CN106412883A - 一种接入无线网络的方法及装置 - Google Patents
一种接入无线网络的方法及装置 Download PDFInfo
- Publication number
- CN106412883A CN106412883A CN201610987883.9A CN201610987883A CN106412883A CN 106412883 A CN106412883 A CN 106412883A CN 201610987883 A CN201610987883 A CN 201610987883A CN 106412883 A CN106412883 A CN 106412883A
- Authority
- CN
- China
- Prior art keywords
- key
- terminal
- mac address
- verification data
- negotiation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例提供了一种接入无线网络的方法及装置。该方法应用于无线接入设备,包括:获得终端发送的第一密钥协商报文,该报文中包括终端的MAC地址;判断该MAC地址是否存在于本地存储的目标信息表中,目标信息表中存储有可信任终端的MAC地址与私有密钥的对应关系;若为是,确定终端的MAC地址对应的私有密钥;利用所确定的私有密钥与终端进行通信密钥协商,以使得终端在通信密钥协商成功后,接入无线接入设备提供的无线网络。本方案中,在无线接入设备内存储的公有密钥频繁变化的情况下,可信任用户无需在自身持有的终端上频繁输入修改后的公有密钥即可成功接入无线网络,这样可以给可信任用户带来较好的上网体验。
Description
技术领域
本发明涉及无线网络技术领域,特别是涉及一种接入无线网络的方法及装置。
背景技术
随着通信技术的发展,无线网络的应用越来越广泛。具体地,该无线网络可以是由无线接入设备提供的。当持有终端的用户想要接入无线网络时,该用户需要通过自身持有的终端向无线接入设备发送接入请求。接下来,无线接入设备会与终端进行通信密钥协商。需要说明的是,整个通信密钥协商过程中需要利用到终端内存储的公有密钥和无线接入设备内存储的公有密钥,只有在终端和无线接入设备两者内存储的公有密钥相同的情况下,通信密钥协商才会成功,终端才能接入无线网络。
需要说明的是,为了保证无线网络的使用安全性,无线接入设备内存储的公有密钥常常会被修改。这样,对于无线网络对应的可信任用户而言,其需要频繁地在自身持有的终端上重新输入修改后的密钥,以使得自身存储的公有密钥修改至与无线接入设备内存储的公有密钥相一致,其持有的终端才能成功接入无线网络,这样会给可信任用户带来非常不好的上网体验。
因此,在无线接入设备内存储的公有密钥频繁发生变化的情况下,如何保证可信任用户无需在自身持有的终端上频繁地输入修改后的密钥即可成功接入无线网络是一个亟待解决的问题。
发明内容
本发明实施例的目的在于提供一种接入无线网络的方法及装置,以在无线接入设备内存储的密钥频繁发生变化的情况下,保证可信任用户无需在自身持有的终端上频繁地输入修改后的密钥即可成功接入无线网络。
本发明实施例提供了一种接入无线网络的方法,应用于无线接入设备,所述方法包括:
获得终端发送的第一密钥协商报文,其中,所述第一密钥协商报文中包括所述终端的MAC地址;
判断所述终端的MAC地址是否存在于本地存储的目标信息表中,所述目标信息表中存储有可信任终端的MAC地址与私有密钥之间的对应关系;
如果判断结果为是,确定所述终端的MAC地址所对应的私有密钥;
利用所确定的私有密钥与所述终端进行通信密钥协商,以使得所述终端在通信密钥协商成功后,接入所述无线接入设备提供的无线网络。
可选地,所述第一密钥协商报文中还包括第一校验数据和第二随机数;
在所述获得终端发送的第一密钥协商报文之前,所述方法还包括:
在自身与所述终端关联之后,向所述终端发送携带有所述无线接入设备的MAC地址以及第一随机数的第二密钥协商报文,以使得所述终端在接收到所述第二密钥协商报文后,生成第二随机数,并确定第一协商密钥和第一校验数据,其中,所述第一协商密钥为所述终端基于所述无线接入设备的MAC地址、自身的MAC地址、所述第一随机数、所述第二随机数和自身当前存储的私有密钥确定的,所述第一校验数据为所述终端基于所述第一协商密钥和预设的校验数据生成算法确定的;
所述利用所确定的私有密钥与所述终端进行通信密钥协商,包括:
基于自身的MAC地址、所述终端的MAC地址、所述第一随机数、所述第二随机数和所确定的私有密钥,确定第二协商密钥;
基于所述第二协商密钥和预设的校验数据生成算法,确定第二校验数据;
将所述第一校验数据和所述第二校验数据进行比对,并根据比对结果,确定通信密钥协商是否成功。
可选地,所述判断所述终端的MAC地址是否存在于本地存储的目标信息表中后,所述方法还包括:
如果判断结果为否,利用自身存储的公有密钥与所述终端进行通信密钥协商,以使得所述终端在通信密钥协商成功后,接入所述无线网络。
可选地,所述利用所确定的私有密钥与所述终端进行通信密钥协商后,所述方法还包括:
若密钥协商失败,利用自身存储的公有密钥与所述终端进行通信密钥协商,以使得所述终端在通信密钥协商成功后,接入所述无线网络。
本发明实施例提供了一种接入无线网络的装置,应用于无线接入设备,所述装置包括:
密钥协商报文获得模块,用于获得终端发送的第一密钥协商报文,其中,所述第一密钥协商报文中包括所述终端的MAC地址;
MAC地址判断模块,用于判断所述终端的MAC地址是否存在于本地存储的目标信息表中,所述目标信息表中存储有可信任终端的MAC地址与私有密钥之间的对应关系;
私有密钥确定模块,用于在所述MAC地址判断模块的判断结果为是的情况下,确定所述终端的MAC地址所对应的私有密钥;
第一密钥协商模块,用于利用所确定的私有密钥与所述终端进行通信密钥协商,以使得所述终端在通信密钥协商成功后,接入所述无线接入设备提供的无线网络。
可选地,所述密钥协商报文获得模块获得的第一密钥协商报文中还包括第一校验数据和第二随机数;
所述装置还包括:
密钥协商报文发送模块,用于在获得终端发送的第一密钥协商报文之前,在自身与所述终端关联之后,向所述终端发送携带有所述无线接入设备的MAC地址以及第一随机数的第二密钥协商报文,以使得所述终端在接收到所述第二密钥协商报文后,生成第二随机数,并确定第一协商密钥和第一校验数据,其中,所述第一协商密钥为所述终端基于所述无线接入设备的MAC地址、自身的MAC地址、所述第一随机数、所述第二随机数和自身当前存储的私有密钥确定的,所述第一校验数据为所述终端基于所述第一协商密钥和预设的校验数据生成算法确定的;
所述第一密钥协商模块,包括:
协商密钥确定子模块,用于基于自身的MAC地址、所述终端的MAC地址、所述第一随机数、所述第二随机数和所确定的私有密钥,确定第二协商密钥;
校验数据确定子模块,用于基于所述第二协商密钥和预设的校验数据生成算法,确定第二校验数据;
协商结果确定子模块,用于将所述第一校验数据和所述第二校验数据进行比对,并根据比对结果,确定通信密钥协商是否成功。
可选地,所述装置还包括:
第二密钥协商模块,用于在所述MAC地址判断模块的判断结果为否的情况下,利用自身存储的公有密钥与所述终端进行通信密钥协商,以使得所述终端在通信密钥协商成功后,接入所述无线网络。
可选地,所述装置还包括:
第三密钥协商模块,用于在利用所确定的私有密钥与所述终端进行通信密钥协商后,且通信密钥协商失败的情况下,利用自身存储的公有密钥与所述终端进行通信密钥协商,以使得所述终端在通信密钥协商成功后,接入所述无线网络。
在本方案中,当获得终端发送的第一密钥协商报文后,无线接入设备不会直接利用自身存储的公有密钥与终端进行通信密钥协商,无线接入设备会先去确定该终端的MAC地址是否存在于目标信息表中,在存在的情况下,无线接入设备会根据目标信息表中存储的对应关系,确定该终端的MAC地址对应的私有密钥,并利用所确定的私有密钥与该终端进行通信密钥协商。容易理解的是,由于无线接入设备是利用所确定的私有密钥与该终端进行通信密钥协商的,无线接入设备与该终端的通信密钥协商过程并未利用无线接入设备内存储的公有密钥,故无线接入设备内存储的公有密钥是否发生变化并不会对无线接入设备和终端的通信密钥协商过程以及通信密钥协商结果造成任何影响。因此,只要目标信息表中存储有该终端的MAC地址对应的私有密钥,无论无线接入设备内存储的公有密钥变化得多么频繁,该终端内存储的密钥均无需发生修改。容易看出,本方案中,在无线接入设备内存储的公有密钥频繁发生变化的情况下,可信任用户无需在自身持有的终端上频繁地输入修改后的公有密钥即可成功接入无线网络,这样可以给可信任用户带来较好的上网体验。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所提供的一种接入无线网络的方法的流程图;
图2为本发明实施例所提供的一种接入无线网络的装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术存在的问题,本发明实施例提供了一种接入无线网络的方法和装置。
下面首先对本发明实施例所提供的一种接入无线网络的方法进行说明。
需要说明的是,本发明实施例所提供的一种接入无线网络的方法可以应用于无线接入设备。具体地,该无线接入设备可以为无线接入点(AP),当然,该无线接入设备的类型并不局限于AP,只需保证其能够为某一特定区域内覆盖无线网络即可,本实施例对该无线接入设备的具体类型不做任何限定。
参见图1,图中示出了本发明实施例所提供的一种接入无线网络的方法的流程图。如图1所示,该方法可以包括:
S101,获得终端发送的第一密钥协商报文,其中,第一密钥协商报文中包括该终端的MAC地址。
其中,该终端可以为手机、平板电脑等移动终端,当然,该终端也可以为固定终端,这都是可能的。
本领域技术人员可以理解的是,若持有终端的用户想要通过该终端接入AP等无线接入设备提供的无线网络,该用户可以通过终端向无线接入设备发送接入请求,在后续终端与无线接入设备成功关联后,无线接入设备和终端两者会进行通信密钥协商,在通信密钥协商成功后,终端就能够成功接入无线接入设备提供的无线网络了。
在进行通信密钥协商时,终端会向无线接入设备发送第一密钥协商报文。在现有技术中,当无线接入设备获得该第一密钥协商报文后,无线接入设备会直接利用自身存储的公有密钥,与终端进行通信密钥协商。在通信密钥协商过程中,终端需要利用到自身存储的公有密钥,并且,只有在终端内存储的公有密钥与无线接入设备内存储的公有密钥一致的情况下,终端和无线接入设备两者间的通信密钥协商操作才能成功,终端才能成功接入无线接入设备提供的无线网络。
为了保证无线网络的安全性,以防止非信任用户蹭网,进而占用无线网络的网络带宽,无线接入设备内存储的公有密钥常常会被修改。因此,在现有技术中,在公有密钥发生变化的情况下,当可信任用户需要通过自身持有的终端接入无线网络时,可信任用户需要在自身持有的终端上输入的是修改后的公有密钥。容易理解的是,由于公有密钥常常被修改,故可信任用户需要频繁地在自身持有的终端上输入修改后的公有密钥,这样会给可信任用户带来非常不好的上网体验。
为了避免出现上述问题,在本方案中,当无线接入设备获得终端发送的第一密钥协商报文后,无线接入设备不会立即利用自身存储的公有密钥与终端进行通信密钥协商,而是先执行后续的S102。
S102,判断终端的MAC地址是否存在于本地存储的目标信息表中,目标信息表中存储有可信任终端的MAC地址与私有密钥之间的对应关系;如果判断结果为是,执行S103。
需要说明的是,可信任终端为可信任用户所持有的终端。
可以理解的是,无线接入设备内可以预先存储有一目标信息表,该目标信息表中可以预先存储有可信任终端的MAC地址与私有密钥之间的对应关系。其中,任一可信任终端的MAC地址对应的私有密钥为:该可信任终端内存储的密钥,该可信任用户每次进行通信密钥协商时利用的是该密钥。
具体地,可信任终端的MAC地址与私有密钥之间可以为一一对应的关系。
对于无线接入设备而言,在获得终端发送的第一密钥协商报文后,其可以采用遍历的方式,将该第一密钥协商报文中携带的该终端的MAC地址与目标信息表中的各可信任终端的MAC地址进行比对,以确定该终端的MAC地址是否与任一可信任终端的MAC地址相同。如果经过比对,无线接入设备在目标信息表中查找到了一相同的MAC地址,这表明该终端的MAC地址存在于本地存储的目标信息表中,此时,无线接入设备就会执行后续的S103。
S103,确定该终端的MAC地址所对应的私有密钥。
S104,利用所确定的私有密钥与终端进行通信密钥协商,以使得终端在通信密钥协商成功后,接入无线接入设备提供的无线网络。
在本方案中,当无线接入设备获得终端发送的第一密钥协商报文后,无线接入设备不会直接利用自身存储的公有密钥与终端进行通信密钥协商,而是先确定该终端的MAC地址是否存在于目标信息表中,在存在的情况下,无线接入设备会根据目标信息表中存储的对应关系,确定该终端的MAC地址对应的私有密钥,并利用所确定的私有密钥与该终端进行通信密钥协商。
容易理解的是,由于无线接入设备是利用所确定的私有密钥与该终端进行通信密钥协商的,无线接入设备与该终端的通信密钥协商过程并未利用自身存储的公有密钥,故无线接入设备内存储的公有密钥是否发生变化并不会对无线接入设备和终端的通信密钥协商过程以及通信密钥协商结果造成任何影响。因此,只要目标信息表中存储有该终端的MAC地址对应的私有密钥,无论无线接入设备内存储的公有密钥变化得多么频繁,该终端内存储的密钥均无需发生修改。
容易看出,本方案中,在无线接入设备内存储的公有密钥频繁发生变化的情况下,可信任用户无需在自身持有的终端上频繁地输入修改后的公有密钥即可成功接入无线网络,这样可以给可信任用户带来较好的上网体验。
在本发明实施例的一种具体实施方式中,获得终端发送的第一密钥协商报文之前,该方法还可以包括:
在自身与终端关联之后,向终端发送携带有无线接入设备的MAC地址以及第一随机数的第二密钥协商报文,以使得终端在接收到第二密钥协商报文后,生成第二随机数,并确定第一协商密钥和第一校验数据,其中,第一协商密钥为终端基于无线接入设备的MAC地址、自身的MAC地址、第一随机数、第二随机数和自身当前存储的私有密钥确定的,第一校验数据为终端基于第一协商密钥和预设的校验数据生成算法确定的;
相应地,第一密钥协商报文中还可以包括第一校验数据和第二随机数;
利用所确定的私有密钥与终端进行通信密钥协商,可以包括:
基于自身的MAC地址、终端的MAC地址、第一随机数、第二随机数和所确定的私有密钥,确定第二协商密钥;
基于第二协商密钥和预设的校验数据生成算法,确定第二校验数据;
将第一校验数据和第二校验数据进行比对,并根据比对结果,确定通信密钥协商是否成功。
下面以无线接入设备为AP,终端为移动终端的情况为例,对无线接入设备和终端间的通信密钥协商过程进行介绍。
首先,AP和移动终端两者需要进行关联。其中,AP和移动终端两者进行关联的具体过程为本领域技术人员所公知,在此不再赘述。
在AP和移动终端成功关联之后,AP会生成随机数Anonce(即上文中的第一随机数),接下来,AP会向移动终端发送Message1(即上文中的第二密钥协商报文),该Message1为包括AP的MAC地址和随机数Anonce的EAPOL-Key报文。
当移动终端接收到AP发送的Message1后,移动终端会生成随机数Snonce(即上文中的第二随机数),并采用预设的密钥生成算法,对AP的MAC地址、自身的MAC地址、Anonce、Snonce以及自身当前存储的密钥这五个数据进行运算,以得到PTK1(即上文中的第一协商密钥)。一般而言,PTK1中存在着三种类型的数据,分别是密钥确认密钥KCK1、密钥加密密钥KEK1和临时密钥TK1。接下来,移动终端会采用预设的校验数据生成算法,对KCK1进行运算,以得到信息完整性校验值MIC1(即上文中的第一校验数据)。接下来,移动终端会向AP发送Message2(即上文中的第一密钥协商报文),该Message2为包括移动终端的MAC地址、MIC1和Snonce的EAPOL-Key报文。
当AP接收到Message2后,AP会判断Message2中的移动终端的MAC地址是否存在于目标信息表中;如果存在,这说明该移动终端为可信任移动终端,此时,AP会根据目标信息表中的对应关系,确定该移动终端的MAC地址所对应的私有密钥。之后,AP会采用预设的密钥生成算法,对自身的MAC地址、该移动终端的MAC地址、Anonce、Snonce以及自身所确定的私有密钥这五个数据进行运算,以得到PTK2(即上文中的第二协商密钥)。一般而言,PTK2中也存在着三种类型的数据,分别是密钥确认密钥KCK2、密钥加密密钥KEK2和临时密钥TK2。接下来,AP会采用预设的校验数据生成算法,对KCK2进行运算,以得到信息完整性校验值MIC2(即上文中的第二校验数据)。在得到MIC2之后,AP会将MIC2和MIC1两者进行比对,此时存在着两种可能的比对结果,其中一种比对结果是MIC2和MIC1相同,另一种比对结果是MIC2和MIC1不同,如果比对结果是前者,AP和移动终端两者的通信密钥协商操作就会成功。这时,AP会向移动终端发送Message3,以通知移动终端通信密钥协商成功。具体地,该Message3可以为包括MIC2的EAPOL-Key报文。
当移动终端接收到Message3后,移动终端会先判断Message3中的MIC2与自身的MIC1是否相同,如果相同,移动终端会将TK1确定为单播通信密钥。接下来,移动终端会向AP发送Message4,该Message4可以为包括MIC1的EAPOL-Key报文。
当AP接收到Message4后,AP会先判断Message4中的MIC1与自身的MIC2是否相同,如果相同,AP会将TK2确定为单播通信密钥。至此,AP和移动终端之间的单播通信密钥协商操作就完成了。在单播通信密钥协商完成后,AP和移动终端还会进行组播通信密钥的协商。在进行组播通信密钥的协商时,AP会生成随机数GMK,并采用预设的密钥生成算法,对AP的MAC地址和GMK进行运算,以得到第三协商密钥GTK。一般而言,GTK中也存在着三种类型的数据,分别是密钥确认密钥KCK3、密钥加密密钥KEK3和临时密钥TK3。接下来,AP会向移动终端发送Group Message1,Group Message1为包括MIC2和GTK的EAPOL-Key报文。
当移动终端接收到Group Message1后,移动终端会判断Group Message1中的MIC2与自身的MIC1是否相同,如果相同,移动终端就会将GTK中的TK3确定为组播通信密钥。接下来,移动终端会向AP发送Group Message2,Group Message2为包括MIC1的EAPOL-Key报文。
当AP接收到Group Message2后,AP会去判断Group Message2中的MIC1与自身的MIC2是否相同,如果相同,AP也会将GTK中的TK3确定为组播通信密钥。至此,AP和移动终端之间的组播通信密钥协商操作就完成了。
可以看出,本实施例中,通信密钥协商过程中利用的是根据目标信息表确定出的私有密钥,故可信任用户无需在自身持有的终端上频繁地输入修改好的公有密钥即可成功接入无线网络。
在本发明实施例的一种具体实施方式中,判断终端的MAC地址是否存在于本地存储的目标信息表中后,该方法还可以包括:
如果判断结果为否,利用自身存储的公有密钥与终端进行通信密钥协商,以使得终端在通信密钥协商成功后,接入无线网络。
容易理解的是,目标信息表中存储的对应关系可能并不完整,一部分可信任用户的终端的MAC地址可能并未记录在该目标信息表中。这种情况下,无线接入设备可以利用自身存储的公有密钥来与这部分可信任用户持有的终端进行通信密钥协商,以使得这部分可信任用户持有的终端与无线接入设备之间的通信密钥协商操作能够成功,进而保证这部分可信任用户能够通过自身持有的终端成功接入无线网络。
可以看出,本实施例可以有效地保证可信任用户能够通过自身持有的终端成功接入无线网络。
在本发明实施例的一种具体实施方式中,利用所确定的私有密钥与终端进行通信密钥协商后,该方法还可以包括:
若通信密钥协商失败,利用自身存储的公有密钥与终端进行通信密钥协商,以使得终端在通信密钥协商成功后,接入无线网络。
需要说明的是,对于任一可信任用户而言,在无线接入设备内存储的公有密钥发生变化的情况下,若该可信任用户及时获知了该情况,该可信任用户可能会在自身持有的终端上重新输入修改后的公有密钥,在该可信任用户的MAC地址存在于目标信息表中的情况下,若无线接入设备利用目标信息表中存储的该MAC地址对应的私有密钥来与该终端进行通信密钥协商,由于无线接入设备和该终端采用的密钥是不同的,故通信密钥协商操作肯定会失败。接下来,无线接入设备可以继续利用自身存储的公有密钥与该终端进行通信密钥协商,以保证该终端在通信密钥协商操作成功后能够接入无线网络。
可以看出,本实施例也可以有效地保证可信任用户能够通过自身持有的终端成功接入无线网络。
综上,本实施例中,在无线接入设备内存储的公有密钥频繁发生变化的情况下,可信任用户无需在自身持有的终端上频繁地输入修改后的公有密钥即可成功接入无线网络,这样可以给可信任用户带来较好的上网体验。
下面对本发明实施例所提供的一种接入无线网络的装置进行说明。
参见图2,图中示出了本发明实施例所提供的一种接入无线网络的装置的结构框图。如图2所示,该装置可以应用于无线接入设备,该装置可以包括:
密钥协商报文获得模块21,用于获得终端发送的第一密钥协商报文,其中,第一密钥协商报文中包括终端的MAC地址;
MAC地址判断模块22,用于判断终端的MAC地址是否存在于本地存储的目标信息表中,目标信息表中存储有可信任终端的MAC地址与私有密钥之间的对应关系;
私有密钥确定模块23,用于在MAC地址判断模块32的判断结果为是的情况下,确定终端的MAC地址所对应的私有密钥;
第一密钥协商模块24,用于利用所确定的私有密钥与终端进行通信密钥协商,以使得终端在通信密钥协商成功后,接入无线接入设备提供的无线网络。
在本方案中,当无线接入设备获得终端发送的第一密钥协商报文后,无线接入设备不会直接利用自身存储的公有密钥与终端进行通信密钥协商,无线接入设备会先去确定该终端的MAC地址是否存在于目标信息表中,在存在的情况下,无线接入设备会根据目标信息表中存储的对应关系,确定该终端的MAC地址对应的私有密钥,并利用所确定的私有密钥与该终端进行通信密钥协商。
容易理解的是,由于无线接入设备是利用所确定的私有密钥与该终端进行通信密钥协商的,无线接入设备与该终端的通信密钥协商过程并未利用自身存储的公有密钥,故无线接入设备内存储的公有密钥是否发生变化并不会对无线接入设备和终端的通信密钥协商过程以及通信密钥协商结果造成任何影响。因此,只要目标信息表中存储有该终端的MAC地址对应的私有密钥,无论无线接入设备内存储的公有密钥变化得多么频繁,该终端内存储的密钥均无需发生修改。
容易看出,本方案中,在无线接入设备内存储的公有密钥频繁发生变化的情况下,可信任用户无需在自身持有的终端上频繁地输入修改后的公有密钥即可成功接入无线网络,这样可以给可信任用户带来较好的上网体验。
在本发明实施例的一种具体实施方式中,该装置还可以包括:
密钥协商报文发送模块,用于在获得终端发送的第一密钥协商报文之前,在自身与终端关联之后,向终端发送携带有无线接入设备的MAC地址以及第一随机数的第二密钥协商报文,以使得终端在接收到第二密钥协商报文后,生成第二随机数,并确定第一协商密钥和第一校验数据,其中,第一协商密钥为终端基于无线接入设备的MAC地址、自身的MAC地址、第一随机数、第二随机数和自身当前存储的私有密钥确定的,第一校验数据为终端基于第一协商密钥和预设的校验数据生成算法确定的;
相应地,第一密钥协商报文中还可以包括第一校验数据和第二随机数;
第一密钥协商模块,可以包括:
协商密钥确定子模块,用于基于自身的MAC地址、终端的MAC地址、第一随机数、第二随机数和所确定的私有密钥,确定第二协商密钥;
校验数据确定子模块,用于基于第二协商密钥和预设的校验数据生成算法,确定第二校验数据;
协商结果确定子模块,用于将第一校验数据和第二校验数据进行比对,并根据比对结果,确定通信密钥协商是否成功。
在本发明实施例的一种具体实施方式中,该装置还可以包括:
第二密钥协商模块,用于在MAC地址判断模块的判断结果为否的情况下,利用自身存储的公有密钥与终端进行通信密钥协商,以使得终端在通信密钥协商成功后,接入无线网络。
在本发明实施例的一种具体实施方式中,该装置还可以包括:
第三密钥协商模块,用于在利用所确定的私有密钥与终端进行通信密钥协商后,且通信密钥协商失败的情况下,利用自身存储的公有密钥与终端进行通信密钥协商,以使得终端在通信密钥协商成功后,接入无线网络。
综上,本实施例中,在无线接入设备内存储的公有密钥频繁发生变化的情况下,可信任用户无需在自身持有的终端上频繁地输入修改后的公有密钥即可成功接入无线网络,这样可以给可信任用户带来较好的上网体验。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (8)
1.一种接入无线网络的方法,其特征在于,应用于无线接入设备,所述方法包括:
获得终端发送的第一密钥协商报文,其中,所述第一密钥协商报文中包括所述终端的MAC地址;
判断所述终端的MAC地址是否存在于本地存储的目标信息表中,所述目标信息表中存储有可信任终端的MAC地址与私有密钥之间的对应关系;
如果判断结果为是,确定所述终端的MAC地址所对应的私有密钥;
利用所确定的私有密钥与所述终端进行通信密钥协商,以使得所述终端在通信密钥协商成功后,接入所述无线接入设备提供的无线网络。
2.根据权利要求1所述的方法,其特征在于,所述第一密钥协商报文中还包括第一校验数据和第二随机数;
在所述获得终端发送的第一密钥协商报文之前,所述方法还包括:
在自身与所述终端关联之后,向所述终端发送携带有所述无线接入设备的MAC地址以及第一随机数的第二密钥协商报文,以使得所述终端在接收到所述第二密钥协商报文后,生成第二随机数,并确定第一协商密钥和第一校验数据,其中,所述第一协商密钥为所述终端基于所述无线接入设备的MAC地址、自身的MAC地址、所述第一随机数、所述第二随机数和自身当前存储的私有密钥确定的,所述第一校验数据为所述终端基于所述第一协商密钥和预设的校验数据生成算法确定的;
所述利用所确定的私有密钥与所述终端进行通信密钥协商,包括:
基于自身的MAC地址、所述终端的MAC地址、所述第一随机数、所述第二随机数和所确定的私有密钥,确定第二协商密钥;
基于所述第二协商密钥和预设的校验数据生成算法,确定第二校验数据;
将所述第一校验数据和所述第二校验数据进行比对,并根据比对结果,确定通信密钥协商是否成功。
3.根据权利要求1所述的方法,其特征在于,所述判断所述终端的MAC地址是否存在于本地存储的目标信息表中后,所述方法还包括:
如果判断结果为否,利用自身存储的公有密钥与所述终端进行通信密钥协商,以使得所述终端在通信密钥协商成功后,接入所述无线网络。
4.根据权利要求1所述的方法,其特征在于,所述利用所确定的私有密钥与所述终端进行通信密钥协商后,所述方法还包括:
若密钥协商失败,利用自身存储的公有密钥与所述终端进行通信密钥协商,以使得所述终端在通信密钥协商成功后,接入所述无线网络。
5.一种接入无线网络的装置,其特征在于,应用于无线接入设备,所述装置包括:
密钥协商报文获得模块,用于获得终端发送的第一密钥协商报文,其中,所述第一密钥协商报文中包括所述终端的MAC地址;
MAC地址判断模块,用于判断所述终端的MAC地址是否存在于本地存储的目标信息表中,所述目标信息表中存储有可信任终端的MAC地址与私有密钥之间的对应关系;
私有密钥确定模块,用于在所述MAC地址判断模块的判断结果为是的情况下,确定所述终端的MAC地址所对应的私有密钥;
第一密钥协商模块,用于利用所确定的私有密钥与所述终端进行通信密钥协商,以使得所述终端在通信密钥协商成功后,接入所述无线接入设备提供的无线网络。
6.根据权利要求1所述的装置,其特征在于,所述密钥协商报文获得模块获得的第一密钥协商报文中还包括第一校验数据和第二随机数;
所述装置还包括:
密钥协商报文发送模块,用于在获得终端发送的第一密钥协商报文之前,在自身与所述终端关联之后,向所述终端发送携带有所述无线接入设备的MAC地址以及第一随机数的第二密钥协商报文,以使得所述终端在接收到所述第二密钥协商报文后,生成第二随机数,并确定第一协商密钥和第一校验数据,其中,所述第一协商密钥为所述终端基于所述无线接入设备的MAC地址、自身的MAC地址、所述第一随机数、所述第二随机数和自身当前存储的私有密钥确定的,所述第一校验数据为所述终端基于所述第一协商密钥和预设的校验数据生成算法确定的;
所述第一密钥协商模块,包括:
协商密钥确定子模块,用于基于自身的MAC地址、所述终端的MAC地址、所述第一随机数、所述第二随机数和所确定的私有密钥,确定第二协商密钥;
校验数据确定子模块,用于基于所述第二协商密钥和预设的校验数据生成算法,确定第二校验数据;
协商结果确定子模块,用于将所述第一校验数据和所述第二校验数据进行比对,并根据比对结果,确定通信密钥协商是否成功。
7.根据权利要求5所述的装置,其特征在于,所述装置还包括:
第二密钥协商模块,用于在所述MAC地址判断模块的判断结果为否的情况下,利用自身存储的公有密钥与所述终端进行通信密钥协商,以使得所述终端在通信密钥协商成功后,接入所述无线网络。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
第三密钥协商模块,用于在利用所确定的私有密钥与所述终端进行通信密钥协商后,且通信密钥协商失败的情况下,利用自身存储的公有密钥与所述终端进行通信密钥协商,以使得所述终端在通信密钥协商成功后,接入所述无线网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610987883.9A CN106412883B (zh) | 2016-11-10 | 2016-11-10 | 一种接入无线网络的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610987883.9A CN106412883B (zh) | 2016-11-10 | 2016-11-10 | 一种接入无线网络的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106412883A true CN106412883A (zh) | 2017-02-15 |
| CN106412883B CN106412883B (zh) | 2021-11-05 |
Family
ID=59230335
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610987883.9A Active CN106412883B (zh) | 2016-11-10 | 2016-11-10 | 一种接入无线网络的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106412883B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109040149A (zh) * | 2018-11-02 | 2018-12-18 | 美的集团股份有限公司 | 密钥协商方法、云服务器、设备、存储介质以及系统 |
| CN113613245A (zh) * | 2021-08-19 | 2021-11-05 | 支付宝(杭州)信息技术有限公司 | 管理通信信道的方法和装置 |
| CN114389804A (zh) * | 2021-12-30 | 2022-04-22 | 中国电信股份有限公司 | 一种智能终端控制方法、装置、电子设备及存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020075844A1 (en) * | 2000-12-15 | 2002-06-20 | Hagen W. Alexander | Integrating public and private network resources for optimized broadband wireless access and method |
| CN101702802A (zh) * | 2009-11-03 | 2010-05-05 | 中兴通讯股份有限公司 | 移动终端越区切换的方法 |
| CN102904896A (zh) * | 2012-10-23 | 2013-01-30 | 大连理工大学 | 车载自组织网络下基于生物加密技术的匿名认证方案 |
| CN103067290A (zh) * | 2012-11-30 | 2013-04-24 | 成都卫士通信息产业股份有限公司 | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 |
| CN103079200A (zh) * | 2011-10-26 | 2013-05-01 | 国民技术股份有限公司 | 一种无线接入的认证方法、系统及无线路由器 |
| CN103596179A (zh) * | 2013-11-29 | 2014-02-19 | 西安电子科技大学昆山创新研究院 | 基于射频标签的无线局域网接入认证抗拒绝服务攻击方法 |
| CN103888941A (zh) * | 2012-12-20 | 2014-06-25 | 杭州华三通信技术有限公司 | 一种无线网络密钥协商的方法及装置 |
| US8850200B1 (en) * | 2011-06-21 | 2014-09-30 | Synectic Design, LLC | Method and apparatus for secure communications through a trusted intermediary server |
| CN104244248A (zh) * | 2013-06-09 | 2014-12-24 | 杭州华三通信技术有限公司 | 一种密钥处理方法及装置 |
| US20150215298A1 (en) * | 2013-03-12 | 2015-07-30 | Cisco Technology, Inc. | Changing group member reachability information |
-
2016
- 2016-11-10 CN CN201610987883.9A patent/CN106412883B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020075844A1 (en) * | 2000-12-15 | 2002-06-20 | Hagen W. Alexander | Integrating public and private network resources for optimized broadband wireless access and method |
| CN101702802A (zh) * | 2009-11-03 | 2010-05-05 | 中兴通讯股份有限公司 | 移动终端越区切换的方法 |
| US8850200B1 (en) * | 2011-06-21 | 2014-09-30 | Synectic Design, LLC | Method and apparatus for secure communications through a trusted intermediary server |
| CN103079200A (zh) * | 2011-10-26 | 2013-05-01 | 国民技术股份有限公司 | 一种无线接入的认证方法、系统及无线路由器 |
| CN102904896A (zh) * | 2012-10-23 | 2013-01-30 | 大连理工大学 | 车载自组织网络下基于生物加密技术的匿名认证方案 |
| CN103067290A (zh) * | 2012-11-30 | 2013-04-24 | 成都卫士通信息产业股份有限公司 | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 |
| CN103888941A (zh) * | 2012-12-20 | 2014-06-25 | 杭州华三通信技术有限公司 | 一种无线网络密钥协商的方法及装置 |
| US20150215298A1 (en) * | 2013-03-12 | 2015-07-30 | Cisco Technology, Inc. | Changing group member reachability information |
| CN104244248A (zh) * | 2013-06-09 | 2014-12-24 | 杭州华三通信技术有限公司 | 一种密钥处理方法及装置 |
| CN103596179A (zh) * | 2013-11-29 | 2014-02-19 | 西安电子科技大学昆山创新研究院 | 基于射频标签的无线局域网接入认证抗拒绝服务攻击方法 |
Non-Patent Citations (1)
| Title |
|---|
| 唐良瑞: "基于混沌遗传的异构无线网络接入选择策略", 《电子学报》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109040149A (zh) * | 2018-11-02 | 2018-12-18 | 美的集团股份有限公司 | 密钥协商方法、云服务器、设备、存储介质以及系统 |
| CN113613245A (zh) * | 2021-08-19 | 2021-11-05 | 支付宝(杭州)信息技术有限公司 | 管理通信信道的方法和装置 |
| CN114389804A (zh) * | 2021-12-30 | 2022-04-22 | 中国电信股份有限公司 | 一种智能终端控制方法、装置、电子设备及存储介质 |
| CN114389804B (zh) * | 2021-12-30 | 2024-04-30 | 中国电信股份有限公司 | 一种智能终端控制方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106412883B (zh) | 2021-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11496320B2 (en) | Registration method and apparatus based on service-based architecture | |
| CN104145465B (zh) | 机器类型通信中基于群组的自举的方法和装置 | |
| US7809354B2 (en) | Detecting address spoofing in wireless network environments | |
| CN102595404B (zh) | 用于存储和执行访问控制客户端的方法及装置 | |
| US20170302646A1 (en) | Identity authentication method and apparatus | |
| JP2020080530A (ja) | データ処理方法、装置、端末及びアクセスポイントコンピュータ | |
| EP3700124B1 (en) | Security authentication method, configuration method, and related device | |
| US20140007207A1 (en) | Method and device for generating local interface key | |
| US20160119143A1 (en) | User identity authenticating method, terminal, and server | |
| WO2019084578A1 (en) | METHOD, APPARATUS AND SYSTEM FOR REMOTELY CERTIFIED PROOF | |
| US9380038B2 (en) | Bootstrap authentication framework | |
| CN105099673A (zh) | 一种授权方法、请求授权的方法及装置 | |
| CN110933484A (zh) | 一种无线投屏设备的管理方法及装置 | |
| CN111355684B (zh) | 一种物联网数据传输方法、装置、系统、电子设备及介质 | |
| EP3511853B1 (en) | Security authentication method, integrated circuit and system | |
| WO2014000103A1 (en) | Methods and devices for establishing trust on first use for close proximity communications | |
| CN101123778A (zh) | 网络接入鉴权方法及其usim卡 | |
| CN111654481B (zh) | 一种身份认证方法、装置和存储介质 | |
| CN110635901A (zh) | 用于物联网设备的本地蓝牙动态认证方法和系统 | |
| CN106412883A (zh) | 一种接入无线网络的方法及装置 | |
| CN101132649A (zh) | 一种网络接入鉴权方法及其usim卡 | |
| WO2017005163A1 (zh) | 基于无线通信的安全认证装置 | |
| CN103024735A (zh) | 无卡终端的业务访问方法及设备 | |
| CN105188057A (zh) | 一种提高网络接入认证安全的方法及系统 | |
| CN105592433B (zh) | 设备到设备限制发现业务广播、监听方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Industrial Park, high tech Industrial Development Zone, Zhejiang Province, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |