本發明公開了一種結合物理認證因素的Wi?Fi口令動態更新方法及系統。本方法為：移動終端獲取無線接入點的初始Wi?Fi口令；其中，物理認證參數生成及發布設備按照設定時間周期更新并在設定的受控物理環境中發布物理認證參數，以及根據當前發布的所述物理認證參數和之前的Wi?Fi口令計算當前使用的Wi?Fi口令；移動終端收到Wi?Fi信號后，判斷當前使用的Wi?Fi口令是否已更新，如果已更新，則在所述受控物理環境中獲取所述物理認證參數生成及發布設備當前發布的所述物理認證參數；然后所述移動終端根據當前收到的所述物理認證參數和之前使用的Wi?Fi口令計算當前使用的Wi?Fi口令。

技術領域

本發明屬于無線技術、信息安全技術領域，涉及一種結合物理認證因素的Wi-Fi口令動態更新方法及系統；適用于單位內部的Wi-Fi接入認證的應用場景，同時支持訪客的臨時訪問。

背景技術

隨著互聯網及移動互聯網的發展，Wi-Fi的覆蓋范圍已遍及住宅、工作場所、交通工具等各種場所。Wi-Fi網絡成為人們工作生活所必不可少的通信工具，詢問Wi-Fi口令已成為人們進入新場所要做的第一件事。在Wi-Fi普及的同時，Wi-Fi的安全問題也日益受到人們的關注，央視315晚會連續兩年報道公共免費Wi-Fi存在安全隱患，并現場演示了通過公開Wi-Fi獲取用戶的隱私信息：用戶接入晚會現場的公開Wi-Fi后打開一兩個常用應用，瀏覽一下消費記錄，該用戶的姓名、手機號、銀行卡號和身份證號等信息就在大屏幕上顯示了出來。當人們通過Wi-Fi訪問互聯網時，移動終端會將通信數據以無線電波的形式發送給無線接入點，任何能夠接收到無線電波的設備均可截獲移動終端收發的數據。同時，公開Wi-Fi對其傳輸的數據不進行加密處理，一旦移動終端或無線接入點通過Wi-Fi傳輸了隱私數據，他人就可以獲取到這些隱私信息。

為了保護經Wi-Fi傳輸的數據的機密性和完整性，同時確保只有授權用戶能夠訪問Wi-Fi，國際電工電子工程學會(IEEE)制定了802.11i標準，該標準規定了Wi-Fi接入認證和通訊加密等過程的安全要求及技術規范，正確應用上述標準可以確保無線通信的機密性和完整性，以及Wi-Fi的可控訪問。802.11i規定了多種認證協議，可以實現不同的安全目標。

其中的WPA/2-Personal是一種基于口令的無線認證協議，無線接入點和移動終端通過帶外方式共享相同的口令。兩者經過四次握手完成雙向認證，同時產生后續通訊的會話密鑰，通信數據使用該會話密鑰加密后傳輸。即使移動應用在發送用戶隱私數據時并未加密，無線網卡也會對其發出的數據進行加密。攻擊者即使截獲了通信數據，也無法獲得用戶的隱私數據。四次握手所需的主密鑰由口令經過偽隨機數生成函數產生。在WPA/2-Personal認證協議中，口令是身份鑒別和通信保密的基礎。但在實際應用中，人們傾向于選擇簡單的Wi-Fi口令，且口令長期不變，這極易導致Wi-Fi口令泄露。一旦Wi-Fi口令泄露，該Wi-Fi就和公開Wi-Fi沒有區別。非法用戶不僅可以通過無線接入點的認證，搶占Wi-Fi流量，影響合法用戶的上網體驗，也能冒充無線接入點，欺騙移動終端與之建立連接，截獲移動終端發送的數據包，還能解密無線接入點和移動終端之間收發的數據包。

WPA/2-Enterprise為Wi-Fi提供了更高級別的安全保障。移動終端首先和無線接入點后臺的服務器進行TLS協商，產生的會話密鑰將作為后續移動終端和無線接入點進行四次握手的主密鑰，之后在TLS隧道中服務器鑒別移動終端的用戶身份。鑒別完畢后，服務器將主密鑰發送給無線接入點，無線接入點和移動終端經過四次握手完成雙向認證和會話密鑰的協商。在WPA/2-Enterprise標準中，移動終端通過Wi-Fi訪問互聯網時，加密通信數據使用的會話密鑰最終由移動終端和服務器的TLS協商過程派生而來，通信的安全性依賴于TLS協議而非固定不變的口令。但是此種認證方式要求管理員為每個用戶預先創建賬戶，對于臨時訪問Wi-Fi的用戶，還需要為臨時賬戶設置訪問期。管理員需要維護不斷更新的數據庫，維護成本較高。