一种基于网络安全的WIFI系统身份认证设计_赵卫

图 1 无线 WIFI 共享整体方案
1 系统整体架构
当 前 无 线 网 络 中 主 要 物 理 模 式 分 为 两 类 ： 一 类 为 FIT AP+AC 组网模式；另一类为 FIT AP 模式。 两种不同的类型的 接 入 方 式 不 同 ，FIT AP 仅 通 过 WAN 对 其 进 行 配 置 ， 而 FIT AP+AC 中 FIT AP 只具有介 入 的 功能 ，AC 才 具 有身 份 认 证的 功能。 文中所探讨的 无 线 组网 模 式 则如 图 1 所 示，为 FIT AP 模式，这种模式通常为常用的家庭无线网络。
关键词： 网络安全； WIFI 系统； RADIUS； FIT+AP； C/S 模式
中图分类号： TN99
文献标识码： A
文 章 编 号 ：1674－6236（2016）14-0081-03
WIFI system identity authentication based on network security
3 认证算法设计
要保障该系统的实现，对用户身份进行认证是该系统实 现的关键。 当前针对数据加密包括 DES 加密算法、MD5 算法 等，对用户认证 则 主要 包 括 S/KEY、CHAP 认证 等 。 但 是对 于 S/KEY 和 CHAP 认证 来 讲 ，仅 仅 是 对 服 务 器 端 对 客 户 端 进 行 认证，导致客户端很可能冒充用户进行访问。 文中结合用户 的 需 求 ，提 出 一 种基 于 DES 加 密+RSA 算 法 和 一次 性 口 令认 证的综合算法。 其具体的算法流程设计为如图 2 所示。
图 6 用户检测的无线 AP 4.2 服务器端认证功能实现
服务器端身份认证实现如图 7 所示。
5 结束语
文 中 通 过 计 算 机 技 术 ， 同 时 应 用 DES、RAS 算 法 、S/key
图 7 服务器端身份认证实现
加密认证， 实现了对客户端和服务器端身份的双重认证，为 用户 提 供 了安 全 的 无线 WIFI 认 证 系统 ， 为 未 来网 络 资 源 的 合理利用提供了更多的参考。 参考文献： [1] 韩韦. WIFI及其安全性研究[J]. 无线互联科技，2013（1）:6-7. [2] 盛 仲飙. WIFI无 线 网络 技 术 及安 全 性 研 究[J]. 电 子 设 计 工
步 骤 三 ：U→S，Ek2（Pi堠h（Rs））该 步 骤 是 客 户 端 计 算 出 其中解密的密钥，同时通过服务器发来的信息对哈希值进行 计算，并与服务器端所发送过来的哈希值进行比较。 如果匹 配则进入下个环节，如果步匹配则断开。
步骤四：Ek（ACK），该步骤通过服务器对上述 Rs，h（psw） 的进行解密， 从而得到上次的哈希值与本次计算的哈希值， 然后对其进行比较，如果一致则表明客户端用户得到验证。
赵 卫 一种基于网络安全的 WIFI 系统身份认证设计
务器的检测通过之后，才能继续进行口令注册。 通过设计得 到如图 4 的界面。
4.1.2 认证模块
图 4 注册信息界面
客户端随机的生成一组数， 并通过公钥进行传输和加
密，当服务器在受到后，利用私钥进行解密，并查找该用户数
据，最终同样通过加密的方式传递给客户端。 其具体的认证
第 24 卷 第 14 期 Vol.24 No.14
电子设计工程 Electronic Design Engineering
2016 年 7 月 Jul. 2016
一种基于网络安全的 WIFI 系统身份认证设计
赵卫 （咸阳师范学院 信息中心，陕西 咸阳 712000）
摘要： 针对当前无线 WIFI 共享应用中存在的安全问题，提出一种基于 FIT+AP 组网模式下的无 线 身 份认 证 系 统。 构
通过图 1 可知，家庭用户只需要自己携带自己的无线网
络，直接申请进入到该无线平台。 因此，其具体的步骤则为： 首先借助家庭网络 AP 登录到联盟， 下载并安装运行软
件客户端； 其次，点击该平台，用户携带自己的用户名和密码进行
注 册 ，并向 平 台 提交 相 关 的 FITAP 信 息 ，以 此 方 面 该 平 台 对 该无线网点进行配置。
建一个第三方平台的方式，将不同 AP 用户加入到平台中，通过 RADIUS 与 EAP-TLS 双向认证机制，对平 台 用 户进 行
身份认证。 应用 C/S 模式架构，将系统分为客户端和服务器端，并通过相关的编程语言对客户端和服务器端进行了设
计与实现，从而通过该方案构建为用户提供了一个免费和安全的 WIFI 平台，实现了对网络资源利用的最大化。
作者简介：赵 卫（1976—），女，陕西泾阳人，硕士，讲师。 研究方向：网络安全。
－81－
《电子设计工程》2016 年第 块设计
通过上述对系统整体方案的设计，将该方案的使用群体 分为共享注册用户和付费用户。 而功能角度，将该系统的功 能分为注册界面、认证模块、配置模块、检测定位、数据库管 理、流量监测、计费扣费模块。 其中注册模块主要实现对 FIT AP 无线热点用户的注册 ， 从而 为整 个 平 台提 供 无 线网 络 服 务；认证部分主要实现对用户的身份认证，以此保障用户信 息和网络使用的安全；配置规则模块主要对各个不同的信息 进行配置，保障网络的良好的运行。
流程和界面则如图 5 和图 6 所示。
图 5 客户端认证流程 4.1.3 AP 定位检测实现
该 模 块 主 要 对 无 线 AP 进 行 检 测 ， 并 且 判 定 其 中 的 AP 哪些是属于平台当中的，哪些不属于。 通常无线 AP 的搜索通 过 无 线 适 配 器 ， 并 且 主 要 应 用 其 中 的 Createfile 函 数 。 通 过 Createfile 函 数 得 到 m_pBSSIDList ， 并 取 出 其 中 的 SSID 和 RSSI。 最后用得到的 SSID 去进行验证。 通过上述步骤得到如 图 6 结果。
1）注册模块 该模块主要包括两部分用户：一部分为无线网络共享注 册用户；另一部分为付费享受的注册用户。 其中付费注册用 户为 实 线 部分 ，通 过 付费 用 户 在注 册 时 候 提 交 帐 号 和 用 户 名 ， 再通过服务器对其进行保护，最后将帐号和手机号码进行绑 定，将每月的费用定期进行扣除 。 而对于共享 AP 用户，首先 提交自己无线网络地址的 MAC 地址， 在通过 服务 器 的 判定 后，再提交该 AP 的其他信息，最后统一保存到服务器当中。 2）认证模块 由 于 本 文 采 用 的 为 C/S 架 构 模 式 ，最 为 关 键 的 部 分 为 对 数据处理的安全性。 因此，对该部分功能设计主要包括加密、 身份认证和解密 3 部分子模块。 身份认证主要用于对系统的 登录；加解密主要用于对客户端和服务器端的交互过程中。 3）配置模块 配置部分主要对上网用户在登录后对其上网的权限进 行配置，同时服务器端则根据客户端方面的信息对其进行对 应的配置。 4） 检测定位模块 该模 块 主要 对 不 同 的 无 线 AP 信 息 进 行 定 位 搜 索 检 测 ， 从而方便广大的用户对家庭无线 AP 进行应用。 5） 流量监控 对 系 统 当 中 不 同 的 AP 用 户 使 用 的 流 量 进 行 相 关 的 统 计， 从而防止在网络当中某些用户恶意的使用网络资源，实 现对整体平台的有效监控。 6） 数据库管理 该模 块 主要 对 注 册用 户 等 基本 的 信 息进 行 保 存 、查 询 等 。
步 骤 五 ：通 过 Rc、Rs 得 到 会 话 的 密 钥 ，并 对 信 息 进 行 解 密，最终完成对整个信息的认证过程。
4 身份认证方案实现
4.1 客户端模块实现 4.1.1 注册模块设计
注册作为系统的基本工作，其具体流程如图 3 所示。
图 3 注册流程 在该流程中用户首先提交 AP 中的 MAC 地址，在通过服
程 ，2012（16）:1-3. [3] 陈伟 宏 ，申 煜湘 ，肖 卫 初. 基 于 预 认证 的WiFi/WiMAX混 合
网 络 安 全模 型[J]. 计 算机 工 程 与应 用 ，2012（2）:93-95，138. [4] 蒋青，鲁艳. 基于VoIP的WiFi无线网络安全策略研究[J]. 通
再次，在注册成功之后，用户则会得到一组用户名和密 码，并成为该平台当中的一员。 在使用过程中用户不得随意 的对其中配置进行改动。 而对于平台之外的用户必须要首先
收 稿 日 期 ：2015-11-12
稿 件 编 号 ：201511122
获得系统的身份认证之后方可对网络进行访问。
基 金 项 目 ：咸 阳 师 范 学 院 教 学 改 革 研 究 项 目 （20081002）；咸 阳 师 范 学 院 科 研 基 金 项 目 （13XSYK063）
当 前 随 着 网 络 的 快 速 发 展 ，无 线 WIFI 成 为 家 庭 、商 场 、 单位等应用的重点，从而改变了传统的上网方式，实现了人 们只通过手机即可访问，并降低了传统的手机流量成本。 但 是 ，在公 共 WIFI 网 络共 享 过 程中 ，网 络 安全 却 成 为了 人 们 担 心 的 重 点， 通 过 无 线 WIFI 给 用 户 造成 巨 大 损失 的 案 例 更 是 层出不穷，如通过截取、字典攻击等方式，截取和套取用户名 和密码。 因此为提高网络的安全性，用户开始提出诸如智能 卡、生物特征、KPI 身份认证等机制。 对此本 文 结 合当 前 的 组 网 方 式 和网 络 安 全问 题 ， 提 出 一 种 基 于 FIT AP 组 网 模 式 下 的 WIFI 共 享身 份 认 证系 统 ， 并 对系 统 的 实现 进 行 了详 细 的 分析。
ZHAO Wei （Information center of Xianyang Normal University，Xianyang 712000，China）
Abstract: Aiming at the security problems existing in the current wireless WIFI sharing application， a wireless identity authentication system based on FIT +AP is proposed. Building a third party platform， the different AP users to join the platform， through the RADIUS and EAP-TLS two-way authentication mechanism， the platform user authentication. The system is divided into client and server， and the client and server are designed and implemented by C/S mode， which provides a free and secure WIFI platform， which can be used to the network resource utilization. Key words: network security； WIFI system； RADIUS； FIT+AP； C/S model DOI:10.14022/ki.dzsjgc.2016.14.024