本發(fā)明涉及一種WIFI熱點識別方法，尤其涉及一種識別偽造WIFI熱點的處理方法。

背景技術(shù)：
隨著無線網(wǎng)絡(luò)的推廣和普及，無線網(wǎng)絡(luò)帶來的安全問題也越來越突出。針對無線網(wǎng)絡(luò)的攻擊方式隨著時間的推移和技術(shù)的進(jìn)步也越來越隱蔽，非法入侵者利用已知AP(AccessPoint無線訪問節(jié)點)的BSSID(BasicServiceSetIdentifier基本服務(wù)集標(biāo)識符信息，制造出與目標(biāo)AP類似的無線接入點，特別是偽造運(yùn)營商品牌的BSSID欺騙用戶，并提供網(wǎng)絡(luò)接入服務(wù)，從而達(dá)到監(jiān)聽用戶的數(shù)據(jù)，竊取用戶資料等目的。例如：眾所周知電信的接入點名稱為‘chinanet’，因為無線網(wǎng)絡(luò)本身不限制如‘chinanet’這樣的BSSID信息的唯一性，所以攻擊者可以偽造另一個chinanet熱點，從而吸引用戶登錄和使用。甚至攻擊者可以通過偽造電信公司的portal服務(wù)頁面來獲取用戶的賬戶信息。惡意AP攻擊帶來的危害顯而易見，主要包括：1、用戶的賬戶信息會泄露，如手機(jī)號/用戶名和密碼。2、用戶通信信息完全被監(jiān)聽，如http/ftp/telnet等明文信息可以直接被獲取，使用ssl加密的通信數(shù)據(jù)在一定的情況下可以被破解。3、用戶無法分辨真正的AP和假冒的AP。對于普通用戶而言，是很難分辨真的AP與假冒的AP之間的區(qū)別的，特別在這兩類AP都提供服務(wù)的情況下，用戶往往會過分地信任運(yùn)營商而也不會去考慮AP的安全性。4、導(dǎo)致用戶無法信任運(yùn)營商提供的無線熱點服務(wù)。由于惡意AP盜取用戶的信息和數(shù)據(jù)，且用戶不易區(qū)別真假chinanet，造成用戶無法信任chinanet的安全性。目前國內(nèi)外針對無線熱點偽造問題的解決方法是各AP提供商設(shè)計，其原理是在同一個區(qū)域發(fā)現(xiàn)和自己同一個BSSID的時候，檢索對端型號是否為網(wǎng)管臺中的登記設(shè)備，如果不是即提供報警，以達(dá)到發(fā)現(xiàn)偽造AP熱點的目的。目前這種解決方法的缺點非常明確，包括以下幾點：1、只有同一個品牌的偽造熱點才能發(fā)現(xiàn)，偽造者幾乎不會用同一品牌的AP設(shè)備進(jìn)行偽造，所以這種檢查方式局限性太大；2、如果偽造熱點不在合法AP范圍之內(nèi)，現(xiàn)有檢查手段無法檢測；3、沒有一家運(yùn)營商只使用一個公司的設(shè)備，該檢測方法不現(xiàn)實。由上可見，現(xiàn)有偽造AP識別方法成本高、誤判率高，導(dǎo)致現(xiàn)在偽造AP熱點無法檢測的現(xiàn)狀。

技術(shù)實現(xiàn)要素：
本發(fā)明所要解決的技術(shù)問題是提供一種識別偽造WIFI熱點的處理方法，能夠方便可靠地識別偽造WIFI熱點，并具有全網(wǎng)跨平臺、跨不同品牌設(shè)備的特點，有效解決現(xiàn)有無線熱點存在的安全隱患問題。本發(fā)明為解決上述技術(shù)問題而采用的技術(shù)方案是提供一種識別偽造WIFI熱點的處理方法，包括如下步驟：a)預(yù)先收集存儲WIFI熱點的IP地址列表；b)在系統(tǒng)服務(wù)端接收客戶端從某一WIFI熱點發(fā)送過來的請求報文并獲取該請求報文中的源IP地址和端口；c)在預(yù)存的WIFI熱點IP地址列表中檢索是否存在該源IP地址進(jìn)行第一次WIFI熱點真?zhèn)悟炞C；d)如果第一次WIFI熱點真?zhèn)悟炞C成功，在系統(tǒng)服務(wù)端繼續(xù)向該源IP地址和端口發(fā)送握手報文進(jìn)行第二次WIFI熱點真?zhèn)悟炞C；e)當(dāng)有一次驗證失敗，則判斷該WIFI熱點為偽造WIFI熱點。上述的識別偽造WIFI熱點的處理方法，其中，所述步驟a)中的WIFI熱點的IP地址列表部署在系統(tǒng)數(shù)據(jù)庫服務(wù)器中，所述系統(tǒng)數(shù)據(jù)庫服務(wù)器部署在隔離區(qū)域并通過訪問控制列表限制訪問源。上述的識別偽造WIFI熱點的處理方法，其中，所述WIFI熱點的IP地址列表獲取過程如下：將DHCP地址庫的內(nèi)容抽取出來，根據(jù)地址段生成IP地址列表，將該IP地址列表作為源數(shù)據(jù)放置到系統(tǒng)數(shù)據(jù)庫中。上述的識別偽造WIFI熱點的處理方法，其中，所述步驟b)中客戶端使用隨機(jī)端口發(fā)送請求報文，所述步驟d)中系統(tǒng)服務(wù)端發(fā)送加密的握手報文至該隨機(jī)端口，所述隨機(jī)端口的范圍為10000～20000之間，根據(jù)時間隨機(jī)數(shù)生成。上述的識別偽造WIFI熱點的處理方法，其中，所述握手報文采用單項陷門函數(shù)和salt函數(shù)進(jìn)行加密。上述的識別偽造WIFI熱點的處理方法，其中，所述系統(tǒng)服務(wù)端采用多線程并行接收客戶端從WIFI熱點發(fā)送過來的請求報文并進(jìn)行第一次WIFI熱點真?zhèn)悟炞C，所述多線程數(shù)量控制如下：其中，X為新增客戶端數(shù)量，N為現(xiàn)有客戶端數(shù)量，U＝X+N，Cs為CPU核數(shù)，Cn為CPU每個工作核的處理線程。本發(fā)明對比現(xiàn)有技術(shù)有如下的有益效果：本發(fā)明提供的識別偽造WIFI熱點的處理方法，通過二次WIFI熱點真?zhèn)悟炞C，從而方便可靠地識別偽造WIFI熱點，并具有全網(wǎng)跨平臺、跨不同品牌設(shè)備的特點，有效解決現(xiàn)有無線熱點存在的安全隱患問題。附圖說明圖1為本發(fā)明識別偽造WIFI熱點的處理流程示意圖；圖2為本發(fā)明識別偽造WIFI熱點的系統(tǒng)架構(gòu)示意圖。具體實施方式下面結(jié)合附圖和實施例對本發(fā)明作進(jìn)一步的描述。圖1為本發(fā)明識別偽造WIFI熱點的處理流程示意圖。請參見圖1，本發(fā)明提供的識別偽造WIFI熱點的處理方法包括如下步驟：步驟S1：預(yù)先收集無線熱點提供商的相關(guān)信息，存儲WIFI熱點的IP地址列表；如通過編寫WIFIACTION類(用來實現(xiàn)WIFI的所有動作的類)調(diào)用WIFIMANAGE(WIFI管理器類)實現(xiàn)底層WIFI驅(qū)動并且監(jiān)聽當(dāng)前網(wǎng)卡狀態(tài)；驅(qū)動實現(xiàn)后查看WIFI當(dāng)前狀態(tài)、WIFI獲取到的所有SSID；通過編寫的getWifiManage類其中包含(getDhcpInfo(DhcpInfo)(獲取DHCP所有信息)，getIpAddress()(獲取本地網(wǎng)卡IP地址)，getRouteIP()(獲取網(wǎng)關(guān)的IP地址)，getRouteMac()(獲取網(wǎng)關(guān)的MAC地址))根據(jù)getWifiManage類中的方法將獲取到的網(wǎng)關(guān)Ip地址Mac生成IPADDRESS、MACADDRESS列表，將該列表作為源數(shù)據(jù)放置到系統(tǒng)數(shù)據(jù)庫中，實現(xiàn)驗證數(shù)據(jù)庫checkresouse；步驟S2：在系統(tǒng)服務(wù)端接收客戶端從某一WIFI熱點發(fā)送過來的請求報文并獲取該請求報文中的源IP地址和端口；如在系統(tǒng)服務(wù)端中建立多線程監(jiān)聽模塊mult-socketserver-1istener，用于接收客戶端發(fā)送的驗證請求；具體可以通過編寫AndroidServer(安卓服務(wù)器監(jiān)聽模塊)繼承THREAD類編寫run()方法(注：run()方法主要實現(xiàn)對象寫入流，獲取客戶端發(fā)送的信息)；multiStart實現(xiàn)RUNNABLE接口(線程接口)，編寫執(zhí)行服務(wù)獲取CPU核數(shù)，并且根據(jù)CPU核數(shù)構(gòu)造AndroidServer線程池用于接受多個客戶端請求并同時向客戶端發(fā)送驗證請求，當(dāng)有多個CPU核時，做到智能調(diào)節(jié)負(fù)載均衡，讓服務(wù)器的工作效率達(dá)到最優(yōu)，線程池中線程數(shù)量動態(tài)改變?nèi)缦拢浩渲?，X代表新增客戶端數(shù)量，N代表現(xiàn)有客戶端數(shù)量，U＝X+N，Cs為現(xiàn)有CPU核數(shù)，Cn代表現(xiàn)在CPU每個工作核的處理線程；步驟S3：在預(yù)存的無線熱點IP地址列表中檢索是否存在該源IP地址進(jìn)行第一次WIFI熱點真?zhèn)悟炞C；如在系統(tǒng)服務(wù)端中建立多線程檢索模塊mult-search，用于檢索多個客戶端發(fā)送的驗證數(shù)據(jù)，當(dāng)系統(tǒng)服務(wù)端接收到客戶端請求報文后用String函數(shù)帶有的SubString和SubString(index)函數(shù)來拆解并通過字符串過濾函數(shù)SubString(Index，End)過濾數(shù)據(jù)，通過編寫的ClientMarkImp類(客戶端處理實現(xiàn))對拆分過濾過的數(shù)據(jù)進(jìn)行驗證并且將結(jié)果(True，F(xiàn)alse)返回顯示給用戶(True，F(xiàn)alse分別代表匹配和不匹配)；將出現(xiàn)不匹配時系統(tǒng)將不繼續(xù)向下執(zhí)行；步驟S4：如果第一次WIFI熱點真?zhèn)悟炞C成功，在系統(tǒng)服務(wù)端繼續(xù)向該源IP地址和端口發(fā)送握手報文進(jìn)行第二次WIFI熱點真?zhèn)悟炞C；如在系統(tǒng)服務(wù)端中建立臨時存儲模塊temp-log和回滾模塊rollback，用于存放客戶端發(fā)送過來的源IP地址、隨機(jī)端口等信息。當(dāng)IP地址是數(shù)據(jù)庫checkresouse中的數(shù)據(jù)時，啟動第二次驗證機(jī)制。根據(jù)臨時存儲模塊temp-log數(shù)據(jù)的源IP地址，系統(tǒng)服務(wù)端向系統(tǒng)客戶端發(fā)送經(jīng)加密的握手報文shandshake，比如使用單項陷門函數(shù)和salt函數(shù)進(jìn)行加密。如果能夠握手成功，系統(tǒng)服務(wù)端將向客戶端推送該熱點為合法熱點信息，如果握手不成功，則證明該IP地址是偽造的IP地址，握手報文根據(jù)網(wǎng)絡(luò)路由表發(fā)送至了合法的ip地址處，驗證客戶端驗證失敗，至此系統(tǒng)服務(wù)端將向客戶端推送該熱點為非法熱點等信息。步驟S5：當(dāng)有一次驗證失敗，則判斷該WIFI熱點為偽造WIFI熱點。通過兩次不同方式驗證且兩種驗證都為“T”的時候才判定AP熱點合法。為了進(jìn)一步提高安全性，系統(tǒng)客戶端向系統(tǒng)服務(wù)端發(fā)送報文存儲在存儲模塊temp-log中提交了隨機(jī)函數(shù)，系統(tǒng)服務(wù)端向系統(tǒng)客戶端發(fā)送經(jīng)加密的握手報文shandshake至隨機(jī)生成的端口，比如通過timeRandom(時間隨機(jī)數(shù))*10000+9135算法生成的10000～20000之間的隨機(jī)端口號，加強(qiáng)了系統(tǒng)的安全性。此外，系統(tǒng)客戶端程序采用底層加密技術(shù)，將核心算法和參數(shù)變量通過使用不同語言編程封裝成不同的程序文件，并加密加殼起到保護(hù)程序本身的作用。本發(fā)明提供的識別偽造WIFI熱點的處理系統(tǒng)獨立部署，可實現(xiàn)不同品牌、不同平臺的偽造AP驗證，不局限于網(wǎng)絡(luò)架構(gòu)和產(chǎn)品選型。具體實施方法如下：第一步：搭建系統(tǒng)主服務(wù)器用于驗證用戶請求，部署在無線熱點提供商的portal服務(wù)網(wǎng)絡(luò)域中，并在主服務(wù)器中部署多線程監(jiān)聽模塊mult-socketserver-listener、I臨時存儲模塊temp-log、多線程檢索模塊mult-search、臨時存儲模塊temp-log、回滾模塊rollback等，如圖2所示；第二步：搭建系統(tǒng)數(shù)據(jù)庫服務(wù)器，部署在DMZ區(qū)域，通過訪問控制列表(AccessControlList，ACL)策略限制訪問源，并在數(shù)據(jù)庫服務(wù)器中部署checkresouse；第三步：通過portal推送頁面或其他公共平臺推廣系統(tǒng)客戶端；第四步：移動終端在下載客戶端軟件過程中同步獲取程序MD5散列值，用于防止篡改客戶端程序；第五步：移動終端在使用無線熱點時，客戶端軟件提示進(jìn)行偽造熱點測試，經(jīng)過驗證后明確無線熱點的安全性后使用網(wǎng)絡(luò)。綜上所述，本發(fā)明提供的識別偽造WIFI熱點的處理方法，通過二次WIFI熱點真?zhèn)悟炞C，從而方便可靠地識別偽造WIFI熱點，并具有全網(wǎng)跨平臺、跨不同品牌設(shè)備的特點，有效解決現(xiàn)有無線熱點存在的安全隱患問題。具體優(yōu)點如下：1、獨立部署，可實現(xiàn)不同品牌、不同平臺的偽造AP驗證，不局限于網(wǎng)絡(luò)架構(gòu)和產(chǎn)品選型；2、成本低，不需要AP廠商進(jìn)行技術(shù)配合，不需要購置其他測試設(shè)備及模塊；3、覆蓋面廣，可覆蓋至無線熱點提供商未覆蓋到的地方；4、用戶體驗友好，可實時發(fā)現(xiàn)威脅，減少不必要的損失；5、系統(tǒng)可生產(chǎn)偽造熱點地圖，可為無線熱點提供商挽回經(jīng)濟(jì)和名譽(yù)損失。雖然本發(fā)明已以較佳實施例揭示如上，然其并非用以限定本發(fā)明，任何本領(lǐng)域技術(shù)人員，在不脫離本發(fā)明的精神和范圍內(nèi)，當(dāng)可作些許的修改和完善，因此本發(fā)明的保護(hù)范圍當(dāng)以權(quán)利要求書所界定的為準(zhǔn)。