[发明专利]一种公共WiFi的安全接入系统

说明书

技术领域

本发明涉及一种公共WiFi的安全接入系统，具体涉及公共WiFi环境下 适用于移动设备的一种基于VPN服务通用框架的安全接入系统。

背景技术

公共WiFi安全接入的需求是针对当下迅速膨胀的互联网接入需求以及 日益增长的网络恶意攻击行为背景提出的，特别是公共WiFi的环境相对开 放、用户群体的构成相对复杂、用户自身的网络安全意识相对淡薄等多元因 素的存在，导致公共WiFi环境下的网络安全问题显得尤为突出。

目前，广泛普及的公共WiFi的接入方式主要分为无身份认证和具有身 份认证两种。无身份认证方式的WiFi热点仅需要用户无线网络的服务集标 识符(ServiceSetIdentifier_，SSID)并输入正确的无线口令，即可接入网络， 这种方式在酒店、餐厅、商场等公共场所普遍存在。具有身份认证方式的 WiFi热点需要用户连接SSID时，输入正确的用户名、口令和验证码后，经 过认证服务器的确认后方可接入使用，这种方式以中国移动的CMCC、中国 联通的ChinaUnicom和中国电信的ChinaNet无线热点为代表，广泛的出现 在校园、商业区、机场等公共场所。

传统公共WiFi的接入方式存在很多安全隐患，攻击者采用常见的攻击 方式有HTTP劫持、ARP攻击、DNS欺骗、中间人攻击(Man-in-the-Middle Attack，MITMA)等，由于用户接入公共WiFi上网通常是以明文信息进行 传输，一旦用户在公共WiFi环境中遭受中间人攻击，攻击者可以劫持用户 的上网流量、拒绝用户的服务请求、泄露用户的上网隐私、窃取用户的账号 口令等等，对用户隐私造成严重的威胁。常见的应对中间人攻击防御措施是 通过IP和MAC绑定、签名证书等方式实现WiFi接入用户的身份认证。IP 和MAC绑定的方式并不适用于公共WiFi大量流动性群体的环境；签名证书 的方式加大了路由设备的工作负载，与WiFi自身快捷方便的接入具有一定 的冲突性，同时不适合用于公共WiFi大规模数量的用户群体。与此同时， 一旦路由设备被攻击者入侵，关键参数被入侵者修改，那么上述的身份认证 方式便起不到作用。

发明内容

本发明的目的是提供一种公共WiFi的安全接入系统，解决了公共场所 连接WiFi存在的中间人攻击的安全隐患，为用户的WiFi接入提供可靠安全 的数据加密传输隧道，为用户的VPN使用提供私人订制服务。

本发明所采用的技术方案是，一种公共WiFi的安全接入系统，该系统 由移动设备应用服务、VPN服务通用框架、WiFi接入感知器以及无线网卡 四部分组成；

WiFi接入感知器对用户接入WiFi的安全性进行感知，对于用户授信的 WiFi热点，移动设备的应用直接接入WiFi；对于非用户授信的WiFi热点， 移动设备的应用根据用户自己定制的VPN服务接口，调用VPN服务通用框 架，对应用的数据传输进行加密处理后接入公共WiFi；VPN服务通用框架 为用户提供多样的VPN应用接口；

所述WiFi接入感知器包括：

WiFi识别模块：该模块对移动设备的WiFi接入进行实时监控，识别 WiFi热点的SSID和MAC地址并将SSID和MAC回传至WiFi过滤模块；

WiFi过滤模块：该模块将识别阶段获得的SSID和MAC与WiFi白名单 进行比对，比对算法采用前缀树技术，实现字符串的实时高效匹配；WiFi 白名单在该模块启动时加载，用户可以将信任的WiFi热点添加至白名单中； 白名单匹配成功则直接连入授信WiFi热点，移动设备的联网应用可以直接 连入WiFi；匹配失败则认为该WiFi热点未被授信，将启动WiFi控制模块；

WiFi控制模块：该模块在移动设备接入非白名单的WiFi时启动；根据 用户定制的VPN文件，启动相应的VPN应用程序，移动设备经过VPN安 全接入WiFi热点；

以及若干配置文件。

进一步的，VPN服务通用框架包括：应用表示层、服务接口层、程序控 制层和程序存储层四层架构，为用户提供传统的PPTPVPN，L2TPVPN， IPSecVPN，OpenVPN以及其他私有VPN的通信加密服务。