一种接入方法及装置
技术领域
本申请涉及网络技术领域,尤其涉及一种接入方法及装置。
背景技术
家庭无线网络中一般都使用预共享密钥(Pre-sharedkey,PSK)作为网络访问的密钥。这种密钥的优点是配置简单,使用方便,但由于所有访问同一家庭网络的设备使用相同的PSK,导致安全性较低。比如,当家里来了访客,需要使用无线局域网络(WirelessLocalAreaNetworks,WLAN)时,需要将密码告知访客,访客一旦有了共享密钥就有可能破解使用同一家庭网络的其它用户的无线传输报文,从而导致通信安全性较低。
为了提高家庭网络密钥的安全性,业界提出了基于认证服务器的安全验证方式,但是这种方式需要架设专有的认证服务器,对于家庭或者小公司来说,架设和维护成本较高,且在无线终端也需要复杂的配置。
综上,目前在不部署认证服务器的情况下,所有用户使用相同的PSK访问同一家庭无线网络的访问安全性较低。
发明内容
本申请实施例提供一种接入方法及装置,用以解决家庭网络的访问安全性较低的问题。
本申请实施例提供的一种接入方法包括:
接入点AP接收第一无线终端STA请求接入时发送的信息完整性校验码MIC;
所述AP判断基于通用预共享密钥生成的MIC与所述第一STA发送的MIC是否一致;
若不一致,则判断是否存在能够用于生成所述第一STA发送的MIC的临时预共享密钥,在确定存在能够用于生成所述第一STA发送的MIC的临时预共享密钥后,允许所述第一STA接入。
可选地,所述AP在确定存在能够用于生成所述第一STA发送的MIC的临时预共享密钥后,允许所述第一STA接入之前,还包括:
所述AP确定所述临时预共享密钥未被除所述第一STA之外的STA用来生成MIC。
可选地,所述AP判断是否存在能够用于生成所述第一STA发送的MIC的临时预共享密钥,包括:
所述AP将保存的临时预共享密钥列表中的每个临时预共享密钥依次与第一STA发送的MIC进行匹配,若查找到匹配第一STA发送的MIC的临时预共享密钥,则确定存在能够用于生成所述第一STA发送的MIC的临时预共享密钥。
可选地,所述方法还包括:
针对任一临时预共享密钥,若所述AP确定所述任一临时预共享密钥在第一有效期内未被使用,则将所述任一临时预共享密钥设为无效;和/或,若所述AP确定当前与所述任一临时预共享密钥的生成时间之间的时长超过第二有效期,则将所述任一临时预共享密钥设为无效。
可选地,所述AP接收第一无线终端STA请求接入时发送的信息完整性校验码MIC之前,还包括:
所述AP接收采用所述通用预共享密钥接入所述AP的第二STA发送的所述临时预共享密钥。
本发明另一实施例提供一种接入方法,包括:
第二无线终端STA配置临时预共享密钥;所述临时预共享密钥用于第一STA生成完整性校验码MIC,所述MIC用于接入点AP对所述第一STA进行正确性验证;
所述第二STA采用通用预共享密钥接入所述AP,并将配置的所述临时预共享密钥发送给接入点AP;所述临时预共享密钥与所述通用预共享密钥不同。
可选地,第二无线终端STA配置临时预共享密钥,包括:
所述第二STA接收用户输入的临时预共享密钥;或者,所述第二STA随机生成临时预共享密钥。
可选地,所述方法还包括:
所述第二STA将配置的所述临时预共享密钥的第一有效期和/或第二有效期发送给所述AP;所述第一有效期和/或第二有效期用于确定所述临时预共享密钥的有效性,若所述临时预共享密钥在所述第一有效期内未被使用,则被设为无效,若当前与接收到所述临时预共享密钥的时间之间的时长超过第二有效期,则所述临时预共享密钥被设为无效。
本发明实施例提供一种接入装置,包括:
接收模块,用于接收第一无线终端STA请求接入时发送的信息完整性校验码MIC;
判断模块,用于判断基于通用预共享密钥生成的MIC与所述第一STA发送的MIC是否一致;若不一致,则判断是否存在能够用于生成所述第一STA发送的MIC的临时预共享密钥;
接入模块,用于在确定存在能够用于生成所述第一STA发送的MIC的临时预共享密钥后,允许所述第一STA接入。
本发明另一实施例提供一种接入装置,包括:
配置模块,用于配置临时预共享密钥;所述临时预共享密钥用于第一STA生成完整性校验码MIC,所述MIC用于接入点AP对所述第一STA进行正确性验证;
发送模块,用于采用通用预共享密钥接入所述AP,并将配置的所述临时预共享密钥发送给接入点AP;所述临时预共享密钥与所述通用预共享密钥不同。
采用上述方法或装置,可以为临时访问家庭网络的第一STA分配临时预共享密钥,AP在基于通用预共享密钥对第一STA发送的MIC进行正确性验证不通过后,若采用临时预共享密钥对该MIC进行正确性验证通过,则可以允许该第一STA访问家庭网络,从而不必将自用的通用预共享密钥发送给第一STA,在无需部署认证服务器的前提下,提高了家庭网络的访问安全性。
附图说明
图1为本申请实施例一提供的接入方法流程图;
图2为本申请实施例二提供的接入方法流程图;
图3为本申请实施例三提供的接入方法流程图;
图4为本申请实施例四提供的接入装置结构示意图;
图5为本申请实施例五提供的接入装置结构示意图。
具体实施方式
本申请实施例的基本思想是:为家庭无线网络设置通用预共享密钥和临时预共享密钥两种类型的密钥,这两类密钥都属于预共享密钥(Pre-sharedkey,PSK)。在保护无线接入(Wi-FiProtectedAccess,WPApersonal)网络中,PSK即为成对主密钥(pairwisemasterkey,PMK)。比如,拥有家庭网络控制使用权的用户可以使用通用预共享密钥访问家庭网络,可以将临时预共享密钥通知给访客,访客使用该临时预共享密钥访问家庭网络。在具体实施中,接入点(AccessPonit,AP)在接收到第一无线终端(Station,STA)请求接入时发送的信息完整性校验码(MessageIntegrityCode,MIC)后,先采用通用预共享密钥对该MIC进行正确性验证(即判断基于通用预共享密钥生成的MIC与所述第一STA发送的MIC是否一致),若验证不通过(即确定基于通用预共享密钥生成的MIC与所述第一STA发送的MIC不一致),再判断是否存在匹配该第一STA发送的MIC的临时预共享密钥,若存在,则允许该第一STA接入。
采用本申请实施例,可以为临时访问家庭网络的第一STA分配临时预共享密钥,AP在基于通用预共享密钥对第一STA发送的MIC进行正确性验证不通过后,若采用临时预共享密钥对该MIC进行正确性验证通过,则可以允许该第一STA访问家庭网络,从而不必将自用的通用预共享密钥发送给第一STA,从而在无需部署认证服务器的前提下,提高了家庭网络的访问安全性。
下面结合说明书附图对本申请实施例作进一步详细描述。
实施例一
如图1所示,为本申请实施例一提供的接入方法流程图,包括以下步骤:
S101:AP接收第一STA请求接入时发送的MIC。
这里,第一STA在请求接入时,与AP之间执行四次握手,第一次握手时,AP向第一STA发送的报文中包括一组随机数(为AP的认证功能模块authenticator生成的随机数(ANounce))和AP的媒体接入控制(MediaAccessControl,MAC)地址。之后,第一STA也生成一组随机数(为STA的认证客户端supplicant生成的随机数(SNounce));此时,第一STA可以基于SNounce、ANounce、AP的MAC地址、第一STA的MAC地址和预共享密钥(Pre-sharedkey,PSK)生成成对临时密钥(PairwiseTransientKey,PTK),该PTK用于后续对第一STA的通信内容进行加密和进行完整性验证。
第一STA基于PSK生成保证信息传输完整性的检验码MIC。如果该第一STA并不是拥有家庭网络的控制权的用户所使用的无线终端,比如是家庭中的访客的无线终端,则该第一STA生成MIC所使用的PSK为拥有家庭网络的控制权的用户所通知的临时预共享密钥。在第二次握手时,第一STA将SNounce、自己的MAC地址以及生成的MIC发送给AP。此时,AP可以基于SNounce、ANounce、AP的MAC地址、第一STA的MAC地址和PSK生成PTK。AP使用通用预共享密钥(即拥有家庭网络的控制权的用户在需要接入网络时所使用的PSK),基于下述步骤S102,对该第一STA发送的MIC进行正确性验证。在第三次握手时,AP向第一STA发送有效性响应,在第四次握手时,第一STA向AP回复确认(Acknowledgement,ACK)信息,双方正式建立起通信连接;之后,双方基于PTK和全局加密密钥(GroupTransientKey,GTK)对通信报文进行加密后传输;该GTK是由AP生成的,AP采用该GTK加密所有与它建立关联的STA的通信报文。
S102:AP判断基于通用预共享密钥生成的MIC与所述第一STA发送的MIC是否一致,如果一致,则进入S104,否则进入S103。
该步骤中,AP使用第二STA之前注册的通用预共享密钥,基于预设算法生成MIC,比较AP生成的MIC与第一STA发送的MIC是否一致,如果一致,则确认对第一STA进行正确性验证通过。
S103:AP判断是否存在能够用于生成所述第一STA发送的MIC的临时预共享密钥,若确定存在能够用于生成所述第一STA发送的MIC的临时预共享密钥,则进入S104,否则,进入S105。
该步骤中,AP将保存的临时预共享密钥(TemporaryPSK,TPSK)列表中的每个TPSK依次与第一STA发送的MIC进行匹配(也即依次根据每个TPSK生成MIC,判断生成的MIC是否为第一STA发送的MIC),若查找到匹配第一STA发送的MIC的临时预共享密钥,则确定存在能够用于生成所述第一STA发送的MIC的临时预共享密钥,也即确定对第一STA进行正确性验证通过,则允许该第一STA接入。
这里,AP中保存的临时预共享密钥可以是由用户主动配置的,也可以是由无线终端或AP随机生成的。优选地,AP接收采用所述通用预共享密钥接入该AP的第二STA发送的临时预共享密钥;也即,拥有家庭网络控制权的用户采用没有使用限制的通用预共享密钥接入AP后,将用户配置的或随机生成的临时预共享密钥发送给AP。
S104:允许所述第一STA接入;
S105:拒绝所述第一STA接入。
可选地,所述AP在确定存在能够用于生成第一STA发送的MIC的临时预共享密钥后,允许所述第一STA接入之前,还包括:
所述AP确定所述临时预共享密钥未被除所述第一STA之外的STA用来生成MIC。
在具体实施过程中,为了进一步保证家庭网络访问的安全性,可以设置每个TPSK只能被一个STA所使用。AP在确定存在能够用于生成所述第一STA发送的MIC的临时预共享密钥后,可以首先判断该临时预共享密钥是否未被除第一STA之外的STA用来生成MIC,如果未被除第一STA之外的STA所使用,则允许该第一STA接入,并将该TPSK与该第一STA进行绑定,后续第一STA可以继续使用该TPSK访问网络,而其它STA不能再使用该TPSK。具体地,将该TPSK与该第一STA进行绑定可以是在临时预共享密钥列表中添加与该TPSK对应的第一STA的MAC地址,后续通过比较MAC地址判断该TPSK是否已被绑定。
可选地,所述方法还包括:
针对任一临时预共享密钥,若所述AP确定所述任一临时预共享密钥在第一有效期内未被使用,则将所述任一临时预共享密钥设为无效;和/或,若所述AP确定当前与所述任一临时预共享密钥的生成时间之间的时长超过第二有效期,则将所述任一临时预共享密钥设为无效。
在具体实施过程中,为了进一步保证家庭网络访问的安全性,可以设置每个TPSK使用的第一有效期和第二有效期,若临时预共享密钥在第一有效期内未被使用,则将该临时预共享密钥视为无效,将其从TPSK列表中删除,以避免该TPSK被非法利用,在超过第二有效期后,不管该临时预共享密钥是否被使用,都将被设为无效。
实施例二
本申请实施例二与上述实施例一中的一种可选的实施方式对应。
如图2所示,为本申请实施例二提供的接入方法流程图,包括以下步骤:
S201:第二STA配置临时预共享密钥;所述临时预共享密钥用于第一STA生成MIC,所述MIC用于AP对第一STA进行正确性验证。
该步骤中,第二STA可以接收用户输入的临时预共享密钥TPSK;或者,随机生成TPSK,比如基于预设的规则(如限定8~63个美国信息交换标准代码ASCII字符)生成TPSK。
在具体实施过程中,为了进一步保证家庭网络的安全性,第二STA可以配置TPSK的第一有效期和/或第二有效期,具体地,第二STA可以接收用户输入的TPSK的第一有效期和/或第二有效期,并将用户设置的TPSK的第一有效期和/或第二有效期发送给所述AP;这里,第一有效期和/或第二有效期用于确定所述TPSK的有效性,若所述TPSK在所述第一有效期内(比如设为60秒)未被使用,则被设为无效,若当前与接收到所述TPSK的时间之间的时长超过第二有效期(比如设为1天),则该TPSK被设为无效。
S202:第二STA采用通用预共享密钥接入所述AP,并将配置的所述临时预共享密钥发送给AP;所述临时预共享密钥与所述通用预共享密钥不同。
该步骤中,第二STA基于通用PSK生成MIC,在四次握手过程中发送给AP,AP对该MIC进行正确性验证通过后,允许该第二STA接入。第二STA在接入AP后,将用户设置的TPSK发送给AP,AP将其保存在TPSK列表中。
实施例三
如图3所示,为本申请实施例三提供的接入方法流程图,包括以下步骤:
S301:第二STA采用通用预共享密钥接入AP,并将配置的临时预共享密钥,以及该临时预共享密钥的第一有效期和第二有效期发送给AP。
这里,所述第一有效期用于所述AP接收所述第二STA发送的临时预共享密钥后,若确定所述临时预共享密钥在所述第一有效期内未被使用,则将所述临时预共享密钥设为无效;所述第二有效期用于所述AP接收所述第二STA发送的临时预共享密钥后,若确定当前与接收到该临时预共享密钥的时间之间的时长超过第二有效期,则将所述临时预共享密钥设为无效。
这里的通用预共享密钥也是由第二STA配置的。所谓采用通用预共享密钥接入AP是指基于通用预共享密钥生成MIC发送给AP,AP对其进行正确性验证通过后,允许第二STA接入。
S302:AP接收第一STA请求接入时发送的MIC。
S303:AP判断基于通用预共享密钥生成的MIC与所述第一STA发送的MIC是否一致;若一致,则进入S304,否则进入S305。
S304:AP允许第一STA接入。
S305:AP判断是否存在能够用于生成第一STA发送的MIC的临时预共享密钥,若确定存在,则进入S306,否则,进入S308。
S306:判断所述临时预共享密钥是否被除所述第一STA之外的STA用来生成MIC,若不是,则进入S307,否则,进入S308。
S307:AP允许第一STA接入,并将该第一STA与所述临时预共享密钥进行绑定。
比如,查看临时预共享密钥列表中,该临时预共享密钥是否与除第一STA之外的其它STA进行了绑定,若是,则拒绝该第一STA接入,否则,可以允许该第一STA接入。所谓绑定是指该临时预共享密钥只能被该第一STA所使用。
S308:AP拒绝第一STA接入。
基于同一发明构思,本申请实施例中还提供了一种与接入方法对应的接入装置,由于该装置解决问题的原理与本申请实施例的接入方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
实施例四
如图4所示,为本申请实施例四提供的接入装置结构示意图,包括:
接收模块41,用于接收第一无线终端STA请求接入时发送的信息完整性校验码MIC;
判断模块42,用于判断基于通用预共享密钥生成的MIC与所述第一STA发送的MIC是否一致;若不一致,则判断是否存在能够用于生成所述第一STA发送的MIC的临时预共享密钥;
接入模块43,用于在确定存在能够用于生成所述第一STA发送的MIC的临时预共享密钥后,允许所述第一STA接入。
可选地,所述接入模块43具体用于:在确定存在能够用于生成所述第一STA发送的MIC的临时预共享密钥后,若确定所述临时预共享密钥未被除所述第一STA之外的STA用来生成MIC,则允许所述第一STA接入。
可选地,所述判断模块42具体用于:
将保存的临时预共享密钥列表中的每个临时预共享密钥依次与第一STA发送的MIC进行匹配,若查找到匹配第一STA发送的MIC的临时预共享密钥,则确定存在能够用于生成所述第一STA发送的MIC的临时预共享密钥。
可选地,所述装置还包括:
无效模块44,用于针对任一临时预共享密钥,若确定所述任一临时预共享密钥在第一有效期内未被使用,则将所述任一临时预共享密钥设为无效;和/或,若确定当前与所述任一临时预共享密钥的生成时间之间的时长超过第二有效期,则将所述任一临时预共享密钥设为无效。
可选地,所述接收模块41还用于,在接收第一无线终端STA请求接入时发送的信息完整性校验码MIC之前,接收采用所述通用预共享密钥接入所述AP的第二STA发送的所述临时预共享密钥。
实施例五
如图5所示,为本申请实施例五提供的接入装置结构示意图,包括:
配置模块51,用于配置临时预共享密钥;所述临时预共享密钥用于第一STA生成完整性校验码MIC,所述MIC用于接入点AP对所述第一STA进行正确性验证;
发送模块52,用于采用通用预共享密钥接入所述AP,并将配置的所述临时预共享密钥发送给接入点AP;所述临时预共享密钥与所述通用预共享密钥不同。
可选地,所述配置模块51具体用于:
接收用户输入的临时预共享密钥;或者,随机生成临时预共享密钥。
可选地,所述发送模块52还用于:
将配置的所述临时预共享密钥的第一有效期和/或第二有效期发送给所述AP;所述第一有效期和/或第二有效期用于确定所述临时预共享密钥的有效性,若所述临时预共享密钥在所述第一有效期内未被使用,则被设为无效,若当前与接收到所述临时预共享密钥的时间之间的时长超过第二有效期,则所述临时预共享密钥被设为无效。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。