一種基于網絡安全的WIFI系統身份認證設計

趙衛

（咸陽師范學院 信息中心，陜西 咸陽　712000）

一種基于網絡安全的WIFI系統身份認證設計

趙衛

（咸陽師范學院 信息中心，陜西 咸陽712000）

針對當前無線WIFI共享應用中存在的安全問題，提出一種基于FIT+AP組網模式下的無線身份認證系統。構建一個第三方平臺的方式，將不同AP用戶加入到平臺中，通過RADIUS與EAP-TLS雙向認證機制，對平臺用戶進行身份認證。應用C/S模式架構，將系統分為客戶端和服務器端，并通過相關的編程語言對客戶端和服務器端進行了設計與實現，從而通過該方案構建為用戶提供了一個免費和安全的WIFI平臺，實現了對網絡資源利用的最大化。

網絡安全；WIFI系統；RADIUS；FIT+AP；C/S模式

當前隨著網絡的快速發展，無線WIFI成為家庭、商場、單位等應用的重點，從而改變了傳統的上網方式，實現了人們只通過手機即可訪問，并降低了傳統的手機流量成本。但是，在公共WIFI網絡共享過程中，網絡安全卻成為了人們擔心的重點，通過無線WIFI給用戶造成巨大損失的案例更是層出不窮，如通過截取、字典攻擊等方式，截取和套取用戶名和密碼。因此為提高網絡的安全性，用戶開始提出諸如智能卡、生物特征、KPI身份認證等機制。對此本文結合當前的組網方式和網絡安全問題，提出一種基于FIT AP組網模式下的WIFI共享身份認證系統，并對系統的實現進行了詳細的分析。

1　系統整體架構

當前無線網絡中主要物理模式分為兩類：一類為FIT AP+AC組網模式；另一類為FIT AP模式。兩種不同的類型的接入方式不同，FIT AP僅通過WAN對其進行配置，而FIT AP+AC中FIT AP只具有介入的功能，AC才具有身份認證的功能。文中所探討的無線組網模式則如圖1所示，為FIT AP模式，這種模式通常為常用的家庭無線網絡。

通過圖1可知，家庭用戶只需要自己攜帶自己的無線網絡，直接申請進入到該無線平臺。因此，其具體的步驟則為：

圖1　無線WIFI共享整體方案

首先借助家庭網絡AP登錄到聯盟，下載并安裝運行軟件客戶端；

其次，點擊該平臺，用戶攜帶自己的用戶名和密碼進行注冊，并向平臺提交相關的FITAP信息 ，以此方面該平臺對該無線網點進行配置。

再次，在注冊成功之后，用戶則會得到一組用戶名和密碼，并成為該平臺當中的一員。在使用過程中用戶不得隨意的對其中配置進行改動。而對于平臺之外的用戶必須要首先獲得系統的身份認證之后方可對網絡進行訪問。

2　基于FIT AP的功能模塊設計

通過上述對系統整體方案的設計，將該方案的使用群體分為共享注冊用戶和付費用戶。而功能角度，將該系統的功能分為注冊界面、認證模塊、配置模塊、檢測定位、數據庫管理、流量監測、計費扣費模塊。其中注冊模塊主要實現對FIT AP無線熱點用戶的注冊，從而為整個平臺提供無線網絡服務；認證部分主要實現對用戶的身份認證，以此保障用戶信息和網絡使用的安全；配置規則模塊主要對各個不同的信息進行配置，保障網絡的良好的運行。

1）注冊模塊

該模塊主要包括兩部分用戶：一部分為無線網絡共享注冊用戶；另一部分為付費享受的注冊用戶。其中付費注冊用戶為實線部分，通過付費用戶在注冊時候提交帳號和用戶名，再通過服務器對其進行保護，最后將帳號和手機號碼進行綁定，將每月的費用定期進行扣除。而對于共享AP用戶，首先提交自己無線網絡地址的MAC地址，在通過服務器的判定后，再提交該AP的其他信息，最后統一保存到服務器當中。

2）認證模塊

由于本文采用的為C/S架構模式，最為關鍵的部分為對數據處理的安全性。因此，對該部分功能設計主要包括加密、身份認證和解密3部分子模塊。身份認證主要用于對系統的登錄；加解密主要用于對客戶端和服務器端的交互過程中。

3）配置模塊

配置部分主要對上網用戶在登錄后對其上網的權限進行配置，同時服務器端則根據客戶端方面的信息對其進行對應的配置。

4）檢測定位模塊

該模塊主要對不同的無線AP信息進行定位搜索檢測，從而方便廣大的用戶對家庭無線AP進行應用。

5）流量監控

對系統當中不同的AP用戶使用的流量進行相關的統計，從而防止在網絡當中某些用戶惡意的使用網絡資源，實現對整體平臺的有效監控。

6）數據庫管理

該模塊主要對注冊用戶等基本的信息進行保存、查詢等。

3　認證算法設計

要保障該系統的實現，對用戶身份進行認證是該系統實現的關鍵。當前針對數據加密包括DES加密算法、MD5算法等，對用戶認證則主要包括S/KEY、CHAP認證等。但是對于S/KEY和CHAP認證來講，僅僅是對服務器端對客戶端進行認證，導致客戶端很可能冒充用戶進行訪問。文中結合用戶的需求，提出一種基于DES加密+RSA算法和一次性口令認證的綜合算法。其具體的算法流程設計為如圖2所示。

其具體步驟為：

步驟一：U→S，Espk（ID、Rc⊕h（psw）該步驟中首先由客戶端自動生成一個隨機的數，并計算其哈希值psw，通過服務器的公鑰spk，并借助RSA算法對用戶的信息進行加密傳輸。

步驟二：S→U，Ekl（h（N-i||seed||Rc，N-i，seed，Rc⊕h（psw））該部分主要利用服務器方面的私鑰對其加密的信息進行解密。

步驟三：U→S，Ek2（Pi⊕h（Rs））該步驟是客戶端計算出其中解密的密鑰，同時通過服務器發來的信息對哈希值進行計算，并與服務器端所發送過來的哈希值進行比較。如果匹配則進入下個環節，如果步匹配則斷開。

步驟四：Ek（ACK），該步驟通過服務器對上述Rs，h（psw）的進行解密，從而得到上次的哈希值與本次計算的哈希值，然后對其進行比較，如果一致則表明客戶端用戶得到驗證。

步驟五：通過Rc、Rs得到會話的密鑰，并對信息進行解密，最終完成對整個信息的認證過程。

圖2　綜合加密認證算法

4　身份認證方案實現

4.1客戶端模塊實現

4.1.1注冊模塊設計

注冊作為系統的基本工作，其具體流程如圖3所示。

圖3　注冊流程

在該流程中用戶首先提交AP中的MAC地址，在通過服務器的檢測通過之后，才能繼續進行口令注冊。通過設計得到如圖4的界面。

圖4　注冊信息界面

4.1.2認證模塊

客戶端隨機的生成一組數，并通過公鑰進行傳輸和加密，當服務器在受到后，利用私鑰進行解密，并查找該用戶數據，最終同樣通過加密的方式傳遞給客戶端。其具體的認證流程和界面則如圖5和圖6所示。

圖5　客戶端認證流程

4.1.3AP定位檢測實現

該模塊主要對無線AP進行檢測，并且判定其中的AP哪些是屬于平臺當中的，哪些不屬于。通常無線AP的搜索通過無線適配器，并且主要應用其中的 Createfile函數。通過Createfile函數得到m_pBSSIDList，并取出其中的SSID和RSSI。最后用得到的SSID去進行驗證。通過上述步驟得到如圖6結果。

圖6　用戶檢測的無線AP

4.2服務器端認證功能實現

服務器端身份認證實現如圖7所示。

圖7　服務器端身份認證實現

5　結束語

文中通過計算機技術，同時應用DES、RAS算法、S/key加密認證，實現了對客戶端和服務器端身份的雙重認證，為用戶提供了安全的無線WIFI認證系統，為未來網絡資源的合理利用提供了更多的參考。

［1］韓韋.WIFI及其安全性研究［J］.無線互聯科技，2013（1）:6-7.

［2］盛仲飆.WIFI無線網絡技術及安全性研究［J］.電子設計工程，2012（16）:1-3.

［3］陳偉宏，申煜湘，肖衛初.基于預認證的WiFi/WiMAX混合網絡安全模型［J］.計算機工程與應用，2012（2）:93-95，138.

［4］蔣青，魯艷.基于VoIP的WiFi無線網絡安全策略研究［J］.通信技術，2007（6）:46-48.

［5］趙銘偉，于曉晨，徐喜榮，等.一種改進的CHAP方案［J］.信息網絡安全，2014（7）:75-80.

［6］張婧.WiFi網絡實名認證的方法研究和實現［J］.計算機工程與科學，2012（10）:22-27.

［7］韓桂明.動態口令網絡身份認證系統的設計與實現［J］.無線互聯科技，2012（10）:78.

［8］鄧軍，葉柏龍.身份認證和安全傳輸方案的分析與設計——基于B/S系統的網絡應用［J］.科學技術與工程，2007（2）:214-216，226.

［9］李星宜，李陶深，崔杰，等.基于數字證書的身份認證系統的設計與實現［J］.計算機技術與發展，2011（12）:160-163.

［10］董延華，畢娜，曾軒，等.基于Web安全認證的無線網絡覆蓋方案［J］.吉林大學學報:信息科學版，2014（3）:298-302.

［11］熊俊.用戶身份認證技術在計算機信息安全中的應用［J］.信息安全與技術，2013（6）:33-36.

［12］胡培.ONU WIFI 802.1x認證功能的實現［J］.計算機光盤軟件與應用，2015（3）:295-296.

［13］王娜.基于WiFi的無線遠程視頻監控系統［J］.安防科技，2010（1）:16-18.

［14］陳少暉，翟曉寧，閻娜，等.MD5算法破譯過程解析［J］.計算機工程與應用，2010（19）:109-112.

［15］方俊，趙英良.基于RBF神經網絡的一次性口令認證方案［J］.計算機工程，2011（9）:157-159.

WIFI system identity authentication based on network security

ZHAO Wei
（Information center of Xianyang Normal University，Xianyang 712000，China）

Aiming at the security problems existing in the current wireless WIFI sharing application，a wireless identity authentication system based on FIT+AP is proposed.Building a third party platform，the different AP users to join the platform，through the RADIUS and EAP-TLS two-way authentication mechanism，the platform user authentication.The system is divided into client and server，and the client and server are designed and implemented by C/S mode，which provides a free and secure WIFI platform，which can be used to the network resource utilization.

network security；WIFI system；RADIUS；FIT+AP；C/S model

TN99

A

1674-6236（2016）14-0081-03

2015-11-12稿件編號：201511122

咸陽師范學院教學改革研究項目（20081002）；咸陽師范學院科研基金項目（13XSYK063）

趙 衛（1976—），女，陜西涇陽人，碩士，講師。研究方向：網絡安全。