[发明专利]一种结合物理认证因素的Wi-Fi口令动态更新方法及系统

说明书

本发明公开了一种结合物理认证因素的Wi‑Fi口令动态更新方法及系统。本方法为：移动终端获取无线接入点的初始Wi‑Fi口令；其中，物理认证参数生成及发布设备按照设定时间周期更新并在设定的受控物理环境中发布物理认证参数，以及根据当前发布的所述物理认证参数和之前的Wi‑Fi口令计算当前使用的Wi‑Fi口令；移动终端收到Wi‑Fi信号后，判断当前使用的Wi‑Fi口令是否已更新，如果已更新，则在所述受控物理环境中获取所述物理认证参数生成及发布设备当前发布的所述物理认证参数；然后所述移动终端根据当前收到的所述物理认证参数和之前使用的Wi‑Fi口令计算当前使用的Wi‑Fi口令。

技术领域

本发明属于无线技术、信息安全技术领域，涉及一种结合物理认证因素的Wi-Fi口令动态更新方法及系统；适用于单位内部的Wi-Fi接入认证的应用场景，同时支持访客的临时访问。

背景技术

随着互联网及移动互联网的发展，Wi-Fi的覆盖范围已遍及住宅、工作场所、交通工具等各种场所。Wi-Fi网络成为人们工作生活所必不可少的通信工具，询问Wi-Fi口令已成为人们进入新场所要做的第一件事。在Wi-Fi普及的同时，Wi-Fi的安全问题也日益受到人们的关注，央视315晚会连续两年报道公共免费Wi-Fi存在安全隐患，并现场演示了通过公开Wi-Fi获取用户的隐私信息：用户接入晚会现场的公开Wi-Fi后打开一两个常用应用，浏览一下消费记录，该用户的姓名、手机号、银行卡号和身份证号等信息就在大屏幕上显示了出来。当人们通过Wi-Fi访问互联网时，移动终端会将通信数据以无线电波的形式发送给无线接入点，任何能够接收到无线电波的设备均可截获移动终端收发的数据。同时，公开Wi-Fi对其传输的数据不进行加密处理，一旦移动终端或无线接入点通过Wi-Fi传输了隐私数据，他人就可以获取到这些隐私信息。

为了保护经Wi-Fi传输的数据的机密性和完整性，同时确保只有授权用户能够访问Wi-Fi，国际电工电子工程学会(IEEE)制定了802.11i标准，该标准规定了Wi-Fi接入认证和通讯加密等过程的安全要求及技术规范，正确应用上述标准可以确保无线通信的机密性和完整性，以及Wi-Fi的可控访问。802.11i规定了多种认证协议，可以实现不同的安全目标。

其中的WPA/2-Personal是一种基于口令的无线认证协议，无线接入点和移动终端通过带外方式共享相同的口令。两者经过四次握手完成双向认证，同时产生后续通讯的会话密钥，通信数据使用该会话密钥加密后传输。即使移动应用在发送用户隐私数据时并未加密，无线网卡也会对其发出的数据进行加密。攻击者即使截获了通信数据，也无法获得用户的隐私数据。四次握手所需的主密钥由口令经过伪随机数生成函数产生。在WPA/2-Personal认证协议中，口令是身份鉴别和通信保密的基础。但在实际应用中，人们倾向于选择简单的Wi-Fi口令，且口令长期不变，这极易导致Wi-Fi口令泄露。一旦Wi-Fi口令泄露，该Wi-Fi就和公开Wi-Fi没有区别。非法用户不仅可以通过无线接入点的认证，抢占Wi-Fi流量，影响合法用户的上网体验，也能冒充无线接入点，欺骗移动终端与之建立连接，截获移动终端发送的数据包，还能解密无线接入点和移动终端之间收发的数据包。

WPA/2-Enterprise为Wi-Fi提供了更高级别的安全保障。移动终端首先和无线接入点后台的服务器进行TLS协商，产生的会话密钥将作为后续移动终端和无线接入点进行四次握手的主密钥，之后在TLS隧道中服务器鉴别移动终端的用户身份。鉴别完毕后，服务器将主密钥发送给无线接入点，无线接入点和移动终端经过四次握手完成双向认证和会话密钥的协商。在WPA/2-Enterprise标准中，移动终端通过Wi-Fi访问互联网时，加密通信数据使用的会话密钥最终由移动终端和服务器的TLS协商过程派生而来，通信的安全性依赖于TLS协议而非固定不变的口令。但是此种认证方式要求管理员为每个用户预先创建账户，对于临时访问Wi-Fi的用户，还需要为临时账户设置访问期。管理员需要维护不断更新的数据库，维护成本较高。