CN106656933A - 无线网络的接入认证方法及终端和接入点 - Google Patents

Abstract

本申请实施例公开了无线网络的接入认证方法及终端和接入点。一种方法实施例包括：终端基于非对称加密技术生成一对公钥和私钥，并将所述公钥发送至密钥保管装置；所述密钥保管装置利用接收的公钥加密保管的密钥，得到密文；并将所述密文返回至所述终端；所述终端利用所述私钥从所述接收的密文中解密出所述密钥，利用该解密后的密钥进行接入所述接入点的认证。利用本申请的实施例，对于初次接入网络的受信任设备，可以便捷的接入无线网络，而且可以提升用户体验。

Description

无线网络的接入认证方法及终端和接入点

技术领域

本申请涉及无线通信技术领域，特别涉及一种无线网络的接入认证方法及终端和接入点。

背景技术

基于IEEE 802.11系列标准的WIFI(Wireless Fidelity，无线高保真，也称为WLAN无线局域网)无线通信技术，是当今使用最广的一种无线网络技术。

由于无线网络使用的是开放性媒介，即采用公共电磁波作为载体来传输数据信号，通信双方没有线缆连接。这样，如果传输链路未采取适当的加密保护，数据传输的风险就会大大增加。因此在WLAN中无线安全显得尤为重要。为了增强无线网络安全性，一般至少需要提供认证和加密两种安全机制：

1、认证机制：认证机制用来对用户的身份进行验证，以限定特定的用户(授权的用户)可以使用网络资源。

2、加密机制：加密机制用来对无线链路的数据进行加密，以保证无线网络数据只被所期望的用户接收和理解。

具有WIFI接入能力的终端(Station)接入WIFI网络时，无线接入点(Access Point，AP)可以对接入的终端进行认证。通过认证的终端，可以建立无线网络连接，利用WIFI进行通信。目前的认证方式包括例如有线等效加密(Wired Equivalent Privacy，WEP)，Wi-Fi Protected Access(WPA)以及WPA的加强版—WPA2等。其中，WPA、WPA2又包括适于家庭之类小规模网络的WPA(2)-PSK(Pre-Shared Key,预共享密钥)与适于企业之类对安全要求更高的WPA(2)-Enterprise。

上述认证方式中，一般都需要终端提供基于密钥的接入请求至接入点，由接入点验证终端发起的接入请求。以WPA-PSK为例进行说明。WPA-PSK也称为WPA-Personal(WPA个人)，是以预先设定好的密钥进行身份验证，即需要在终端和接入点配置相同的密钥。具体的，管理员可以设置接入点的密钥；用户可以从管理员处获知设置的密钥，从而在终端上手工输入密钥。接入点验证终端基于密钥发送的接入请求成功后，即可以通过终端的认证；否则认证失败。在首次接入接入点成功后，终端可以记录密钥，从而在后续接入同一接入点时不必用户再次手动输入密钥。

但是，上述现有技术中，终端初次接入网络时必须获取网络密钥，即终端用户需要在终端上手工输入密钥。这样的方式并不智能，无法适应越来越广泛的智能设备；对于用户来说也存在体验上的障碍。

发明内容

本申请实施例的目的是提供一种无线网络的接入认证方法及终端和接入点，以适应越来越广泛的智能设备，提升用户体验。

为解决上述技术问题，本申请实施例提供一种无线网络的接入认证方法及终端和接入点是这样实现的：

一种无线网络的接入认证方法，包括：

终端基于非对称加密技术生成一对公钥和私钥，并将所述公钥发送至密钥保管装置；

所述密钥保管装置利用接收的公钥加密保管的密钥，得到密文；并将所述密文返回至所述终端；

所述终端利用所述私钥从所述接收的密文中解密出所述密钥，利用该解密后的密钥进行接入所述接入点的认证。

一种无线网络的接入认证方法，包括：

终端基于非对称加密技术生成一对公钥和私钥，并将所述公钥发送至密钥保管装置；

所述终端接收密钥保管装置返回的密文，并利用所述私钥从所述接收的密文中解密出密钥；

所述终端利用所述解密后的密钥进行接入接入点的认证。

一种无线网络的接入认证方法，包括：

接入点接收终端发送的公钥；

所述接入点利用接收的公钥加密保管的密钥，得到密文，并将所述密文返回至所述终端；

所述接入点基于所述密钥对所述终端进行接入认证。

一种终端，包括：

成对密钥生成单元，基于非对称加密技术生成一对公钥和私钥；

第一发送单元，用于将所述生成的公钥发送至密钥保管装置；

第一接收单元，用于接收密钥保管装置返回的密文；

解密单元，利用所述私钥从所述接收的密文中解密出密钥；

第一接入认证单元，利用所述解密后的密钥进行接入接入点的认证。

一种接入点，包括：

第二接收单元，用于接收终端发送的公钥；

加密单元，利用接收的公钥加密保管的密钥，得到密文；

第二发送单元，用于将所述密文返回至所述终端；

第二接入认证单元，基于所述密钥对所述终端进行接入认证。

本申请实施例中，终端基于非对称加密技术生成一对公钥和私钥，并将所述公钥发送至密钥保管装置；所述密钥保管装置利用接收的公钥加密保管的密钥，得到密文；并将所述密文返回至所述终端；终端利用所述私钥从所述接收的密文中解密出所述密钥。这样，利用该解密后的密钥进行接入所述接入点的认证对于初次接入网络的受信任设备，可以便捷的接入无线网络，从而可以适应越来越广泛的智能设备，特别是利于无交互界面的设备接入接入点。而且，利用上述实施例，不需要用户手工输入密码，从而可以提升用户体验。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请一实施例提供的无线网络的接入认证方法的流程图；

图2为本申请一实施例提供的无线网络的接入认证方法的流程图；

图3为本申请一实施例提供的无线网络的接入认证方法的流程图；

图4为本申请一实施例提供的无线网络的接入认证方法的流程图；

图5为本申请一实施例提供的无线网络的接入认证方法的流程图；

图6为本申请一实施例提供的终端的模块图；

图7为本申请一实施例提供的接入点的模块图。

具体实施方式

本申请实施例提供一种无线网络的接入认证方法及终端和接入点。

为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

图1示出了本申请无线网络的接入认证方法的一个实施例，如图1所述，包括：

S110：终端基于非对称加密算法生成一对公钥和私钥，并将所述公钥发送至密钥保管装置。

非对称加密算法(也称为公开密钥加密，public-key cryptography)实现认证，例如可以采用经典的RSA算法。非对称密钥加密技术采用一对匹配的密钥进行加密、解密，具有两个密钥，一个是公钥一个是私钥，它们具有这种性质：每把密钥执行一种对数据的单向处理，每把的功能恰恰与另一把相反，一把用于加密时，则另一把就用于解密。用公钥加密的文件只能用私钥解密，而私钥加密的文件只能用公钥解密。公共密钥是由其主人加以公开的，而私钥必须保密存放。为发送一份保密报文，发送者可以使用接收者的公共密钥对数据进行加密，一旦加密，只有接收方用其私人密钥才能加以解密。相反地，用户也能用自己私人密钥对数据加以处理。如果发送者用自己的私人密钥对数据进行了加密，接收者则可以用发送者提供的公钥对数据加以解密。

出RSA算法外，非对称加密算法还可以是Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)。

所述终端可以通过短距离无线通信技术与密钥保管装置进行信息交换。例如蓝牙(Bluetooth)、红外(IrDA)、WIFI直连(Wi-Fi Direct)、超宽带通信(Ultra Wide Band)、紫峰(Zigbee)、射频识别、近场通信(Near FieldCommunication，NFC)等。以NFC技术为例，NFC技术是一种近距离的高频无线通信技术，可用距离约为10厘米，可以实现电子身份识别或者数据传输，比如信用卡、门禁卡等功能。本实施例中，利用NFC技术，终端与密钥保管装置靠近到10厘米之内时，可以交换数据。一般密钥保管装置放置在安全的地点，靠近该密钥保管装置的设备为可信赖设备。所述密钥保管装置，可以是具有存储器的便携式电子设备。

所述终端，可以是传统的智能手机之类，也可以是作为物联网终端的智能电冰箱、智能空调等。特别的，所述终端可以是不具有交互界面的设备。对于这种不具有交互界面的设备来说，由于无法由用户手动输入密码，因此传统的需要手动输入密码的网络接入认证方式将对这类设备接入网络造成困难，特别是对其接入物联网带来不便。

S120：所述密钥保管装置利用接收的公钥加密保管的密钥，得到密文；并将所述密文返回至所述终端。

所述密钥保管装置接收到所述终端发送的公钥后，可以利用对保管的密钥进行加密，得到密文。

需要说明的是，密钥保管装置中保管的密钥可以用于接入的接入点的认证。

另外，所述密钥保管装置可以集成于接入点。

如S110中的例子，密钥保管装置与终端通过诸如NFC之类的短距离无线通信技术可以交换信息，从而使得可信赖终端可以从密钥保管装置获得所述密钥。

S110中，终端基于非对称加密算法生成的一对公钥和私钥，长度可以是256bit、512bit、1024bit等。较长的比特长度，可以较好的保证终端与密钥保管装置通信过程的安全性。特别的，1024bit的成对公钥和私钥，目前还极难被破解，因此可以具有更好的安全性。

S130：所述终端利用所述私钥从所述接收的密文中解密出所述密钥，并利用该解密后的密钥进行接入所述接入点的认证。

如前所述，终端基于非对称加密算法生成一对公钥和私钥。用公钥加密的文件用私钥可以解密。正是基于这样的性质，终端在接收到密钥保管装置发送的经公钥加密的密文后，可以用保存的配对私钥进行解密。这样，终端可以从密文中解密得到所述密码保管装置发送的密钥。

进而，所述终端可以利用该解密后的密钥进行接入所述接入点的认证。当密钥保管装置中保管的密钥与接入点中的密钥相同时，所述终端利用该从所述密钥保管装置中获得的所述密钥进行接入所述接入点的认证才可能成功；否则，当密钥保管装置中保管的密钥与接入点中的密钥不同时，所述终端利用该从所述密钥保管装置中获得的所述密钥进行接入所述接入点的认证，将不会成功。接入认证的具体方式，例如通过四次握手协议进行。

通过上述实施例，对于初次接入网络的受信任设备，可以便捷的接入无线网络，从而可以适应越来越广泛的智能设备，特别是利于无交互界面的设备接入接入点。而且，利用上述实施例，不需要用户手工输入密码，从而可以提升用户体验。

上述实施例中的密钥，具体的，可以是WPA-PSK中的passphrase，也可以是PMK(Pairwise Master Key，成对主密钥)。

以下以passphrase为例，并以一个完整的具体实施例加以说明。该实施例中例如密钥管理装置集成于接入点。该实施例的流程可以如图2所示：

S201：接入点初始化，使用设置的SSID和passphrase，通过算法1生成PMK1。

其中，算法1可以为如下：

PMK＝PSK＝pdkdf2_SHA1(Passphrase,SSID,SSID lenth,4096)

其中：

Passphrase为网络密钥，通常是人为设置的便于记忆的密钥；

SSID(Service Set Identifier)为网络名称；

SSID lenth为SSID的长度。

在WPA personal的WiFi网络下，PSK即为PMK。

通过pdkdf2_SHA1算法，可以获得PSK(Pre-shared Key)，即PMK。正确的PMK是通过四次握手接入WiFi网络的必要条件。

S202：WIFI终端基于非对称加密算法生成一对公钥(PK)和私钥(SK)。

S203：WIFI终端通过Assoc Request报文发送PK。

具体的，可以将PK填充于Assoc Request报文中的VSIE字段。

S204：接入点解析终端发送的Assoc Request报文，得到PK；利用接收到的PK加密passphrase，生成密文C。

S205：接入点通过Assoc Reponse报文返回密文C。

具体的，可以将密文C填充于Assoc Reponse报文中的VSIE(VendorSpecific Information Element)字段。

S206：WIFI终端从Assoc Reponse报文中解析得到密文C，并利用生成的SK解密密文C，得到passphrase。

该步骤中，所述生成的SK即S202中终端生成的SK。

S207：接入点广播SSID和AP_MAC。

其中，SSID(Service Set Identifier)为设置的网络名称，AP_MAC为AP的MAC地址。接入点可以获得设置的SSID以及自身的AP_MAC。

S208：WIFI终端利用接收到的SSID和解析出的passphrase，通过算法1生成PMK2。

S209：WIFI终端生成随机数SNounce。

S210：WIFI终端发送产生的随机数SNounce和Station_MAC至接入点。

其中，Station_MAC为WIFI终端的MAC地址。WIFI终端可以获得自身的MAC地址，即Station_MAC。

S211：接入点产生随机数ANounce。

S212：接入点用PMK1、AP_MAC、Station_MAC、SNounce和ANounce通过算法2产生PTK1。

本步骤中的PMK1，即前述S201中接入点通过算法1生成的PMK1。

接入点可以获得自身的AP_MAC。

本步骤中，Station_MAC即为前述S210中所述终端发来的Station_MAC。

本步骤中，SNounce即为前述S210中所述终端发来的SNounce。

算法2如下：

PTK＝SHA1_PRF(PMK，Len(PMK)，"Pairwise key expansion"，MIN(AA，SA)||Max(AA，SA)||Min(ANonce，SNonce)||Max(ANonce，SNonce))

其中，||为求并集运算。

S213：接入点提取产生的PTK1的前16字节，组成MIC KEY。

S214：接入点发送ANounce至WIFI终端。

S215：WIFI终端用PMK2、Station_MAC、SNounce、接收到的ANounce和AP_MAC通过算法2产生PTK2。

本步骤中的PMK，即前述S208中接入点根据接收到的SSID和解析出的passphrase利用算法1生成的PMK2。

接入点可以获得自身的Station_MAC。

本步骤中的SNounce即为前述S209中所述终端产生的SNounce。

本步骤中的ANounce，即为前述S214中从所述接入点接收的ANounce。

本步骤中的AP_MAC，即为前述S207中从所述接入点接收的AP_MAC。

S216：WIFI终端提取产生的PTK2的前16字节，组成MIC KEY。

S217：WIFI终端利用组成的MIC KEY和802.11X数据帧1，通过算法3产生MIC值。

算法3如下：

MIC＝HMAC_MD5(MIC Key，16，802.11X data)

S218：WIFI终端发送填成了MIC的802.11X数据帧1至接入点。

S219：接入点提取接收的数据帧1中的MIC，将接收的数据帧的MIC部分填充0，得到数据帧2。

S220：接入点利用数据帧2和MIC KEY，通过算法3产生MIC'值。

S221：接入点判断MIC值与MIC'值是否相同，如果相同则握手成功，不同则握手失败。

通过图2的实施例，初次接入网络的受信任设备可以便捷的接入无线网络，而不需要用户手动输入passphrase。

其中，四次握手过程包括的步骤如下：

握手1：S207、S208；

握手2：S209～S213；

握手3：S214～S217；

握手4：S218～S221。

以下以PMK为例，并以一个完成的具体实施例加以说明。

S301：接入点初始化，使用设置的SSID和passphrase，通过算法1生成PMK。

其中，算法1可以为如下：

PMK＝PSK＝pdkdf2_SHA1(Passphrase,SSID,SSID lenth,4096)

其中：

Passphrase为网络密钥，通常是人为设置的便于记忆的密钥；

SSID(Service Set Identifier)为网络名称；

SSID lenth为SSID的长度。

在WPA personal的WiFi网络下，PSK即为PMK。

通过pdkdf2_SHA1算法，可以获得PSK(Pre-shared Key)，即PMK。正确的PMK是通过四次握手接入WiFi网络的必要条件。

S302：WIFI终端基于非对称加密算法生成一对公钥(PK)和私钥(SK)。

S303：WIFI终端通过Assoc Request报文发送PK。

具体的，可以将PK填充于Assoc Request报文中的VSIE字段。

S304：接入点解析终端发送的Assoc Request报文，得到PK；利用接收到的PK加密PMK，生成密文C。

本步骤中的PMK即为前述S301中所述接入点生成的PMK。

S305：接入点通过Assoc Reponse报文返回密文C。

具体的，可以将密文C填充于Assoc Reponse报文中的VSIE字段。

S306：接入点广播AP_MAC。

S307：WIFI终端接收AP_MAC；从Assoc Response报文中解析得到密文C，并利用生成的SK解密密文C得到PMK。

该步骤中，所述生成的SK即S302中所述终端生成的SK。

S308：WIFI终端生成随机数SNounce。

S309：WIFI终端发送产生的随机数SNounce和Station_MAC至接入点。

其中，Station_MAC为WIFI终端的MAC地址。WIFI终端可以获得自身的MAC地址，即Station_MAC。

S310：接入点产生随机数ANounce。

S311：接入点用PMK、AP_MAC、Station_MAC、SNounce和ANounce通过算法2产生PTK1。

本步骤中的PMK，即前述S301中所述接入点通过算法1生成的PMK。

接入点可以获得自身的AP_MAC。

本步骤中，Station_MAC即为前述S309中所述终端发来的Station_MAC。

本步骤中，SNounce即为前述S309中所述终端发来的SNounce。

算法2如下：

PTK＝SHA1_PRF(PMK，Len(PMK)，"Pairwise key expansion"，MIN(AA，SA)||Max(AA，SA)||Min(ANonce，SNonce)||Max(ANonce，SNonce))

其中，||为求并集运算。

S312：接入点提取产生的PTK1的前16字节，组成MIC KEY。

S313：接入点发送ANounce至WIFI终端。

S314：WIFI终端用PMK、Station_MAC、SNounce、接收到的ANounce和AP_MAC通过算法2产生PTK2。

本步骤中的PMK，即前述S307中所述终端解密得到的PMK。

所述终端可以获得自身的Station_MAC。

本步骤中的SNounce即为前述S308中所述终端产生的SNounce。

本步骤中的ANounce，即为前述S313中从所述接入点接收的ANounce。

本步骤中的AP_MAC，即为前述S306中从所述接入点接收的AP_MAC。

S315：WIFI终端提取产生的PTK2的前16字节，组成MIC KEY。

S316：WIFI终端利用组成的MIC KEY和802.11X数据帧1，通过算法3产生MIC值。

算法3如下：

MIC＝HMAC_MD5(MIC Key，16，802.11X data)

S317：WIFI终端发送填成了MIC的802.11X数据帧1至接入点。

S318：接入点提取接收的数据帧1中的MIC，将接收的数据帧的MIC部分填充0，得到数据帧2。

S319：接入点利用数据帧2和MIC KEY，通过算法3产生MIC'值。

S320：接入点判断MIC值与MIC'值是否相同，如果相同则握手成功，不同则握手失败。

通过图3的实施例，初次接入网络的受信任设备可以便捷的接入无线网络，而不需要用户手动输入passphrase。

其中，四次握手过程包括的步骤如下：

握手1：S306、S307；

握手2：S308～S312；

握手3：S313～S316；

握手4：S317～S320。

图2和图3的实施例，除了图2中传passphrase而图3中传PMK的区别为，还具有如下区别：图2实施例中passphrase一般由人工设定，位数一般不会太长，这样，经过固定长度如1024bit的PK加密后，基于经PK加密的密文位数与加密的明文长度相同的特性，即与passphrase长度相同的特性，容易暴露passphrase的长度。这样，黑客容易确定passphrase的长度，进而对于破解passphrase将大大降低难度，即相对来说更容易被破解。而图3实施例中，由于通过PMK位数较长，一般固定为256bit，这样，经PK加密后仍为256bit，较难被破解。

以下以终端为主体介绍本申请无线网络的接入认证方法的实施例，如图4所示，包括：

S410：终端基于非对称加密算法生成一对公钥和私钥，并将所述公钥发送至密钥保管装置。

所述终端可以包括不具有交互界面的设备。

其中，所述非对称加密算法包括：

RSA算法、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)。

所述生成的一对公钥和私钥的长度可以为如下中的任一种：256bit、512bit、1024bit。

S420：所述终端接收密钥保管装置返回的密文，并利用所述私钥从所述接收的密文中解密出所述密钥。

所述终端可以通过短距离无线通信技术将所述公钥发送至密钥保管装置，并通过短距离无线通信技术接收所述密钥保管装置返回的密文。

S430：所述终端利用所述解密后的密钥进行接入接入点的认证。

所述密钥保管装置可以集成于所述接入点。

以下以集成了密钥保管装置的接入点为主体介绍本申请无线网络的接入认证方法的实施例，如图5所示，包括：

S510：接入点接收终端发送的公钥。

所述接入点可以通过短距离无线通信技术接收所述终端发送的公钥。

所述公钥的长度为如下中的任一种：256bit、512bit、1024bit。

所述终端可以包括不具有交互界面的设备。

S520：所述接入点利用接收的公钥加密保管的密钥，得到密文，并将所述密文返回至所述终端。

所述密钥可以包括passphrase或PMK。

所述接入点可以通过短距离无线通信技术将所述密文返回至所述终端。

S530：所述接入点基于所述密钥对所述终端进行接入认证。

以下介绍本申请一种终端的实施例，如图6是所示，包括：

成对密钥生成单元61，基于非对称加密技术生成一对公钥和私钥；

第一发送单元62，用于将所述生成的公钥发送至密钥保管装置；

第一接收单元63，用于接收密钥保管装置返回的密文；

解密单元64，利用所述私钥从所述接收的密文中解密出密钥；

第一接入认证单元65，利用所述解密后的密钥进行接入接入点的认证。

优选地，所述非对称加密算法包括：

RSA算法、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)。

优选地，所述第一发送单元62通过短距离无线通信技术将所述公钥发送至密钥保管装置；所述第一接收单元63通过短距离无线通信技术接收所述密钥保管装置返回的密文。

优选地，所述终端包括不具有交互界面的设备。

优选地，所述密钥保管装置集成于所述接入点。

优选地，所述生成的一对公钥和私钥的长度为如下中的任一种：256bit、512bit、1024bit。

优选地，所述密钥包括passphrase或PMK。

以下介绍本申请一种接入点的实施例，如图7是所示，包括：

第二接收单元71，用于接收终端发送的公钥；

加密单元72，利用接收的公钥加密保管的密钥，得到密文；

第二发送单元73，用于将所述密文返回至所述终端；

第二接入认证单元74，基于所述密钥对所述终端进行接入认证。

优选地，所述第二接收单元71通过短距离无线通信技术接收所述终端发送的公钥；所述第二发送单元73通过短距离无线通信技术将所述密文返回至所述终端。

优选地，所述公钥的长度为如下中的任一种：256bit、512bit、1024bit。

优选地，所述密钥包括passphrase或PMK。

优选地，所述终端包括不具有交互界面的设备。

综上所述，通过本申请实施例提供的上述建立无线通信连接的方法和装置，终端利用非对称算法生成一对密钥，发送其中一个密钥至网络接入点；网络接入点利用接收的第一密钥加密预共享密钥，使之生成密文，并发送所述密文至终端；终端利用另一个密钥解密接收到的密文，获得预共享密钥，利用获得的预共享密钥与网络接入点进行四次握手过程接入无线网络。与先有技术相比，本申请的技术方案是终端不生成预共享密钥而是从网络接入点获得预共享密钥，实现终端自动接入网络，避免了用户手动输入网络密钥。

在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进(例如，对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑器件(ProgrammableLogic Device,PLD)(例如现场可编程门阵列(Field Programmable Gate Array，FPGA))就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上，而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且，如今，取代手工地制作集成电路芯片，这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现，它与程序开发撰写时所用的软件编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描述语言(Hardware DescriptionLanguage，HDL)，而HDL也并非仅有一种，而是有许多种，如ABEL(AdvancedBoolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(Ruby Hardware Description Language)等，目前最普遍使用的是VHDL(Very-High-Speed Integrated Circuit Hardware DescriptionLanguage)与Verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。

控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(ApplicationSpecific Integrated Circuit，ASIC)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (25)

1.一种无线网络的接入认证方法，其特征在于，包括：

终端基于非对称加密技术生成一对公钥和私钥，并将所述公钥发送至密钥保管装置；

所述密钥保管装置利用接收的公钥加密保管的密钥，得到密文；并将所述密文返回至所述终端；

所述终端利用所述私钥从所述接收的密文中解密出所述密钥，利用该解密后的密钥进行接入所述接入点的认证。

2.一种无线网络的接入认证方法，其特征在于，包括：

终端基于非对称加密技术生成一对公钥和私钥，并将所述公钥发送至密钥保管装置；

所述终端接收密钥保管装置返回的密文，并利用所述私钥从所述接收的密文中解密出密钥；

所述终端利用所述解密后的密钥进行接入接入点的认证。

3.如权利要求2所述的方法，其特征在于，所述非对称加密算法包括：

RSA算法、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)。

4.如权利要求2所述的方法，其特征在于，所述终端通过短距离无线通信技术将所述公钥发送至密钥保管装置；所述终端通过短距离无线通信技术接收所述密钥保管装置返回的密文。

5.如权利要求2所述的方法，其特征在于，所述终端包括不具有交互界面的设备。

6.如权利要求2所述的方法，其特征在于，所述密钥保管装置集成于所述接入点。

7.如权利要求2所述的方法，其特征在于，所述生成的一对公钥和私钥的长度为如下中的任一种：256bit、512bit、1024bit。

8.如权利要求2所述的方法，其特征在于，所述密钥包括passphrase或PMK。

9.一种无线网络的接入认证方法，其特征在于，包括：

接入点接收终端发送的公钥；

所述接入点利用接收的公钥加密保管的密钥，得到密文，并将所述密文返回至所述终端；

所述接入点基于所述密钥对所述终端进行接入认证。

10.如权利要求9所述的方法，其特征在于，所述接入点通过短距离无线通信技术接收所述终端发送的公钥；所述接入点通过短距离无线通信技术将所述密文返回至所述终端。

11.如权利要求9所述的方法，其特征在于，所述公钥的长度为如下中的任一种：256bit、512bit、1024bit。

12.如权利要求9所述的方法，其特征在于，所述密钥包括passphrase或PMK。

13.如权利要求9所述的方法，其特征在于，所述终端包括不具有交互界面的设备。

14.一种终端，其特征在于，包括：

成对密钥生成单元，基于非对称加密技术生成一对公钥和私钥；

第一发送单元，用于将所述生成的公钥发送至密钥保管装置；

第一接收单元，用于接收密钥保管装置返回的密文；

解密单元，利用所述私钥从所述接收的密文中解密出密钥；

第一接入认证单元，利用所述解密后的密钥进行接入接入点的认证。

15.如权利要求14所述的终端，其特征在于，所述非对称加密算法包括：

RSA算法、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)。

16.如权利要求14所述的终端，其特征在于，所述第一发送单元通过短距离无线通信技术将所述公钥发送至密钥保管装置；所述第一接收单元通过短距离无线通信技术接收所述密钥保管装置返回的密文。

17.如权利要求14所述的终端，其特征在于，所述终端包括不具有交互界面的设备。

18.如权利要求14所述的终端，其特征在于，所述密钥保管装置集成于所述接入点。

19.如权利要求14所述的终端，其特征在于，所述生成的一对公钥和私钥的长度为如下中的任一种：256bit、512bit、1024bit。

20.如权利要求14所述的终端，其特征在于，所述密钥包括passphrase或PMK。

21.一种接入点，其特征在于，包括：

第二接收单元，用于接收终端发送的公钥；

加密单元，利用接收的公钥加密保管的密钥，得到密文；

第二发送单元，用于将所述密文返回至所述终端；

第二接入认证单元，基于所述密钥对所述终端进行接入认证。

22.如权利要求21所述的接入点，其特征在于，所述第二接收单元通过短距离无线通信技术接收所述终端发送的公钥；所述第二发送单元通过短距离无线通信技术将所述密文返回至所述终端。

23.如权利要求22所述的接入点，其特征在于，所述公钥的长度为如下中的任一种：256bit、512bit、1024bit。

24.如权利要求23所述的接入点，其特征在于，所述密钥包括passphrase或PMK。

25.如权利要求23所述的接入点，其特征在于，所述终端包括不具有交互界面的设备。