一种安全接入网络的方法及其系统的制作方法

一种安全接入网络的方法及其系统的制作方法
【专利摘要】本发明属于互联网技术领域，公开了一种安全接入网络的方法及其系统，该方法包括：接收到请求接入无线网络的指令时，对用户进行身份认证；若身份认证成功，则进行所述无线网络的密码认证，若身份认证失败，则拒绝所述用户访问所述无线网络；若密码认证成功，则允许用户访问无线网络，若所述密码认证失败，则拒绝所述用户访问所述无线网络。所述的方法可以确保使用网络的安全，防止非授权人使用无线网络进行传输数据或植入木马程序。
【专利说明】
一种安全接入网络的方法及其系统
技术领域
[0001]本发明属于互联网技术领域，尤其涉及一种安全接入网络的方法及其系统。
【背景技术】
[0002]随着无线网络技术的不断发展，无线接入速率越来越高，无线路由器在企业和家庭中的应用也越来越广泛，使得多个用户共享高速网络资源成为可能。目前的W1-FI路由器提供接入认证，但是并没有控制用户登录路由器接入网络后对网络资源的访问控制，因此存在不安全的隐患。
[0003]目前常用的W1-FI认证方法有WEP(WiredEquivalent Privacy，有线等效加密)认证方法和WPA(Wi_Fi Protected Access，无线网络安全存取)认证方法。
[0004]WEP(ffired Equivalent Privacy，有线等效加密)
[0005]WEP是最基本的加密技术，手机用户、笔记型计算机与无线网络的Access Point(网络金钥AP)拥有相同的网络金钥，才能解读互相传递的数据。这金钥分为64bits及128bits两种，最多可设定四组不同的金钥。当用户端进入WLAN前必须输入正确的金钥才能进行连接。
[0006]WEP加密方法很脆弱，网络上每个客户或者计算机都使用了相同的保密字，这种方法使网络偷听者能刺探到密钥，偷走数据并且在网络上造成混乱。
[0007]WPA(ff1-Fi Protected Access，无线网络安全存取)
[0008]WPA分为家用的WPA-PSK(Pre_Shared Key)与企业用的WPA-Enterprise版本。
[0009]WPA-PSK为了堵塞WEP的漏洞而发展的加密技术，使用方法与WEP相似。无线基地台与笔记型计算机必须设定相同的Key，计算机才可以连入基地台。但其进入WLAN时以更长词组或字串作为网络金钥。并且WPA-PSK运用了TKIP(Temporal Key Integrity Protocol，暂时金钥完整性协定)技术，因此比WEP难被破解而更加安全。
[0010]WPA-PSK通过为每个客户分配唯一的密钥而工作，但需要给雇员密码以便登陆系统。这样，外部的人可通过他们享用网络资源。如果需要修改密码，可能需要到每台电脑前去输入新的密码。
[0011]WPA-Enterprise(企业用无线网络安全存取)采用IEEE 802.1x需要有另一台储存无线使用者账户数据的RADIUS(Remote Authenticat1n Dial-1n User Service，远程认拨号用户服务)服务器，当笔记型计算机连入无线基地台时，无线基地台会要求使用者输入账号密码、或者是自动向笔记型计算机索取储存在计算机硬盘的使用者数字凭证，然后向RADIUS服务器确认使用者的身份。而用来加密无线封包的加密金钥(Key)，也是在认证的过程中自动产生，并且每一次联机所产生的会话密钥(Sess1n Key)都不同，因此非常难被破解。
[0012]使用用户名和密码安全登陆网络后，每个客户会自动得到一个唯一的密钥，密钥很长并且每隔一段时间就会被更新。这样W1-Fi监听者就不能获取足够的数据包来解码密钥。即使一个密钥因为某种原因被解码了，富于经验的黑客有可能发现新的密钥，但是相应的加密锁已经变了。
[0013]WPA-Enterprise不像WPA-PSK那样，雇员将不会知道密码。这样，外部的人就不能通过他们享用网络资源。需要对外共享网络将成为困难。
[0014]上述的W1-FI认证或者通过移动终端接入的暂时连接WIFI都遵守802.11协议完成，但802.11协议并未有关于用户特性的认证规范，没有对用户有认证功能，从而不能确保使用网络的安全。

【发明内容】

[0015]本发明提供了一种安全接入网络的方法及其系统，旨在解决接入和使用网络的安全性问题。
[0016]本发明第一方面提供了一种安全接入网络的方法，该方法包括:
[0017]接收到请求接入无线网络的指令时，对用户进行身份认证；
[0018]若身份认证成功，则进行所述无线网络的密码认证，若身份认证失败，则拒绝所述用户访问所述无线网络；
[0019]若密码认证成功，则允许所述用户访问所述无线网络，若所述密码认证失败，则拒绝所述用户访问所述无线网络。
[0020]与上述方案相结合，该方法还包括:
[0021]在接入无线网络的设置界面，设置用于选择是否进行所述身份认证的安全网络按键。
[0022]与上述各个方案相结合，该方法还包括:
[0023]接收用户选择所述安全网络按键的指令，将授权用户的指纹进行录入，并进行保存。
[0024]与上述各个技术方案相结合，所述对用户进行身份认证，具体包括:
[0025]接收用户输入的指纹，并
[0026]将所述用户输入的指纹与所述授权用户的指纹进行匹配；
[0027]若指纹匹配成功，则确认身份认证成功。
[0028]与上述各个相关方案相结合，所述进行无线网络的密码认证，具体包括:
[0029]接收用户输入的无线网络密码；
[0030]将所述无线网络密码与预置的密码进行匹配，如匹配成功，则所述密码认证成功，否则所述密码认证失败。
[0031]本发明第二方面提供一种安全接入网络的系统，该系统包括:
[0032]身份认证模块，用于在接收到请求接入无线网络的指令时，对用户进行身份认证；
[0033]密码认证模块，用于在当所述身份认证成功时，进行所述无线网络的密码认证，当身份认证失败时，拒绝所述用户访问所述无线网络；
[0034]网络接入模块，用于在当所述密码认证成功后，允许所述用户访问所述无线网络，当所述密码认证模块认证失败时，拒绝所述用户访问所述无线网络。
[0035]与上述技术方案相结合，所述系统还包括安全网络按键，所述安全网络按键置于接入无线网络的设置界面，用于选择是否进行所述身份认证。
[0036]与上述技术方案相结合，所述系统还包括指纹模块，所述指纹模块用于接收用户选择所述安全网络按键的指令，并将授权用户的指纹进行录入、保存。
[0037]与上述各个技术方案相结合，所述身份认证模块包括指纹录入单元和指纹匹配单元，
[0038]所述指纹录入单元用于接收用户输入的指纹；
[0039]所述指纹匹配单元用于将所述用户输入的指纹与所述授权用户的指纹进行匹配，若指纹匹配成功，则确认所述身份认证成功。
[0040]与上述各个相关的技术方案相结合，所述密码认证模块包括密码录入单元和密码匹配单元，
[0041]所述密码录入单元用于接收用户输入的无线网络密码；
[0042]所述密码匹配单元用于将所述无线网络密码与预置的密码进行匹配，如匹配成功，则所述密码认证成功，否则所述密码认证失败。
[0043]从上述本发明实施方式中可知，本发明通过在无线网络的密码认证前添加了一步身份认证，通过确认用户身份来确认是用户本人或者是用户允许的使用者来使用网络，以此来确保使用网络的安全，且该方法可以防止非授权人使用无线网络进行传输数据或植入木马程序。
【附图说明】
[0044]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0045]图1为一种移动终端的结构框图；
[0046]图2为本发明第一实施例提供的安全接入网络的方法的流程示意图；
[0047]图3为本发明第二实施例提供的安全接入网络的方法的流程示意图；
[0048]图4为本发明第三实施例提供的安全接入网络的系统的模块示意图；
[0049]图5为本发明第四实施例提供的安全接入网络的系统的模块示意图。
【具体实施方式】
[0050]为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显示，所描述的实施例仅仅是本发明一部分实施例，而非全部实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0051]图1示出了一种移动终端的结构框图。本发明实施例提供的安全接入网络的方法可应用于如图1所示的移动终端10中，移动终端10可以但不限于包括:需依靠电池维持正常运行且支持网络及下载功能的智能手机、笔记本、平板电脑、穿戴智能设备等。
[0052]如图1所示，移动终端10包括存储器101、存储控制器102，一个或多个(图中仅示出一个)处理器103、外设接口 104、射频模块105、按键模块106、音频模块107以及触控屏幕108。这些组件通过一条或多条通讯总线/信号线109相互通讯。
[0053]可以理解，图1所示的结构仅为示意，其并不对移动终端的结构造成限定。移动终端10还可包括比图1所示更多或者更少的组件，或者具有与图1所示不同的配置。图1所示的各组件可以采用硬件、软件或其组合实现。
[0054]存储器101可用于存储软件程序以及模块，如本发明实施例中的安全接入网络的方法及其系统对应的程序指令/模块，处理器103通过运行存储在存储器101内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的移动终端10对显示界面的显示控制的方法。
[0055]存储器101可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器101可进一步包括相对于处理器103远程设置的存储器，这些远程存储器可以通过网络连接至移动终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。处理器103以及其他可能的组件对存储器101的访问可在存储控制器102的控制下进行。
[0056]外设接口 104将各种输入/输入装置耦合至CPU以及存储器101。处理器103运行存储器101内的各种软件、指令以执行移动终端10的各种功能以及进行数据处理。
[0057]在一些实施例中，外设接口 104，处理器103以及存储控制器102可以在单个芯片中实现。在其他一些实例中，他们可以分别由独立的芯片实现。
[0058]射频模块105用于接收以及发送电磁波，实现电磁波与电信号的相互转换，从而与通讯网络或者其他设备进行通讯。射频模块105可包括各种现有的用于执行这些功能的电路元件，例如，天线、射频收发器、数字信号处理器、加密/解密芯片、使用者身份模块(SIM)卡、存储器等等。射频模块105可与各种网络如互联网、企业内部网、预置类型的无线网络进行通讯或者通过预置类型的无线网络与其他设备进行通讯。上述的预置类型的无线网络可包括蜂窝式电话网、无线局域网或者城域网。上述的预置类型的无线网络可以使用各种通信标准、协议及技术，包括但并不限于全球移动通信系统(Global System for MobileCommunicat1n，GSM)，增强型移动通信技术(Enhanced Data GSM Environment，EDGE)，宽带码分多址技术(Wideband Code Divis1n Multiple Access，W_CDMA)，码分多址技术(Code Divis1n Access，CDMA)，时分多址技术(Time Divis1n Multiple Access，TDMA)，蓝牙，无线保真技术(Wireless-Fidelity，W1-Fi)(如美国电气和电子工程师协会标准IEEE802.11a、IEEE 802.I lb、IEEE802.I Ig 和/或 IEEE 802.1 In)，网络电话(Voice overInternet Protocal ,VoIP)，全球微波互联接入(Worldwide Interoperability forMicrowave Access，W1-Max)，其他用于邮件、即时通讯及短消息的协议，以及任何其他合适的通讯协议。
[0059]按键模块106提供使用者向移动终端进行输入的接口，使用者可以通过按下不同的按键以使移动终端1执行不同的功能。
[0060]音频模块107向使用者提供音频接口，其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。音频电路从外设接口 104处接收声音数据，将声音数据转换为电信息，将电信息传输至扬声器。扬声器将电信息转换为人耳能听到的声波。音频电路还从麦克风处接收电信息，将电信号转换为声音数据，并将声音数据传输至外设接口 104中以进行进一步的处理。音频数据可以从存储器101处或者通过射频模块105获取。此外，音频数据也可以存储至存储器101中或者通过射频模块105进行发送。在一些实例中，音频模块107还可包括一个耳机播孔，用于向耳机或者其他设备提供音频接口。
[0061]触控屏幕108在移动终端与使用者之间同时提供一个输出及输入界面。具体地，触控屏幕108向使用者显示视频输出，这些视频输出的内容可包括文字、图形、视频、及其任意组合。一些输出结果是对应于一些使用者界面对象。触控屏幕108还接收使用者的输入，例如使用者的点击、滑动等手势操作，以便使用者界面对象对这些使用者的输入做出响应。检测使用者输入的技术可以是基于电阻式、电容式或者其他任意可能的触控检测技术。触控屏幕108显示单元的具体实例包括但并不限于液晶显示器或发光聚合物显示器。
[0062]请参阅图2，图2为本发明第一实施例提供的安全接入网络的方法的流程示意图。本实施例提供的安全接入网络的方法可应用于如图1所示的移动终端10中，主要包括以下步骤:
[0063]S201、接收到请求接入无线网络的指令时，对用户进行身份认证。
[0064]接入无线网络的指令由用户通过移动终端发送，移动终端接收到用户发送的接入无线网络的请求，并由移动终端对用户的身份进行认证。
[0065]本发明所指的无线网络是广义上的网络，该无线主要是区别有线来说的。该无线网络包括无线宽带、2G网络、3G网络、4G网络等无线形式的信号传输技术。
[0066]无线宽带是指有线宽带连接到无线路由器上，从而把有线宽带变成无线信号发射出来，也就是W1-FI，或者叫无线AP，它是把有线宽带无线化的一种形式，其速度与有线相同。
[0067]2G网络是指第二代无线蜂窝电话通讯协议，是以无线通讯数字化为代表，能够进行窄带数据通讯。常见2G无线通讯协议有GSM频分多址(GPRS和EDGE和⑶MA IX码分多址两种，传输速度很慢。
[0068]3G(3rd-Generati0n，第三代移动通信技术)网络是第三代无线蜂窝电话通讯协议，主要是在2G的基础上发展的高带宽的数据通信，提高了语音通话安全性。3G—般的数据通信带宽都在500Kb/s以上。目前3G常用的有3种标准:WCDMA、CDMA2000、TD-SCDMA，传速速度相对较快，可以很好的满足手机上网等需求。
[0069]4G(The 4Generat1n mobile communicat1n technology，第四代无线蜂窝电话通讯协议)网络是集3G与WLAN于一体并能够传输高质量视频图像以及图像传输质量与高清晰度电视不相上下的技术产品。4G系统能够以100Mbps的速度下载，比拨号上网快2000倍，上传的速度也能达到20Mbps，并能够满足几乎所有用户对于无线服务的要求。
[0070]身份认证是用来确定用户身份的一种识别方式，身份认证时采用用户的一些具有特征性的身份信息进行认证，比如，身份信息可以是用户的指纹、脸、眼睛、声音等。在进行身份认证前，需要先将用户的身份信息保存起来，即在发出请求接入无线网络的指令前需要对允许接入的用户的身份信息进行保存。对允许接入的用户的身份信息进行保存一般由无线网络的持有者进行操作，对持有者的身份信息和持有者认可的用户的身份信息进行保存。本申请中为了方便表述，将持有者和持有者认可的用户统称为授权用户。
[0071]在进行身份认证时，将输入的身份信息与保存的授权用户的身份信息进行匹配，如果能完全匹配，则认为身份认证成功，否则认为身份认证失败。当身份认证失败时，不允许用户接入无线网络。
[0072]具体的，无线网络的持有者可以将自己的身份信息进行保存，根据需要，再对一些经过持有者认证的用户的身份信息进行保存。本发明中对使用无线网络的授权用户并没有进行限制，在对某个授权用户的身份信息进行保存后，在后续持有者也可以将该身份信息进行删除。持有者保存的身份信息为指纹、脸等信息，在保存时可以选择指纹信息或者脸信息，可以选择其中一种进行保存或者同时对两种或多种信息进行保存，用户在使用时再根据当时保存身份信息的情况选择使用不同的身份信息进行认证。为了操作上的简单和认证计算过程的方便，一般统一使用一种身份信息进行认证。比如，仅选择授权用户的指纹信息进行保存，在认证时只需要输入指纹信息进行匹配即可。又或者仅选择授权用户的脸信息进行保存，在认证时对用户的脸信息进行输入进行匹配。
[0073]S202、若身份认证成功，则进行无线网络的密码认证;若身份认证失败，则拒绝用户访问无线网络。
[0074]无线网络的密码为无线网络的持有者设置的预置密码，只有在身份认证成功后才可以进入密码认证的步骤，否则不能进入密码认证的步骤。
[0075]当用户输入的密码与预置的密码完全相同时，密码认证成功，否则密码认证失败。
[0076]S203、若密码认证成功，则允许用户访问无线网络;若密码认证失败，则拒绝用户访问无线网络。
[0077]密码认证成功，用户可以正常使用无线网络。
[0078]在本发明实施例中，为了简便用户的操作体验和接入无线网络的快捷操作，也可以对上述步骤进行简化。执行完S201后，直接跳转到S203。或者将S202的操作进行简化，在身份认证成功后，用户首次接入该无线网络时需要输入密码进行认证，在输入密码认证成功后，本地将用户接入的无线网络名称和密码进行保存。在再次接入时，当身份认证的步骤通过后，本地将自动调取用户的密码认证信息，自动进行密码认证，不需要用户再次输入密码。
[0079]本发明实施例中，在接入无线网络时，在密码认证前增加了一步身份认证，通过确认用户身份来确认是用户本人或者是用户允许的使用者来使用网络，以防止非授权用户使用破解无线网络的软件或者设备对无线网络的密码进行破解后进入，从此确保了使用网络的安全，并且可以防止非授权用户使用无线网络进行传输数据或植入木马程序。
[0080]请参阅图3，图3为本发明第二实施例提供的安全接入网络的方法的流程示意图。本实施例提供的安全接入网络的方法可应用于如图1所示的移动终端10中，主要包括以下步骤:
[0081]S301、在接入无线网络的设置界面，设置用于选择是否进行身份认证的安全网络按键。
[0082]身份认证是用来确定用户身份的一种识别方式，身份认证时采用用户的一些具有特征性的身份信息进行认证，比如，身份信息可以是用户的指纹、脸、眼睛、声音等。在进行身份认证前，需要先将用户的身份信息保存起来，即在发出请求接入无线网络的指令前需要对允许接入的用户的身份信息进行保存。对允许接入的用户的身份信息进行保存一般由无线网络的持有者进行操作，对持有者的身份信息和持有者认可的用户的身份信息进行保存。持有者和持有者认可的用户统称为授权用户。
[0083]在进行身份认证时，将输入的身份信息与保存的授权用户的身份信息进行匹配，如果能完全匹配，则认为身份认证成功，否则认为身份认证失败。当身份认证失败时，不允许用户接入无线网络。
[0084]安全网络按键的设置，用户可以选择是否实行安全网络，如果实行安全网络，则需要选择安全网络按键，在操作安全网络按键后进行安全网络接入的相关设置。如果不需要实行安全网络，用户可以不去操作安全网络按键，此时，接入无线网络的方法与现有的方法一样，一般情况下，只需要通过密码认证后即可接入网络。
[0085]S302、选择安全网络按键，将授权用户的指纹进行录入，并进行保存。
[0086]授权用户的指纹由无线网络的持有者进行录入，持有者可以将自己的指纹和持有者认可的用户的指纹进行录入，录入的指纹保存在TRUSTZ0NE中。
[0087]TrustZone(信任区)是ARM针对消费电子设备安全所提出的一种架构。TrustZone技术可提供允许SoC设计人员从大量可在安全环境中实现特定功能的组件中进行选择的基础结构，而不提供固定且一成不变的安全解决方案。架构的主要安全目标是支持构建可编程环境，以防止资产的机密性和完整性受到特定的攻击。具备这些特性的平台可用于构建一组范围广泛的安全解决方案，而使用传统方法构建这些解决方案将费时费力。
[0088]S303、接收用户输入的指纹。
[0089]在获取用户输入的指纹前，一般需要由移动终端自动进行搜索SSID(ServiCeSetIdentify，服务集标识)，然后在搜索出的SSID中选择需要连接的SSID，或者由用户直接输入需要连接的SSID。用户在移动终端的界面输入指纹，输入指纹时要选择与录入指纹时一致的手指进行输入，输入的指纹由移动终端接收。
[0090]即用户根据自己的需要，选择知道密码和能够通过身份认证的W1-FI进行连接。一般的，接入无线网络的用户通过移动终端找到需要接入的无线网络，移动终端接收到用户发送的请求接入无线网络的指令，并由移动终端对用户的身份、密码进行认证。
[0091]SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络。
[0092]通俗地讲，SSID是用户给自己的无线网络所取的名字。同一生产商推出的无线路由器或AP都使用了相同的SSID，一旦某些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络，极易建立起一条非法的连接，从而给我们的无线网络带来威胁。因此，将初始的SSID命名进行修改可以提高安全性。
[0093]无线路由器一般都会提供“允许SSID广播”功能。如果不想让无线网络被别人通过SSID名称搜索到，可以设置“禁止SSID广播”。设置“禁止SSID广播”后无线网络仍然可以使用，只是不会出现在其他人所搜索到的可用网络列表中。
[0094]S304、将用户输入的指纹与授权用户的指纹进行匹配，若指纹匹配成功，则确认身份认证成功，转到S305。若指纹匹配不成功，则身份认证失败，转到S308。
[0095]TrustZone将获取到的指纹与授权用户的指纹进行匹配，授权用户的指纹可以是一个，也可以是多个。
[0096]输入的指纹与TrustZone中保存的授权用户的指纹中的一个完全相同，则认为指纹匹配成功。指纹匹配成功将继续802.11的无线认证。
[0097]S305、接收用户输入的无线网络密码。
[0098]只有在指纹认证成功后才会进行S305，接收用户输入的无线网络密码，如果在指纹认证的步骤中没有成功，用户则不能执行输入密码的动作。在指纹匹配成功后，会自动跳出输入网络密码的界面以供用户输入密码。
[0099]S306、将无线网络密码与预置的密码进行匹配，如匹配成功，则密码认证成功，否则密码认证失败。如密码认证成功，则转到S307 ；否则，转到S308。
[0100]预置的密码为无线网络的持有者设置的密码，只有在身份认证成功后才可以进入密码认证的步骤，否则不能进入密码认证的步骤。
[0101]当用户输入的密码与预置的密码完全相同时，密码认证成功，否则密码认证失败。
[0102]S307、无线网络接入成功，允许用户使用无线网络。
[0103]S308、无线网络接入失败，不允许用户访问无线网络。
[0104]本发明实施例中，在接入无线网络时，在密码认证前增加了一步指纹认证，通过确认用户的指纹来确认是用户本人或者是用户允许的使用者来使用网络，以防止非授权用户使用破解无线网络的软件或者设备对无线网络的密码进行破解后进入，从此确保了使用网络的安全，并且可以防止非授权用户使用无线网络进行传输数据或植入木马程序。
[0105]请参阅图4，图4为本发明第三实施例提供的安全接入网络的系统的模块示意图，为了便于说明，仅示出了与本发明实施例相关的部分。图4示例的安全接入网络的系统可以是前述图2和图3所示实施例提供的安全接入网络的方法的执行主体。图4所示的安全接入网络的系统，主要包括:身份认证模块401、密码认证模块402和网络接入模块403。各个功能模块的详细说明如下:
[0106]身份认证模块401，用于在接收到请求接入无线网络的指令时，对用户进行身份认证。
[0107]接入无线网络的指令由用户通过移动终端发送，移动终端接收到用户发送的请求接入无线网络的指令，并由移动终端对用户的身份进行认证。
[0108]身份认证是用来确定用户身份的一种识别方式，身份认证时采用用户的一些具有特征性的身份信息进行认证，比如，身份信息可以是用户的指纹、脸、眼睛、声音等。在进行身份认证前，需要先将用户的身份信息保存起来，即在发出请求接入无线网络的指令前需要对允许接入的用户的身份信息进行保存。对允许接入的用户的身份信息进行保存一般由无线网络的持有者进行操作，对持有者的身份信息和持有者认可的用户的身份信息进行保存。
[0109]在进行身份认证时，将输入的身份信息与保存的授权用户的身份信息进行匹配，如果能完全匹配，则认为身份认证成功，否则认为身份认证失败。当身份认证失败时，不允许用户接入无线网络。
[0110]具体的，无线网络的持有者可以将自己的身份信息进行保存，根据需要，再对一些经过持有者认证的用户的身份信息进行保存。本发明中对使用无线网络的授权用户并没有进行限制，在对某个授权用户的身份信息进行保存后，在后续持有者也可以将已保存的身份信息进行删除。持有者保存的身份信息为指纹、脸等信息，在保存时可以选择指纹信息或者脸信息，可以选择其中一种进行保存或者同时对两种或多种信息进行保存，用户在使用时再根据当时保存身份信息的情况选择使用不同的身份信息进行认证。为了操作上的简单和认证计算过程的方便，一般统一使用一种身份信息进行认证。比如，仅选择授权用户的指纹信息进行保存，在认证时只需要输入指纹信息进行匹配即可。又或者仅选择授权用户的脸信息进行保存，在认证时对用户的脸信息进行输入进行匹配。
[0111]密码认证模块402，用于当在身份认证成功时，进行无线网络的密码认证。当身份认证失败时，拒绝用户访问无线网络。
[0112]无线网络的密码为无线网络的持有者设置的预置密码，只有在身份认证成功后才可以进入密码认证的步骤，否则不能进入密码认证的步骤。
[0113]当用户输入的密码与预置的密码完全相同时，密码认证成功，否则密码认证失败。
[0114]网络接入模块403，用于在当密码认证成功后，允许用户访问无线网络，当密码认证模块认证失败时，拒绝用户访问无线网络。
[0115]密码认证成功，用户可以正常使用无线网络。若密码认证失败，则不允许用户使用无线网络，即使上一步的身份认证成功，在密码认证时失败，也不允许接入该无线网络。
[0116]在本发明实施例中，为了简便用户的操作体验和接入无线网络的快捷操作，也可以对上述的功能模块进行简化。身份认证模块401执行完后，可以直接跳转到网络接入模块403。或者将密码认证模块402的操作进行简化，在身份认证成功后，用户首次接入该无线网络时需要输入密码进行认证，在输入密码认证成功后，本地将用户接入的无线网络名称和密码进行保存。在再次连接接入时，当身份认证的步骤通过后，本地将自动调取用户的密码认证信息，自动进行密码认证，不需要用户再次输入密码。
[0117]本发明实施例中，在接入无线网络时，在密码认证前增加了一步身份认证，通过确认用户身份来确认是用户本人或者是用户允许的使用者来使用网络，以防止非授权用户使用破解无线网络的软件或者设备对无线网络的密码进行破解后进入，从此确保了使用网络的安全，并且可以防止非授权用户使用无线网络进行传输数据或植入木马程序。
[0118]请参阅图5，图5为本发明第四实施例提供的安全接入网络的系统的模块示意图，为了便于说明，仅示出了与本发明实施例相关的部分。图5示例的安全接入网络的系统可以是前述图2和图3所示实施例提供的安全接入网络的方法的执行主体。图5所示的安全接入网络的系统，主要包括:安全网络按键501、指纹模块502、指纹录入单元503、指纹匹配单元504、密码录入单元505、密码匹配单元506和网络接入模块507。各个功能模块的详细说明如下:
[0119]安全网络按键501置于接入无线网络的设置界面，用于选择是否进行身份认证。
[0120]身份认证是用来确定用户身份的一种识别方式，身份认证时采用用户的一些具有特征性的身份信息进行认证，比如，身份信息可以是用户的指纹、脸、眼睛、声音等。在进行身份认证前，需要先将用户的身份信息保存起来，即在发出请求接入无线网络的指令前需要对允许接入的用户的身份信息进行保存。对允许接入的用户的身份信息进行保存一般由无线网络的持有者进行操作，对持有者的身份信息和持有者认可的用户的身份信息进行保存。持有者和持有者认可的用户统称为授权用户。
[0121]在进行身份认证时，将输入的身份信息与保存的授权用户的身份信息进行匹配，如果能完全匹配，则认为身份认证成功，否则认为身份认证失败。当身份认证失败时，不允许用户接入无线网络。
[0122]安全网络按键的设置，用户可以选择是否实行安全网络，如果实行安全网络，则需要选择安全网络按键，在操作安全网络按键后进行安全网络接入的相关设置。如果不需要实行安全网络，用户可以不去操作安全网络按键，此时，接入无线网络的方法与现有的方法一样，一般情况下，只需要通过密码认证后即可接入网络。
[0123]指纹模块502，用于接收用户选择安全网络按键501的指令，并将授权用户的指纹进行录入、保存。
[0124]授权用户的指纹由无线网络的持有者进行录入，持有者可以将自己的指纹和持有者认可的用户的指纹进行录入，录入的指纹保存在TRUSTZ0NE中。
[ΟΙ25] TrustZone (信任区)是ARM针对消费电子设备安全所提出的一种架构。TrustZone技术可提供允许SoC设计人员从大量可在安全环境中实现特定功能的组件中进行选择的基础结构，而不提供固定且一成不变的安全解决方案。架构的主要安全目标是支持构建可编程环境，以防止资产的机密性和完整性受到特定的攻击。具备这些特性的平台可用于构建一组范围广泛的安全解决方案，而使用传统方法构建这些解决方案将费时费力。
[0126]指纹录入单元503，用于接收用户输入的指纹。
[0127]在用户输入指纹前，首先找到需要接入的无线网络的SSID，然后再将相应的SSID进行关联。用户在关联上SSID后，输入指纹，输入指纹时要选择与录入指纹时一致的手指进行输入。
[0128]即用户根据自己的需要，选择知道密码和能够通过身份认证的W1-FI进行连接。一般的，接入无线网络的用户通过移动终端找到需要接入的无线网络，移动终端接收到用户发送的请求接入无线网络的指令，并由移动终端对用户的身份、密码进行认证。
[0129]SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络。
[0130]通俗地讲，SSID是用户给自己的无线网络所取的名字。同一生产商推出的无线路由器或AP都使用了相同的SSID，一旦某些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络，极易建立起一条非法的连接，从而给我们的无线网络带来威胁。因此，将初始的SSID命名进行修改可以提高安全性。
[0131]指纹匹配单元504，用于将用户输入的指纹与授权用户的指纹进行匹配，如匹配成功，则指纹认证成功，否则指纹认证失败。
[0132]TrustZone将获取到的指纹与授权用户的指纹进行匹配，授权用户的指纹可以是一个，也可以是多个。
[0133]输入的指纹与TrustZone中保存的授权用户的指纹中的一个指纹完全相同，则认为指纹匹配成功。指纹匹配成功将继续802.11的无线认证。
[0134]密码录入单元505，用于接收用户输入的无线网络密码。
[0135]只有在指纹认证成功后才会进入密码录入单元505，接收用户输入的无线网络密码，如果在指纹认证的步骤中没有成功，用户不能执行输入密码的动作。在指纹匹配成功后，会自动跳出输入网络密码的界面以供用户输入密码。
[0136]密码匹配单元506，用于将无线网络密码与预置的密码进行匹配，如匹配成功，则密码认证成功，否则密码认证失败。如密码认证成功，则进入网络接入模块507;否则，返回到寻找需要接入的无线网络的SSID界面。
[0137]预置的密码为无线网络的持有者设置的密码，只有在身份认证成功后才可以进入密码认证的步骤，否则不能进入密码认证的步骤。
[0138]当用户输入的密码与预置的密码完全相同时，密码认证成功，否则密码认证失败。
[0139]网络接入模块507，用于在密码认证成功后允许用户访问无线网络，若密码匹配单元506匹配失败，则拒绝接入无线网络。
[0140]密码认证成功，用户可以正常使用无线网络。若密码认证失败，则不允许用户使用无线网络，即使上一步的身份认证成功，在密码认证时失败，也不允许接入该无线网络。
[0141]本发明实施例中，在接入无线网络时，在密码认证前增加了一步指纹认证，通过确认用户的指纹来确认是用户本人或者是用户允许的使用者来使用网络，以防止非授权用户使用破解无线网络的软件或者设备对无线网络的密码进行破解后进入，从此确保了使用网络的安全，并且可以防止非授权用户使用无线网络进行传输数据或植入木马程序。
[0142]在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0143]所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
[0144]另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。
[0145]所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0146]需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本发明所必须的。
[0147]在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。
[0148]以上为对本发明所提供的一种安全接入网络的方法及其系统的描述，对于本领域的技术人员，依据本发明实施例的思想，在【具体实施方式】及应用范围上均会有改变之处，综上，本说明书内容不应理解为对本发明的限制。
【主权项】
1.一种安全接入网络的方法，其特征在于，该方法包括: 接收到请求接入无线网络的指令时，对用户进行身份认证； 若身份认证成功，则进行所述无线网络的密码认证，若身份认证失败，则拒绝所述用户访问所述无线网络； 若密码认证成功，则允许所述用户访问所述无线网络，若所述密码认证失败，则拒绝所述用户访问所述无线网络。2.根据权利要求1所述的方法，其特征在于，该方法还包括: 在接入无线网络的设置界面，设置用于选择是否进行所述身份认证的安全网络按键。3.根据权利要求2所述的方法，其特征在于，该方法还包括: 接收用户选择所述安全网络按键的指令，将授权用户的指纹进行录入，并进行保存。4.根据权利要求3所述的方法，其特征在于，所述对用户进行身份认证，具体包括: 接收用户输入的指纹，并将所述用户输入的指纹与所述授权用户的指纹进行匹配； 若指纹匹配成功，则确认身份认证成功。5.根据权利要求1至4任一项所述的方法，其特征在于，所述进行无线网络的密码认证，具体包括: 接收用户输入的无线网络密码； 将所述无线网络密码与预置的密码进行匹配，如匹配成功，则所述密码认证成功，否则所述密码认证失败。6.一种安全接入网络的系统，其特征在于，该系统包括: 身份认证模块，用于在接收到请求接入无线网络的指令时，对用户进行身份认证； 密码认证模块，用于在当所述身份认证成功时，进行所述无线网络的密码认证，当身份认证失败时，拒绝所述用户访问所述无线网络； 网络接入模块，用于在当所述密码认证成功后，允许所述用户访问所述无线网络，当所述密码认证模块认证失败时，拒绝所述用户访问所述无线网络。7.根据权利要求6所述的系统，其特征在于，所述系统还包括安全网络按键，所述安全网络按键置于接入无线网络的设置界面，用于选择是否进行所述身份认证。8.根据权利要求7所述的系统，其特征在于，所述系统还包括指纹模块，所述指纹模块用于接收用户选择所述安全网络按键的指令，并将授权用户的指纹进行录入、保存。9.根据权利要求8所述的系统，其特征在于，所述身份认证模块包括指纹录入单元和指纹匹配单元， 所述指纹录入单元用于接收用户输入的指纹； 所述指纹匹配单元用于将所述用户输入的指纹与所述授权用户的指纹进行匹配，若指纹匹配成功，则确认所述身份认证成功。10.根据权利要求6至9任一项所述的系统，其特征在于，所述密码认证模块包括密码录入单元和密码匹配单元， 所述密码录入单元用于接收用户输入的无线网络密码； 所述密码匹配单元用于将所述无线网络密码与预置的密码进行匹配，如匹配成功，则所述密码认证成功，否则所述密码认证失败。
【文档编号】H04W12/06GK105959947SQ201610258726
【公开日】2016年9月21日
【申请日】2016年4月23日
【发明人】马玉明, 于燕
【申请人】乐视控股（北京）有限公司, 乐视移动智能信息技术（北京）有限公司