趙衛(wèi)

（咸陽(yáng)師范學(xué)院 信息中心，陜西 咸陽(yáng)　712000）

一種基于網(wǎng)絡(luò)安全的WIFI系統(tǒng)身份認(rèn)證設(shè)計(jì)

趙衛(wèi)

（咸陽(yáng)師范學(xué)院 信息中心，陜西 咸陽(yáng)712000）

針對(duì)當(dāng)前無(wú)線WIFI共享應(yīng)用中存在的安全問(wèn)題，提出一種基于FIT+AP組網(wǎng)模式下的無(wú)線身份認(rèn)證系統(tǒng)。構(gòu)建一個(gè)第三方平臺(tái)的方式，將不同AP用戶加入到平臺(tái)中，通過(guò)RADIUS與EAP-TLS雙向認(rèn)證機(jī)制，對(duì)平臺(tái)用戶進(jìn)行身份認(rèn)證。應(yīng)用C/S模式架構(gòu)，將系統(tǒng)分為客戶端和服務(wù)器端，并通過(guò)相關(guān)的編程語(yǔ)言對(duì)客戶端和服務(wù)器端進(jìn)行了設(shè)計(jì)與實(shí)現(xiàn)，從而通過(guò)該方案構(gòu)建為用戶提供了一個(gè)免費(fèi)和安全的WIFI平臺(tái)，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)資源利用的最大化。

網(wǎng)絡(luò)安全；WIFI系統(tǒng)；RADIUS；FIT+AP；C/S模式

當(dāng)前隨著網(wǎng)絡(luò)的快速發(fā)展，無(wú)線WIFI成為家庭、商場(chǎng)、單位等應(yīng)用的重點(diǎn)，從而改變了傳統(tǒng)的上網(wǎng)方式，實(shí)現(xiàn)了人們只通過(guò)手機(jī)即可訪問(wèn)，并降低了傳統(tǒng)的手機(jī)流量成本。但是，在公共WIFI網(wǎng)絡(luò)共享過(guò)程中，網(wǎng)絡(luò)安全卻成為了人們擔(dān)心的重點(diǎn)，通過(guò)無(wú)線WIFI給用戶造成巨大損失的案例更是層出不窮，如通過(guò)截取、字典攻擊等方式，截取和套取用戶名和密碼。因此為提高網(wǎng)絡(luò)的安全性，用戶開始提出諸如智能卡、生物特征、KPI身份認(rèn)證等機(jī)制。對(duì)此本文結(jié)合當(dāng)前的組網(wǎng)方式和網(wǎng)絡(luò)安全問(wèn)題，提出一種基于FIT AP組網(wǎng)模式下的WIFI共享身份認(rèn)證系統(tǒng)，并對(duì)系統(tǒng)的實(shí)現(xiàn)進(jìn)行了詳細(xì)的分析。

1　系統(tǒng)整體架構(gòu)

當(dāng)前無(wú)線網(wǎng)絡(luò)中主要物理模式分為兩類：一類為FIT AP+AC組網(wǎng)模式；另一類為FIT AP模式。兩種不同的類型的接入方式不同，F(xiàn)IT AP僅通過(guò)WAN對(duì)其進(jìn)行配置，而FIT AP+AC中FIT AP只具有介入的功能，AC才具有身份認(rèn)證的功能。文中所探討的無(wú)線組網(wǎng)模式則如圖1所示，為FIT AP模式，這種模式通常為常用的家庭無(wú)線網(wǎng)絡(luò)。

通過(guò)圖1可知，家庭用戶只需要自己攜帶自己的無(wú)線網(wǎng)絡(luò)，直接申請(qǐng)進(jìn)入到該無(wú)線平臺(tái)。因此，其具體的步驟則為：

圖1　無(wú)線WIFI共享整體方案

首先借助家庭網(wǎng)絡(luò)AP登錄到聯(lián)盟，下載并安裝運(yùn)行軟件客戶端；

其次，點(diǎn)擊該平臺(tái)，用戶攜帶自己的用戶名和密碼進(jìn)行注冊(cè)，并向平臺(tái)提交相關(guān)的FITAP信息 ，以此方面該平臺(tái)對(duì)該無(wú)線網(wǎng)點(diǎn)進(jìn)行配置。

再次，在注冊(cè)成功之后，用戶則會(huì)得到一組用戶名和密碼，并成為該平臺(tái)當(dāng)中的一員。在使用過(guò)程中用戶不得隨意的對(duì)其中配置進(jìn)行改動(dòng)。而對(duì)于平臺(tái)之外的用戶必須要首先獲得系統(tǒng)的身份認(rèn)證之后方可對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)。

2　基于FIT AP的功能模塊設(shè)計(jì)

通過(guò)上述對(duì)系統(tǒng)整體方案的設(shè)計(jì)，將該方案的使用群體分為共享注冊(cè)用戶和付費(fèi)用戶。而功能角度，將該系統(tǒng)的功能分為注冊(cè)界面、認(rèn)證模塊、配置模塊、檢測(cè)定位、數(shù)據(jù)庫(kù)管理、流量監(jiān)測(cè)、計(jì)費(fèi)扣費(fèi)模塊。其中注冊(cè)模塊主要實(shí)現(xiàn)對(duì)FIT AP無(wú)線熱點(diǎn)用戶的注冊(cè)，從而為整個(gè)平臺(tái)提供無(wú)線網(wǎng)絡(luò)服務(wù)；認(rèn)證部分主要實(shí)現(xiàn)對(duì)用戶的身份認(rèn)證，以此保障用戶信息和網(wǎng)絡(luò)使用的安全；配置規(guī)則模塊主要對(duì)各個(gè)不同的信息進(jìn)行配置，保障網(wǎng)絡(luò)的良好的運(yùn)行。

1）注冊(cè)模塊

該模塊主要包括兩部分用戶：一部分為無(wú)線網(wǎng)絡(luò)共享注冊(cè)用戶；另一部分為付費(fèi)享受的注冊(cè)用戶。其中付費(fèi)注冊(cè)用戶為實(shí)線部分，通過(guò)付費(fèi)用戶在注冊(cè)時(shí)候提交帳號(hào)和用戶名，再通過(guò)服務(wù)器對(duì)其進(jìn)行保護(hù)，最后將帳號(hào)和手機(jī)號(hào)碼進(jìn)行綁定，將每月的費(fèi)用定期進(jìn)行扣除。而對(duì)于共享AP用戶，首先提交自己無(wú)線網(wǎng)絡(luò)地址的MAC地址，在通過(guò)服務(wù)器的判定后，再提交該AP的其他信息，最后統(tǒng)一保存到服務(wù)器當(dāng)中。

2）認(rèn)證模塊

由于本文采用的為C/S架構(gòu)模式，最為關(guān)鍵的部分為對(duì)數(shù)據(jù)處理的安全性。因此，對(duì)該部分功能設(shè)計(jì)主要包括加密、身份認(rèn)證和解密3部分子模塊。身份認(rèn)證主要用于對(duì)系統(tǒng)的登錄；加解密主要用于對(duì)客戶端和服務(wù)器端的交互過(guò)程中。

3）配置模塊

配置部分主要對(duì)上網(wǎng)用戶在登錄后對(duì)其上網(wǎng)的權(quán)限進(jìn)行配置，同時(shí)服務(wù)器端則根據(jù)客戶端方面的信息對(duì)其進(jìn)行對(duì)應(yīng)的配置。

4）檢測(cè)定位模塊

該模塊主要對(duì)不同的無(wú)線AP信息進(jìn)行定位搜索檢測(cè)，從而方便廣大的用戶對(duì)家庭無(wú)線AP進(jìn)行應(yīng)用。

5）流量監(jiān)控

對(duì)系統(tǒng)當(dāng)中不同的AP用戶使用的流量進(jìn)行相關(guān)的統(tǒng)計(jì)，從而防止在網(wǎng)絡(luò)當(dāng)中某些用戶惡意的使用網(wǎng)絡(luò)資源，實(shí)現(xiàn)對(duì)整體平臺(tái)的有效監(jiān)控。

6）數(shù)據(jù)庫(kù)管理

該模塊主要對(duì)注冊(cè)用戶等基本的信息進(jìn)行保存、查詢等。

3　認(rèn)證算法設(shè)計(jì)

要保障該系統(tǒng)的實(shí)現(xiàn)，對(duì)用戶身份進(jìn)行認(rèn)證是該系統(tǒng)實(shí)現(xiàn)的關(guān)鍵。當(dāng)前針對(duì)數(shù)據(jù)加密包括DES加密算法、MD5算法等，對(duì)用戶認(rèn)證則主要包括S/KEY、CHAP認(rèn)證等。但是對(duì)于S/KEY和CHAP認(rèn)證來(lái)講，僅僅是對(duì)服務(wù)器端對(duì)客戶端進(jìn)行認(rèn)證，導(dǎo)致客戶端很可能冒充用戶進(jìn)行訪問(wèn)。文中結(jié)合用戶的需求，提出一種基于DES加密+RSA算法和一次性口令認(rèn)證的綜合算法。其具體的算法流程設(shè)計(jì)為如圖2所示。

其具體步驟為：

步驟一：U→S，Espk（ID、Rc⊕h（psw）該步驟中首先由客戶端自動(dòng)生成一個(gè)隨機(jī)的數(shù)，并計(jì)算其哈希值psw，通過(guò)服務(wù)器的公鑰spk，并借助RSA算法對(duì)用戶的信息進(jìn)行加密傳輸。

步驟二：S→U，Ekl（h（N-i||seed||Rc，N-i，seed，Rc⊕h（psw））該部分主要利用服務(wù)器方面的私鑰對(duì)其加密的信息進(jìn)行解密。

步驟三：U→S，Ek2（Pi⊕h（Rs））該步驟是客戶端計(jì)算出其中解密的密鑰，同時(shí)通過(guò)服務(wù)器發(fā)來(lái)的信息對(duì)哈希值進(jìn)行計(jì)算，并與服務(wù)器端所發(fā)送過(guò)來(lái)的哈希值進(jìn)行比較。如果匹配則進(jìn)入下個(gè)環(huán)節(jié)，如果步匹配則斷開。

步驟四：Ek（ACK），該步驟通過(guò)服務(wù)器對(duì)上述Rs，h（psw）的進(jìn)行解密，從而得到上次的哈希值與本次計(jì)算的哈希值，然后對(duì)其進(jìn)行比較，如果一致則表明客戶端用戶得到驗(yàn)證。

步驟五：通過(guò)Rc、Rs得到會(huì)話的密鑰，并對(duì)信息進(jìn)行解密，最終完成對(duì)整個(gè)信息的認(rèn)證過(guò)程。

圖2　綜合加密認(rèn)證算法

4　身份認(rèn)證方案實(shí)現(xiàn)

4.1客戶端模塊實(shí)現(xiàn)

4.1.1注冊(cè)模塊設(shè)計(jì)

注冊(cè)作為系統(tǒng)的基本工作，其具體流程如圖3所示。

圖3　注冊(cè)流程

在該流程中用戶首先提交AP中的MAC地址，在通過(guò)服務(wù)器的檢測(cè)通過(guò)之后，才能繼續(xù)進(jìn)行口令注冊(cè)。通過(guò)設(shè)計(jì)得到如圖4的界面。

圖4　注冊(cè)信息界面

4.1.2認(rèn)證模塊

客戶端隨機(jī)的生成一組數(shù)，并通過(guò)公鑰進(jìn)行傳輸和加密，當(dāng)服務(wù)器在受到后，利用私鑰進(jìn)行解密，并查找該用戶數(shù)據(jù)，最終同樣通過(guò)加密的方式傳遞給客戶端。其具體的認(rèn)證流程和界面則如圖5和圖6所示。

圖5　客戶端認(rèn)證流程

4.1.3AP定位檢測(cè)實(shí)現(xiàn)

該模塊主要對(duì)無(wú)線AP進(jìn)行檢測(cè)，并且判定其中的AP哪些是屬于平臺(tái)當(dāng)中的，哪些不屬于。通常無(wú)線AP的搜索通過(guò)無(wú)線適配器，并且主要應(yīng)用其中的 Createfile函數(shù)。通過(guò)Createfile函數(shù)得到m_pBSSIDList，并取出其中的SSID和RSSI。最后用得到的SSID去進(jìn)行驗(yàn)證。通過(guò)上述步驟得到如圖6結(jié)果。

圖6　用戶檢測(cè)的無(wú)線AP

4.2服務(wù)器端認(rèn)證功能實(shí)現(xiàn)

服務(wù)器端身份認(rèn)證實(shí)現(xiàn)如圖7所示。

圖7　服務(wù)器端身份認(rèn)證實(shí)現(xiàn)

5　結(jié)束語(yǔ)

文中通過(guò)計(jì)算機(jī)技術(shù)，同時(shí)應(yīng)用DES、RAS算法、S/key加密認(rèn)證，實(shí)現(xiàn)了對(duì)客戶端和服務(wù)器端身份的雙重認(rèn)證，為用戶提供了安全的無(wú)線WIFI認(rèn)證系統(tǒng)，為未來(lái)網(wǎng)絡(luò)資源的合理利用提供了更多的參考。

［1］韓韋.WIFI及其安全性研究［J］.無(wú)線互聯(lián)科技，2013（1）:6-7.

［2］盛仲飆.WIFI無(wú)線網(wǎng)絡(luò)技術(shù)及安全性研究［J］.電子設(shè)計(jì)工程，2012（16）:1-3.

［3］陳偉宏，申煜湘，肖衛(wèi)初.基于預(yù)認(rèn)證的WiFi/WiMAX混合網(wǎng)絡(luò)安全模型［J］.計(jì)算機(jī)工程與應(yīng)用，2012（2）:93-95，138.

［4］蔣青，魯艷.基于VoIP的WiFi無(wú)線網(wǎng)絡(luò)安全策略研究［J］.通信技術(shù)，2007（6）:46-48.

［5］趙銘偉，于曉晨，徐喜榮，等.一種改進(jìn)的CHAP方案［J］.信息網(wǎng)絡(luò)安全，2014（7）:75-80.

［6］張婧.WiFi網(wǎng)絡(luò)實(shí)名認(rèn)證的方法研究和實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與科學(xué)，2012（10）:22-27.

［7］韓桂明.動(dòng)態(tài)口令網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.無(wú)線互聯(lián)科技，2012（10）:78.

［8］鄧軍，葉柏龍.身份認(rèn)證和安全傳輸方案的分析與設(shè)計(jì)——基于B/S系統(tǒng)的網(wǎng)絡(luò)應(yīng)用［J］.科學(xué)技術(shù)與工程，2007（2）:214-216，226.

［9］李星宜，李陶深，崔杰，等.基于數(shù)字證書的身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2011（12）:160-163.

［10］董延華，畢娜，曾軒，等.基于Web安全認(rèn)證的無(wú)線網(wǎng)絡(luò)覆蓋方案［J］.吉林大學(xué)學(xué)報(bào):信息科學(xué)版，2014（3）:298-302.

［11］熊俊.用戶身份認(rèn)證技術(shù)在計(jì)算機(jī)信息安全中的應(yīng)用［J］.信息安全與技術(shù)，2013（6）:33-36.

［12］胡培.ONU WIFI 802.1x認(rèn)證功能的實(shí)現(xiàn)［J］.計(jì)算機(jī)光盤軟件與應(yīng)用，2015（3）:295-296.

［13］王娜.基于WiFi的無(wú)線遠(yuǎn)程視頻監(jiān)控系統(tǒng)［J］.安防科技，2010（1）:16-18.

［14］陳少暉，翟曉寧，閻娜，等.MD5算法破譯過(guò)程解析［J］.計(jì)算機(jī)工程與應(yīng)用，2010（19）:109-112.

［15］方俊，趙英良.基于RBF神經(jīng)網(wǎng)絡(luò)的一次性口令認(rèn)證方案［J］.計(jì)算機(jī)工程，2011（9）:157-159.

WIFI system identity authentication based on network security

ZHAO Wei
（Information center of Xianyang Normal University，Xianyang 712000，China）

Aiming at the security problems existing in the current wireless WIFI sharing application，a wireless identity authentication system based on FIT+AP is proposed.Building a third party platform，the different AP users to join the platform，through the RADIUS and EAP-TLS two-way authentication mechanism，the platform user authentication.The system is divided into client and server，and the client and server are designed and implemented by C/S mode，which provides a free and secure WIFI platform，which can be used to the network resource utilization.

network security；WIFI system；RADIUS；FIT+AP；C/S model

TN99

A

1674-6236（2016）14-0081-03

2015-11-12稿件編號(hào)：201511122

咸陽(yáng)師范學(xué)院教學(xué)改革研究項(xiàng)目（20081002）；咸陽(yáng)師范學(xué)院科研基金項(xiàng)目（13XSYK063）

趙 衛(wèi)（1976—），女，陜西涇陽(yáng)人，碩士，講師。研究方向：網(wǎng)絡(luò)安全。