脚数(lowpincount，简称为lpc)总线、存储器总线、微信道架构(microchannelarchitecture，简称为mca)总线、外围组件互连(peripheralcomponentinterconnect，简称为pci)总线、pci-express(pci-x)总线、串行高级技术附件(serialadvancedtechnologyattachment，简称为sata)总线、视频电子标准协会局部(videoelectronicsstandardsassociationlocalbus，简称为vlb)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线80可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。

另外，结合上述实施例中的wifi通信安全防御方法，本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种wifi通信安全防御方法。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。