shl = Hash (Challengel)。那么,如果该移动终端后续接入时,要保证分配给移动终端的Challenge的Hash值和Hashl相等,即HashN=Hash (ChallengeN),满足HashN = Hashl。在移动终端侧,当第一次获取得到Challengel后,便计算出其Hash值,并且保存到本地,以后重新接入时,重新得到Challenge值时,需要计算其Hash值,检验是否和Hashl相等。如果相等,则判断是合法的WIFI,如果不相等,贝Ij判断为不合法的WIFI。
[0065]当移动终端接入到WIFI后,本实施例还做了另一层防护,即进行DNS验证,为了防止上述通过Challenge值进行认证的方式被破解,在移动终端接入认证后,还需要和WIFI热点进行通信,通过私有协议获取DNS地址,由于该协议属于私有协议,因此适用于WIFI热点和移动终端由同一个厂家,或这几厂家联合制造的场合。
[0066]具体地,如图6所示,所述提高网络接入认证安全的系统I还包括:DNS地址设置模块15,DNS地址请求模块16,反馈信息获取模块17以及DNS地址获取模块18。
[0067]DNS地址设置模块15与所述判断认证模块14相连,用于在判断AP身份合法,认证成功后,将所述移动终端的DNS地址设置为0.0.0.00 DNS地址请求模块16与所述DNS地址设置模块15相连,用于在所述移动终端的DNS地址为0.0.0.0时,获取AP的IP地址并向所述AP发送DNS地址请求;反馈信息获取模块17用于从所述AP获取包含加密的DNS地址的反馈信息;DNS地址获取模块18与所述反馈信息获取模块17相连,用于对所述反馈信息进行解密后获取所述AP发送的DNS地址;所述DNS地址设置模块15将获取的DNS地址更新至所述移动终端的DNS地址。其中,在本实施例中,所述加密采用BASE64加密方式进行加密;所述解密采用BASE64解密方式进行解密。
[0068]当移动终端接入到WIFI后,首先DNS地址设置模块15将所述移动终端的DNS地址设置为0.0.0.0,将所述移动终端的DNS地址设置为0.0.0.0后,所述DNS地址请求模块16获取AP的IP地址并向所述AP发送DNS地址请求,然后所述反馈信息获取模块17从所述AP获取包含加密的DNS地址的反馈信息,所述DNS地址获取模块18对所述反馈信息进行解密后获取所述AP发送的DNS地址,最后,所述DNS地址设置模块15将获取的DNS地址更新至所述移动终端的DNS地址。其中,所述加密采用BASE64加密方式进行加密,所述解密采用BASE64解密方式进行解密。
[0069]也就是说,在本实施例中,当移动终端接入到WIFI后,为了防止DNS攻击,本方案中,在移动终端认证成功后,将DNS地址强行设置为0.0.0.0,这是一个无效地DNS地址,应用程序这是无法正常访问网络。因此,不会被DNS劫持,从而泄露用户名和密码。这是移动终端会向AP获取DNS地址,如果是非法的热点,不会支持该协议。移动终端会获取网关的IP地址,S卩热点地IP地址,向网关发送DNS请求,得到热点的DNS回复,该回复内容将DNS地址用BASE64加密,STA将得到的内容进行BASE64解密,得到最后的DNS值,更新STA的DNS服务器地址,此时,STA能够正常访问网络。通过以上方法,移动终端可以对WIFI热点的身份进行认证,从而提高了上网的安全度。
[0070]综上所述,本发明通过将再次从AP接收的Challenge值的Hash值与初次从AP接收的Challenge值的Hash值进行对比,可以判断AP身份是否合法,使得移动终端对AP的身份也所检验,提高网络接入的安全。此外,在本发明中,当移动终端接入到WIFI后,通过从AP获取DNS地址的方式,移动终端可以进一步对WIFI热点的身份进行认证,从而提高了网络接入的安全度。本发明简单高效,具有较强的通用性和实用性。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
[0071]上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
【主权项】
1.一种提高网络接入认证安全的方法,应用于移动终端接入Wifi网络时的认证过程中,其特征在于:所述提高网络接入认证安全的方法包括: 获取移动终端第一次从AP接收的Challenge值的Hash值并保存为Hashl ; 令AP对同一个MAC地址的移动终端生成的Challenge值的Hash值相同,在移动终端重新接入AP时,获取重新得到的Challenge值的Hash值并记为HashN ; 判断所述HashN是否和所述Hashl相等,若是,则判断AP身份合法,认证成功,若否,贝Ij判断AP身份不合法,认证失败。2.根据权利要求1所述的提高网络接入认证安全的方法,其特征在于:令AP对同一个MAC地址的移动终端生成的Challenge值的Hash值相同具体方法包括: 根据移动终端的MAC地址生成校验值; 随机生成一个随机值并获取所述随机值的Hash值; 判断所述随机值的Hash值是否与所述校验值相等,若是,则AP生成的随机值为所需的Challenge值,若否,则重新生成随机值。3.根据权利要求1所述的提高网络接入认证安全的方法,其特征在于:在判断AP身份合法,认证成功后,所述提高网络接入认证安全的方法还包括: 将所述移动终端的DNS地址设置为0.0.0.0 ; 所述移动终端获取AP的IP地址并向所述AP发送DNS地址请求; 所述移动终端从所述AP获取包含加密的DNS地址的反馈信息; 所述移动终端对所述反馈信息进行解密后获取所述AP发送的DNS地址; 所述移动终端将获取的DNS地址更新至所述移动终端的DNS地址。4.根据权利要求3所述的提高网络接入认证安全的方法,其特征在于:所述加密采用BASE64加密方式进行加密;所述解密采用BASE64解密方式进行解密。5.一种提高网络接入认证安全的系统,应用于移动终端接入wifi网络时的认证过程中,其特征在于:所述提高网络接入认证安全的系统包括: 初始Hash值获取保存模块,用于获取移动终端第一次从AP接收的Challenge值的Hash值并保存为Hashl ; Challenge值生成模块,用于控制AP对同一个MAC地址的移动终端生成的Challenge值的Hash值相同; 新Hash值获取模块,用于在移动终端重新接入AP时,获取重新得到的Challenge值的Hash值并记为HashN ; 判断认证模块,判断所述HashN是否和所述Hashl相等,若是,则判断AP身份合法,认证成功,若否,则判断AP身份不合法,认证失败。6.根据权利要求5所述的提高网络接入认证安全的系统,其特征在于:所述Challenge值生成模块包括: 校验值生成单元,用于根据移动终端的MAC地址生成校验值; 随机值生成单元,用于根随机生成一个随机值并获取所述随机值的Hash值; 判断单元,分别与所述校验值生成单元和所述随机值生成单元相连,用于判断所述随机值的Hash值是否与所述校验值相等,若是,则所述随机值生成单元生成的随机值为所需的Challenge值,若否,则所述随机值生成单元重新生成随机值。7.根据权利要求5所述的提高网络接入认证安全的系统,其特征在于:所述提高网络接入认证安全的系统还包括: DNS地址设置模块,与所述判断认证模块相连,用于在判断AP身份合法,认证成功后,将所述移动终端的DNS地址设置为0.0.0.0 ; DNS地址请求模块,与所述DNS地址设置模块相连,用于在所述移动终端的DNS地址为0.0.0.0时,获取AP的IP地址并向所述AP发送DNS地址请求; 反馈信息获取模块,用于从所述AP获取包含加密的DNS地址的反馈信息; DNS地址获取模块,与所述反馈信息获取模块相连,用于对所述反馈信息进行解密后获取所述AP发送的DNS地址; 所述DNS地址设置模块将获取的DNS地址更新至所述移动终端的DNS地址。8.根据权利要求7所述的提高网络接入认证安全的系统,其特征在于:所述加密采用BASE64加密方式进行加密;所述解密采用BASE64解密方式进行解密。
【专利摘要】本发明提供一种提高网络接入认证安全的方法及系统,应用于移动终端接入wifi网络时的认证过程中,所述方法包括:获取移动终端第一次从AP接收的Challenge值的Hash值并保存为Hash1;令AP对同一个MAC地址的移动终端生成的Challenge值的Hash值相同,在移动终端重新接入AP时,获取重新得到的Challenge值的Hash值并记为HashN;判断HashN是否和Hash1相等,若是,则判断AP身份合法,认证成功,若否,则判断AP身份不合法,认证失败,所述方法还包括向AP发送DNS地址请求,获取从AP发送的DNS地址并更新至移动终端的DNS地址。本发明可以有效提高网络接入认证的安全。
【IPC分类】H04W12/06
【公开号】CN105188057
【申请号】CN201510532521
【发明人】顾知伟
【申请人】上海斐讯数据通信技术有限公司
【公开日】2015年12月23日
【申请日】2015年8月26日