一种识别伪装WiFi的方法、系统及系统工作方法与流程

本发明属于无线通信与互联网领域，尤其是涉及一种对伪装成特定网络的WiFi进行识别的方法、应用该识别方法的WiFi系统及其工作方法。

背景技术：

随着通信技术与移动互联网的快速发展，智能终端日益普及，越来越多的用户借助智能终端上网，人们的生产生活也愈加离不开移动互联网，为了方便用户，许多公共场所，例如机场、商场、医院、咖啡厅和餐厅、酒店等，都分布有广泛的免费无线网络。当用户在特定场所打开智能手机或笔记本电脑等移动终端的网络连接时，设备会自动搜索可连接的多个WiFi信号，对于普通用户而言，无法分辨各个WiFi的安全性，从而倾向选择以知名名称作为WiFi名的网络进行连接，这给了钓鱼WiFi可乘之机。

犯罪分子会架设与知名名称一致或接近的钓鱼WiFi，甚至参数设置通常也与商家自有网络参数一致，包括加密方式，MAC 地址等，具有极高的伪装性、迷惑性和欺骗性，甚至其在信号强度、网络速度等还具有一定优势，以吸引用户进行连接，普通用户根本无法进行辨别，而一旦连接上这种WiFi，用户的账号、用户名及密码等个人信息会在不知不觉中被窃取，从而带来经济损失。

技术实现要素：

为了解决上述问题，本发明提供一种用于识别伪装成特定网络的钓鱼WiFi的方法，为了实施该识别方法，本发明还提供一种应用该识别方法的WiFi系统及其工作方法。

本发明采用的技术方案是：

一方面，提供一种识别伪装WiFi的方法，包括以下步骤：

向未知WiFi请求接口并发送第一数据包；

接收未知WiFi返回的第二数据包，若未知WiFi不能正常返回则判断该未知WiFi为伪装WiFi，若未知WiFi能正常返回则进行下一步；

对返回的第二数据包与第一数据包进行校验，若校验不一致则判断该未知WiFi为伪装WiFi。

进一步的，所述第一数据包为随机数据，WiFi返回第二数据包前进行加密，相应的，返回后经解密方能获得第二数据包。

更进一步的，所述加密为证书加密，解密为对应的证书解密，证书优选为RSA密钥对。

另一方面，一种应用上述识别方法的可识别伪装设备的WiFi系统，设置保存RSA公钥的终端与保存RSA私钥的信任WiFi设备：终端用于向信任WiFi设备或未知WiFi发送第一数据包，信任WiFi设备用于向终端返回第二数据包，终端还用于对第二数据包与第一数据包进行校验。

信任WiFi设备对第一数据包进行第一算法签名；终端校验前，对第一数据包进行第二算法签名。信任WiFi设备返回第二数据包前进行RSA私钥加密，终端收到第二数据包后进行RSA公钥解密。

具体过程包括：首先，终端向信任WiFi设备请求接口并发送第一数据包。

其次，在收到的第一数据包基础上，该WiFi系统的信任WiFi设备：

解析第一数据包并生成随机字符串；

将第一数据包与随机字符串组合生成第一组合字符串；

对第一组合字符串进行算法处理生成第一签名；

使用RSA私钥对生成的随机字符串与第一签名进行加密，得到第二数据包；

将第二数据包返回终端。

最后，终端对第二数据包与第一数据包进行校验的过程，包括以下步骤：

使用RSA公钥对第二数据包进行解密，获得随机字符串与第一签名；

将第一数据包与随机字符串进行组合，生成第二组合字符串；

对第二组合字符串进行算法处理生成第二签名；

将第二签名与第一签名进行对比时，二者应当一致。

进一步的，上述的WiFi系统中，第一数据包为随机数据，优选为当前时间戳明文。第一签名与第二签名优选摘要算法校验生成，更进一步的优选标准MD5算法或SHA1算法。

更进一步的，该WiFi系统中的终端为：至少具有WiFi连接与数据处理功能的设备，或者可安装到设备的至少能进行WiFi连接与数据处理的应用软件，优选为可安装到智能手机或平板或笔记本电脑的应用软件。

终端，至少具有电联接的以下模块：发送模块，用于向信任WiFi设备或未知WiFi设备发送接口请求与第一数据包；第二接收模块，用于接收返回的第二数据包；公钥模块，用于保存RSA公钥；解析校验模块，用于对第二数据包进行解密，对第一数据包进行解析、签名，将第一数据包与返回的第二数据包进行校验对比；提示模块，用于将校验模块的校验结果进行输出并提示用户。

信任WiFi设备至少具有电联接的以下模块：第一接收模块，用于接收终端发送的第一数据包；私钥模块，用于保存RSA私钥；解析加密模块，用于对第一数据包进行解析、签名、加密；返回模块，用于向终端返回第二数据包；网络模块，用于交换互联网数据。

伪装WiFi识别方法在上述WiFi系统上的实现方法，包括以下步骤：

终端向与信任WiFi名称相同的未知WiFi请求接口并发送当前时间戳明文；

若未知WiFi无响应或不能将所述第二数据包返回终端，则判断为伪装WiFi，若未知WiFi能将所述第二数据包返回终端，则进行下一步；

终端对第二数据包与第一数据包进行校验，若校验不一致，则判断未知WiFi为伪装WiFi，若校验一致，则判断未知WiFi为安全WiFi。

上述的实现方法中，如果未知WiFi设备实际为安全WiFi，则其会对接收的当前时间戳明文解析、生成随机字符串，将时间戳与随机字符串组合成中间没有分隔符的第一组合字符串，使用标准MD5校验算法对第一组合字符串生成第一签名，使用RSA私钥，对随机字符串和第一签名进行加密并返回终端。而如果未知WiFi设备实际为伪装WiFi，则其可能无法对终端发送的接口请求作出正确返回响应，或者至少其无法作出与安全WiFi同样的返回响应。

更进一步的，如果终端接收到的第二数据包实际是由安全WiFi返回的，则终端可顺利的完成以下步骤：使用公钥对收到的随机字符串和第一签名进行解密，将原发送的时间戳明文与返回的随机字符串组合成中间没有分隔符的第二组合字符串，使用标准MD5校验算法对第二组合字符串生成第二签名，对比第一签名与第二签名应为一致，若二者不一致，则终端所接收的第二数据包并非由安全WiFi返回，从而判断未知WiFi设备为伪装WiFi。

采用以上技术方案的本发明，具有以下有益技术效果：

1、本发明的识别伪装WiFi的方法，适用于对伪装为专用网络的钓鱼WiFi的识别，共进行两步操作，先发送第一数据包，如未知WiFi设备没有返回响应，则可以判断该设备为伪装Wifi,而如果未知WiFi设备至少能返回第二数据包，则进行二次识别，由终端进行解密与校验签名，确定未知WiFi设备返回的第二数据包是否正确，从而对其是否为伪装WiFi进行第二次判断，确保识别的准确性。数据包在返回前经过一次签名、一次加密，在返回后经过一次解密、另一次签名，实际是提供了两层密码验证，安全性更高。

2、应用伪装WiFi识别方法的WiFi系统，包括同一名称的信任WiFi设备，当终端连接到该名称的WiFi设备时，可进行安全检查：终端与信任WiFi设备之间按照上述的步骤进行验证，以避免连接到与信任WiFi设备同名称的伪装钓鱼WiFi，有利于提高用户上网的安全性。

3、终端可以为可安装到智能手机或平板及笔记本电脑的应用软件，具有广泛的适用性，同时降低了用户的使用成本。

附图说明

附图1为本发明的伪装WiFi识别方法的流程示意图；

附图2为本发明的可识别伪装设备的WiFi系统的结构框图；

附图3为图2中终端与信任WiFi设备的结构框图；

附图4为图2所示的WiFi系统的信任WiFi设备生成第二数据包的流程图；

附图5为图2所示的WiFi系统的终端对第二数据包与第一数据包进行校验的流程图；

附图6为图2所示的WiFi系统识别伪装WiFi的工作流程图。

具体实施方式

下面结合实施例与附图对本发明的技术方案进行详细说明。

如图1所示，识别伪装WiFi的方法，包括以下步骤：

S101，向未知WiFi请求接口并发送第一数据包；

S102，接收未知WiFi返回的第二数据包，若未知WiFi不能正常返回则进行S105，若未知WiFi能正常返回则进行S103；

S103，对返回的第二数据包与第一数据包进行校验，若校验不一致则进行S105，若校验一致则进行S104。

上述未知WiFi是指这样一种WiFi信号：WiFi的服务集标识 (SSID，Service Set Identifier)、和\或加密方式、和\或物理地址（MAC地址）、和\或安全设置，与公知公共WiFi或特定WiFi网络一致或接近，但其真实性及安全性无法确定。

优选的，上述第一数据包为随机数据，WiFi返回第二数据包前进行证书加密，相应的，返回后经证书解密方能获得第二数据包，为提高证书的安全性，优选RSA密钥对作为加密与解密证书，当然也可以是其他的加密证书。

用来发送第一数据包的可以是移动终端例如手机、平板及笔记本电脑等，也可以是安装到上述终端上的APP或应用程序，或者是其他具有WiFi连接与数据处理功能的可实现数据包发送、接收、解析以及校验的设备、传感器、路由器等，本发明对此不作限制。

如图2所示，一种应用上述方法的可识别伪装设备的WiFi系统，该WiFi系统是由终端和信任WiFi设备组成的专用网络系统，信任WiFi设备的信息事先已在服务器进行保存，设备信息包括但不限于MAC地址、编号、安装的地理位置以及该地址上设备对应的管理员信息等。通过终端与信任WiFI设备之间的独一无二的验证方式，可以有效识别伪装成与本系统的WiFi名称（服务集标识/SSID）一致的虚假WiFi或钓鱼WiFi。

具体的讲，该系统设置保存RSA公钥的终端与保存RSA私钥的信任WiFi设备，终端与信任WiFi设备分别具有如图3所示的终端与信任WiFi设备所具有的的模块与功能。终端用于向信任WiFi设备或未知WiFi发送第一数据包，信任WiFi设备用于向终端返回第二数据包，终端还用于对第二数据包与第一数据包进行校验。

如图3所示，终端，至少具有电联接的以下模块：

发送模块，用于向信任WiFi设备或未知WiFi设备发送接口请求与第一数据包；第二接收模块，用于接收返回的第二数据包；公钥模块，用于保存RSA公钥；解析校验模块，用于对第二数据包进行解密，对第一数据包进行解析、签名，将第一数据包与返回的第二数据包进行校验对比；提示模块，用于将校验模块的校验结果进行输出并提示用户。

信任WiFi设备至少具有电联接的以下模块：第一接收模块，用于接收终端发送的第一数据包；私钥模块，用于保存RSA私钥；解析加密模块，用于对第一数据包进行解析、签名、加密；返回模块，用于向终端返回第二数据包；网络模块，用于交换互联网数据。

该系统的终端与信任WiFi设备之间的验证方式包括算法签名与RSA证书，信任WiFi设备对第一数据包进行第一算法签名，返回第二数据包前进行RSA私钥加密；终端收到第二数据包后进行RSA公钥解密，校验前对第一数据包进行第二算法签名。

以终端优选为可安装到智能手机或平板电脑的APP为例，结合图3、图4，WiFi系统内的具体验证步骤如下：

首先，S401，APP的发送模块向信任WiFi设备请求接口并明文发送第一数据包即当前时间戳。

其次，信任WiFi设备的第一接收模块收到当前时间戳；

S402，解析加密模块解析当前时间戳并生成随机字符串，

S403，解析加密模块将当前时间戳与随机字符串组合生成第一组合字符串，

S404，解析加密模块对第一组合字符串进行标准MD5算法生成第一签名，

S405，解析加密模块利用私钥模块上保存的RSA私钥对随机字符串与第一签名进行证书加密得到第二数据包；

S406，返回模块将该第二数据包返回APP。

结合图3、图5，APP对第二数据包与第一数据包进行校验，具体步骤为：

首先，APP的第二接收模块接收第二数据包；

S501，解析校验模块使用公钥模块保存的RSA公钥对第二数据包进行证书解密，获得第二数据包中的随机字符串与第一签名，

S502，解析校验模块将获得的随机字符串与原当前时间戳进行组合，生成第二组合字符串，

S503，解析校验模块对第二组合字符串进行标准MD5算法生成第二签名，

S504，解析校验模块对第二签名与第一签名进行对比；

提示模块将对比结果输出并提示APP用户。

MD5即Message-Digest Algorithm 5（信息-摘要算法5），用于确保信息传输完整一致。是计算机广泛使用的杂凑算法之一，其典型应用是对一段信息产生信息摘要，以防止被篡改。该WiFi系统的新人设备与终端采用该算法对第一组合字符串与第二组合字符串进行签名，能有效防止数据传输中被篡改，保证验证可靠性。

如图6所示，可识别伪装设备的WiFi系统的工作方法，系统识别伪装WiFi的步骤包括：

S601，APP发现名称（服务集标识 /SSID）与系统的信任WiFi设备一样的未知WiFi时，向该未知WiFi请求接口并明文发送当前时间戳；

S602，未知WiFi收到该时间戳后；如果没有响应则进行S605，如果有响应但返回的数据无法被APP识别，同样进行S605；只有返回的数据是满足前述步骤S402至S405所述的第二数据包时，APP才会识别该数据并接收，然后继续下一步。

S603，APP按照前述步骤S501至S504所述的步骤对第二签名与第一签名进行校验，当校验不一致时，说明未知WiFi返回的第二数据包并非系统认可的数据，该未知WiFi为伪装WiFi。

以一个具体WiFi系统进行说明，例如搭建名为“city-wifi”的商家免费WiFi系统，该系统内包括按一定顺序进行排序且设备信息均保存在服务器的众多WiFi盒子，为配合WiFi盒子的使用，系统设置有相应的APP。

APP上保存RSA公钥，WiFi盒子上保存RSA私钥。

实际运行中，各个WiFi盒子分布在不同的位置，盒子统一的服务集标识 \SSID均为“city-wifi”且所有盒子的连接密码保持一致，正是由于这两个特性，该WiFi系统不可避免的会被其他设备模仿，从而出现名称同为“city-wifi”且密码也与本系统的信任设备一致的WiFi信号，这种情况下，普通用户无法分辨其真伪，正是出于这样的考虑，本发明提供一种解决该问题的技术方案。

当用户的移动设备例如智能手机上安装前述APP后，需要连接无线网时，启动APP进行网络检测，APP发现附近有名为“city-wifi”的无线网络时，可自动进行或手动发送数据到该无线网络设备进行验证，即进行如S401所述的过程：向信任WiFi设备请求接口并明文发送当前时间戳。同样的，当用户使用APP处于移动中，其连接的WiFi信号也处于不时切换状态，当APP连接从一个信任设备切换到未知设备时，APP也可以进行上述操作。

此时，如果该设备是已经被服务器记录的信任WiFi设备，其数据处理流程会如图4中S402至S406所示进行：解析当前时间戳并生成随机字符串，将当前时间戳与随机字符串组合生成第一组合字符串，对第一组合字符串进行标准MD5算法生成第一签名，利用私钥模块上保存的RSA私钥对随机字符串与第一签名进行证书加密得到第二数据包并将第二数据包返回APP。

如果该设备并非信任设备，一种情况是根本无法识别APP发送的数据，从而不会作出响应；另一种情况是无法和信任设备一样按照前述S402至S406的流程进行数据处理，也就无法返回正确的数据包；这两种情况下，APP已经可以识别该设备为伪装设备并作出提示。

进一步的，即使伪装设备通过各种技术处理能够返回被APP接收的第二数据包，APP也会按照前述S501至S504所述的流程进行进一步验证，因为时间戳在信任设备上是依次经过解析、组合随机字符串、MD5签名、RSA密钥加密才返回到APP，又由于RSA密钥的唯一性，APP进行校验必然先要解密才能进行，然后再将其原始发送的时间戳与解密得到的随机字符串数据组合、签名得到第二签名，这个过程，实际上经过了多次加密解密的处理，使得验证的准确性进一步提高，从而可以准确的识别出伪装WiFi；同时APP可以通过其提示模块提示用户，避免连接到钓鱼WiFi带来损失，必要时可以主动断开该连接。APP还可提供举报模块，将识别确定的伪装WiFi的相关信息上传到服务器，以便APP和服务器将其列入黑名单。

而当该未知WiFi被识别为安全WiFi后，APP可以进一步将其信息添加到信任列表并上传到服务器，便于用户再次连接时加快验证速度。

以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。