基于非对称全程加密的WiFi互联网上网连接认证方法及系统的制作方法

基于非对称全程加密的WiFi互联网上网连接认证方法及系统的制作方法
【专利摘要】本发明涉及一种基于非对称全程加密的WiFi互联网上网连接认证方法，包括：云端认证服务器为访问控制器自定义加密访问策略；云端认证服务器基于M-WAPI协议下放该加密访问策略到指定的访问控制器；访问控制器基于M-WAPI协议下放加密访问策略到首次访问WiFi的移动终端；移动终端使用该加密访问策略发送加密的认证请求到云端认证服务器进行认证，若认证通过，该移动终端便可访问互联网。本发明还公开了一种基于非对称全程加密的WiFi互联网上网连接认证系统。本发明能够使移动终端迅速的连接到合法的WiFi热点，能够有效的规避网站钓鱼、AP欺骗、网络劫持、暴力破解等，保证用户可以放心安全的使用WiFi网络资源来保护自己敏感的信息不被泄露和盗取。
【专利说明】基于非对称全程加密的WiFi互联网上网连接认证方法及
系统

【技术领域】
[0001]本发明涉及WiFi互联网安全访问【技术领域】，尤其是一种基于非对称全程加密的WiFi互联网上网连接认证方法及系统。

【背景技术】
[0002]随着智能移动终端的普及使用，移动互联网访问已经是日常生活必不可少部分，特别是它的便捷性，由此也带来了很多安全问题，如钓鱼网站，AP欺骗，域名劫持，暴力破解坐寸ο
[0003]在现有的互联网系统中，用户通常通过移动终端发现无线访问热点，这些无线热点通常是免费的，或在无线路由内做了一下基本加密访问或默认的加密访问，这给网站钓鱼，AP欺骗，网络劫持，暴力破解提供了大量的机会，给商家、移动用户都带来了极大的烦恼甚至是巨大的损失，例如用WiFi进行在线支付。为了应对这些安全隐患，虽然一些大的运营商和设备厂商采取了一些措施，使用一些手段来控制互联网的访问，如Radius认证、WiFidog认证、Chilipot等,但仍旧无法做到末端安全和全程加密认证,所以网络安全使用，特别是无线WiFi网络末端安全隐患非常严重，也一直是网络安全、信息安全人士积极探索的领域。如何开发出一种可以有效的实现从移动终端到安全访问互联网的全程的加密认证方法已经成为急需解决的技术问题。


【发明内容】

[0004]本发明的首要目的在于提供一种安全性高、认证速度快的基于非对称全程加密的WiFi互联网上网连接认证方法。
[0005]为实现上述目的，本发明采用了以下技术方案:一种基于非对称全程加密的WiFi互联网上网连接认证方法，该方法包括下列顺序的步骤:
[0006](I)云端认证服务器为访问控制器自定义加密访问策略；
[0007](2)云端认证服务器基于M-WAPI协议下放该加密访问策略到指定的访问控制器；
[0008](3)移动终端首次访问WiFi需向访问控制器上报自己的设备MAC地址，访问控制器将此MAC地址上报云端认证服务器；
[0009](4)访问控制器基于M-WAPI协议下放加密访问策略到首次访问WiFi的移动终端;
[0010](5)移动终端一旦发现WiFi热点便使用加密访问策略进行WiFi热点探测，若探测成功，便提示移动终端进行认证上网，否则，则认为是无效的WiFi热点，拒绝连接该WiFi热占.
[0011](6)移动终端使用该加密访问策略发送加密的认证请求到云端认证服务器进行认证，若认证通过，该移动终端便可访问互联网。
[0012]所述云端认证服务器为访问控制器自定义加密访问策略包括以下步骤:
[0013]a)根据移动终端的分类策略定义角色策略，包括一般访客、注册用户、付费VIP用户；
[0014]b)根据角色策略定义不同的加密策略，包括强加密策略、弱加密策略、无加密策略；
[0015]c)制定认证策略,包括强认证策略、弱认证策略、无认证策略；
[0016]d)制定场景策略，包括企事业单位、营业网点、公园广场、连锁门店、街区、景区；
[0017]e)根据角色策略、加密策略、认证策略和场景策略为指定的访问控制器生成加密访问策略。
[0018]所述云端认证服务器下放加密访问策略到指定的访问控制器包括以下步骤:
[0019]a)将连接到互联网的访问控制器注册到特定的云端认证服务器；
[0020]b)云端认证服务器根据访问控制器的特征属性信息将特定的加密访问策略下放到访问控制器；
[0021]c)访问控制器根据下放的加密访问策略进行识别解析生成相应的指令并在访问控制器操作系统中运行。
[0022]所述访问控制器下放加密访问策略到移动终端包括以下步骤:
[0023]a)移动终端初次连接到访问控制器并从访问控制器下载一个系统的WiFi热点探测工具；
[0024]b)ffiFi热点探测工具从访问控制器获取加密访问策略，计算出WiFi热点访问安全系数S，若WiFi热点访问安全系数S大于安全阀值，则可以和访问控制器进行加密访问和认证上网操作，WiFi热点访问安全系数S的计算公式如下:
^η
[0025]S= / , KlSCLi /[ SCLi (i=(),.*., η)
ii'二 O
[0026]其中，S为WiFi热点访问安全系数，K为策略安全因子，取值为0%?100% ；SCLi 为 SCL (Security Check List)安全检查列表项，定义在 SAC (Security AccessController)安全访问控制器中，每个列表项的取值为O?10。
[0027]当移动终端首次访问WiFi时，若访问控制器上报其MAC地址失败，移动终端只能访问该访问控制器的有限资源，无法访问互联网。
[0028]移动终端使用加密访问策略对WiFi热点进行探测，WiFi探测器探测到一个新的WiFi热点，WiFi探测器从既有的加密访问策略中取出安全检查列表项SCL逐个对新的WiFi热点进行安全校验，包括秘钥校验、身份信息校验和访问权限校验，如果校验失败，WiFi探测器提示移动终端该WiFi热点存在安全隐患，随后断开WiFi连接。
[0029]本发明的另一目的在于一种基于非对称全程加密的WiFi互联网上网连接认证系统，包括:
[0030]移动终端，带有WiFi和存储功能的移动终端，包括智能手机、平板电脑和桌面笔记本；
[0031]访问控制器，内部嵌入M-WAPI协议模块，完成从云端认证服务器下载为自己定制的加密访问策略；完成WiFi移动终端的访问、控制信令接收、加解密信令并转发给云端认证服务器；将互联网访问授权经由访问控制器转发给移动终端；打开已经授权的移动终端访问互联网通道；
[0032]云端认证服务器，定义网络加密访问策略，通过访问控制器提供给移动终端进行加密访问策略下载、上网认证的服务系统。
[0033]所述的M-WAPI协议模块包括认证前置器，其输入端分别与认证连接器、加解密处理器相连，其输出端与外部调用接口相连，其输出端还通过加密通讯信道与认证处理器的输入端相连，认证处理器的输出端分别与加解密处理器、终端识别模块、本地UT、策略控制器、流控标识器、Portal控制器相连，认证处理器的输入端与认证适配器的输出端相连，认证适配器的输出端还分别接本地认证接口、Radius认证接口、3rd认证接口、Portal服务接□。
[0034]由上述技术方案可知，本发明在移动终端首次访问互联网时，先通过云端认证服务器到访问控制器再到移动终端的加密访问策略下放，移动终端使用该加密访问策略发送加密的认证请求到云端认证服务器进行认证，若认证通过，该移动终端便可访问互联网。此夕卜，在通过认证后，移动终端以后还要使用加密访问策略进行WiFi热点探测，若探测成功，才能认证上网。总之，本发明能够使移动终端迅速的连接到合法的WiFi热点，能够有效的规避网站钓鱼、AP欺骗、网络劫持、暴力破解等，保证用户可以放心安全的使用WiFi网络资源来保护自己敏感的信息不被泄露和盗取。

【专利附图】

【附图说明】
[0035]图1为本发明的系统结构图；
[0036]图2为本发明的加密访问策略下放的方法流程图；
[0037]图3为本发明的认证上网流程图
[0038]图4为本发明的M-WAPI协议模块的模块构成图。

【具体实施方式】
[0039]一种基于非对称全程加密的WiFi互联网上网连接认证方法，包括:首先，云端认证服务器为访问控制器自定义加密访问策略，该策略主要定义了基于M-WAPI的加密方式和移动终端访问该访问控制器的方式；其次，云端认证服务器基于M-WAPI协议下放该加密访问策略到指定的访问控制器；再次，移动终端首次访问WiFi需向访问控制器上报自己的设备MAC地址，访问控制器将此MAC地址上报云端认证服务器；接着，访问控制器基于M-WAPI协议下放加密访问策略到首次访问WiFi的移动终端；接着，移动终端一旦发现WiFi热点便使用加密访问策略进行WiFi热点探测，若探测成功，便提示移动终端进行认证上网，否则，则认为是无效的WiFi热点，拒绝连接该WiFi热点；最后，移动终端使用该加密访问策略发送加密的认证请求到云端认证服务器进行认证，若认证通过，该移动终端便可访问互联网。当移动终端首次访问WiFi时，若访问控制器上报其MAC地址失败，移动终端只能访问该访问控制器的有限资源，无法访问互联网，如图1所示。
[0040]如图1所示，所述云端认证服务器为访问控制器自定义加密访问策略包括以下步骤:
[0041]a)根据移动终端的分类策略定义角色策略，包括一般访客、注册用户、付费VIP用户；
[0042]b)根据角色策略定义不同的加密策略，包括强加密策略、弱加密策略、无加密策略；
[0043]c)制定认证策略,包括强认证策略、弱认证策略、无认证策略；
[0044]d)制定场景策略，包括企事业单位、营业网点、公园广场、连锁门店、街区、景区；
[0045]e)根据角色策略、加密策略、认证策略和场景策略为指定的访问控制器生成加密访问策略。
[0046]如图2所示，所述云端认证服务器下放加密访问策略到指定的访问控制器包括以下步骤:
[0047]a)将连接到互联网的访问控制器注册到特定的云端认证服务器；
[0048]b)云端认证服务器根据访问控制器的特征属性信息将特定的加密访问策略下放到访问控制器；
[0049]c)访问控制器根据下放的加密访问策略进行识别解析生成相应的指令并在访问控制器操作系统中运行。
[0050]如图2所示，所述访问控制器下放加密访问策略到移动终端包括以下步骤:
[0051]a)移动终端初次连接到访问控制器并从访问控制器下载一个系统的WiFi热点探测工具；
[0052]b)ffiFi热点探测工具从访问控制器获取加密访问策略，计算出WiFi热点访问安全系数S，若WiFi热点访问安全系数S大于安全阀值，则可以和访问控制器进行加密访问和认证上网操作，WiFi热点访问安全系数S的计算公式如下:

η
[0053]S= Σ KiSCLi / 之 SCLi (i =0,…，η)
i/-Ο
[0054]其中，S为WiFi热点访问安全系数，K为策略安全因子，取值为0%?100% ；SCLi 为 SCL (Security Check List)安全检查列表项，定义在 SAC (Security AccessController)安全访问控制器中，每个列表项的取值为O?10。
[0055]如图3所示，移动终端使用加密访问策略对WiFi热点进行探测，WiFi探测器探测到一个新的WiFi热点，WiFi探测器从既有的加密访问策略中取出安全检查列表项SCL逐个对新的WiFi热点进行安全校验，包括秘钥校验、身份信息校验和访问权限校验，如果校验失败，WiFi探测器提示移动终端该WiFi热点存在安全隐患，随后断开WiFi连接。
[0056]如图3所示，第一，用户发送上网请求:根据加密访问策略，移动终端连接到访问控制器是没有真正的连到互联网的，因为此时的访问控制器并没有给该移动终端开发访问互联网的权限，用户需发送一个上网请求；
[0057]第二，用户进行上网认证:当用户想使用浏览器或頂等软件访问互联网上，WiFi探测工具会激活默认的浏览器认证页面，依据授权策略让用户进行认证；
[0058]以上两步可以有效的防范钓鱼网站等非法获取你的敏感信息等。
[0059]第三，调用基于M-WAPI协议进行加密，并发送认证请求:用户输入相关敏感的认证信息后，移动终端会通过M-WAPI协议加密后向访问控制器发送请求；另外，使用M-WAPI协议加密是根据特定的证书和秘钥进行的，不同的移动终端采用的是不同的加密策略，对网络暴力破解可以进行有效的规避和防范；
[0060]第四，调用基于M-WAPI协议对接收到的认证包进行本地解密验证，验证通过后，进行二次加密后向云端服务进行认证请求；
[0061]第五，云端认证服务器接收认证请求；
[0062]第六，云端认证服务器对访问控制器发送过来的认证请求进行解密分析，校验认证请求的合法性，对于合法的请求，予以响应，并将该移动终端最新的加密和访问互联网的策略响应个访问控制器和移动终端；
[0063]第七，响应验证结果:成功/失败；
[0064]第八，访问控制器接收到云端认证服务器的响应，更新本地加密访问策略，打开访问互联网的通道和带宽控制，即NAT和Qos策略；
[0065]第九，移动终端访问控制器接收到云端认证服务器的响应，更新本地加密访问策略，如是认证成功，允许访问互联网；如认证失败返回到认证端重新认证；另外，如果访问控制器无法向云端服务器发起认证，则使用本地的访问策略允许移动终端进行上网，即访问控制器此时打开本地的互联网访问策略。
[0066]如图1所不，本系统包括:移动终端，带有WiFi和存储功能的移动终端，包括智能手机、平板电脑和桌面笔记本；访问控制器，内部嵌入M-WAPI协议模块，完成从云端认证服务器下载为自己定制的加密访问策略；完成WiFi移动终端的访问、控制信令接收、加解密信令并转发给云端认证服务器；将互联网访问授权经由访问控制器转发给移动终端；打开已经授权的移动终端访问互联网通道；云端认证服务器，定义网络加密访问策略，通过访问控制器提供给移动终端进行加密访问策略下载、上网认证的服务系统。
[0067]如图4所示，所述的M-WAPI协议模块包括认证前置器，其输入端分别与认证连接器、加解密处理器相连，其输出端与外部调用接口相连，其输出端还通过加密通讯信道与认证处理器的输入端相连，认证处理器的输出端分别与加解密处理器、终端识别模块、本地UT、策略控制器、流控标识器、Portal控制器相连，认证处理器的输入端与认证适配器的输出端相连，认证适配器的输出端还分别接本地认证接口、Radius认证接口、3rd认证接口、Portal服务接口。移动终端中的WiFi探测器发现新的WiFi信号热点,通过认证连接器连接该热点，随后调用认证前置器中的加密访问策略，并逐条发送到认证处理器进行核查，认证处理器接收到认证前置器发来的访问请求信息，根据信息的标识逐个调用加解密处理、终端身份识别、策略控制及本地的用户信息表即本地UT (对应访问控制网关连接到云端认证服务情况下不使用本地用户信息表，直接转发到云端进行身份识别)进行策略检测和身份识别。对于云端认证服务器授权访问后，认证处理器便调用流控标识(Qos和NAT)在访问控制网关打开互联网访问通道，用户移动终端即可访问互联网资源。本地认证接口是调研访问控制网关中的身份信息进行认证；Radius认证是将认证信息发送到Radius服务器进行认证；3rd认证是指发送给类似QQ、微信进行认证；Portal服务接口是指认证后允许访问的门户资源，本发明支持上述四种认证接口。
[0068]综上所述，本发明能够使移动终端迅速的连接到合法的WiFi热点，能够有效的规避网站钓鱼、AP欺骗、网络劫持、暴力破解等，保证用户可以放心安全的使用WiFi网络资源来保护自己敏感的信息不被泄露和盗取。
【权利要求】
1.一种基于非对称全程加密的WiFi互联网上网连接认证方法，该方法包括下列顺序的步骤: (1)云端认证服务器为访问控制器自定义加密访问策略； (2)云端认证服务器基于M-WAPI协议下放该加密访问策略到指定的访问控制器； (3)移动终端首次访问WiFi需向访问控制器上报自己的设备MAC地址，访问控制器将此MAC地址上报云端认证服务器； (4)访问控制器基于M-WAPI协议下放加密访问策略到首次访问WiFi的移动终端； (5)移动终端一旦发现WiFi热点便使用加密访问策略进行WiFi热点探测，若探测成功，便提示移动终端进行认证上网，否则，则认为是无效的WiFi热点，拒绝连接该WiFi热占.(6)移动终端使用该加密访问策略发送加密的认证请求到云端认证服务器进行认证，若认证通过，该移动终端便可访问互联网。
2.根据权利要求1所述的基于非对称全程加密的WiFi互联网上网连接认证方法，其特征在于:所述云端认证服务器为访问控制器自定义加密访问策略包括以下步骤: a)根据移动终端的分类策略定义角色策略，包括一般访客、注册用户、付费VIP用户； b)根据角色策略定义不同的加密策略，包括强加密策略、弱加密策略、无加密策略； c)制定认证策略，包括强认证策略、弱认证策略、无认证策略； d)制定场景策略，包括企事业单位、营业网点、公园广场、连锁门店、街区、景区； e)根据角色策略、加密策略、认证策略和场景策略为指定的访问控制器生成加密访问策略。
3.根据权利要求1所述的基于非对称全程加密的WiFi互联网上网连接认证方法，其特征在于:所述云端认证服务器下放加密访问策略到指定的访问控制器包括以下步骤: a)将连接到互联网的访问控制器注册到特定的云端认证服务器； b)云端认证服务器根据访问控制器的特征属性信息将特定的加密访问策略下放到访问控制器； c)访问控制器根据下放的加密访问策略进行识别解析生成相应的指令并在访问控制器操作系统中运行。
4.根据权利要求1所述的基于非对称全程加密的WiFi互联网上网连接认证方法，其特征在于:所述访问控制器下放加密访问策略到移动终端包括以下步骤: a)移动终端初次连接到访问控制器并从访问控制器下载一个系统的WiFi热点探测工亘.N 9 b)ffiFi热点探测工具从访问控制器获取加密访问策略，计算出WiFi热点访问安全系数S，若WiFi热点访问安全系数S大于安全阀值，则可以和访问控制器进行加密访问和认证上网操作，WiFi热点访问安全系数S的计算公式如下:
^iSCLi /^SCLi (i=(),.*., η)
--'二 O 其中，S为WiFi热点访问安全系数，K为策略安全因子，取值为0%?100% ；SCLi为SCL (Security Check List)安全检查列表项，定义在 SAC (Security Access Controller)安全访问控制器中，每个列表项的取值为O?10。
5.根据权利要求1所述的基于非对称全程加密的WiFi互联网上网连接认证方法，其特征在于:当移动终端首次访问WiFi时，若访问控制器上报其MAC地址失败，移动终端只能访问该访问控制器的有限资源，无法访问互联网。
6.根据权利要求1所述的基于非对称全程加密的WiFi互联网上网连接认证方法，其特征在于:移动终端使用加密访问策略对WiFi热点进行探测，WiFi探测器探测到一个新的WiFi热点，WiFi探测器从既有的加密访问策略中取出安全检查列表项SCL逐个对新的WiFi热点进行安全校验，包括秘钥校验、身份信息校验和访问权限校验，如果校验失败，WiFi探测器提示移动终端该WiFi热点存在安全隐患，随后断开WiFi连接。
7.一种基于非对称全程加密的WiFi互联网上网连接认证系统，其特征在于:包括: 移动终端，带有WiFi和存储功能的移动终端，包括智能手机、平板电脑和桌面笔记本； 访问控制器，内部嵌入M-WAPI协议模块,完成从云端认证服务器下载为自己定制的加密访问策略；完成WiFi移动终端的访问、控制信令接收、加解密信令并转发给云端认证服务器；将互联网访问授权经由访问控制器转发给移动终端；打开已经授权的移动终端访问互联网通道； 云端认证服务器，定义网络加密访问策略，通过访问控制器提供给移动终端进行加密访问策略下载、上网认证的服务系统。
8.根据权利要求7所述的基于非对称全程加密的WiFi互联网上网连接认证系统，其特征在于:所述的M-WAPI协议模块包括认证前置器，其输入端分别与认证连接器、加解密处理器相连，其输出端与外部调用接口相连，其输出端还通过加密通讯信道与认证处理器的输入端相连，认证处理器的输出端分别与加解密处理器、终端识别模块、本地UT、策略控制器、流控标识器、Portal控制器相连，认证处理器的输入端与认证适配器的输出端相连，认证适配器的输出端还分别接本地认证接口、Radius认证接口、3rd认证接口、Portal服务接□。
【文档编号】H04L29/06GK104270250SQ201410499226
【公开日】2015年1月7日 申请日期:2014年9月25日 优先权日:2014年9月25日
【发明者】张宏伟, 李晓洁 申请人:合肥城市云数据中心有限公司