本發(fā)明涉及一種WIFI熱點(diǎn)識(shí)別方法，尤其涉及一種識(shí)別偽造WIFI熱點(diǎn)的處理方法。

背景技術(shù)：
隨著無線網(wǎng)絡(luò)的推廣和普及，無線網(wǎng)絡(luò)帶來的安全問題也越來越突出。針對(duì)無線網(wǎng)絡(luò)的攻擊方式隨著時(shí)間的推移和技術(shù)的進(jìn)步也越來越隱蔽，非法入侵者利用已知AP(AccessPoint無線訪問節(jié)點(diǎn))的BSSID(BasicServiceSetIdentifier基本服務(wù)集標(biāo)識(shí)符信息，制造出與目標(biāo)AP類似的無線接入點(diǎn)，特別是偽造運(yùn)營(yíng)商品牌的BSSID欺騙用戶，并提供網(wǎng)絡(luò)接入服務(wù)，從而達(dá)到監(jiān)聽用戶的數(shù)據(jù)，竊取用戶資料等目的。例如：眾所周知電信的接入點(diǎn)名稱為‘chinanet’，因?yàn)闊o線網(wǎng)絡(luò)本身不限制如‘chinanet’這樣的BSSID信息的唯一性，所以攻擊者可以偽造另一個(gè)chinanet熱點(diǎn)，從而吸引用戶登錄和使用。甚至攻擊者可以通過偽造電信公司的portal服務(wù)頁面來獲取用戶的賬戶信息。惡意AP攻擊帶來的危害顯而易見，主要包括：1、用戶的賬戶信息會(huì)泄露，如手機(jī)號(hào)/用戶名和密碼。2、用戶通信信息完全被監(jiān)聽，如http/ftp/telnet等明文信息可以直接被獲取，使用ssl加密的通信數(shù)據(jù)在一定的情況下可以被破解。3、用戶無法分辨真正的AP和假冒的AP。對(duì)于普通用戶而言，是很難分辨真的AP與假冒的AP之間的區(qū)別的，特別在這兩類AP都提供服務(wù)的情況下，用戶往往會(huì)過分地信任運(yùn)營(yíng)商而也不會(huì)去考慮AP的安全性。4、導(dǎo)致用戶無法信任運(yùn)營(yíng)商提供的無線熱點(diǎn)服務(wù)。由于惡意AP盜取用戶的信息和數(shù)據(jù)，且用戶不易區(qū)別真假chinanet，造成用戶無法信任chinanet的安全性。目前國(guó)內(nèi)外針對(duì)無線熱點(diǎn)偽造問題的解決方法是各AP提供商設(shè)計(jì)，其原理是在同一個(gè)區(qū)域發(fā)現(xiàn)和自己同一個(gè)BSSID的時(shí)候，檢索對(duì)端型號(hào)是否為網(wǎng)管臺(tái)中的登記設(shè)備，如果不是即提供報(bào)警，以達(dá)到發(fā)現(xiàn)偽造AP熱點(diǎn)的目的。目前這種解決方法的缺點(diǎn)非常明確，包括以下幾點(diǎn)：1、只有同一個(gè)品牌的偽造熱點(diǎn)才能發(fā)現(xiàn)，偽造者幾乎不會(huì)用同一品牌的AP設(shè)備進(jìn)行偽造，所以這種檢查方式局限性太大；2、如果偽造熱點(diǎn)不在合法AP范圍之內(nèi)，現(xiàn)有檢查手段無法檢測(cè)；3、沒有一家運(yùn)營(yíng)商只使用一個(gè)公司的設(shè)備，該檢測(cè)方法不現(xiàn)實(shí)。由上可見，現(xiàn)有偽造AP識(shí)別方法成本高、誤判率高，導(dǎo)致現(xiàn)在偽造AP熱點(diǎn)無法檢測(cè)的現(xiàn)狀。

技術(shù)實(shí)現(xiàn)要素：
本發(fā)明所要解決的技術(shù)問題是提供一種識(shí)別偽造WIFI熱點(diǎn)的處理方法，能夠方便可靠地識(shí)別偽造WIFI熱點(diǎn)，并具有全網(wǎng)跨平臺(tái)、跨不同品牌設(shè)備的特點(diǎn)，有效解決現(xiàn)有無線熱點(diǎn)存在的安全隱患問題。本發(fā)明為解決上述技術(shù)問題而采用的技術(shù)方案是提供一種識(shí)別偽造WIFI熱點(diǎn)的處理方法，包括如下步驟：a)預(yù)先收集存儲(chǔ)WIFI熱點(diǎn)的IP地址列表；b)在系統(tǒng)服務(wù)端接收客戶端從某一WIFI熱點(diǎn)發(fā)送過來的請(qǐng)求報(bào)文并獲取該請(qǐng)求報(bào)文中的源IP地址和端口；c)在預(yù)存的WIFI熱點(diǎn)IP地址列表中檢索是否存在該源IP地址進(jìn)行第一次WIFI熱點(diǎn)真?zhèn)悟?yàn)證；d)如果第一次WIFI熱點(diǎn)真?zhèn)悟?yàn)證成功，在系統(tǒng)服務(wù)端繼續(xù)向該源IP地址和端口發(fā)送握手報(bào)文進(jìn)行第二次WIFI熱點(diǎn)真?zhèn)悟?yàn)證；e)當(dāng)有一次驗(yàn)證失敗，則判斷該WIFI熱點(diǎn)為偽造WIFI熱點(diǎn)。上述的識(shí)別偽造WIFI熱點(diǎn)的處理方法，其中，所述步驟a)中的WIFI熱點(diǎn)的IP地址列表部署在系統(tǒng)數(shù)據(jù)庫服務(wù)器中，所述系統(tǒng)數(shù)據(jù)庫服務(wù)器部署在隔離區(qū)域并通過訪問控制列表限制訪問源。上述的識(shí)別偽造WIFI熱點(diǎn)的處理方法，其中，所述WIFI熱點(diǎn)的IP地址列表獲取過程如下：將DHCP地址庫的內(nèi)容抽取出來，根據(jù)地址段生成IP地址列表，將該IP地址列表作為源數(shù)據(jù)放置到系統(tǒng)數(shù)據(jù)庫中。上述的識(shí)別偽造WIFI熱點(diǎn)的處理方法，其中，所述步驟b)中客戶端使用隨機(jī)端口發(fā)送請(qǐng)求報(bào)文，所述步驟d)中系統(tǒng)服務(wù)端發(fā)送加密的握手報(bào)文至該隨機(jī)端口，所述隨機(jī)端口的范圍為10000～20000之間，根據(jù)時(shí)間隨機(jī)數(shù)生成。上述的識(shí)別偽造WIFI熱點(diǎn)的處理方法，其中，所述握手報(bào)文采用單項(xiàng)陷門函數(shù)和salt函數(shù)進(jìn)行加密。上述的識(shí)別偽造WIFI熱點(diǎn)的處理方法，其中，所述系統(tǒng)服務(wù)端采用多線程并行接收客戶端從WIFI熱點(diǎn)發(fā)送過來的請(qǐng)求報(bào)文并進(jìn)行第一次WIFI熱點(diǎn)真?zhèn)悟?yàn)證，所述多線程數(shù)量控制如下：其中，X為新增客戶端數(shù)量，N為現(xiàn)有客戶端數(shù)量，U＝X+N，Cs為CPU核數(shù)，Cn為CPU每個(gè)工作核的處理線程。本發(fā)明對(duì)比現(xiàn)有技術(shù)有如下的有益效果：本發(fā)明提供的識(shí)別偽造WIFI熱點(diǎn)的處理方法，通過二次WIFI熱點(diǎn)真?zhèn)悟?yàn)證，從而方便可靠地識(shí)別偽造WIFI熱點(diǎn)，并具有全網(wǎng)跨平臺(tái)、跨不同品牌設(shè)備的特點(diǎn)，有效解決現(xiàn)有無線熱點(diǎn)存在的安全隱患問題。附圖說明圖1為本發(fā)明識(shí)別偽造WIFI熱點(diǎn)的處理流程示意圖；圖2為本發(fā)明識(shí)別偽造WIFI熱點(diǎn)的系統(tǒng)架構(gòu)示意圖。具體實(shí)施方式下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步的描述。圖1為本發(fā)明識(shí)別偽造WIFI熱點(diǎn)的處理流程示意圖。請(qǐng)參見圖1，本發(fā)明提供的識(shí)別偽造WIFI熱點(diǎn)的處理方法包括如下步驟：步驟S1：預(yù)先收集無線熱點(diǎn)提供商的相關(guān)信息，存儲(chǔ)WIFI熱點(diǎn)的IP地址列表；如通過編寫WIFIACTION類(用來實(shí)現(xiàn)WIFI的所有動(dòng)作的類)調(diào)用WIFIMANAGE(WIFI管理器類)實(shí)現(xiàn)底層WIFI驅(qū)動(dòng)并且監(jiān)聽當(dāng)前網(wǎng)卡狀態(tài)；驅(qū)動(dòng)實(shí)現(xiàn)后查看WIFI當(dāng)前狀態(tài)、WIFI獲取到的所有SSID；通過編寫的getWifiManage類其中包含(getDhcpInfo(DhcpInfo)(獲取DHCP所有信息)，getIpAddress()(獲取本地網(wǎng)卡IP地址)，getRouteIP()(獲取網(wǎng)關(guān)的IP地址)，getRouteMac()(獲取網(wǎng)關(guān)的MAC地址))根據(jù)getWifiManage類中的方法將獲取到的網(wǎng)關(guān)Ip地址Mac生成IPADDRESS、MACADDRESS列表，將該列表作為源數(shù)據(jù)放置到系統(tǒng)數(shù)據(jù)庫中，實(shí)現(xiàn)驗(yàn)證數(shù)據(jù)庫checkresouse；步驟S2：在系統(tǒng)服務(wù)端接收客戶端從某一WIFI熱點(diǎn)發(fā)送過來的請(qǐng)求報(bào)文并獲取該請(qǐng)求報(bào)文中的源IP地址和端口；如在系統(tǒng)服務(wù)端中建立多線程監(jiān)聽模塊mult-socketserver-1istener，用于接收客戶端發(fā)送的驗(yàn)證請(qǐng)求；具體可以通過編寫AndroidServer(安卓服務(wù)器監(jiān)聽模塊)繼承THREAD類編寫run()方法(注：run()方法主要實(shí)現(xiàn)對(duì)象寫入流，獲取客戶端發(fā)送的信息)；multiStart實(shí)現(xiàn)RUNNABLE接口(線程接口)，編寫執(zhí)行服務(wù)獲取CPU核數(shù)，并且根據(jù)CPU核數(shù)構(gòu)造AndroidServer線程池用于接受多個(gè)客戶端請(qǐng)求并同時(shí)向客戶端發(fā)送驗(yàn)證請(qǐng)求，當(dāng)有多個(gè)CPU核時(shí)，做到智能調(diào)節(jié)負(fù)載均衡，讓服務(wù)器的工作效率達(dá)到最優(yōu)，線程池中線程數(shù)量動(dòng)態(tài)改變?nèi)缦拢浩渲?，X代表新增客戶端數(shù)量，N代表現(xiàn)有客戶端數(shù)量，U＝X+N，Cs為現(xiàn)有CPU核數(shù)，Cn代表現(xiàn)在CPU每個(gè)工作核的處理線程；步驟S3：在預(yù)存的無線熱點(diǎn)IP地址列表中檢索是否存在該源IP地址進(jìn)行第一次WIFI熱點(diǎn)真?zhèn)悟?yàn)證；如在系統(tǒng)服務(wù)端中建立多線程檢索模塊mult-search，用于檢索多個(gè)客戶端發(fā)送的驗(yàn)證數(shù)據(jù)，當(dāng)系統(tǒng)服務(wù)端接收到客戶端請(qǐng)求報(bào)文后用String函數(shù)帶有的SubString和SubString(index)函數(shù)來拆解并通過字符串過濾函數(shù)SubString(Index，End)過濾數(shù)據(jù)，通過編寫的ClientMarkImp類(客戶端處理實(shí)現(xiàn))對(duì)拆分過濾過的數(shù)據(jù)進(jìn)行驗(yàn)證并且將結(jié)果(True，F(xiàn)alse)返回顯示給用戶(True，F(xiàn)alse分別代表匹配和不匹配)；將出現(xiàn)不匹配時(shí)系統(tǒng)將不繼續(xù)向下執(zhí)行；步驟S4：如果第一次WIFI熱點(diǎn)真?zhèn)悟?yàn)證成功，在系統(tǒng)服務(wù)端繼續(xù)向該源IP地址和端口發(fā)送握手報(bào)文進(jìn)行第二次WIFI熱點(diǎn)真?zhèn)悟?yàn)證；如在系統(tǒng)服務(wù)端中建立臨時(shí)存儲(chǔ)模塊temp-log和回滾模塊rollback，用于存放客戶端發(fā)送過來的源IP地址、隨機(jī)端口等信息。當(dāng)IP地址是數(shù)據(jù)庫checkresouse中的數(shù)據(jù)時(shí)，啟動(dòng)第二次驗(yàn)證機(jī)制。根據(jù)臨時(shí)存儲(chǔ)模塊temp-log數(shù)據(jù)的源IP地址，系統(tǒng)服務(wù)端向系統(tǒng)客戶端發(fā)送經(jīng)加密的握手報(bào)文shandshake，比如使用單項(xiàng)陷門函數(shù)和salt函數(shù)進(jìn)行加密。如果能夠握手成功，系統(tǒng)服務(wù)端將向客戶端推送該熱點(diǎn)為合法熱點(diǎn)信息，如果握手不成功，則證明該IP地址是偽造的IP地址，握手報(bào)文根據(jù)網(wǎng)絡(luò)路由表發(fā)送至了合法的ip地址處，驗(yàn)證客戶端驗(yàn)證失敗，至此系統(tǒng)服務(wù)端將向客戶端推送該熱點(diǎn)為非法熱點(diǎn)等信息。步驟S5：當(dāng)有一次驗(yàn)證失敗，則判斷該WIFI熱點(diǎn)為偽造WIFI熱點(diǎn)。通過兩次不同方式驗(yàn)證且兩種驗(yàn)證都為“T”的時(shí)候才判定AP熱點(diǎn)合法。為了進(jìn)一步提高安全性，系統(tǒng)客戶端向系統(tǒng)服務(wù)端發(fā)送報(bào)文存儲(chǔ)在存儲(chǔ)模塊temp-log中提交了隨機(jī)函數(shù)，系統(tǒng)服務(wù)端向系統(tǒng)客戶端發(fā)送經(jīng)加密的握手報(bào)文shandshake至隨機(jī)生成的端口，比如通過timeRandom(時(shí)間隨機(jī)數(shù))*10000+9135算法生成的10000～20000之間的隨機(jī)端口號(hào)，加強(qiáng)了系統(tǒng)的安全性。此外，系統(tǒng)客戶端程序采用底層加密技術(shù)，將核心算法和參數(shù)變量通過使用不同語言編程封裝成不同的程序文件，并加密加殼起到保護(hù)程序本身的作用。本發(fā)明提供的識(shí)別偽造WIFI熱點(diǎn)的處理系統(tǒng)獨(dú)立部署，可實(shí)現(xiàn)不同品牌、不同平臺(tái)的偽造AP驗(yàn)證，不局限于網(wǎng)絡(luò)架構(gòu)和產(chǎn)品選型。具體實(shí)施方法如下：第一步：搭建系統(tǒng)主服務(wù)器用于驗(yàn)證用戶請(qǐng)求，部署在無線熱點(diǎn)提供商的portal服務(wù)網(wǎng)絡(luò)域中，并在主服務(wù)器中部署多線程監(jiān)聽模塊mult-socketserver-listener、I臨時(shí)存儲(chǔ)模塊temp-log、多線程檢索模塊mult-search、臨時(shí)存儲(chǔ)模塊temp-log、回滾模塊rollback等，如圖2所示；第二步：搭建系統(tǒng)數(shù)據(jù)庫服務(wù)器，部署在DMZ區(qū)域，通過訪問控制列表(AccessControlList，ACL)策略限制訪問源，并在數(shù)據(jù)庫服務(wù)器中部署checkresouse；第三步：通過portal推送頁面或其他公共平臺(tái)推廣系統(tǒng)客戶端；第四步：移動(dòng)終端在下載客戶端軟件過程中同步獲取程序MD5散列值，用于防止篡改客戶端程序；第五步：移動(dòng)終端在使用無線熱點(diǎn)時(shí)，客戶端軟件提示進(jìn)行偽造熱點(diǎn)測(cè)試，經(jīng)過驗(yàn)證后明確無線熱點(diǎn)的安全性后使用網(wǎng)絡(luò)。綜上所述，本發(fā)明提供的識(shí)別偽造WIFI熱點(diǎn)的處理方法，通過二次WIFI熱點(diǎn)真?zhèn)悟?yàn)證，從而方便可靠地識(shí)別偽造WIFI熱點(diǎn)，并具有全網(wǎng)跨平臺(tái)、跨不同品牌設(shè)備的特點(diǎn)，有效解決現(xiàn)有無線熱點(diǎn)存在的安全隱患問題。具體優(yōu)點(diǎn)如下：1、獨(dú)立部署，可實(shí)現(xiàn)不同品牌、不同平臺(tái)的偽造AP驗(yàn)證，不局限于網(wǎng)絡(luò)架構(gòu)和產(chǎn)品選型；2、成本低，不需要AP廠商進(jìn)行技術(shù)配合，不需要購(gòu)置其他測(cè)試設(shè)備及模塊；3、覆蓋面廣，可覆蓋至無線熱點(diǎn)提供商未覆蓋到的地方；4、用戶體驗(yàn)友好，可實(shí)時(shí)發(fā)現(xiàn)威脅，減少不必要的損失；5、系統(tǒng)可生產(chǎn)偽造熱點(diǎn)地圖，可為無線熱點(diǎn)提供商挽回經(jīng)濟(jì)和名譽(yù)損失。雖然本發(fā)明已以較佳實(shí)施例揭示如上，然其并非用以限定本發(fā)明，任何本領(lǐng)域技術(shù)人員，在不脫離本發(fā)明的精神和范圍內(nèi)，當(dāng)可作些許的修改和完善，因此本發(fā)明的保護(hù)范圍當(dāng)以權(quán)利要求書所界定的為準(zhǔn)。