CN108012269B - 一种无线接入方法、装置及设备 - Google Patents
一种无线接入方法、装置及设备 Download PDFInfo
- Publication number
- CN108012269B CN108012269B CN201711298886.2A CN201711298886A CN108012269B CN 108012269 B CN108012269 B CN 108012269B CN 201711298886 A CN201711298886 A CN 201711298886A CN 108012269 B CN108012269 B CN 108012269B
- Authority
- CN
- China
- Prior art keywords
- terminal
- key
- pmkid
- access
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供了一种无线接入方法、装置及设备,方法包括:接入设备接收终端发送的关联报文,关联报文中携带PMKID;如果接入设备中不存在该PMKID,接入设备向认证服务器发送针对该终端的密钥请求,并接收认证服务器发送的密钥信息,根据该密钥信息,生成该终端的PMK,根据所生成的PMK及转发该关联报文的AP的BSSID,生成PMKID,并在所生成的PMKID与关联报文中携带的PMKID相同的情况下,通过与终端交互生成PTK,完成无线接入过程。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种无线接入方法、装置及设备。
背景技术
在一些应用WLAN(Wireless Local Area Networks,无线局域网)的场景中,通常存在不同厂家生产的接入设备,该接入设备可以为AP(Access Point,接入点)、AC(AccessController,接入控制器)等等。这些不同厂家生产的接入设备之间不进行通信。
如果终端需要更换接入的接入设备,将更换后的接入设备称为新接入设备,也就是终端需要与该新接入设备进行无线接入。无线接入的过程可以包括:终端向新接入设备发送关联报文,该报文中携带PMKID(Pairwise Master Key Identifier,对称主密钥标识),该PMKID根据转发该关联报文的AP的BSSID(基本服务集标识即为,Basic Service SetIdentifier)及该终端的PMK(Pairwise Master Key identifier,对称主密钥)得到;如果新接入设备中存在该PMKID,则新接入设备对该关联报文验证通过,新接入设备通过与该终端交互,生成对称临时密钥PTK(Pairwise Transient Key,对称临时密钥),接入完成。
如果新接入设备与该终端接入的原接入设备来自于不同厂家,则原接入设备与新接入设备之间不能通信,则新接入设备不能获取原接入设备中的PMK,进而不能生成PMKID,这样,新接入设备对该关联报文验证不通过,不能生成PTK,无线接入失败。可见,现有方案中,终端不能与不同厂家的接入设备进行无线接入。
发明内容
本发明实施例的目的在于提供一种无线接入方法、装置及设备,以实现终端与不同厂家的接入设备进行无线接入。
为达到上述目的,本发明实施例提供了一种无线接入方法,应用于接入设备,所述方法包括:
接收终端发送的关联报文,所述关联报文中携带对称主密钥标识PMKID;
判断所述接入设备中是否存在所述PMKID;
如果不存在,向认证服务器发送针对所述终端的密钥请求,并接收所述认证服务器发送的密钥信息,根据所述密钥信息,生成所述终端的对称主密钥PMK,根据所生成的PMK、以及转发所述关联报文的接入点的基本服务集标识BSSID,生成PMKID;若所生成的PMKID与所述关联报文中携带的PMKID相同,则通过与所述终端交互,生成用于无线接入后进行数据交互的对称临时密钥PTK。
为达到上述目的,本发明实施例还提供了一种无线接入装置,应用于接入设备,所述装置包括:
第一接收模块,用于接收终端发送的关联报文,所述关联报文中携带对称主密钥标识PMKID;
第一判断模块,用于判断所述接入设备中是否存在所述PMKID;如果不存在,触发第一发送模块;
第一发送模块,用于向认证服务器发送针对所述终端的密钥请求;
第二接收模块,用于接收所述认证服务器发送的密钥信息;
第一生成模块,用于根据所述密钥信息,生成所述终端的对称主密钥PMK;根据所生成的PMK、以及转发所述关联报文的接入点的基本服务集标识BSSID,生成PMKID;若所生成的PMKID与所述关联报文中携带的PMKID相同,触发交互模块;
交互模块,用于通过与所述终端交互,生成用于无线接入后进行数据交互的对称临时密钥PTK。
为达到上述目的,本发明实施例还提供了一种接入设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一种无线接入方法。
为达到上述目的,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种无线接入方法。
应用本发明实施例,接入设备接收终端发送的关联报文,关联报文中携带PMKID;如果接入设备中不存在该PMKID,接入设备向认证服务器发送针对该终端的密钥请求,并接收认证服务器发送的密钥信息,根据该密钥信息,生成该终端的PMK,根据所生成的PMK及转发该关联报文的AP的BSSID,生成PMKID,并在所生成的PMKID与关联报文中携带的PMKID相同的情况下,通过与终端交互生成PTK,完成无线接入过程。
可见,在本方案中,即使终端接入的原接入设备与新接入设备来自于不同厂家,新接入设备不能从原接入设备中获取到PMK,新接入设备也能通过认证服务器获取到该终端的PMK,根据该PMK生成PMKID,进而完成无线接入过程;实现了终端与不同厂家的接入设备进行无线接入。
当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种应用于接入设备的无线接入方法的流程示意图;
图2为本发明实施例提供的一种应用于服务器的无线接入方法的流程示意图;
图3为本发明实施例提供的一种应用于接入设备的无线接入装置的结构示意图;
图4为本发明实施例提供的一种应用于服务器的无线接入装置的结构示意图;
图5为本发明实施例提供的一种接入设备的结构示意图;
图6为本发明实施例提供的一种服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决上述技术问题,本发明实施例提供了一种应用于接入设备的无线接入方法及装置、一种应用于服务器的无线接入方法及装置、一种接入设备以及一种服务器。
该接入设备可以理解为IEEE(nstitute of Electrical and ElectronicsEngineers,电气和电子工程师协会)802协议中的Authenticator(认证者),Authenticator可以为AP、或者AC、或者其他,具体不做限定。
下面首先对本发明实施例提供的一种应用于接入设备的无线接入方法进行详细说明。
图1为本发明实施例提供的一种应用于接入设备的无线接入方法的流程示意图,包括:
S101:接收终端发送的关联报文,该关联报文中携带PMKID。
该关联报文可以为association,也可以为reassociation(重关联报文)。终端可以预先扫描得到需要进行无线接入的接入设备的地址,根据该地址向该接入设备发送关联报文。
S102:判断该接入设备中是否存在该PMKID,如果是,执行S103,如果否,执行S104-S107。
S103:通过与该终端交互,生成用于无线接入后进行数据交互的PTK。
PTK中通常包括密钥加密密钥、密钥验证密钥和会话密钥,其中,密钥加密密钥用于传输新密钥,密钥验证密钥用于验证发送者的身份,防止伪造,会话密钥用于加密会话数据,防泄密。
举例来说,接入设备与终端可以先通过EAPOL-KEY 4次握手的过程交互Anonce和SNonce,其中,Anonce为接入设备生成的随机数,SNonce为终端生成的随机数。然后接入设备与终端分别利用相同的摘要算法,对PMK、Anonce、Snonce、终端的MAC地址、接入设备的MAC地址进行运算,得到PTK。
可以理解,接入设备与终端得到的PTK相同,接入设备与终端可以利用该PTK中的会话密钥进行会话,也就是说终端与该接入设备无线接入成功。或者,如果接入设备为AC,接入设备也可以将该PTK发送至AP,AP利用该PTK中的会话密钥与终端进行会话,也就是说终端与AP无线接入成功。会话即为无线接入后终端与AP进行的数据交互。
S104:向认证服务器发送针对该终端的密钥请求。
作为一种实施方式,可以定义一种新的EAPOL(EAP over LANs,基于局域网的扩展认证协议)类型,将其称之为EAPL-KEY-REQUEST,将该EAPL-KEY-REQUEST作为密钥请求发送给认证服务器。
举例来说,EAPL-KEY-REQUEST中可以包括该终端的地址信息和认证方式信息,以使认证服务器根据该终端的地址信息和认证方式信息,验证该EAPL-KEY-REQUEST的合法性。
比如,EAPL-KEY-REQUEST可以如表1所示:
| Protocol Version(协议版本) |
| Packet Type(包类型) |
| Packet Body Length(包体长度) |
| Supplicant MAC(终端的MAC地址) |
| EAP method(认证方式) |
在表1中,包类型可以为EAPL-KEY-REQUEST,认证方式是可选的,比如,可以为EAP(Extensible Authentication Protocol,可扩展认证协议)method,或者也可以为其他。接入设备预先确定该终端向认证服务器发起认证的方式。
认证服务器接收到该EAPL-KEY-REQUEST后,可以根据Supplicant MAC确定该终端已经成功认证过的认证方式,或者说已认证方式信息,判断该已认证方式信息与该EAPL-KEY-REQUEST中的EAP method是否相同,如果不同,表示验证该EAPL-KEY-REQUEST非法,这种情况下,认证服务器可以向该接入设备发送Reject报文,如果接入设备与认证服务器之间通过Radius协议进行信息交互,则该Reject报文可以为Radius Reject报文。或者,认证服务器在验证该EAPL-KEY-REQUEST非法的情况下,也可以不向接入设备发送报文。
如果认证服务器判定该已认证方式信息与该EAPL-KEY-REQUEST中的EAP method相同,表示验证该EAPL-KEY-REQUEST合法,这种情况下,认证服务器获取该终端对应的密钥信息,并将该密钥信息发送给该接入设备。该密钥信息可以为AAA密钥。
举例来说,认证服务器可以先在自身中查找终端对应的AAA密钥;如果未查找到,认证服务器与该终端进行接入认证,通过接入认证获取终端对应的AAA密钥。
作为一种实施方式,如果认证服务器在自身中未查找到终端对应的AAA密钥,可以向接入设备发送Radius Reject报文,接入设备接收到该Radius Reject报文后向终端发送提示信息,终端接收到该提示信息后向认证服务器发起接入认证过程,该接入认证过程可以为802.1X中的认证过程,具体不再赘述。通过该接入认证过程,认证服务器获取到终端对应的AAA密钥。
或者,作为另一种实施方式,如果认证服务器在自身中未查找到终端对应的AAA密钥,认证服务器不向接入设备发送报文;接入设备判定在发送密钥请求后的预设时间段内未接收到认证服务器反馈的报文,便向终端发送提示信息,终端接收到该提示信息后向认证服务器发起接入认证过程,该接入认证过程可以为802.1X中的认证过程,具体不再赘述。通过该接入认证过程,认证服务器获取到终端对应的AAA密钥。
S105:接收该认证服务器发送的密钥信息,根据该密钥信息,生成该终端的PMK。
接入设备可以根据该AAA密钥,得到终端的PMK。
S106:根据所生成的PMK、以及转发该关联报文的接入点的基本服务集标识,生成PMKID。
基本服务集标识即为BSSID(basic service set identifier)。接入点即为AP,接入点与本发明实施例的执行主体接入设备可以为相同的设备,也可以为不同的设备。
举例来说,在一些网络结构中,AC对AP进行管理,这种网络结构中,AC作为执行主体执行本发明实施例。而在另一些网络结构中,具有管理功能的AP代替AC对其他AP进行管理,这种具有管理功能的AP既可以转发报文,又可以对其他AP进行管理,这种网络结构中,该具有管理功能的AP可以作为执行主体执行本发明实施例。
如果执行主体为AC,则接入点与执行主体为不同的设备;如果执行主体为AP,一些情况下,接入点与执行主体为相同的设备,另一些情况下,接入点与执行主体为不同的设备。
比如,如果执行主体AP接收到的关联报文是终端直接发送的,则接入点与执行主体AP可以为相同的设备。如果执行主体AP接收到的关联报文是其他AP转发的,则该其他AP为接入点,也就是说,接入点与执行主体为不同的设备。
作为一种实施方式,执行主体为AC,终端将关联报文发送至AP,AP再将该关联报文转发至本AC,本AC可以预先获取该AP的BSSID,并根据终端的PMK及该AP的BSSID,生成PMKID。
举例来说,接入设备可以利用预设摘要算法,对PMK、终端的地址、AP的BSSID进行运算,得到PMKID。
具体的,接入设备可以利用如下算法得到PMKID:
PMKID=HMAC-SHA1-128(PMK,"PMK Name"||BSSID||SPA);
其中,HMAC-SHA1-128表示摘要算法,SPA表示终端的地址,"PMK Name"||BSSID||SPA表示PMK Name、BSSID和SPA这三者组合后的字符串。
S107:若所生成的PMKID与该关联报文中携带的PMKID相同,则通过与该终端交互,生成用于无线接入后进行数据交互的PTK。
关联报文中携带的PMKID是根据终端的PMK及AP的BSSID生成的,S106中生成的PMKID也是根据终端的PMK及AP的BSSID生成的,因此,如果终端为合法终端,而且终端与接入设备、终端与认证服务器、接入设备与认证服务器之间的通信过程中,传输的数据未被篡改,则S106中生成的PMKID与关联报文中携带的PMKID相同,这种情况下,接入设备通过与该终端交互,生成用于无线接入后进行数据交互的PTK。
如上所述,接入设备与终端可以先通过EAPOL-KEY 4次握手的过程交互Anonce和SNonce,其中,Anonce为接入设备生成的随机数,SNonce为终端生成的随机数。然后接入设备与终端分别利用相同的摘要算法,对PMK、Anonce、Snonce、终端的MAC地址、接入设备的MAC地址进行运算,得到PTK。
可以理解,接入设备与终端得到的PTK相同,接入设备与终端可以利用该对称临时密钥中的会话密钥进行会话,也就是说终端与该接入设备完成了无线接入过程。或者,如果接入设备为AC,接入设备也可以将该对称临时密钥发送至AP,AP利用该对称临时密钥中的会话密钥与终端进行会话,也就是说终端与AP无线接入成功。会话即为无线接入后终端与AP进行的数据交互。
如果S106中生成的PMKID与关联报文中携带的PMKID不同,则表示终端为非法终端,或者表示终端与接入设备、或者终端与认证服务器、或者接入设备与认证服务器的通信过程中,传输的数据被篡改,这种情况下,接入设备不再与终端继续交互,无线接入失败,这样可以保护接入设备的安全。
作为一种实施方式,在S102判定所述接入设备中不存在所述PMKID的情况下,还可以继续判断接入设备中是否存在所述终端的PMK:
如果存在,根据所述终端的PMK、以及转发所述关联报文的接入点的BSSID,生成PMKID;然后直接执行S107;如果不存在,则执行S104-S107。
在一些场景中,接入设备中虽未存储关联报文中携带的PMKID,但存储了终端的PMK,这种情况下,接入设备将存储的终端的PMK与接入点AP的BSSID进行计算,即可生成PMKID,不需要再向认证服务器发送密钥请求,简化了流程,提高了无线接入效率。
举例来说,假设终端需要更换接入的AP,由AP1更换为AP2,AP1与AP2由同一台AC进行管理。该AC中存储有终端的PMK和PMKID1,PMKID1根据该终端的PMK与AP1的BSSID生成。该AC中还存储有AP1的BSSID及AP2的BSSID。
终端向AP2发送关联报文,该关联报文中携带有PMKID2,PMKID2根据该终端的PMK与AP2的BSSID生成。AP2将该关联报文转发至AC,AC接收到该关联报文后,判定AC中不存在PMKID2,但存在该终端的PMK。
这种情况下,AC根据该终端的PMK及AP2的BSSID生成PMKID2,将生成的PMKID2与关联报文中携带的PMKID2进行对比,判定二者相同,则AC通过与该终端交互,生成PTK,将该PTK发送至AP2,AP2可以通过该PTK与该终端进行会话,无线接入完成。
可见,AC将存储的终端的PMK与AP2的BSSID进行计算,即可生成PMKID,不需要再向认证服务器发送密钥请求,简化了流程,提高了无线接入效率。
应用本发明图1所示实施例,即使终端接入的原接入设备与新接入设备来自于不同厂家,新接入设备不能从原接入设备中获取到PMK,新接入设备也能通过认证服务器获取到该终端的PMK,根据该PMK生成PMKID,进而完成无线接入过程;实现了终端与不同厂家的接入设备进行无线接入。
本发明实施例还提供一种应用于服务器的无线接入方法,如图2所示,包括:
S201:接收接入设备发送的密钥请求,该密钥请求中包括终端的地址信息、认证方式信息。
根据图1实施例中的内容,接入设备在判定自身不存在关联报文中携带的PMKID的情况下,或者,在判定自身不存在关联报文中携带的PMKID、而且不存在发送该关联报文的终端的PMK的情况下,向服务器发送密钥请求。
密钥请求中包含的终端的地址信息即为发送该关联报文的终端的地址信息,比如可以为MAC地址,或者也可以为其他地址,具体不做限定。密钥请求中包含的认证方式信息为终端向服务器发起认证的方式。
作为一种实施方式,该密钥请求可以为一种新的EAPOL类型,将其称之为EAPL-KEY-REQUEST。比如,EAPL-KEY-REQUEST可以如上述表1所示。
S202:确定该终端的已认证方式信息,判断该已认证方式信息与该密钥请求中包括的认证方式信息是否相同。
服务器接收到该EAPL-KEY-REQUEST后,可以根据终端的地址信息确定该终端已经成功认证过的认证方式,或者说已认证方式信息,判断该已认证方式信息与该EAPL-KEY-REQUEST中的认证方式是否相同,如果不同,表示验证该EAPL-KEY-REQUEST非法,这种情况下,服务器可以向该接入设备发送Reject报文,如果接入设备与服务器之间通过Radius协议进行信息交互,则该Reject报文可以为Radius Reject报文。或者,服务器在验证该EAPL-KEY-REQUEST非法的情况下,也可以不向接入设备发送报文。
如果服务器判定该已认证方式信息与该EAPL-KEY-REQUEST中的认证方式相同,表示验证该EAPL-KEY-REQUEST合法,这种情况下,执行S203。
S203:获取该终端对应的密钥信息,将所获取的密钥信息发送至该接入设备,以使该接入设备根据该密钥信息与该终端进行无线接入。
该密钥信息可以为AAA密钥。举例来说,服务器可以先在自身中查找终端对应的AAA密钥;如果未查找到,服务器与该终端进行接入认证,通过接入认证获取终端对应的AAA密钥。
作为一种实施方式,S203可以包括:在该服务器自身中查找该终端对应的密钥信息;如果未查找到,与所述终端进行接入认证,通过所述接入认证获取所述终端对应的密钥信息。
如果服务器在自身中未查找到终端对应的AAA密钥,可以向接入设备发送RadiusReject报文,接入设备接收到该Radius Reject报文后向终端发送提示信息,终端接收到该提示信息后向服务器发起接入认证过程,该接入认证过程可以为802.1X中的认证过程,具体不再赘述。通过该接入认证过程,服务器获取到终端对应的AAA密钥。
或者,如果服务器在自身中未查找到终端对应的AAA密钥,服务器不向接入设备发送报文;接入设备判定在发送密钥请求后的预设时间段内未接收到服务器反馈的报文,便向终端发送提示信息,终端接收到该提示信息后向服务器发起接入认证过程,该接入认证过程可以为802.1X中的认证过程,具体不再赘述。通过该接入认证过程,服务器获取到终端对应的AAA密钥。
应用本发明图2所示实施例,即使终端接入的原接入设备与新接入设备来自于不同厂家,新接入设备不能从原接入设备中获取到PMK,新接入设备也能通过服务器获取到该终端的PMK,根据该PMK生成对称PMKID,进而完成无线接入过程;实现了终端与不同厂家的接入设备进行无线接入。
与上述方法实施例相对应,本发明实施例还提供一种无线接入装置。
图3为本发明实施例提供的一种应用于接入设备的无线接入装置的结构示意图,包括:
第一接收模块301,用于接收终端发送的关联报文,所述关联报文中携带对称主密钥标识PMKID;
第一判断模块302,用于判断所述接入设备中是否存在所述PMKID;如果存在,触发交互模块303,如果不存在,触发第一发送模块304;
交互模块303,用于通过与所述终端交互,生成用于无线接入后进行数据交互的对称临时密钥PTK;
第一发送模块304,用于向认证服务器发送针对所述终端的密钥请求;
第二接收模块305,用于接收所述认证服务器发送的密钥信息;
第一生成模块306,用于根据所述密钥信息,生成所述终端的PMK;根据所生成的PMK、以及转发所述关联报文的接入点的BSSID,生成PMKID;若所生成的PMKID与所述关联报文中携带的PMKID相同,触发交互模块。
作为一种实施方式,所述装置还可以包括:第二判断模块和第二生成模块(图中未示出),其中,
第二判断模块,用于在所述第一判断模块判断结果为否的情况下,判断所述接入设备中是否存在所述终端的PMK;如果存在,触发第二生成模块,如果不存在,触发第一发送模块;
第二生成模块,用于根据所述终端的PMK、以及转发所述关联报文的接入点的BSSID,生成对PMKID;若所生成的PMKID与所述关联报文中携带的PMKID相同,触发交互模块。
作为一种实施方式,所述装置还可以包括:第二发送模块和第三接收模块(图中未示出),其中,
第二发送模块,用于在未接收到所述认证服务器发送的密钥信息的情况下,向所述终端发送提示信息,以使所述终端接收到所述提示信息后与所述认证服务器进行接入认证;
第三接收模块,用于接收所述认证服务器发送的密钥信息,所述密钥信息为所述认证服务器通过所述接入认证获取到的所述终端对应的密钥信息。
作为一种实施方式,所述密钥请求中包括所述终端的地址信息和认证方式信息,以使所述认证服务器根据所述终端的地址信息和认证方式信息,验证所述密钥请求的合法性。
图4为本发明实施例提供的一种应用于服务器的无线接入装置的结构示意图,包括:
接收模块401,用于接收接入设备发送的密钥请求,所述密钥请求中包括终端的地址信息、认证方式信息;
判断模块402,用于确定所述终端的已认证方式信息,判断所述已认证方式信息与所述密钥请求中包括的认证方式信息是否相同;如果相同,触发发送模块;
获取模块403,用于获取所述终端对应的密钥信息,
发送模块404,用于将所获取的密钥信息发送至所述接入设备,以使所述接入设备根据所述密钥信息与所述终端进行无线接入。
作为一种实施方式,获取模块403,具体可以用于:
在所述服务器中查找所述终端对应的密钥信息;
如果未查找到,与所述终端进行接入认证,通过所述接入认证获取所述终端对应的密钥信息。
本发明实施例还提供了一种接入设备,如图5所示,包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信,
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,实现上述任一种应用于接入设备的无线接入方法。
上述接入设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述接入设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例还提供了一种服务器,如图6所示,包括处理器601、通信接口602、存储器603和通信总线604,其中,处理器601,通信接口602,存储器603通过通信总线604完成相互间的通信,
存储器603,用于存放计算机程序;
处理器601,用于执行存储器603上所存放的程序时,实现上述任一种应用于服务器的无线接入方法。
上述服务器提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述服务器与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种应用于接入设备的无线接入方法。
本发明实施例还提供另一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种应用于服务器的无线接入方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于图3所示的无线接入装置实施例、图5所示的接入设备实施例、上述一种计算机可读存储介质实施例而言,由于其基本相似于图1所示的无线接入方法实施例,所以描述的比较简单,相关之处参见图1所示的无线接入方法实施例的部分说明即可;对于图4所示的无线接入装置实施例、图6所示的接入设备实施例、上述另一种计算机可读存储介质实施例而言,由于其基本相似于图2所示的无线接入方法实施例,所以描述的比较简单,相关之处参见图2所示的无线接入方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (8)
1.一种无线接入方法,其特征在于,应用于接入设备,所述方法包括:
接收终端发送的关联报文,所述关联报文中携带对称主密钥标识PMKID;
判断所述接入设备中是否存在所述PMKID;
如果不存在,向认证服务器发送针对所述终端的密钥请求,所述密钥请求中包括所述终端的地址信息和认证方式信息,以使得所述认证服务器在确定所述终端的已认证方式信息与所述密钥请求中包括的认证方式信息相同时,向所述接入设备发送所述终端对应的密钥信息;
接收所述认证服务器发送的密钥信息,根据所述密钥信息,生成所述终端的对称主密钥PMK,根据所生成的PMK、以及转发所述关联报文的接入点的基本服务集标识BSSID,生成PMKID;若所生成的PMKID与所述关联报文中携带的PMKID相同,则通过与所述终端交互,生成用于无线接入后进行数据交互的对称临时密钥PTK。
2.根据权利要求1所述的方法,其特征在于,在判定所述接入设备中不存在所述PMKID的情况下,还包括:
判断所述接入设备中是否存在所述终端的PMK;
如果存在,根据所述终端的PMK、以及转发所述关联报文的接入点的BSSID,生成PMKID;若所生成的PMKID与所述关联报文中携带的PMKID相同,则通过与所述终端交互,生成用于无线接入后进行数据交互的PTK;
如果不存在,执行所述向认证服务器发送密钥请求的步骤。
3.根据权利要求1所述的方法,其特征在于,在所述向认证服务器发送针对所述终端的密钥请求之后,还包括:
若未接收到所述认证服务器发送的密钥信息,向所述终端发送提示信息,以使所述终端接收到所述提示信息后与所述认证服务器进行接入认证;
接收所述认证服务器发送的密钥信息,所述密钥信息为所述认证服务器通过所述接入认证获取到的所述终端对应的密钥信息。
4.一种无线接入装置,其特征在于,应用于接入设备,所述装置包括:
第一接收模块,用于接收终端发送的关联报文,所述关联报文中携带对称主密钥标识PMKID;
第一判断模块,用于判断所述接入设备中是否存在所述PMKID;如果不存在,触发第一发送模块;
第一发送模块,用于向认证服务器发送针对所述终端的密钥请求,所述密钥请求中包括所述终端的地址信息和认证方式信息,以使得所述认证服务器在确定所述终端的已认证方式信息与所述密钥请求中包括的认证方式信息相同时,向所述接入设备发送所述终端对应的密钥信息;
第二接收模块,用于接收所述认证服务器发送的密钥信息;
第一生成模块,用于根据所述密钥信息,生成所述终端的对称主密钥PMK;根据所生成的PMK、以及转发所述关联报文的接入点的基本服务集标识BSSID,生成PMKID;若所生成的PMKID与所述关联报文中携带的PMKID相同,触发交互模块;
交互模块,用于通过与所述终端交互,生成用于无线接入后进行数据交互的对称临时密钥PTK。
5.根据权利要求4所述的装置,其特征在于,所述装置还包括:
第二判断模块,用于在所述第一判断模块判断结果为否的情况下,判断所述接入设备中是否存在所述终端的PMK;如果存在,触发第二生成模块,如果不存在,触发第一发送模块;
第二生成模块,用于根据所述终端的PMK、以及转发所述关联报文的接入点的BSSID,生成PMKID;若所生成的PMKID与所述关联报文中携带的PMKID相同,触发所述交互模块。
6.根据权利要求4所述的装置,其特征在于,所述装置还包括:
第二发送模块,用于在未接收到所述认证服务器发送的密钥信息的情况下,向所述终端发送提示信息,以使所述终端接收到所述提示信息后与所述认证服务器进行接入认证;
第三接收模块,用于接收所述认证服务器发送的密钥信息,所述密钥信息为所述认证服务器通过所述接入认证获取到的所述终端对应的密钥信息。
7.一种接入设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-3任一所述的方法步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-3任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711298886.2A CN108012269B (zh) | 2017-12-08 | 2017-12-08 | 一种无线接入方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711298886.2A CN108012269B (zh) | 2017-12-08 | 2017-12-08 | 一种无线接入方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108012269A CN108012269A (zh) | 2018-05-08 |
| CN108012269B true CN108012269B (zh) | 2021-03-02 |
Family
ID=62057633
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711298886.2A Active CN108012269B (zh) | 2017-12-08 | 2017-12-08 | 一种无线接入方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108012269B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111432407A (zh) * | 2019-01-10 | 2020-07-17 | 钉钉控股(开曼)有限公司 | 身份验证方法、装置、设备和系统 |
| CN113347069B (zh) * | 2021-04-23 | 2022-09-09 | 宁波奥克斯电气股份有限公司 | 一种家电设备的配网方法、装置、家电设备及服务器 |
| CN116137711A (zh) * | 2021-11-17 | 2023-05-19 | 荣耀终端有限公司 | 一种用户隐私保护方法、装置及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101155092A (zh) * | 2006-09-29 | 2008-04-02 | 西安电子科技大学 | 一种无线局域网接入方法、设备及系统 |
| CN101917695A (zh) * | 2010-09-13 | 2010-12-15 | 上海市共进通信技术有限公司 | 基于802.11标准的无线网络漫游的快速切换方法 |
| CN101951587A (zh) * | 2010-09-13 | 2011-01-19 | 上海市共进通信技术有限公司 | 在802.11标准无线网络中实现快速漫游切换的方法 |
| CN102843687A (zh) * | 2012-09-18 | 2012-12-26 | 惠州Tcl移动通信有限公司 | 智能手机便携式热点安全接入的方法及系统 |
| CN103888941A (zh) * | 2012-12-20 | 2014-06-25 | 杭州华三通信技术有限公司 | 一种无线网络密钥协商的方法及装置 |
| CN106162633A (zh) * | 2015-04-20 | 2016-11-23 | 北京华为数字技术有限公司 | 一种密钥传输方法和装置 |
| CN106912049A (zh) * | 2017-04-05 | 2017-06-30 | 深圳市风云实业有限公司 | 改善用户认证体验的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10111095B2 (en) * | 2016-03-14 | 2018-10-23 | Verizon Patent And Licensing Inc. | Caching a pairwise master key for dropped wireless local area network (WLAN) connections to prevent re-authentication |
-
2017
- 2017-12-08 CN CN201711298886.2A patent/CN108012269B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101155092A (zh) * | 2006-09-29 | 2008-04-02 | 西安电子科技大学 | 一种无线局域网接入方法、设备及系统 |
| CN101917695A (zh) * | 2010-09-13 | 2010-12-15 | 上海市共进通信技术有限公司 | 基于802.11标准的无线网络漫游的快速切换方法 |
| CN101951587A (zh) * | 2010-09-13 | 2011-01-19 | 上海市共进通信技术有限公司 | 在802.11标准无线网络中实现快速漫游切换的方法 |
| CN102843687A (zh) * | 2012-09-18 | 2012-12-26 | 惠州Tcl移动通信有限公司 | 智能手机便携式热点安全接入的方法及系统 |
| CN103888941A (zh) * | 2012-12-20 | 2014-06-25 | 杭州华三通信技术有限公司 | 一种无线网络密钥协商的方法及装置 |
| CN106162633A (zh) * | 2015-04-20 | 2016-11-23 | 北京华为数字技术有限公司 | 一种密钥传输方法和装置 |
| CN106912049A (zh) * | 2017-04-05 | 2017-06-30 | 深圳市风云实业有限公司 | 改善用户认证体验的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于WLAN的DOT1X和快速漫游系统设计与实现;林永陶;《中国优秀硕士学位论文全文数据库 信息科技辑》;20170331;正文第11-14、45-50页,图2.3、4.22 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108012269A (zh) | 2018-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11405780B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
| US11825303B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
| JP6262308B2 (ja) | リンク設定および認証を実行するシステムおよび方法 | |
| US8140845B2 (en) | Scheme for authentication and dynamic key exchange | |
| WO2018050081A1 (zh) | 设备身份认证的方法、装置、电子设备及存储介质 | |
| US9843575B2 (en) | Wireless network authentication method and wireless network authentication apparatus | |
| WO2018040758A1 (zh) | 认证方法、认证装置和认证系统 | |
| US7171555B1 (en) | Method and apparatus for communicating credential information within a network device authentication conversation | |
| TWI234978B (en) | System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN | |
| KR100729105B1 (ko) | 비 유에스아이엠 단말기에서의 이에이피-에이케이에이 인증처리 장치 및 방법 | |
| JP5677896B2 (ja) | サービスプロバイダから受け取ったチャレンジに対する応答を発生させる擬似シークレットキー発生のための方法および装置 | |
| US20130219180A1 (en) | Data processing for securing local resources in a mobile device | |
| CN110798833A (zh) | 一种鉴权过程中验证用户设备标识的方法及装置 | |
| US20050271209A1 (en) | AKA sequence number for replay protection in EAP-AKA authentication | |
| CN110545252B (zh) | 一种认证和信息保护的方法、终端、控制功能实体及应用服务器 | |
| KR20180057665A (ko) | 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템 | |
| CN104982053B (zh) | 用于获得认证无线设备的永久身份的方法和网络节点 | |
| KR20070103707A (ko) | 이동 통신 시스템의 인증키 생성 방법 | |
| CN114268943A (zh) | 授权方法及装置 | |
| CN108012269B (zh) | 一种无线接入方法、装置及设备 | |
| WO2016011588A1 (zh) | 移动管理实体、归属服务器、终端、身份认证系统和方法 | |
| US8705734B2 (en) | Method and system for authenticating a mobile terminal in a wireless communication system | |
| CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| CN106454826B (zh) | 一种ap接入ac的方法和装置 | |
| CN111246464B (zh) | 身份鉴别方法、装置和系统、计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |