石玲玲

(安徽理工大學(xué)現(xiàn)代教育技術(shù)中心，安徽 淮南 232001)

為了實(shí)現(xiàn)簽到功能[1]的同時(shí)保證數(shù)據(jù)的安全傳輸，作者在調(diào)研大量相關(guān)論文的基礎(chǔ)上得出如下結(jié)果：基于生物識(shí)別技術(shù)的簽到系統(tǒng)，如指紋識(shí)別、人臉識(shí)別[2-4]等技術(shù)方案，這些方案的特點(diǎn)是需要設(shè)備之間或者設(shè)備與人之間的直接互動(dòng)，簽到高峰期會(huì)帶來管理混亂、影響簽到效率及準(zhǔn)確性的問題[5]；基于WiFi和聲紋識(shí)別技術(shù)的智能考勤系統(tǒng)[6]需要語音識(shí)別技術(shù)的支持，使用不方便；基于無線路由器的手機(jī)簽到系統(tǒng)[7]、基于Android使用WiFi技術(shù)的簽到系統(tǒng)[8]，在最后與用戶接觸的移動(dòng)終端應(yīng)用都是采用了自裝APP方式，且局限于用戶使用的終端平臺(tái)，給用戶使用帶來不便；上述簽到方案均局限于實(shí)現(xiàn)簽到功能，并未考慮數(shù)據(jù)的安全傳輸問題，文獻(xiàn)[9]只是粗略提出用DES加密驗(yàn)證碼，并未對(duì)通信數(shù)據(jù)進(jìn)行加密。本文針對(duì)上述簽到系統(tǒng)的不足，提出利用隨機(jī)數(shù)加時(shí)間戳作為密鑰，保證密鑰的新鮮性，防止重放攻擊和中間人攻擊，使用AES算法加密服務(wù)器之間的通信數(shù)據(jù)，保證數(shù)據(jù)通信的安全性；并將簽到結(jié)果通過微信發(fā)送到客戶端，避免客戶端安裝第三方應(yīng)用，此方案具備安全性、快捷性和便捷性。

1 無線WiFi簽到系統(tǒng)設(shè)計(jì)

為了實(shí)現(xiàn)高校師生安全便捷地簽到，本文研究了一種基于高校自建WiFi[10]。網(wǎng)絡(luò)、智能移動(dòng)終端和加密算法結(jié)合的安全智能簽到系統(tǒng)。目前高校大多已實(shí)現(xiàn)整個(gè)園區(qū)無線WLAN全覆蓋，針對(duì)教師和學(xué)生有不同的服務(wù)集標(biāo)識(shí)(Service Set Identifier，SSID)，不同身份用戶連接不同的SSID，輸入注冊過的賬戶和密碼，聯(lián)動(dòng)數(shù)字化校園的身份認(rèn)證系統(tǒng)完成用戶合法身份認(rèn)證。本系統(tǒng)包括簽到服務(wù)器、認(rèn)證服務(wù)器、無線AP接入點(diǎn)、無線AC控制器、微信平臺(tái)和客戶端六部分，以用戶學(xué)工號(hào)及移動(dòng)終端物理地址作為用戶唯一身份標(biāo)識(shí)，在簽到時(shí)間內(nèi)，AP將用戶信息經(jīng)過無線信道傳輸至無線AC控制器，控制器再將用戶學(xué)工號(hào)及物理MAC地址經(jīng)過AES加密后，傳輸?shù)秸J(rèn)證服務(wù)器，認(rèn)證服務(wù)器利用AES算法解密，完成用戶名賬號(hào)密碼的認(rèn)證，通過后，將信息再次經(jīng)過AES加密后傳輸至簽到服務(wù)器，簽到服務(wù)器對(duì)物理MAC地址解密，與數(shù)據(jù)庫中已有的MAC地址比對(duì)，匹配則說明是相應(yīng)的用戶簽到，沒有代簽，再將“簽到成功”消息發(fā)往微信平臺(tái)，通知到客戶端，系統(tǒng)組成原理如圖1所示。

圖1 系統(tǒng)組成原理圖

無線WiFi簽到系統(tǒng)包含以下幾個(gè)模塊。

(1)無線AP及無線AC模塊

無線AP熱點(diǎn)全覆蓋于校內(nèi)，具有固定的物理MAC地址和管理IP地址。當(dāng)用戶終端處于覆蓋區(qū)域內(nèi)時(shí)，選擇相應(yīng)的SSID，輸入正確的賬號(hào)(學(xué)工號(hào))和密碼，AP給終端分配IP地址供上網(wǎng)使用，同時(shí)記錄終端的MAC地址。客戶端連接到AP后，個(gè)人賬號(hào)密碼信息將經(jīng)過WPA2加密傳輸?shù)綗o線控制器(Wireless Access Point Controller，AC)中，隨后AC對(duì)獲取的用戶信息和終端MAC地址采用本文提出的密鑰和AES加密算法進(jìn)行加密，傳輸至認(rèn)證服務(wù)器，進(jìn)行用戶合法身份的認(rèn)證。

(2)認(rèn)證模塊與簽到服務(wù)器模塊

認(rèn)證模塊主要完成客戶端合法身份認(rèn)證，AC把用戶的賬號(hào)密碼經(jīng)過AES加密后傳輸至認(rèn)證服務(wù)器，同時(shí)接收經(jīng)過秘密通道傳輸?shù)拿荑€，認(rèn)證服務(wù)器首先驗(yàn)證密鑰的合法性，隨后用密鑰對(duì)接收到的消息密文解密成明文，與數(shù)據(jù)庫存儲(chǔ)的賬號(hào)密碼比對(duì)，完成用戶身份的認(rèn)證。通過后，再將客戶端的MAC地址經(jīng)過AES加密傳輸，簽到服務(wù)器收到密文后，首先驗(yàn)證消息的可靠性，其次解密密文，得出明文MAC地址，與數(shù)據(jù)庫中MAC地址比對(duì)，一致則通過，否則丟棄報(bào)文。

(3)微信模塊

用戶的賬號(hào)密碼及MAC地址經(jīng)過認(rèn)證模塊和簽到服務(wù)器模塊的一致認(rèn)證通過后，向微信平臺(tái)發(fā)送“簽到成功”消息，通知到用戶客戶端，否則，發(fā)送“簽到失敗”消息。

2 數(shù)據(jù)通信加密設(shè)計(jì)

2.1 總體設(shè)計(jì)思想

本文提出了一種基于AES的WiFi安全智能簽到系統(tǒng)的設(shè)計(jì)研究，該方案利用隨機(jī)數(shù)加時(shí)間戳作為密鑰，使用AES加密通信數(shù)據(jù)，隨機(jī)數(shù)機(jī)制保證每次傳輸數(shù)據(jù)的唯一性和新鮮性，即使數(shù)據(jù)被截取，也無法重用，能夠有效抵御重放攻擊和中間人攻擊。

2.2 方案實(shí)現(xiàn)

本文提出的通信加密設(shè)計(jì)主要應(yīng)用于AC服務(wù)器、認(rèn)證服務(wù)器及簽到服務(wù)器之間，在發(fā)送方進(jìn)行AES加密，在接收方進(jìn)行AES解密，通信流程圖如圖2所示。

圖2 通信流程圖

在通信之前，先產(chǎn)生AES密鑰，并經(jīng)過秘密通道傳輸給其他通信方以獲取密鑰，進(jìn)行通信數(shù)據(jù)的AES加解密。認(rèn)證經(jīng)歷兩個(gè)過程的加/解密和信息核對(duì)，只有完全通過，客戶端的簽到才能成功，否則失敗。

利用上述加密流程設(shè)計(jì)的安全數(shù)據(jù)通信方法，在我校北門的AP熱點(diǎn)下做實(shí)驗(yàn)測試，獲取到的用戶信息傳輸至簽到服務(wù)器，存儲(chǔ)于臨時(shí)表中，如圖3所示。在認(rèn)證服務(wù)器與簽到服務(wù)器中只需要將臨時(shí)表中數(shù)據(jù)與正式表中相關(guān)字段匹配比較即可判斷簽到是否成功。

圖3 用戶信息

2.3 結(jié)果分析

本文提出的加密方案大大提高了數(shù)據(jù)傳輸?shù)陌踩院透咝?。體現(xiàn)在以下兩方面：

(1)高安全性。本文提出的密鑰是由隨機(jī)數(shù)加時(shí)間戳生成，隨機(jī)數(shù)是任意的，能夠保證密鑰無法被破解與重用，抵御重放攻擊，時(shí)間戳能夠保證消息的新鮮性，經(jīng)過AES加密后的消息具備安全性。

(2)高效性。服務(wù)器均是高性能服務(wù)器，傳輸加密后的消息，時(shí)間短，速度快，能夠快速將簽到結(jié)果通知到用戶端。

3 結(jié)束語

本文提出的基于AES的WiFi安全智能簽到系統(tǒng)能夠?qū)崿F(xiàn)客戶端無感知簽到，智能提示簽到結(jié)果，用戶體驗(yàn)好。具有如下優(yōu)勢：(1)高安全性、高效率性和便攜性 用戶個(gè)人信息在校內(nèi)服務(wù)器間傳輸，并且經(jīng)過加密技術(shù)處理，能夠保證高校師生信息的安全性；用戶端無感知接入校園無線網(wǎng)并完成認(rèn)證簽到，簽到時(shí)間，簽到場地可靈活設(shè)置，效率高，同時(shí)，用戶端只需要攜帶常用電子設(shè)備即可，非常方便。(2)跨平臺(tái)特性 本簽到系統(tǒng)是基于微信通知用戶，用戶便攜設(shè)備不需要額外安裝第三方APP，支持Apple，Android等主流移動(dòng)終端。(3)可擴(kuò)展性 基于校內(nèi)WiFi實(shí)現(xiàn)簽到不需要配置簽到設(shè)備，還能更充分地挖掘校園WiFi的附加功能，更能為相關(guān)考勤系統(tǒng)提供技術(shù)支持，節(jié)約了學(xué)校成本開支，符合可持續(xù)發(fā)展思路。

本文雖然提出了利用隨機(jī)數(shù)加時(shí)間戳機(jī)制產(chǎn)生AES密鑰，利用秘密通道傳輸，但是一旦被攻擊，則會(huì)很大程度降低安全性。所以后續(xù)還需要繼續(xù)研究如何更安全地實(shí)現(xiàn)密鑰共享。