CN111031540B - 一种无线网络连接方法及计算机存储介质 - Google Patents

Abstract

本发明公开了一种无线网络连接方法，包括：获取终端用户发送的客户端登录请求；根据终端用户的客户端账号信息进行验证，验证通过，允许终端用户登录客户端，并向客户端返回网络连接认证账号；获取客户端发送的安全的热点信息请求；根据所述请求向客户端返回安全的热点信息；接收客户端发送的网络连接认证账号和连接认证请求，根据所述网络连接认证账号和连接认证请求进行认证；认证成功后根据网络连接认证账号，下发配置文件到网关；网关放行终端用户，客户端连网成功。本发明的无线网络连接方法，能精确匹配热点，避免了伪装热点攻击的可能性，提高了无线网络连接的安全性。易结合用户当前网络架构搭建网络环境，极大地节省了经济成本。

Description

一种无线网络连接方法及计算机存储介质

技术领域

本发明涉及计算机技术领域，具体涉及一种无线网络连接方法及计算机存储介质。

背景技术

现有的无线网络连接技术，安全性差，部署实施难度高。其安全性主要依靠Wi-Fi本身的加密类型，主要可分为三类：

a)开放网络(Open Network)。即无需任何密码即可建立连接的网络；

b)单一密码加密网络(WPA2-PSK，以及最新的WPA3-PSK)。即用户只需输入单一固定密码即可连接的网络；

c)企业级加密无线安全网络(WPA2-Enterprise，以及最新的PA3-Enterprise)。即用户凭借一组指定连接凭证(用户名及对应密码)，通过网络后台服务器鉴权认证，才可连接的网络,是当今技术条件下所能提供的最高安全标准的无线网络安全协议现有无线网络连接方案，其存在的问题及缺点：

开放网络(Open Network)没有任何安全可言。数据交互全部以明码出现在介质(即空气)中，任何人均可获取并解读；

单一密码加密网络(WPA2-PSK，以及最新的WPA3-PSK)只需要提供一个密码即可建立网络连接。安全性较开放网络稍高，但是依然存在密码容易被攻破，易受伪装AP及中间人攻击等安全漏洞威胁；

企业级加密无线安全网络(WPA2-Enterprise，以及最新的WPA3-Enterprise)。其主要问题及缺陷有四：

第一：高度复杂的实施难度及高昂的各项相关资金与人力资源成本。包括基础设施(RADIUS架构，AD或LDAP之类的用户认证***)搭建的成本(含软硬件以及云资源)，证书链建立、管理及维护的成本，客户端配置及最终用户技术支援的成本(80％以上的终端用户需要Help Desk协助，造成人力资源的大量浪费)。

第二：连接凭证(用户名及对应密码)自动存储。一旦用户使用某连接凭证(用户名及对应密码)登录过某企业级加密无线安全网络一次，该用连接凭证将作为配置信息被移动设备自动存储。而当此用户(甚至非此用户本人，如移动设备遗失的情况)再次使用该移动设备登录此企业级加密无线安全网络时，将不再需要重新输入连接凭证，即可凭借该移动设备上存储的配置信息，自动登录成功。此无疑极大的降低了企业级加密无线安全网络连接的安全性。

第三：连接凭证(用户名及对应密码)明文传输。企业级加密无线安全网络，连接过程中的连接凭证(用户名及对应密码)传输，采用明文的形式，长久以来饱受争议及诟病。明文传输形式，无疑使企业级加密无线安全网络在连接建立时，更易遭受伪装AP以及中间人攻击的威胁。

第四：无证书验证，降低安全性。企业级加密无线安全网络，可配置SSL数字证书，并在连接过程中，由用户端通过证书验证服务端身份，提高连接安全性。而配置SSL数字证书并启用证书验证服务器身份功能，需要经过繁琐的步骤。包括：申请证书链、服务端部署证书、用户端下载安装证书、服务端及用户端分别启用证书验证服务器功能、用户端加载证书，证书到期后的服务器端证书更新以及所有客户端证书更新等等。不但服务端部署成本大大增加，更是导致大部分用户无法顺利自主完成用户端配置并启用该功能。甚至部分移动端***平台(如iOS)，不支持用户自主配置启用该功能。从而导致连接中未验证服务端身份，连接安全性降低。

发明内容

针对现有技术中的缺陷，本发明实施例提供一种无线网络连接方法及计算机存储介质，可精确匹配安全热点，避免了伪装热点攻击的可能性，提高了无线网络连接的安全性便于结合用户当前网络架构搭建网络环境，极大地节省了经济成本的同时，最大限度地降低了用户接入此类安全网络的难度。

第一方面，本发明实施例提供的一种无线网络连接方法，所述方法包括：

终端用户向后台服务器发送客户端登录请求；

后台服务器接收终端用户发送的客户端登录请求，根据终端用户的客户端账号信息进行登录验证，验证通过，允许终端用户登录客户端，并向客户端返回网络连接认证账号；

后台服务器获取客户端发送的安全的热点信息请求；

后台服务器向客户端返回安全的热点信息；

客户端通过后台服务器返回的热点信息，与现场的热点信息进行匹配；

终端用户通过客户端向后台服务器发送网络连接认证账号并请求连接认证，尝试建立安全连接；

后台服务器获取客户端发送的网络连接认证账号，进行认证；

后台服务器认证成功，根据网络连接认证账号，下发配置文件到网关；

网关根据所述后台服务器下发的配置文件分配带宽放行客户端；

客户端获取网关放行指令，终端用户成功地连接到安全网络。

可选地，客户端尝试建立安全连接的具体方法包括：

开启证书验证后台服务器身份功能；

自动下载安装证书，并添加信任，向匹配成功的热点发起连接请求；

客户端开启双重认证功能，并使用对称加密算法进行加密。

可选地，热点信息包括SSID、BSSID和经纬度。

可选地，对称加密算法的具体方法为：把64位的原始数据块变为数据长度为64位的密文输出块，其中，8位为奇偶校验位，56位作为密码的长度。

第二方面，本发明实施例提供的一种无线网络连接方法，适用于后台服务器，所述方法包括：

获取终端用户通过客户端发送的登录请求；

根据终端用户的客户端账号信息进行验证，验证通过，允许终端用户登录客户端，并向客户端返回网络连接认证账号；

获取客户端发送的安全的热点信息请求；

根据所述请求向客户端返回安全的热点信息；

接收客户端发送的网络连接认证账号和连接认证请求，根据所述认证账号和连接认证请求进行认证；

认证成功后根据网络连接认证账号，下发配置文件到网关。

可选地，热点信息包括SSID、BSSID和经纬度。

第三方面，本发明实施例提供的一种无线网络连接方法，适用于客户端，所述方法包括：

向后台服务器发送登录请求；

接收后台服务器发送的登录验证通过信息和网络连接认证账号；

向后台服务器发送安全的热点信息请求；

接收和获取后台服务器返回的安全的热点信息；

通过后台服务器返回的热点信息，与现场的热点信息进行匹配；

向后台服务器发送网络连接认证账号并请求连接认证，尝试建立安全连接；

获取网关放行指令，成功地连接到安全网络。

可选地，尝试建立安全连接的具体方法包括：

开启证书验证后台服务器身份功能；

自动下载安装证书，并添加信任，向匹配成功的热点发起连接请求；

客户端开启双重验证功能，并使用对称加密算法进行加密。

可选地，对称加密算法的具体方法为：把64位的原始数据块变为数据长度为64位的密文输出块，其中，8位为奇偶校验位，56位作为密码的长度。

第四方面，本发明实施例提供的一种计算机可读存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行上述实施例描述的方法。

本发明的有益效果：

本实施例提供的无线网络连接方法，能精确匹配热点，避免了伪装热点攻击的可能性，提高了无线网络连接的安全性。易结合用户当前网络架构搭建网络环境，极大地节省了经济成本。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1示出了本发明第一实施例所提供的一种无线网络连接方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。

如图1所示，示出了本发明第一实施例所提供的一种无线网络连接方法的流程图。本实施例提供的一种无线网络连接方法包括以下步骤：

S1:终端用户向后台服务器发送客户端登录请求。

终端用户启动无线网络连接客户端的APP，输入用户信息(用户名和密码)进行登录。

S2:后台服务器接收终端用户发送的客户端登录请求，根据终端用户的客户端账号信息进行登录验证，验证通过，允许终端用户登录客户端，并向客户端返回网络连接认证账号。

后台服务器接收终端用户发送的客户端用户名和密码，对用户信息进行登录验证，验证通过后，返回登录到客户端，终端用户登录成功。后台服务器向客户端返回网络连接认证账号信息，网络连接认证账号信息可以是网络连接的用户名及对应的密码。

S3:后台服务器获取客户端发送的安全的热点信息请求。

S4:后台服务器向客户端返回安全的热点信息。

客户端向后台服务器发送安全热点信息请求。热点信息包括SSID、BSSID和经纬度等。后台服务器根据客户端发送的安全热点信息请求，返回相应的安全热点信息。

S5:客户端通过后台服务器返回的热点信息，与现场的热点信息进行匹配。

S6:终端用户通过客户端向后台服务器发送网络连接认证账号并请求连接认证，尝试建立安全连接。

具体地，客户端尝试建立安全连接的具体方法包括：

开启证书验证后台服务器身份功能；

自动下载安装证书，并添加信任，向匹配成功的热点发起连接请求；

客户端开启双重验证功能，并使用对称加密算法进行加密。

对称加密算法的具体方法为：把64位的原始数据块变为数据长度为64位的密文输出块，其中，8位为奇偶校验位，56位作为密码的长度。首先，把输入的64位数据块按位重新组合，并把输出分为L0、R0两部分，每部分各长32位，并进行前后置换，最终由L0输出左32位，R0输出右32位，根据这个法则经过16次迭代运算后，得到L16、R16，将此作为输入，进行与初始置换相反的逆置换，即得到密文输出块。

客户端通过返回的热点信息与现场的热点信息进行精确匹配，避免了伪装热点攻击的可能性，提高了无线网络连接的安全性。在尝试建立安全连接过程中，客户端开启双重验证功能，避免了连接凭证的明文传输，也能提高无线网络连接的安全性。开启证书验证后台服务器身份，防止了伪装服务器的攻击，进一步提高了无线网络连接的安全性。自动下载安装证书，大大提高了用户操作的便捷性，减少了用户的误操作。

S7:后台服务器获取客户端发送的网络连接认证账号，进行认证。

S8:后台服务器认证成功，根据网络连接认证账号，下发配置文件到网关。

S9:网关根据所述后台服务器下发的配置文件分配带宽放行客户端。

S10:客户端获取网关放行指令，客户端成功地连接到安全网络。

本实施例提供的无线网络连接方法，部署简单，能精确匹配热点，避免了伪装热点攻击的可能性，提高了无线网络连接的安全性。易结合用户当前网络架构搭建网络环境，极大地节省了经济成本。在连接过程中，采用双重验证方式进行传输，提高了无线网络连接的安全性。启用证书验证服务器身份功能，防止伪装服务器的攻击，进一步提高了无线网络连接的安全性。

在本发明还提供一种计算机可读存储介质的实施例，所述计算机存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行第一实施例描述的方法。

所述计算机可读存储介质可以是前述实施例所述的终端的内部存储单元，例如终端的硬盘或内存。所述计算机可读存储介质也可以是所述终端的外部存储设备，例如所述终端上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(SecureDigital,SD)卡，闪存卡(Flash Card)等。进一步地，所述计算机可读存储介质还可以既包括所述终端的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述终端所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的终端和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露终端和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (10)

1.一种无线网络连接方法，其特征在于，所述方法包括：

终端用户向后台服务器发送客户端登录请求；

后台服务器接收终端用户发送的客户端登录请求，根据终端用户的客户端账号信息进行登录验证，验证通过，允许终端用户登录客户端，并向客户端返回网络连接认证账号；

后台服务器获取客户端发送的安全的热点信息请求；

后台服务器向客户端返回安全的热点信息；

客户端通过后台服务器返回的热点信息，与现场的热点信息进行匹配；

终端用户通过客户端向后台服务器发送网络连接认证账号并请求连接认证，尝试建立安全连接；

后台服务器获取客户端发送的网络连接认证账号，进行认证；

后台服务器认证成功，根据网络连接认证账号，下发配置文件到网关；

网关根据所述后台服务器下发的配置文件分配带宽放行客户端；

客户端获取网关放行指令，终端用户成功地连接到安全网络。

2.如权利要求1所述的无线网络连接方法，其特征在于，所述尝试建立安全连接的具体方法包括：

开启证书验证后台服务器身份功能；

自动下载安装证书，并添加信任，向匹配成功的热点发起连接请求；

客户端开启双重认证功能，并使用对称加密算法进行加密。

3.如权利要求1所述的无线网络连接方法，其特征在于，所述热点信息包括SSID、BSSID和经纬度。

4.如权利要求2所述的无线网络连接方法，其特征在于，所述对称加密算法的具体方法为：把64位的原始数据块变为数据长度为64位的密文输出块，其中，8位为奇偶校验位，56位作为密码的长度。

5.一种无线网络连接方法，其特征在于，适用于后台服务器，所述方法包括：

获取终端用户通过客户端发送的登录请求；

根据终端用户的客户端账号信息进行验证，验证通过，允许终端用户登录客户端，并向客户端返回网络连接认证账号；

获取客户端发送的安全的热点信息请求；

根据所述热点信息 请求向客户端返回安全的热点信息；

接收客户端发送的网络连接认证账号和连接认证请求，根据所述认证账号和连接认证请求进行认证；

认证成功后根据网络连接认证账号，下发配置文件到网关。

6.如权利要求5所述的无线网络连接方法，其特征在于，所述热点信息包括SSID、BSSID和经纬度。

7.一种无线网络连接方法，其特征在于，适用于客户端，所述方法包括：

向后台服务器发送登录请求；

接收后台服务器发送的登录验证通过信息和网络连接认证账号；

向后台服务器发送安全的热点信息请求；

接收和获取后台服务器返回的安全的热点信息；

通过后台服务器返回的热点信息，与现场的热点信息进行匹配；

向后台服务器发送网络连接认证账号并请求连接认证，尝试建立安全连接；

获取网关放行指令，成功地连接到安全网络。

8.如权利要求7所述的无线网络连接方法，其特征在于，所述尝试建立安全连接的具体方法包括：

开启证书验证后台服务器身份功能；

自动下载安装证书，并添加信任，向匹配成功的热点发起连接请求；

客户端开启双重验证功能，并使用对称加密算法进行加密。

9.如权利要求8所述的无线网络连接方法，其特征在于，所述对称加密算法的具体方法为：把64位的原始数据块变为数据长度为64位的密文输出块，其中，8位为奇偶校验位，56位作为密码的长度。

10.一种计算机可读存储介质，其特征在于，所述计算机可读 存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1-9任一项所述的方法。

Images