CN107567017B - 无线连接系统、装置及方法 - Google Patents
无线连接系统、装置及方法 Download PDFInfo
- Publication number
- CN107567017B CN107567017B CN201610506635.8A CN201610506635A CN107567017B CN 107567017 B CN107567017 B CN 107567017B CN 201610506635 A CN201610506635 A CN 201610506635A CN 107567017 B CN107567017 B CN 107567017B
- Authority
- CN
- China
- Prior art keywords
- ssid
- terminal
- wireless access
- identifier
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
一种无线接入系统、装置及方法,涉及无线网络技术领域。所述系统包括:第一无线接入点以及控制设备。在终端通过公共SSID与第一无线接入点建立第一连接的过程中,与认证服务器协商并各自生成专用SSID和接入密钥,终端最终通过该专用SSID与第一无线接入点建立第二连接,在此过程中,终端和认证服务器分别通过指定算法生成专用SSID和接入密钥,且生成专用SSID和接入密钥的部分参数不通过第一连接进行传输,避免该专用SSID和接入密钥被截获。并且,不同终端的专用SSID和接入密钥各不相同,得到专用SSID和接入密钥的终端无法得到其他终端的专用SSID和接入密钥。从而降低了报文被监听破解的风险,提高无线连接。
Description
技术领域
本申请涉及无线网络技术领域,特别涉及一种无线连接系统、装置及方法。
背景技术
商业场所可以提供公共的无线局域网(英文:wireless local area network,WLAN)服务。
用户使用商家提供的公共WLAN时,通常可以询问公共WLAN的服务集标识(英文:service set identifier,SSID)以及密钥,以便连接公共WLAN。
公共WLAN的SSID和密钥公开给所有用户,WLAN中的报文可以被公开密钥解密因此公共WLAN的安全性较差。
发明内容
为了提高公共WLAN的安全性,本申请提供了一种无线连接系统、装置及方法。
第一方面,提供了一种无线连接系统,该无线连接系统包括:无线接入点以及控制设备;
所述控制设备,用于接收终端通过第一连接发送的用户标识,获取所述用户标识的第一认证标识,根据所述用户标识、所述第一认证标识以及指定算法生成第一专用SSID和第一接入密钥,在所述无线接入点中配置所述第一专用SSID以及所述第一接入密钥,所述第一连接为所述终端与所述无线接入点之间基于公共SSID的连接;
所述无线接入点,用于接收所述终端发送的连接请求,所述连接请求中包含第二专用SSID和第二接入密钥,在所述第二专用SSID与所述第一专用SSID相同,且所述第二接入密钥与所述第一接入密钥相同时,基于所述第一专用SSID建立与所述终端之间的第二连接;所述第二专用SSID和所述第二接入密钥由所述终端获取所述用户标识的第二认证标识,并根据所述用户标识、所述第二认证标识以及所述指定算法生成,所述第二认证标识和所述第一认证标识的内容相同。
本申请提供的系统,在终端通过公共SSID与第一无线接入点建立第一连接时,与认证服务器协商并各自生成专用SSID和接入密钥,终端最终通过专用SSID与第一无线接入点建立第二连接。在此过程中,终端和认证服务器分别通过指定算法生成专用SSID和接入密钥,且生成专用SSID和接入密钥的部分参数不通过第一连接进行传输,避免该专用SSID和接入密钥被截获。并且,不同终端的专用SSID和接入密钥各不相同,得到专用SSID和接入密钥的终端无法得到其他终端的专用SSID和接入密钥。从而降低了报文被监听破解的风险,提高无线连接安全性。
第二方面,提供了一种无线接入方法,所述方法包括:
接收终端通过第一连接发送的用户标识,所述第一连接为所述终端与第一无线接入点之间基于公共服务集标识SSID的连接;获取所述用户标识的第一认证标识;根据所述用户标识、所述第一认证标识以及指定算法生成第一专用SSID和第一接入密钥;在所述第一无线接入点中配置所述第一专用SSID以及所述第一接入密钥,使得所述第一无线接入点在接收到所述终端发送的包含第二专用SSID和第二接入密钥的连接请求,且检测出所述第二专用SSID与所述第一专用SSID相同,所述第二接入密钥与所述第一接入密钥相同时,基于所述第一专用SSID建立与所述终端之间的第二连接,所述第二专用SSID和所述第二接入密钥由所述终端获取所述用户标识的第二认证标识,并根据所述用户标识、所述第二认证标识以及所述指定算法生成,所述第二认证标识和所述第一认证标识的内容相同。
在第二方面的第一种可能实现方式中,所述方法还包括:
接收第二无线接入点发送的信号强度报告,所述信号强度报告用于指示所述第二无线接入点接收到的所述终端的无线信号的信号强度;当所述信号强度高于预设阈值时,在所述第二无线接入点中配置所述第一专用SSID以及所述第一接入密钥。
本方案所示的方法,当第二无线接入点接收到终端发送的无线信号的信号强度高于预设阈值时,控制器在第二无线接入点中配置第一专用SSID和第一接入密钥,即控制器只在监测到终端的无线信号的信号强度较大的无线接入点中配置第一专用SSID和第一接入密钥,避免在所有无线接入点中都配置第一专用SSID和第一接入密钥而导致占用过多的SSID资源的问题,同时达到满足终端的漫游需求的效果。
在第二方面的第二种可能实现方式中,所述连接请求中包含所述连接请求的发送方的MAC地址,所述方法包括:
将所述终端的MAC地址添加入地址白名单,以使得所述第一无线接入点在检测出所述连接请求中的发送方的MAC地址存在于所述地址白名单时,基于所述第一专用SSID建立与所述终端之间的第二连接。
本方案所示的方法,将终端的MAC地址添加入地址白名单,后续第一无线接入点接收到终端通过第二专用SSID发起的连接请求时,首先检测终端的MAC地址是否在地址白名单中,如果是,则进行后续操作,否则,不允许终端通过专用SSID接入,即便终端的专用SSID泄漏,其它终端也无法监听破译终端与第一无线接入点之间的报文,从而提高终端和第一无线接入点之间的通信的安全性。
在第二方面的第三种可能实现方式中,所述用户标识为用户账号,所述第一认证标识和所述第二认证标识为所述用户账号的登录密码;或者,所述用户标识为手机号码,所述第一认证标识和所述第二认证标识为即时生成的验证码。
第三方面,提供了一种网络设备,该网络设备包括:处理器和通信接口;该通信接口被配置为由该处理器控制;该处理器用于实现上述第二方面或第二方面的任意一种可能实现方式所提供的无线连接方法。
第四方面,提供了一种无线连接装置,该装置包括至少一个单元,该至少一个单元用于实现上述第二方面或第二方面的任意一种可能实现方式所提供的无线连接方法。
第五方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质存储有用于实现第二方面或第二方面的任意一种可能的实现方式所提供的无线连接方法的指令。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请所涉及的网络环境的架构图;
图2是本申请一个示例性实施例提供的网络设备的结构示意图;
图3是本申请一个实施例提供的无线连接方法的流程图;
图4是本申请一个实施例提供的专用SSID配置方法的流程图;
图5是本申请一个实施例提供的无线连接装置的框图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
请参考图1,其示出了本申请所涉及的网络环境的架构图。该网络包括以下网络设备:至少一个无线接入点(英文:access point,AP)110、控制器120、至少一个终端130以及认证服务器140。
终端130可以包括各种具有无线局域网功能的手持设备(比如智能手机、平板电脑或电子书阅读器)、车载设备、可穿戴设备、计算机或其它无线局域网设备。
控制器120控制无线接入点110。控制器120可以是支持无线接入点控制和配置(英文:Control And Provisioning of Wireless Access Points,CAPWAP)协议的接入控制器(英文:Access Controller,AC),或者,控制器120也可以是其它与AC功能类似的设备。控制器120可以为服务器,也可以为网络设备,比如交换机或者路由器等。
在本申请中,控制器120和认证服务器140可以统称为控制设备。并且,控制设备与无线接入点110可以是同一实体设备,也可以分属不同的实体设备。
比如,在图1所示的实施环境中,无线接入点110、控制器120以及认证服务器140可以分属不同的实体设备;或者,上述无线接入点110、控制器120以及认证服务器140中的任意两个设备可以实现为同一实体设备;或者,上述无线接入点110、控制器120以及认证服务器140这三个设备可以实现为同一个实体设备。
无线接入点110广播公共SSID,以该公共SSID为标识的无线网络未配置密钥或者配置了公开密钥。终端130首先用该公共SSID连接无线接入点110,以建立与无线接入点110之间的公开连接(第一连接),本申请中终端与无线接入点之间的连接是终端与无线接入点之间进行报文传输的无线数据通道。终端130和认证服务器140通过该公开连接来传输用于约定专用SSID和接入密钥的部分参数(例如用户标识)。终端130和认证服务器140各自获取用户标识之外的其余部分参数(认证标识),并通过指定算法、用户标识和认证标识生成专用SSID和接入密钥。终端130用专用SSID和接入密钥重新接入无线接入点110并完成认证过程,以建立终端130和无线接入点110之间的专用加密连接(第二连接)。在本申请所示的方案中,终端和认证服务器分别通过指定算法生成专用SSID和接入密钥,且生成专用SSID和接入密钥的一部分参数(认证标识)不通过公共连接(第一连接)进行传输,避免该专用SSID和接入密钥被截获。并且,不同终端的专用SSID和接入密钥各不相同,得到专用SSID和接入密钥的终端无法得到其他终端的专用SSID和接入密钥。从而降低了报文被监听破解的风险,提高无线连接的安全性。
请参考图2,其示出了本申请一个示例性实施例提供的网络设备的结构示意图。该网络设备20可以为上述图1所示网络环境中的无线接入点110、控制器120、终端130或者认证服务器140。
该网络设备20可以包括:处理器21以及通信接口24。
处理器21可以包括一个或者一个以上处理单元,该处理单元可以是中央处理单元(英文:central processing unit,CPU)或者网络处理器(英文:network processor,NP)等。
通信接口24可以包括有线网络接口(比如以太网接口)和无线网络接口(比如WLAN接口)中的至少一种。例如,当网络设备20实现为上述图1所示实施环境中的终端时,该通信接口24可以包括无线网络接口;当网络设备20实现为上述图1所示实施环境中的无线接入点时,该通信接口24可以包括有线网络接口和无线网络接口;当网络设备20实现为上述图1所示实施环境中的控制器或者认证服务器时,该通信接口24可以包括有线网络接口。该通信接口24由处理器21控制。
可选的,该网络设备20还可以包括存储器23,处理器21可以用总线与存储器23和通信接口24相连。
存储器23可用于存储软件程序,该软件程序可以由处理器21执行。此外,该存储器23中还可以存储各类业务数据或者用户数据。
可选地,该网络设备20还可以包括输出设备25以及输入设备27。输出设备25和输入设备27与处理器21相连。输出设备25可以是用于显示信息的显示器、播放声音的功放设备或者打印机等,输出设备25还可以包括输出控制器,用以提供输出到显示屏、功放设备或者打印机。输入设备27可以是用于用户输入信息的诸如鼠标、键盘、电子触控笔或者触控面板之类的设备,输入设备27还可以包括输出控制器以用于接收和处理来自鼠标、键盘、电子触控笔或者触控面板等设备的输入。
请参考图3,其示出了本申请一个实施例提供的无线接入方法的流程图。该方法可以用于图1所示的网络环境中。如图3所示,该无线接入方法可以包括:
步骤301,终端与第一无线接入点之间基于公共服务集标识SSID建立第一连接。
在公共场所中,第一无线接入点向外广播公共SSID,该公共SSID不加密或者密钥对所有用户公开(比如,用户可以从第一无线接入点的提供者处询问密钥)。用户打开终端中的无线局域网功能后,终端扫描到该公共SSID。用户控制终端通过该公共SSID连接第一无线接入点,以建立终端与第一无线接入点之间的第一连接。
比如,某商家设置第一无线接入点,并向周围广播公共SSID。用户从商家处获知商家提供的公共SSID和密钥,打开终端中的WLAN功能后,终端扫描到该公共SSID,并展示包含该公共SSID的列表。用户点击列表中的公共SSID后,在弹出的密钥输入框中输入对应的密钥。终端用该公共SSID连接该第一无线接入点,以与该第一无线接入点之间建立第一连接。或者,如果该公共SSID是非加密的SSID,用户点击列表中的公共SSID后,不需要用户输入密钥,终端可以用该公共SSID直接连接第一无线接入点。
该步骤可以由终端中的处理器控制通信接口来实现。
步骤302,控制设备向该终端提供认证页面,终端通过第一连接从控制设备获取该认证页面。
在本申请实施例中,终端用公共SSID连接第一无线接入点后,并不能立刻使用网络数据,此时,控制设备,比如认证服务器或者控制器,可以向终端提供用于协商专用SSID的认证页面,该认证页面可以类似于强制门户认证页面。
具体的,终端通过公共SSID连接第一无线接入点后,终端首次发出网络访问请求(比如打开终端中的浏览器或者需要联网的应用程序)时,控制第一无线接入点的控制器将终端发出的网络访问请求重定向至认证服务器,认证服务器接收到该网络访问请求后,将认证页面通过控制器发送至第一无线接入点,并通过第一无线接入点与终端之间的第一连接发送至终端。
该步骤可以由控制设备或者终端中的处理器控制通信接口来实现。
步骤303,终端展示该认证页面。
该步骤可以由终端中的处理器来实现。
步骤304,终端通过第一连接将在该认证页面中输入的用户标识发送给该控制设备,控制设备接收该用户标识。
终端展示认证页面后,用户可以在认证页面中输入用户标识,具体的,该用户标识可以是用户账号(比如用户名)或者手机号,终端将用户在认证页面中输入的用户标识发送给控制设备,比如认证服务器或者控制器,该用户标识用于进行后续的认证流程。
比如,以第一无线接入点为商家部署的无线接入点为例,用户预先在商家处预先注册了会员账号(即用户名),并设置相应地登录密码。终端与第一无线接入点之间建立第一连接并获取认证页面后,用户可以将会员账号和登录密码输入终端展示的认证页面。由终端将该会员账号作为用户标识发送给认证服务器。终端并不发送登录密码。
或者,在另一种可能的实现方式中,用户不需要预先注册商家的会员账号,只需要在终端展示的认证页面中输入手机号码,终端将该手机号码作为用户标识发送给认证服务器。
该步骤可以由终端或者控制设备中的处理器控制通信接口来实现。
步骤305,控制设备获取该用户标识的第一认证标识。
控制设备接收到上述用户标识之后,获取该用户标识的第一认证标识。
其中,当用户标识为用户账号时,该第一认证标识可以是与该用户标识对应存储的认证标识,控制设备,比如认证服务器或者控制器,可以根据用户标识查询在该用户账号注册时配置的第一认证标识。比如,用户预先在商家处预先注册了会员账号,并设置相应地登录密码后,该会员账号和登录密码将存储在认证服务器(或者其它服务器)中。认证服务器接收到终端发送的会员账号时,根据该会员账号从本地或者其它服务器中查询作为第一认证标识的该登录密码。
或者,当用户标识为用户的手机号时,该第一认证标识也可以是控制设备即时生成的标识。比如,认证服务器接收到该手机号之后,即时生成验证码,该验证码即为第一认证标识。此外,认证服务器生成该验证码之后,根据用户标识(即用户的手机号)将该验证码发送给用户的手机(用户的手机可以是上述终端,也可以是上述终端之外的设备)。
该步骤可以由控制设备中的处理器来实现。
步骤306,控制设备根据该用户标识、该第一认证标识以及指定算法生成第一专用SSID和第一接入密钥。
控制设备,比如认证服务器或者控制器获取到第一认证标识之后,以用户标识和第一认证标识为输入参数,使用预设的指定算法生成第一专用SSID和第一接入密钥。
可选的,在本申请实施例中,控制设备除了以用户标识和第一认证标识为输入参数之外,还可以进一步增加其它参数,比如,第一无线接入点的介质访问控制(MediaAccess Control,MAC)地址、终端的MAC地址、终端的IP地址以及终端发送网络访问请求时的时间戳等等。
该步骤可以由控制设备中的处理器来实现。
步骤307,控制设备在第一无线接入点中配置第一专用SSID以及第一接入密钥,第一无线接入点接收控制设备配置的该第一专用SSID和第一接入密钥。
其中,当控制设备为认证服务器,且认证服务器与第一无线接入点以及控制器分属于不同的实体设备时,该认证服务器可以将该第一专用SSID以及第一接入密钥发送给控制器,由控制器在第一无线接入点中配置第一专用SSID以及第一接入密钥。比如,认证服务器可以将配置信息(包括第一专用SSID和第一接入密钥)下发给控制器,由控制器将该配置信息下发给第一无线接入点。
或者,若控制设备为认证服务器,认证服务器与第一无线接入点不属于同一设备,且认证服务器与第一无线接入点直接相连,比如,认证服务器与控制器为同一设备,且该设备与第一无线接入点相连(此时也可以认为是控制器执行了上述步骤302至步骤306中由控制设备执行的步骤,即向终端提供认证页面,接收第一认证标识并生成第一专用SSID和第一接入密钥),或者,控制器与第一无线接入点为同一实体设备,且该实体设备与认证服务器直接相连。此时,控制设备,比如认证服务器(或者称为控制器)可以直接在第一无线接入点中配置该第一专用SSID和第一接入密钥。比如,认证服务器(或者称为控制器)可以将生成的配置信息下发给第一无线接入点。
或者,若认证服务器和第一无线接入点为同一实体设备,或者,认证服务器、第一无线接入点以及控制器为同一实体设备(此时也可以认为是第一无线接入点执行了上述步骤302至步骤306中由控制设备执行的步骤,即向终端提供认证页面,接收第一认证标识并生成第一专用SSID和第一接入密钥)时,认证服务器(或者称为控制器或第一无线接入点)可以直接在本设备中配置第一专用SSID和第一接入密钥。
可选的,第一无线接入点(或者控制器)可以将该第一专用SSID配置为隐藏SSID,即第一无线接入点对外发送的信标帧中不携带该第一专用SSID。
可选的,在本申请实施例中,第一无线接入点在接收控制设备配置的第一专用SSID和第一接入密钥后,还将终端的MAC地址添加入地址白名单,该过程可以由控制器指示,也可以由第一无线接入点主动执行。
该步骤可以由控制设备或者第一无线接入点中的处理器控制通信接口来实现。
步骤308,终端获取用户标识的第二认证标识。
其中,终端可以获取用户在认证页面中填写的第二认证标识,或者,该终端也可以接收控制设备,比如认证服务器或者控制器,通过短信方式发送的第二认证标识。
在本申请实施例中,在不出现用户操作错误或者数据传输错误的情况下,上述第一认证标识和第二认证标识的内容相同。
其中,用户在认证页面中填写用户标识时,还可以在该认证页面中填写第二认证标识。比如,若用户预先注册会员账号和登录密码,则终端展示认证页面后,用户将会员账号和登录密码填写入认证页面中相应的输入位置,终端将会员账号作为用户标识发给服务器,同时还将用户填写的登录密码作为第二认证标识。或者,认证页面提示用户填写手机号码,用户填写手机号码并点击发送认证页面中的发送按键后,用户的手机(可以是上述终端,也可以终端之外的手机设备)接收到携带验证码的短信,用户将短信中携带的验证码填写入认证页面中的相应位置,终端将用户填写的验证码作为第二认证标识。
或者,如果终端是使用用户填写的手机号码的手机,则当终端接收到验证短信后,也可以不需要用户手动填写,自动将验证短信中携带的验证码获取为第二认证标识。
该步骤可以由终端中的处理器来实现。
步骤309,终端根据该用户标识、该第二认证标识以及指定算法生成第二专用SSID以及第二接入密钥。
终端获取到第二认证标识之后,以用户标识和第二认证标识为输入参数,使用预设的指定算法生成第二专用SSID以及第二接入密钥。
可选的,在本申请实施例中,终端除了以用户标识和第二认证标识为输入参数之外,还可以进一步增加其它参数,比如,第一无线接入点的MAC地址、终端的MAC地址、终端的IP地址以及终端显示认证页面的时间戳等等。
终端生成第二专用SSID和第二接入密钥所使用的参数与认证服务器生成第一专用SSID以及第一接入密钥所使用的参数相同。
另外,在本申请实施例中,终端中的指定算法和认证服务器中的指定算法为相同的算法。
由于终端生成第二专用SSID和第二接入密钥所使用的参数与控制设备生成第一专用SSID以及第一接入密钥所使用的参数相同,且终端和控制设备中的指定算法也相同,因此,在正常情况下,终端生成的第二专用SSID和第二接入密钥与控制设备生成的第一专用SSID以及第一接入密钥也应该是相同的。
该步骤可以由终端中的处理器来实现。
其中,上述步骤305至步骤307与步骤308至步骤309可以同步执行。
步骤310,终端向该第一无线接入点发起连接请求,第一无线接入点接收该连接请求,该连接请求中包含该第二专用SSID和该第二接入密钥。
其中,第一无线接入点完成第一专用SSID和第一接入密钥的配置之后,即可以断开与终端之间的第一连接(即控制终端下线),或者,终端也可以在通过第一连接向控制设备发送用户标识之后,主动断开第一连接(即终端主动下线)。终端下线之后,即可以使用第二专用SSID和第二接入密钥向第一无线接入点重新发起连接请求。
该步骤可以由终端或第一无线接入点中的处理器控制通信接口来实现。
步骤311,第一无线接入点在检测出该第二专用SSID与该第一专用SSID相同,且该第二接入密钥与该第一接入密钥相同时,基于第一专用SSID建立与终端之间的第二连接。
可选的,上述连接请求中包含该连接请求的发送方的MAC地址,第一无线接入点接收到终端发送的连接请求后,在检测出该连接请求中的发送方的MAC地址存在于地址白名单时,基于第一专用SSID建立与终端之间的第二连接。
如果第一无线接入点接收到另一终端用该第二专用SSID发起的连接请求,则该连接请求中的发送方的MAC地址不存在于该地址白名单中,此时第一无线接入点可以不响应该连接请求。
该步骤可以由第一无线接入点中的处理器来实现。
在第二连接建立后,控制设备可以向终端开放使用网络数据的权限。此时,终端可以通过局域网使用网络数据。或者,当认证服务器与控制器或者第一无线接入点为同一实体设备时,也可以认为是控制器或者第一无线接入点向终端开放使用网络数据的权限。该步骤可以由认证服务器、控制器或者第一无线接入点中的处理器来实现。
以认证服务器、控制器以及第一无线接入点分属于不同的实体设备为例,控制器或者第一无线接入点可以向认证服务器发送接入成功指示,认证服务器接收该接入成功指示。其中,该接入成功指示用于指示服务器确认终端认证成功。认证服务器接收到接入成功指示后,即确认终端认证成功。比如,第一无线接入点在建立与终端之间的第二连接后,控制器在将第一无线接入点与终端进行连接时发现终端再次上线,此时,控制器可以向认证服务器发送上线通知(即上述接入成功指示),以通知认证服务器该终端再次上线。认证服务器接收到上线通知后,即可以向终端推送认证成功页面,终端展示该认证成功页面。此时,用户可以获知认证成功,可以使用网络。
在本申请中,上述终端在展示认证页面之后执行的各个步骤,都可以由该认证页面来实现,即由认证页面将用户输入的用户标识发送给控制设备,并获取第二认证标识,根据用户标识、第二认证标识以及指定算法生成第二专用SSID和第二接入密钥,并使用第二专用SSID和第二接入密钥向第一无线接入点发起连接请求。
具体比如,以上述认证服务器、控制器和第一无线接入点分属于不同的设备,且控制器为无线局域网络中的AC,第一无线接入点为AP为例,用户在公共场所中打开终端的WLAN功能,搜索到未加密的SSID A(由AP发出)并连接,终端用SSID A建立与AP之间的不加密连接,并显示已经接入网络。之后,终端首次使用浏览器或者应用程序访问互联网时,终端从认证服务器中获取认证页面并通过浏览器进行展示。此时,用户可以选择是否进行认证,如果不进行认证,则退出认证流程,如果选择认证,继续下面的步骤。
用户根据提示在认证页面上输入认证信息(包括身份标识和认证标识,如注册的会员账号和登录密码,或者,手机号和验证码等),并点击认证按钮,页面显示正在等待认证。就在终端认证页面显示正在等待认证时,终端将上述身份标识通过不加密连接发送给认证服务器,由认证服务器通过该不加密连接之外的渠道获取认证标识,之后,终端和认证服务器各自使用相同的计算参数(即身份标识和认证标识)和算法生成相同的SSID和接入密钥,该新生成的SSID为SSID B,其安全方式为Wi-Fi网络保护访问(Wi-Fi ProtectedAccess,WPA)/WPA2。由于上述认证标识不需要经过终端与AP之间的不加密连接进行传输,保证了输入参数无法被人获取,保护了新生成的SSID和接入密钥。认证服务器将生成的SSID B和接入密钥同步给AC,AC在终端接入的AP上下发配置信息(包含SSID B和接入密钥),AP上会生成隐藏的SSID B,并且AC会指示AP将用户下线。当终端被下线后,终端将自动选择SSID B进行连接并自动填入生成的接入密钥,使终端与AP之间建立使用SSID B建立加密连接。如果终端与AP之间可以成功使用SSID B建立加密连接,则说明上述认证信息认证成功,否则上述认证信息认证失败。
综上所述,本申请实施例所示的方案,在终端通过公共SSID与第一无线接入点建立连接并进行认证的过程中,与认证服务器协商并各自生成专用SSID和接入密钥,终端最终通过专用SSID和接入密钥与第一无线接入点建立加密连接,在此过程中,终端和认证服务器分别生成专用SSID和接入密钥的部分参数不通过第一连接进行传输,避免该专用SSID和接入密钥被截获。并且,不同终端的专用SSID和接入密钥各不相同,得到专用SSID和接入密钥的终端无法得到其他终端的专用SSID和接入密钥。从而降低了报文被监听破解的风险,提高无线连接的安全性。
另外,本申请实施例所示的方案,还将终端的MAC地址添加入地址白名单,后续第一无线接入点接收到终端通过第二专用SSID发起的连接请求时,首先检测终端的MAC地址是否在地址白名单中,如果是,则进行后续操作,否则,不允许终端通过专用SSID连接,即便终端的专用SSID泄漏,其它终端也无法监听破译终端与第一无线接入点之间的报文,从而提高终端和第一无线接入点之间的通信的安全性。
在某些无线局域网场景下,控制器和无线接入点分属于不同的实体设备,且一个控制器可以连接多个无线接入点,终端可以在该多个无线接入点之间进行漫游(即从当前连接的无线接入点重新连接至另一个无线接入点)。在本申请所示的方案中,为了避免占用过多的SSID资源,在图3所示的实施例中,认证服务器只在终端接入的第一无线接入点上配置第一专用SSID和第一接入密钥,此时,当控制器还连接有第二无线接入点时,由于第二无线接入点中并没有配置该第一专用SSID和第一接入密钥,因此,终端无法从第一无线接入点直接漫游至第二无线接入点。
为了满足终端漫游的场景需求,在终端与第一无线接入点之间已经基于第一专用SSID建立第二连接的基础上,请参考图4,其示出了本申请一个实施例提供的专用SSID配置方法的流程图。该方法可以用于图1所示的网络环境中。如图4所示,该专用SSID配置方法可以包括:
步骤401,控制器向第二无线接入点发送终端的终端标识,第二无线接入点接收该终端标识,该终端是用第二专用SSID连接第一无线接入点的终端。
终端与第一无线接入点之间已经基于第一专用SSID建立第二连接之后,控制器将该终端的终端标识(比如终端的MAC地址)通知给局域网中除了第一无线接入点之外的其它各个无线接入点。
该步骤可以由控制器或终端中的处理器控制通信接口来实现。
步骤402,第二无线接入点根据该终端标识监控该终端的无线信号的信号强度。
局域网中其它的各个无线接入点接收到终端标识之后,根据该终端的终端标识监测该终端发送的无线信号,并测量该终端发送的无线信号的信号强度。
该步骤可以由无线接入点中的处理器控制通信接口来实现。
步骤403,第二无线接入点向控制器发送信号强度报告,控制器接收该信号强度报告。
其中,该信号强度报告用于指示第二无线接入点接收到的该终端的无线信号的信号强度。
该步骤可以由无线接入点中的处理器控制通信接口来实现。
步骤404,当该信号强度高于预设阈值时,控制器在第二无线接入点中配置第一专用SSID以及第一接入密钥,第二无线接入点接收控制器配置的该第一专用SSID和第一接入密钥。
控制器接收到第一无线接入点之外的一个无线接入点(第二无线接入点)发送的信号强度报告,并检测出该第二无线接入点接收到的该终端发送的无线信号的信号强度高于某一个阈值时,认为终端可能会从第一无线接入点漫游至该第二无线接入点,此时,控制器在第二无线接入点中也配置第一专用SSID和第一接入密钥,这样当终端漫游时,可以通过第二专用SSID和第二接入密钥直接漫游至第二无线接入点。
该步骤可以由控制器或者无线接入点中的处理器控制通信接口来实现。
可选的,在另一种可能的实现方式中,第二无线接入点根据该终端标识监控该终端的无线信号的信号强度,并在检测到该信号强度高于预设阈值时,向控制器发送信号强度指示,该信号强度指示用于指示该第二无线接入点接收到的该终端的无线信号的信号强度高于预设阈值,控制器在接收到该信号强度指示时,在第二无线接入点中配置第一专用SSID以及第一接入密钥。
综上所述,本申请实施例所示的方法,当第二无线接入点接收到终端发送的无线信号的信号强度高于预设阈值时,控制器在第二无线接入点中配置第一专用SSID和第一接入密钥,即控制器只在监测到终端的无线信号的信号强度较大的无线接入点中配置第一专用SSID和第一接入密钥,避免在所有无线接入点中都配置第一专用SSID和第一接入密钥而导致占用过多的SSID资源的问题,同时达到满足终端的漫游需求的效果。
请参考图5,其示出了本申请一个实施例提供的无线接入装置的框图。该装置可以通过硬件或者软硬结合的方式实现为图1所示网络环境中控制设备或者无线接入点的终端的部分或者全部,用以执行如图3中由控制设备或者第一无线接入点所执行的全部或者部分步骤。该装置可以包括:标识接收单元501、标识获取单元502、生成单元503、配置单元504、报告接收单元505以及地址添加单元506;
标识接收单元501,用于执行上述步骤304相同或相似的步骤。
标识获取单元502,用于执行与上述步骤305相同或相似的步骤。
生成单元503,用于执行与上述步骤306相同或相似的步骤。
配置单元504,用于执行与上述步骤307或步骤404相同或相似的步骤。
报告接收单元505,用于执行与上述步骤403相同或相似的步骤。
地址添加单元506,用于执行上述步骤311中所描述的,将终端的MAC地址添加入地址白名单的步骤。
本申请实施例还提供一种无线接入系统,该系统可以包括:至少一个无线接入点以及控制设备,其中,控制设备可以是认证服务器和控制器中的至少一个,该系统中各个设备以及各个设备之间的连接方式可以参考图1所示的实施环境。
上述至少一个无线接入点用于执行图3所示方法中由第一无线接入点执行的全部或者部分步骤。或者,上述至少一个无线接入点用于执行图4所示方法中由第一无线接入点或者第二无线接入点执行的全部或者部分步骤。
上述控制器用于执行图3或图4所示方法中由控制器执行的全部或者部分步骤。
上述认证服务器用于执行图3所示方法中由认证服务器执行的全部或者部分步骤。
本领域普通技术人员可以理解实现上述实施例中由控制器执行的全部或部分步骤可以通过硬件来完成,也可以通过指令来控制相关的硬件完成,所述的指令可以存储于一种计算机可读存储介质中,上述提到的计算机可读存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本申请较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (11)
1.一种无线连接系统,其特征在于,所述系统包括:无线接入点以及控制设备;
所述控制设备,接收终端通过第一连接发送的用户标识,查询在所述用户标识注册时所配置的第一认证标识,或者获取即时生成第一认证标识,所述第一认证标识用于进行无线接入,根据所述用户标识、所述第一认证标识以及指定算法生成第一专用服务集标识SSID和第一接入密钥,在所述无线接入点中配置所述第一专用SSID以及所述第一接入密钥,所述第一连接为所述终端与所述无线接入点之间基于公共SSID的连接;
所述无线接入点,用于接收所述终端发送的连接请求,所述连接请求中包含第二专用SSID和第二接入密钥,在所述第二专用SSID与所述第一专用SSID相同,且所述第二接入密钥与所述第一接入密钥相同时,基于所述第一专用SSID建立与所述终端之间的第二连接;所述第二专用SSID和所述第二接入密钥由所述终端获取所述用户标识的第二认证标识,并根据所述用户标识、所述第二认证标识以及所述指定算法生成,所述第二认证标识和所述第一认证标识的内容相同,所述第二认证标识由用户提供。
2.一种控制设备,其特征在于,所述控制设备包括:处理器和通信接口,所述通信接口被配置为由所述处理器控制;
所述处理器,用于通过所述通信接口接收终端通过第一连接发送的用户标识,所述第一连接为所述终端与第一无线接入点之间基于公共服务集标识SSID的连接;
所述处理器,用于查询在所述用户标识注册时所配置的第一认证标识,或者获取即时生成第一认证标识,所述第一认证标识用于进行无线接入,根据所述用户标识、所述第一认证标识以及指定算法生成第一专用SSID和第一接入密钥;
所述处理器,用于在所述第一无线接入点中配置所述第一专用SSID以及所述第一接入密钥,使得所述第一无线接入点在接收到所述终端发送的包含第二专用SSID和第二接入密钥的连接请求,且检测出所述第二专用SSID与所述第一专用SSID相同,所述第二接入密钥与所述第一接入密钥相同时,基于所述第一专用SSID建立与所述终端之间的第二连接,所述第二专用SSID和所述第二接入密钥由所述终端获取所述用户标识的第二认证标识,并根据所述用户标识、所述第二认证标识以及所述指定算法生成,所述第二认证标识和所述第一认证标识的内容相同,所述第二认证标识由用户提供。
3.根据权利要求2所述的控制设备,其特征在于,
所述处理器,还用于通过所述通信接口接收第二无线接入点发送的信号强度报告,所述信号强度报告用于指示所述第二无线接入点接收到的所述终端的无线信号的信号强度;
所述处理器,还用于当所述信号强度高于预设阈值时,在所述第二无线接入点中配置所述第一专用SSID以及所述第一接入密钥。
4.一种无线接入点,其特征在于,所述无线接入点包括:处理器和通信接口,所述通信接口被配置为由所述处理器控制;
所述处理器,用于通过所述通信接口接收终端通过第一连接发送的用户标识,所述第一连接为所述终端与所述无线接入点之间基于公共服务集标识SSID的连接;
所述处理器,用于查询在所述用户标识注册时所配置的第一认证标识,或者获取即时生成第一认证标识,所述第一认证标识用于进行无线接入,根据所述用户标识、所述第一认证标识以及指定算法生成第一专用SSID和第一接入密钥;
所述处理器,用于通过所述通信接口接收所述终端发送的包含第二专用SSID和第二接入密钥的连接请求,所述第二专用SSID和所述第二接入密钥由所述终端获取所述用户标识的第二认证标识,并根据所述用户标识、所述第二认证标识以及所述指定算法生成,所述第二认证标识和所述第一认证标识的内容相同,所述第二认证标识由用户提供;
所述处理器,用于在检测出所述第二专用SSID与所述第一专用SSID相同,且所述第二接入密钥与所述第一接入密钥相同时,基于所述第一专用SSID建立与所述终端之间的第二连接。
5.根据权利要求4所述的无线接入点,其特征在于,所述连接请求中包含所述连接请求的发送方的MAC地址,
所述处理器,还用于在接收所述连接请求之前,将所述终端的MAC地址添加入地址白名单;
所述处理器,具体用于在检测出所述连接请求中的发送方的MAC地址存在于所述地址白名单时,基于所述第一专用SSID建立与所述终端之间的第二连接。
6.一种无线连接装置,其特征在于,所述装置包括:
标识接收单元,用于接收终端通过第一连接发送的用户标识,所述第一连接为所述终端与第一无线接入点之间基于公共服务集标识SSID的连接;
标识获取单元,用于查询在所述用户标识注册时所配置的第一认证标识,或者获取即时生成第一认证标识,所述第一认证标识用于进行无线接入;
生成单元,用于根据所述用户标识、所述第一认证标识以及指定算法生成第一专用SSID和第一接入密钥;
配置单元,用于在所述第一无线接入点中配置所述第一专用SSID以及所述第一接入密钥,使得所述第一无线接入点在接收到所述终端发送的包含第二专用SSID和第二接入密钥的连接请求,且检测出所述第二专用SSID与所述第一专用SSID相同,所述第二接入密钥与所述第一接入密钥相同时,基于所述第一专用SSID建立与所述终端之间的第二连接,所述第二专用SSID和所述第二接入密钥由所述终端获取所述用户标识的第二认证标识,并根据所述用户标识、所述第二认证标识以及所述指定算法生成,所述第二认证标识和所述第一认证标识的内容相同,所述第二认证标识由用户提供。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
报告接收单元,用于接收第二无线接入点发送的信号强度报告,所述信号强度报告用于指示所述第二无线接入点接收到的所述终端的无线信号的信号强度;
所述配置单元,用于当所述信号强度高于预设阈值时,在所述第二无线接入点中配置所述第一专用SSID以及所述第一接入密钥。
8.根据权利要求6所述的装置,其特征在于,所述连接请求中包含所述连接请求的发送方的MAC地址,所述装置还包括:
地址添加单元,用于将所述终端的MAC地址添加入地址白名单,以使得所述第一无线接入点在检测出所述连接请求中的发送方的MAC地址存在于所述地址白名单时,基于所述第一专用SSID建立与所述终端之间的第二连接。
9.一种无线接入方法,其特征在于,所述方法包括:
接收终端通过第一连接发送的用户标识,所述第一连接为所述终端与第一无线接入点之间基于公共服务集标识SSID的连接;
查询在所述用户标识注册时所配置的第一认证标识,或者获取即时生成第一认证标识,所述第一认证标识用于进行无线接入;
根据所述用户标识、所述第一认证标识以及指定算法生成第一专用SSID和第一接入密钥;
在所述第一无线接入点中配置所述第一专用SSID以及所述第一接入密钥,使得所述第一无线接入点在接收到所述终端发送的包含第二专用SSID和第二接入密钥的连接请求,且检测出所述第二专用SSID与所述第一专用SSID相同,所述第二接入密钥与所述第一接入密钥相同时,基于所述第一专用SSID建立与所述终端之间的第二连接,所述第二专用SSID和所述第二接入密钥由所述终端获取所述用户标识的第二认证标识,并根据所述用户标识、所述第二认证标识以及所述指定算法生成,所述第二认证标识和所述第一认证标识的内容相同,所述第二认证标识由用户提供。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
接收第二无线接入点发送的信号强度报告,所述信号强度报告用于指示所述第二无线接入点接收到的所述终端的无线信号的信号强度;
当所述信号强度高于预设阈值时,在所述第二无线接入点中配置所述第一专用SSID以及所述第一接入密钥。
11.根据权利要求9所述的方法,其特征在于,所述连接请求中包含所述连接请求的发送方的MAC地址,所述方法包括:
将所述终端的MAC地址添加入地址白名单,以使得所述第一无线接入点在检测出所述连接请求中的发送方的MAC地址存在于所述地址白名单时,基于所述第一专用SSID建立与所述终端之间的第二连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610506635.8A CN107567017B (zh) | 2016-06-30 | 2016-06-30 | 无线连接系统、装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610506635.8A CN107567017B (zh) | 2016-06-30 | 2016-06-30 | 无线连接系统、装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107567017A CN107567017A (zh) | 2018-01-09 |
| CN107567017B true CN107567017B (zh) | 2021-07-09 |
Family
ID=60969503
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610506635.8A Active CN107567017B (zh) | 2016-06-30 | 2016-06-30 | 无线连接系统、装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107567017B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108616878B (zh) * | 2018-03-28 | 2021-03-26 | 努比亚技术有限公司 | 一种加密解密方法、设备和计算机存储介质 |
| CN108616883B (zh) * | 2018-04-10 | 2022-01-28 | 上海尚往网络科技有限公司 | 无线接入点连接方法及其设备 |
| CN111050321B (zh) * | 2018-10-12 | 2023-05-16 | 中兴通讯股份有限公司 | 一种数据处理方法、装置及存储介质 |
| CN111010693B (zh) * | 2019-11-25 | 2023-10-03 | 华为技术有限公司 | 一种提供无线保真网络接入服务的方法及电子设备 |
| CN111314991B (zh) * | 2020-02-11 | 2022-08-12 | 中国联合网络通信集团有限公司 | 网络接入控制方法、装置及系统 |
| CN112135253B (zh) * | 2020-10-30 | 2023-03-17 | 中国联合网络通信集团有限公司 | 网络连接方法及装置 |
| CN112770294B (zh) * | 2021-01-04 | 2022-07-22 | 东风汽车股份有限公司 | 一种影音娱乐主机与t–box网络自动连接方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006119281A2 (en) * | 2005-05-03 | 2006-11-09 | Packethop, Inc. | Discovery and authentication scheme for wireless mesh networks |
| WO2008063728A2 (en) * | 2006-11-20 | 2008-05-29 | At & T Knowledge Ventures, L.P. | Methods and apparatus to manage bandwidth in a wireless network |
| CN103636185A (zh) * | 2011-03-15 | 2014-03-12 | 高通股份有限公司 | 通过使用无线网络在物理商家场所内标识用户 |
| WO2014176503A1 (en) * | 2013-04-25 | 2014-10-30 | Accelera Mobile Broadband, Inc. | Cloud-based management platform for heterogeneous wireless devices |
| CN104348686A (zh) * | 2013-08-06 | 2015-02-11 | 华为终端有限公司 | 一种终端设备与网关设备间的互联方法和装置 |
| CN104469820A (zh) * | 2013-09-23 | 2015-03-25 | 中兴通讯股份有限公司 | 一种终端的无线局域网模块控制方法及装置 |
| CN104871598A (zh) * | 2012-09-24 | 2015-08-26 | 英国电讯有限公司 | 无线接入点 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8959660B2 (en) * | 2010-04-23 | 2015-02-17 | Comcast Cable Communications, Llc | Managed services environment portability |
| US8555364B2 (en) * | 2011-09-30 | 2013-10-08 | Time Warner Cable Enterprises Llc | System and method for cloning a wi-fi access point |
| CN103517383B (zh) * | 2012-06-18 | 2017-04-12 | 华为终端有限公司 | 移动终端接入家庭网络的方法和设备 |
| US20140337950A1 (en) * | 2013-05-07 | 2014-11-13 | Futurewei Technologies, Inc. | Method and Apparatus for Secure Communications in a Wireless Network |
| US8964595B2 (en) * | 2013-06-11 | 2015-02-24 | Seven Networks, Inc. | Quality of experience enhancement for wireless networks based on received signal strength at a mobile device |
| CN104981000B (zh) * | 2015-07-20 | 2018-06-08 | 陕西师范大学 | 一种隐身WiFi热点自动接入装置及方法 |
-
2016
- 2016-06-30 CN CN201610506635.8A patent/CN107567017B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006119281A2 (en) * | 2005-05-03 | 2006-11-09 | Packethop, Inc. | Discovery and authentication scheme for wireless mesh networks |
| WO2008063728A2 (en) * | 2006-11-20 | 2008-05-29 | At & T Knowledge Ventures, L.P. | Methods and apparatus to manage bandwidth in a wireless network |
| CN103636185A (zh) * | 2011-03-15 | 2014-03-12 | 高通股份有限公司 | 通过使用无线网络在物理商家场所内标识用户 |
| CN104871598A (zh) * | 2012-09-24 | 2015-08-26 | 英国电讯有限公司 | 无线接入点 |
| WO2014176503A1 (en) * | 2013-04-25 | 2014-10-30 | Accelera Mobile Broadband, Inc. | Cloud-based management platform for heterogeneous wireless devices |
| CN104348686A (zh) * | 2013-08-06 | 2015-02-11 | 华为终端有限公司 | 一种终端设备与网关设备间的互联方法和装置 |
| CN104469820A (zh) * | 2013-09-23 | 2015-03-25 | 中兴通讯股份有限公司 | 一种终端的无线局域网模块控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107567017A (zh) | 2018-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11310239B2 (en) | Network connection method, hotspot terminal and management terminal | |
| CN107567017B (zh) | 无线连接系统、装置及方法 | |
| WO2017041675A1 (zh) | 一种发送和获取wifi联网信息的方法和对应装置 | |
| US20160269176A1 (en) | Key Configuration Method, System, and Apparatus | |
| TW201706900A (zh) | 終端的認證處理、認證方法及裝置、系統 | |
| JP6668407B2 (ja) | 移動通信システムに用いられる端末認証方法及び装置 | |
| US20150009862A1 (en) | Wireless Network Connection Establishment Method and Terminal Device | |
| CN111465014B (zh) | 一种安全认证方法、配置方法以及相关设备 | |
| US9967099B2 (en) | Method and apparatus for providing information | |
| US20120076072A1 (en) | System and method for maintaining privacy in a wireless network | |
| KR101720043B1 (ko) | 무선랜 환경에서의 인증 시스템 및 그 방법 | |
| EP2999250B1 (en) | Method and apparatus for interconnection between terminal device and gateway device | |
| US11706823B2 (en) | Communication management and wireless roaming support | |
| CN102739642A (zh) | 许可访问网络 | |
| KR20160058491A (ko) | 사용자 기기의 식별자에 기반하여 서비스를 제공하는 방법 및 장치 | |
| CN104009925A (zh) | 路由器的桥接建立方法、装置和路由器 | |
| CN106341815B (zh) | 一种无线连接方法、终端及ap | |
| JP2017539176A (ja) | デバイス構成のための方法およびデバイス | |
| WO2017091987A1 (zh) | 一种终端间的安全交互方法及装置 | |
| WO2017185460A1 (zh) | 一种接入网络的方法、终端及接入点 | |
| CN116669026B (zh) | 密码更新方法、系统、电子设备及计算机可读存储介质 | |
| WO2022127808A1 (zh) | 授信中继通信方法、装置、终端及网络侧设备 | |
| CN117561749A (zh) | 预配无头wifi设备以及相关系统、方法和设备 | |
| TW201828756A (zh) | 發送和獲取wifi聯網資訊的方法和對應裝置 | |
| JP2006042207A (ja) | 通信機器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |