[发明专利]基于非对称全程加密的WiFi互联网上网连接认证方法

权利要求书

1.一种基于非对称全程加密的WiFi互联网上网连接认证方法，该方法包括下列顺序的步骤：

(1)云端认证服务器为访问控制器自定义加密访问策略；

(2)云端认证服务器基于M-WAPI协议下放该加密访问策略到指定的访问控制器；

(3)移动终端首次访问WiFi需向访问控制器上报自己的设备MAC地址，访问控制器将此MAC地址上报云端认证服务器；

(4)访问控制器基于M-WAPI协议下放加密访问策略到首次访问WiFi的移动终端；

(5)移动终端一旦发现WiFi热点便使用加密访问策略进行WiFi热点探测，若探测成功，便提示移动终端进行认证上网，否则，则认为是无效的WiFi热点，拒绝连接该WiFi热点；

(6)移动终端使用该加密访问策略发送加密的认证请求到云端认证服务器进行认证，若认证通过，该移动终端便可访问互联网；

所述访问控制器下放加密访问策略到移动终端包括以下步骤：

a)移动终端初次连接到访问控制器并从访问控制器下载一个系统的WiFi热点探测工具；

b)WiFi热点探测工具从访问控制器获取加密访问策略，计算出WiFi热点访问安全系数S，若WiFi热点访问安全系数S大于安全阀值，则可以和访问控制器进行加密访问和认证上网操作，WiFi热点访问安全系数S的计算公式如下：

S=ΣinKiSCLi/Σi=0nSCLi,(i=0,...,n)]]>

其中，S为WiFi热点访问安全系数，K为策略安全因子，取值为0％～100％；SCLi为SCL(Security Check List)安全检查列表项，定义在SAC(Security Access Controller)安全访问控制器中，每个列表项的取值为0～10。

2.根据权利要求1所述的基于非对称全程加密的WiFi互联网上网连接认证方法，其特征在于：所述云端认证服务器为访问控制器自定义加密访问策略包括以下步骤：

a)根据移动终端的分类策略定义角色策略，包括一般访客、注册用户、付费VIP用户；

b)根据角色策略定义不同的加密策略，包括强加密策略、弱加密策略、无加密策略；

c)制定认证策略，包括强认证策略、弱认证策略、无认证策略；

d)制定场景策略，包括企事业单位、营业网点、公园广场、连锁门店、街区、景区；

e)根据角色策略、加密策略、认证策略和场景策略为指定的访问控制器生成加密访问策略。

3.根据权利要求1所述的基于非对称全程加密的WiFi互联网上网连接认证方法，其特征在于：所述云端认证服务器下放加密访问策略到指定的访问控制器包括以下步骤：

a)将连接到互联网的访问控制器注册到特定的云端认证服务器；

b)云端认证服务器根据访问控制器的特征属性信息将特定的加密访问策略下放到访问控制器；

c)访问控制器根据下放的加密访问策略进行识别解析生成相应的指令并在访问控制器操作系统中运行。

4.根据权利要求1所述的基于非对称全程加密的WiFi互联网上网连接认证方法，其特征在于：当移动终端首次访问WiFi时，若访问控制器上报其MAC地址失败，移动终端只能访问该访问控制器的有限资源，无法访问互联网。

5.根据权利要求1所述的基于非对称全程加密的WiFi互联网上网连接认证方法，其特征在于：移动终端使用加密访问策略对WiFi热点进行探测，WiFi探测器探测到一个新的WiFi热点，WiFi探测器从既有的加密访问策略中取出安全检查列表项SCL逐个对新的WiFi热点进行安全校验，包括秘钥校验、身份信息校验和访问权限校验，如果校验失败，WiFi探测器提示移动终端该WiFi热点存在安全隐患，随后断开WiFi连接。