CN112423300A - 无线网络接入认证方法及装置 - Google Patents
无线网络接入认证方法及装置 Download PDFInfo
- Publication number
- CN112423300A CN112423300A CN202011147672.7A CN202011147672A CN112423300A CN 112423300 A CN112423300 A CN 112423300A CN 202011147672 A CN202011147672 A CN 202011147672A CN 112423300 A CN112423300 A CN 112423300A
- Authority
- CN
- China
- Prior art keywords
- wireless network
- configuration information
- network configuration
- pairwise master
- master key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种无线网络接入认证方法及装置,该方法由云服务端根据用户配置的网络配置信息计算得到与该网络配置信息中PSK相匹配的成对主密钥并发送至无线网络接入点。无线网络接入点直接利用云服务端下发的PSK所对应的PMK对请求接入的终端设备进行接入认证。该方案直接由云服务端计算接入认证所需的PMK并下发至无线网络接入点,无线网络接入点不需要计算PMK,云服务端的各类资源远远高于无线网络接入点,因此,加快了接入认证过程,提高了接入认证效率;同时,减少了对无线网络接入点的资源消耗,降低了无线网络接入点的硬件要求,从而降低了无线网络接入点的硬件成本。
Description
技术领域
本申请涉及无线网络技术领域,尤其涉及一种无线网络接入认证方法及装置。
背景技术
无线保真(Wireless Fidelity,WiFi)是一种无线联网技术,随着WiFi技术的普及,几乎所有的智能设备都能通过WiFi技术联网。
相关技术中,终端设备(如,手机、平板等智能设备)接入无线接入点(AccessPoint,AP)时,双方需要使用成对主密钥(Pairwise Master Key,PMK)进行认证,认证成功后终端设备通过WiFi接入点联网。
在包含众多无线网络的应用场景中,例如,企业级WiFi用户,通常会对整个应用场景内的众多WiFi网络进行网络配置,而且,该应用场景中,通常为每一个WiFi网络中不同用户设置一个单独的PSK(PreShared Key,预共享密钥)密码。而且,为了保证联网安全性,通常对各个PSK或SSID(Service Set Identifier,服务集标识)进行修改。由于PMK根据PSK和SSID得到,在修改PSK或SSID后,WiFi接入点需要重新计算与PSK相匹配的PMK进行接入认证。这将导致接入认证过程耗时长、接入认证效率非常低。
发明内容
有鉴于此,本申请提供了一种无线网络接入认证方法及装置,以解决相关技术中修改PSK或SSID后WiFi接入点需要重新计算与PSK相匹配的PMK,导致接入认证耗时长效率低的技术问题。
为解决上述技术问题,一方面,本申请提供了一种无线网络接入认证方法,
第一方面,本申请提供了一种无线网络接入认证方法,应用于云服务端,所述方法包括:
获取无线网络接入点形成的至少一个无线网络的网络配置信息,所述网络配置信息包括服务集标识和预共享密钥中的至少一种;
根据所述网络配置信息获得与所述网络配置信息相匹配的成对主密钥;
将所述网络配置信息和相匹配的成对主密钥发送至所述无线网络接入点,以使所述无线网络接入点通过所述成对主密钥对请求接入的设备进行接入认证。
在第一方面的一种可能的实现方式中,所述根据所述网络配置信息获得与所述网络配置信息相匹配的成对主密钥,包括:
若所述网络配置信息包括服务集标识和至少一个预共享密钥,则根据每一个所述预共享密钥和所述服务集标识,计算得到各个所述预共享密钥对应的新的成对主密钥;
若所述网络配置信息仅包括无线网络的修改后的服务集标识,则根据所述修改后的服务集标识及所述无线网络相匹配的每个预共享密钥,分别计算得到各个所述预共享密钥对应的新的成对主密钥;
若所述网络配置信息包括至少一个修改后的预共享密钥,则根据每一个修改后的预共享密钥及对应的服务集标识,计算得到各个所述修改后的预共享密钥对应的新的成对主密钥。
在第一方面的另一种可能的实现方式中,所述获取无线网络接入点形成的至少一个无线网络的网络配置信息,包括:
获取用户通过云服务操作界面针对所述无线网络接入点形成的任一无线网络所设置的网络配置信息,每一无线网络包括一个所述服务集标识和至少一个不同的预共享密钥。
第二方面,本申请还提供了一种无线网络接入认证方法,应用于无线网络接入点,所述方法包括:
接收云服务端发送的无线网络配置指令,所述无线网络配置指令携带网络配置信息和相匹配的成对主密钥,所述网络配置信息包括服务集标识和预共享密钥中的至少一种;
存储所述网络配置信息及相匹配的成对主密钥;
利用所述预共享密钥对请求接入的终端设备进行接入认证。
在第二方面的一种可能的实现方式中,所述利用所述预共享密钥对请求接入的终端设备进行接入认证,包括:
解析接收到的接入请求获得所述接入请求携带的待认证预共享密钥;
查询与所述待认证预共享密钥相匹配的所述成对主密钥,并直接利用所述成对主密钥对所述接入请求进行接入认证。
在第二方面的另一种可能的实现方式中,所述利用所述成对主密钥对所述接入请求进行接入认证,包括:
所述无线网络接入点产生第一随机数并发送至所述终端设备;
所述终端设备根据请求接入的无线网络的服务集标识和预共享密钥生成的成对主密钥,并利用所述成对主密钥、生成的第二随机数,所述第一随机数,以及,所述终端设备及所述无线网络接入点的媒体存取控制地址进行密钥派生得到第一派生密钥,并将所述第一派生密钥进行加密得到消息完整性校验码及所述第二随机数发送至所述无线网络接入点;
所述无线网络接入点根据所述第二随机数和所述消息完整性校验码,以及从查询得到的所述成对主密钥,验证所述终端设备所使用的所述成对主密钥是否正确;
若所述终端设备使用的所述成对主密钥正确,则向所述终端设备发送验证成功消息;
所述终端设备接收到所述验证成功消息后返回确认消息,并利用所述第一派生密钥对与所述无线网络接入点之间的通信数据进行加密。
第三方面,本申请还提供了一种无线网络接入认证装置,应用于云服务端,所述装置包括:
网络配置获取模块,用于获取无线网络接入点形成的至少一个无线网络的网络配置信息,所述网络配置信息包括服务集标识和预共享密钥中的至少一种;
成对主密钥生成模块,用于根据所述网络配置信息获得与所述网络配置信息相匹配的成对主密钥;
发送模块,用于将所述网络配置信息和相匹配的成对主密钥发送至所述无线网络接入点,以使所述无线网络接入点通过所述成对主密钥对请求接入的设备进行接入认证。
第四方面,本申请还提供了一种无线网络接入认证装置,应用于无线网络接入点,所述装置包括:
接收模块,用于接收云服务端发送的无线网络配置指令,所述无线网络配置指令携带网络配置信息和相匹配的成对主密钥,所述网络配置信息包括服务集标识和预共享密钥中的至少一种;
存储模块,用于根据所述网络配置信息配置无线网络,并存储所述网络配置信息及相匹配的成对主密钥;
认证模块,用于利用所述预共享密钥对请求接入的终端设备进行接入认证。
第五方面,本申请还提供了一种云服务器,包括:
处理器和存储器;
其中,所述处理器用于执行所述存储器中存储的程序;
所述存储器用于存储程序,所述程序至少用于:
获取无线网络接入点形成的至少一个无线网络的网络配置信息,所述网络配置信息包括服务集标识和预共享密钥中的至少一种;
根据所述网络配置信息获得与所述网络配置信息相匹配的成对主密钥;
将所述网络配置信息和相匹配的成对主密钥发送至所述无线网络接入点,以使所述无线网络接入点通过所述成对主密钥对请求接入的设备进行接入认证。
第六方面,本申请还提供了一种无线接入点,包括:
处理器和存储器;
其中,所述处理器用于执行所述存储器中存储的程序;
所述存储器用于存储程序,所述程序至少用于:
接收云服务端发送的无线网络配置指令,所述无线网络配置指令携带网络配置信息和相匹配的成对主密钥,所述网络配置信息包括服务集标识和预共享密钥中的至少一种;
根据所述网络配置信息配置无线网络,并存储所述网络配置信息及相匹配的成对主密钥;
利用所述预共享密钥对请求接入的终端设备进行接入认证。
第七方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有程序指令,所述程序指令被处理器加载并执行时,实现如上第一方面任一项所述的无线网络接入认证方法,或者,实现如上第二方面任一项所述的无线网络接入认证方法。
第八方面,本申请还提供了一种计算机程序产品,当其在计算机设备上执行时,使得所述计算机设备执行上述任意一个实施例中云服务端侧执行的无线网络接入认证方法;或者,上述任意一个实施例中无线网络接入点侧所执行的无线网络接入认证方法。
本申请提供的一种无线网络接入认证方法,该方法由云服务端根据用户配置的网络配置信息计算得到与该网络配置信息中PSK相匹配的成对主密钥并发送至无线网络接入点。无线网络接入点直接利用云服务端下发的与PSK所对应的PMK对请求接入的终端设备进行接入认证。该方案直接由云服务端计算接入认证所需的PMK并下发至无线网络接入点,无线网络接入点不需要计算PMK,云服务端的各类资源远远高于无线网络接入点,因此,加快了接入认证过程,提高了接入认证效率;同时,减少了对无线网络接入点的资源消耗,降低了无线网络接入点的硬件要求,从而降低了无线网络接入点的硬件成本。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1示出了本申请实施例提供的一种无线网络接入认证系统的示意图;
图2示出了本申请实施例提供的一种无线网络接入认证方法的流程图;
图3示出了本申请实施例提供的另一种无线网络接入认证方法的流程图;
图4示出了本申请实施例提供的接入认证过程的流程图;
图5示出了本申请实施例提供的一种无线网络接入认证装置的结构示意图;
图6示出了本申请实施例提供的另一种无线网络接入认证装置的结构示意图;
图7示出了本申请实施例提供的一种云服务器的结构示意图。
具体实施方式
相关技术中的无线网络接入认证方式,无线AP在对请求接入无线网络的终端设备进行接入认证时,需要根据无线网络的SSID和PSK生成PMK,而生成PMK的过程,例如,利用哈希加密算法生成PMK,需要消耗无线AP中的大量资源。而且,在一个无线AP包括众多无线网络的应用场景中,每次修改无线网络的SSID或PSK,都需要重新计算PMK。而在包括众多PSK且频繁修改PSK的场景中,计算PMK将会消耗无线AP大量资源和时间,导致接入认证速度慢、效率低。
为了解决上述技术问题,本申请提供了无线网络接入认证方法,该方法应用于通过云服务端对无线网络进行配置的场景中,由云服务端计算与PSK相匹配的成对主密钥并发送至无线AP,无线AP直接利用云服务端下发的PSK和相匹配的成对主密钥对请求接入的终端设备进行接入认证,云服务端的各类资源远远高于无线网络接入点,因此,极大地加快了接入认证过程,提高了接入认证效率。
为了便于理解本申请的无线网络接入认证方法,首先对无线网络接入认证系统进行介绍。
请参见图1,示出了本申请实施例提供的一种无线网络接入认证系统的示意图,该系统包括:云服务端10、无线AP20、多个终端设备30。
云服务端1可以同时管理多台无线AP,每个无线AP形成的无线网络可以划分为多个子网络,例如,图1中一个无线AP可以形成无线网络1、无线网络2和无线网络3,一个无线AP形成的无线网络数量可以根据不同的应用需求划分。
例如,在同一个企业中,根据不同的应用场景,可以将同一无线AP形成的无线网络划分为3个不同的子网络,例如,分别为企业员工网络、访客网络和设备网络;企业内部员工的终端设备接入员工网络;非企业员工可以接入访客网络;企业内需联网的设备接入设备网络。
不同无线网络的SSID和PSK均不同,甚至同一无线网络中可以设置多个不同的PSK。
例如,针对员工网络可以为企业内的每个员工设置不同的PSK,每个员工可以利用自己的PSK接入员工网络,而且为了保证联网安全性,通常会定期修改员工的PSK。而针对访客网络可以仅设置一个通用PSK且修改频次较低。而对于设备网络可以设置一个通用的PSK且不需修改。
例如,企业管理员可以使用APP、小程序、web网站等通过云服务端对整个企业内的无线网络进行配置。即,由云服务端向无线AP下发网络配置信息(如SSID和PSK),无线AP再根据接收到的网络配置信息配置网络。
发明人在研究本申请的过程中发现,云服务端能够获得所有无线网络的SSID和PSK,而且云服务端的各类资源非常丰富,因此,在本申请的实施例中,由云服务端计算PMK并下发至无线AP,这样不再需要无线AP计算PMK,从而节省了无线AP计算PMK所消耗的时间,提高了接入认证的效率,而且,降低了无线AP的资源消耗。
其中,本文中的云服务端1是采用云技术提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
本申请实施例中,主要使用云服务端1强大的计算能力,即云计算。云计算是一种计算模式,它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展。
请参见图2,示出了本申请实施例提供的一种无线网络接入认证方法的流程图,该方法应用于上述的无线网络接入认证系统中,如图2所示,该方法主要包括以下步骤。
S110,云服务端获取无线AP形成的至少一个无线网络的网络配置信息。
网络管理员使用云服务端的小程序、APP或Web页面配置多个无线网络的网络配置信息,其中,网络配置信息包括SSID和PSK中的至少一种。
例如,网络管理员利用云服务端提供的无线网络配置服务对整个企业的无线网络进行配置,如,首次配置无线网络或配置好无线网络后修改无线网络中的SSID或PSK。
S120,云服务端根据网络配置信息计算得到与该网络配置信息相匹配的PMK。
PMK需要根据无线网络的SSID和PSK经过哈希加密计算得到,例如,可以表示为PMK=SHA(SSID,PSK),其中SHA是指安全散列算法(Secure Hash Algorithm)。
在本申请的一种应用场景下,企业管理员首次配置整个企业的无线网络时,网络配置信息中包括每个无线网络相匹配的SSID和至少一个PSK,例如,在员工网络中为每个员工设置一个PSK,即一个无线网络具有一个SSID和多个不同的PSK。此种应用场景下,云服务端接收到无线网络的网络配置信息后,利用该无线网络对应的SSID和任一PSK计算得到该PSK相匹配的PMK。
在本申请的另一个应用场景下,企业管理员修改无线网络的SSID,此种应用场景中,云服务端根据无线网络的修改后的SSID及云服务端存储的该无线网络相匹配的各个PSK,分别计算得到与各个PSK相匹配的PMK。
在本申请的又一个应用场景下,企业管理员修改无线网络的PSK,此种应用场景下,云服务端根据该无线网络的SSID及各个修改后的PSK,分别计算得到与各修改后的PSK相匹配的PMK。
S130,云服务端将该网络配置信息及相匹配的PMK发送至无线AP。
云服务端将SSID、PSK及相匹配的PMK下发至无线AP,这样,无线AP无需计算接入认证所需的PMK。
在本申请的一个实施例中,云服务端以无线网络配置指令的形式将网络配置信息和PMK发送至无线AP。
S140,无线AP根据接收到的网络配置信息配置无线网络,并利用接收到的PMK对请求接入该无线网络的终端设备进行接入认证。
无线AP接收到云服务端发送的网络配置信息后,先根据该网络配置信息配置相匹配的无线网络。当接收到终端设备的接入请求后,直接利用云服务端发送的与终端设备请求接入的无线网络相匹配的PMK对终端设备进行接入认证。其中后续的接入认证过程即传统的四次握手过程。若接入认证成功则允许该终端设备接入无线网络,若接入认证失败则拒绝终端设备接入无线网络。
本实施例提供的无线网络接入认证方法,该方法由云服务端根据用户配置的网络配置信息计算得到与该无线网络所配置的PSK相匹配的成对主密钥并发送至无线网络接入点。无线网络接入点直接利用云服务端下发的与PSK所对应的PMK对请求接入的终端设备进行接入认证。该方案直接由云服务端计算接入认证所需的PMK并下发至无线网络接入点,无线网络接入点不需要计算PMK,云服务端的各类资源远远高于无线网络接入点,因此,极大地加快了接入认证过程,提高了接入认证效率;同时,减少了对无线网络接入点的资源消耗,降低了无线网络接入点的硬件要求,从而降低了无线网络接入点的硬件成本。
请参见图3,示出了本申请实施例提供的另一种无线网络接入认证方法的流程图,如图3所示,接入认证过程包括以下步骤:
S210,无线AP接收云服务端发送的无线网络配置指令。
无线网络配置指令中携带网络配置信息和相匹配的成对主密钥,其中,网络配置信息包括服务集标识和预共享密钥中的至少一个。
S220,无线AP根据网络配置信息配置无线网络,并存储网络配置信息及相匹配的成对主密钥。
S230,无线AP接收终端设备发起的接入请求,该接入请求携带待认证PSK。
S240,从无线AP本地存储的网络配置信息及相匹配的PMK中,查询得到与待认证PSK相匹配的PMK。
S250,无线AP利用查询得到的PMK对接入请求进行接入认证。
在本申请的一个实施例中,如图4所示,后续的接入认证过程包括以下步骤:
S251,无线AP通过第一消息将产生的第一随机数ANonce发送至终端设备。
无线AP产生一个随机数ANonce并通过EAPOL Key消息发送给终端设备。
S252,终端设备根据已获得的自身及无线AP的信息进行密钥派生得到第一派生密钥PTK,并向无线AP返回携带MIC和SNonce的第二消息。所述MIC根据PTK加密得到。
终端设备根据请求接入的无线网络的SSID和PSK生成PMK,以及产生的第二随机数SNonce。根据ANonce、SNonce、PMK、终端设备的MAC地址和无线AP的MAC地址,利用伪随机算法(pseudo random function,PRF)进行密钥派生得到成对传输密钥(pairwise transientkey,PTK)。进一步,对PTK加密(如,利用KCK加密)得到消息完整性校验码(MessageIntegrity Code,MIC)。终端设备将SNonce和MIC值通过EAPOL Key消息发送给无线AP。
其中,PTK用于单播数据帧的加密和解密。
S253,无线AP根据SNonce和MIC,以及从无线AP查询得到的PMK,验证终端设备所使用的PMK是否正确。
无线AP接收到终端设备发送的SNonce,利用与终端设备相同的计算方法得到MIC,并判断无线AP自己计算得到的MIC与终端设备返回的MIC是否相等,从而验证终端设备所使用的PMK与自己使用的PMK是否一致。
S254,若验证终端设备使用的PMK正确,则向终端设备发送表征验证成功的第三消息。
如果无线AP计算得到的MIC与终端设备返回的MIC相同,表明双方使用的PMK相同,进一步表明双方通过PMK计算得到的PTK相同,无线AP通过EAPOL Key消息向终端设备发送验证成功消息,通知终端设备允许其接入该无线AP。
该步骤中的发送验证成功消息中携带有无线AP进行密钥派生得到的组临时密钥(Group Transient Key,GTK)和MIC值。其中,GTK用于组播数据帧和广播数据帧的加密和解密。
GTK根据主组密钥(group master key,GMK)、ANonce、无线AP的MAC地址通过哈希运算得到。其中,GMK是一个辅助性密钥,是无线AP生成的一个随机数。
S255,终端设备接收到验证成功消息后返回表征确认的第四消息,并利用PTK对与无线AP之间的通信数据进行加密。
终端设备接收到无线AP发送的验证成功消息后,验证无线AP使用的PMK是否正确,该验证过程与无线AP验证终端设备使用的PMK是否正确的过程相似,此处不再赘述。
S256,若终端设备使用的PMK错误,则向终端设备发送表征验证失败的第三消息,拒绝该终端设备接入无线网络。
本实施例提供的无线网络接入方法,无线AP在接收到接入请求后,从本地查询与请求接入的无线网络相匹配的PMK,并直接利用PMK对请求接入的终端设备进行接入认证,对终端设备认证成功后允许该终端设备接入该无线网络,认证失败拒绝该终端设备接入无线网络。该方案直接由云服务端计算接入认证所需的PMK并下发至无线网络接入点,无线网络接入点不需要计算PMK,云服务端的各类资源远远高于无线网络接入点,因此,极大地加快了接入认证过程,提高了接入认证效率。同时,减少了对无线网络接入点的资源消耗,降低了无线网络接入点的硬件要求。
相应于上述的无线网络接入认证方法实施例,本申请还提供了无线网络接入认证装置实施例。
请参见图5,示出了本申请实施例提供的一种无线网络接入认证装置的结构示意图,该装置应用于云服务端,如图5所示,该装置可以包括:
网络配置获取模块110,用于获取无线网络接入点形成的至少一个无线网络的网络配置信息。
所述网络配置信息包括服务集标识和预共享密钥中的至少一种。
网络配置获取模块110具体用于获取用户通过云服务操作界面针对所述无线网络接入点形成的任一无线网络所设置的网络配置信息,每一无线网络包括一个所述服务集标识和至少一个不同的预共享密钥。
成对主密钥生成模块120,用于根据所述网络配置信息获得与所述网络配置信息相匹配的成对主密钥。
在本申请的一种应用场景中,网络配置信息中包括SSID和至少一个PSK,此种应用场景下,成对主密钥生成模块具体用于根据每一个所述预共享密钥和所述服务集标识,计算得到各个所述预共享密钥对应的新的PMK。
在本申请的另一种应用场景中,网络配置信息中仅包括PSK,此种应用场景下,成对主密钥生成模块具体用于:根据网络配置信息中无线网络的各个PSK及云服务端存储的该无线网络的SSID,分别计算得到与各个PSK相匹配的PMK。
在本申请的再一个应用场景中,网络配置信息中仅包括SSID,此种应用场景下,成对主密钥生成模块具体用于:根据网络配置信息中的SSID以及云服务端存储的该无线网络的相匹配的各个PSK,分别计算得到与各个PSK相匹配的PMK。
发送模块130,用于将所述网络配置信息和相匹配的成对主密钥发送至所述无线网络接入点,以使无线网络接入点根据所述网络配置信息配置网络,并直接利用所述成对主密钥对请求接入的设备进行接入认证。
本申请提供的一种无线网络接入认证装置,该方案由云服务端根据用户配置的网络配置信息计算得到与网络配置信息中的PSK相匹配的成对主密钥并发送至无线网络接入点。无线网络接入点根据云服务端下发的网络配置信息配置无线网络,并且直接利用云服务端下发的PSK所对应的PMK对请求接入的终端设备进行接入认证。该方案直接由云服务端计算接入认证所需的PMK并下发至无线网络接入点,无线网络接入点不需要计算PMK,云服务端的各类资源远远高于无线网络接入点,因此,加快了接入认证过程,提高了接入认证效率;同时,减少了对无线网络接入点的资源消耗,降低了无线网络接入点的硬件要求,从而降低了无线网络接入点的硬件成本。
本申请实施例还提供了应用于无线网络接入点的接入认证装置,请参见图6,示出了本申请实施例提供的另一种无线网络接入认证装置的结构示意图,该装置应用于无线网络接入点中,如图6所示,该装置包括:
接收模块210,用于接收云服务端发送的无线网络配置指令。
无线网络配置指令携带网络配置信息和相匹配的成对主密钥,网络配置信息包括服务集标识和预共享密钥中的至少一种。
无线网络接入点通过接收模块210接收到云服务端发送的无线网络配置指令后,响应该指令即根据无线网络配置指令携带的网络配置信息配置相匹配的无线网络。
存储模块220,用于存储所述网络配置信息及相匹配的成对主密钥。
存储模块将接收模块接收到的网络配置信息和相匹配的PMK存储到无线网络接入点的本地存储空间中,以便后续直接利用网络配置信息及PMK对请求接入的终端设备进行接入认证。
认证模块230,用于利用所述预共享密钥对请求接入的终端设备进行接入认证。
当终端设备请求接入无线网络时,会向形成该无线网络的无线网络接入点发送接入请求,该接入请求中携带请求接入的无线网络的SSID和PSK(即,待认证PSK)。无线网络接入点接收到终端设备的接入请求后,解析该接入请求获得该接入请求携带的待认证PSK,从本地查询与该PSK相匹配的PMK,并直接利用该PMK对该接入请求进行接入认证。
在本申请的一个实施例中,认证模块230对请求接入的终端设备进行接入认证的过程如下:
所述无线网络接入点产生第一随机数并发送至所述终端设备;
所述终端设备根据请求接入的无线网络的服务集标识和预共享密钥生成的成对主密钥,并利用所述成对主密钥、生成的第二随机数,所述第一随机数,以及,所述终端设备及所述无线网络接入点的媒体存取控制地址进行密钥派生得到第一派生密钥,并将所述第一派生密钥进行加密得到消息完整性校验码及所述第二随机数发送至所述无线网络接入点;
所述无线网络接入点根据所述第二随机数和所述消息完整性校验码,以及从查询得到的所述成对主密钥,验证所述终端设备所使用的所述成对主密钥是否正确;
若所述终端设备使用的所述成对主密钥正确,则向所述终端设备发送验证成功消息;
所述终端设备接收到所述验证成功消息后返回确认消息,并利用所述第一派生密钥对与所述无线网络接入点之间的通信数据进行加密。
本实施例提供的无线网络接入认证装置,直接由云服务端计算接入认证所需的PMK并下发至无线网络接入点,无线网络接入点不需要计算PMK,云服务端的各类资源远远高于无线网络接入点,因此,加快了接入认证过程,提高了接入认证效率;同时,减少了对无线网络接入点的资源消耗,降低了无线网络接入点的硬件要求,从而降低了无线网络接入点的硬件成本。
另一方面,本申请还提供了一种云服务器,如参见图7,其示出了本申请的终端的一种组成结构示意图,本实施例的云服务器可以包括:处理器701和存储器702。
可选的,该终端还可以包括通信接口703、输入单元704和显示器705和通信总线706。
处理器701、存储器702、通信接口703、输入单元704、显示器705、均通过通信总线706完成相互间的通信。
在本申请实施例中,该处理器701,可以为中央处理器(Central ProcessingUnit,CPU),特定应用集成电路,数字信号处理器、现成可编程门阵列或者其他可编程逻辑器件等。
该处理器可以调用存储器702中存储的程序。具体的,处理器可以执行以下消息发送方法的实施例中应用服务器侧所执行的操作。
存储器702中用于存放一个或者一个以上程序,程序可以包括程序代码,所述程序代码包括计算机操作指令,在本申请实施例中,该存储器中至少存储有用于实现以下功能的程序:
获取无线网络接入点形成的至少一个无线网络的网络配置信息,所述网络配置信息包括服务集标识和预共享密钥中的至少一种;
根据所述网络配置信息获得与所述网络配置信息相匹配的成对主密钥;
将所述网络配置信息和相匹配的成对主密钥发送至所述无线网络接入点,以使所述无线网络接入点直接利用所述成对主密钥对请求接入的设备进行接入认证。
在本申请一种可能的实现方式中,根据所述网络配置信息获得所述预共享密钥对应的成对主密钥,包括:
若所述网络配置信息包括服务集标识和至少一个预共享密钥,则根据每一个所述预共享密钥和所述服务集标识,计算得到各个所述预共享密钥对应的新的成对主密钥;
若所述网络配置信息仅包括无线网络的修改后的服务集标识,则根据所述修改后的服务集标识及所述无线网络相匹配的每个预共享密钥,分别计算得到各个所述预共享密钥对应的新的成对主密钥;
若所述网络配置信息包括至少一个修改后的预共享密钥,则根据每一个修改后的预共享密钥及对应的服务集标识,计算得到各个所述修改后的预共享密钥对应的新的成对主密钥。
在本申请另一种可能的实现方式中,所述获取无线网络接入点形成的至少一个无线网络的网络配置信息,包括:
获取用户通过云服务操作界面针对所述无线网络接入点形成的任一无线网络所设置的网络配置信息,每一无线网络包括一个所述服务集标识和至少一个不同的预共享密钥。
在一种可能的实现方式中,该存储器702可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、以及至少一个功能(比如图像播放功能等)所需的应用程序等;存储数据区可存储根据计算机的使用过程中所创建的数据,比如,用户数据及图像数据等等。
此外,存储器702可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
该通信接口703可以为通信模块的接口,如GSM模块的接口。
本申请还可以包括显示器704和输入单元705等等。
当然,图7所示的终端的结构并不构成对本申请实施例中终端的限定,在实际应用中终端可以包括比图7所示的更多或更少的部件,或者组合某些部件。
另一方面,本申请实施例还提供了一种无线网络接入点,该无线网络接入点包括存储器和处理器,存储器内存储有程序指令;处理器调用存储器内存储的程序指令并执行时,实现如上任意一个实施例中无线网络接入点侧所执行的无线网络接入认证方法。
又一方面,本申请实施例还提供了一种计算机可读存储介质,其内存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上任意一个实施例中云服务端执行的无线网络接入认证方法;或者,实现如上任意一个实施例中无线网络接入点侧所执行的无线网络接入认证方法。
再一方面,本申请还提供了一种计算机程序产品,当其在计算机设备上执行时,使得所述计算机设备执行上述任意一个实施例中云服务端执行的无线网络接入认证方法;或者,上述任意一个实施例中无线网络接入点侧所执行的无线网络接入认证方法。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种无线网络接入认证方法,其特征在于,应用于云服务端,所述方法包括:
获取无线网络接入点形成的至少一个无线网络的网络配置信息,所述网络配置信息包括服务集标识和预共享密钥中的至少一种;
根据所述网络配置信息获得与所述网络配置信息相匹配的成对主密钥;
将所述网络配置信息和相匹配的成对主密钥发送至所述无线网络接入点,以使所述无线网络接入点通过所述成对主密钥对请求接入的设备进行接入认证。
2.根据权利要求1所述的方法,其特征在于,所述根据所述网络配置信息获得与所述网络配置信息相匹配的成对主密钥,包括:
若所述网络配置信息包括服务集标识和至少一个预共享密钥,则根据每一个所述预共享密钥和所述服务集标识,计算得到各个所述预共享密钥对应的新的成对主密钥;
若所述网络配置信息仅包括无线网络的修改后的服务集标识,则根据所述修改后的服务集标识及所述无线网络相匹配的每个预共享密钥,分别计算得到各个所述预共享密钥对应的新的成对主密钥;
若所述网络配置信息包括至少一个修改后的预共享密钥,则根据每一个修改后的预共享密钥及对应的服务集标识,计算得到各个所述修改后的预共享密钥对应的新的成对主密钥。
3.根据权利要求1所述的方法,其特征在于,所述获取无线网络接入点形成的至少一个无线网络的网络配置信息,包括:
获取用户通过云服务操作界面针对所述无线网络接入点形成的任一无线网络所设置的网络配置信息,每一无线网络包括一个所述服务集标识和至少一个不同的预共享密钥。
4.一种无线网络接入认证方法,其特征在于,应用于无线网络接入点,所述方法包括:
接收云服务端发送的无线网络配置指令,所述无线网络配置指令携带网络配置信息和相匹配的成对主密钥,所述网络配置信息包括服务集标识和预共享密钥中的至少一种;
存储所述网络配置信息及相匹配的成对主密钥;
利用所述预共享密钥对请求接入的终端设备进行接入认证。
5.根据权利要求4所述的方法,其特征在于,所述利用所述预共享密钥对请求接入的终端设备进行接入认证,包括:
解析接收到的接入请求获得所述接入请求携带的待认证预共享密钥;
查询与所述待认证预共享密钥相匹配的所述成对主密钥,并直接利用所述成对主密钥对所述接入请求进行接入认证。
6.根据权利要求5所述的方法,其特征在于,所述利用所述成对主密钥对所述接入请求进行接入认证,包括:
所述无线网络接入点产生第一随机数并发送至所述终端设备;
所述终端设备根据请求接入的无线网络的服务集标识和预共享密钥生成的成对主密钥,并利用所述成对主密钥、生成的第二随机数,所述第一随机数,以及,所述终端设备及所述无线网络接入点的媒体存取控制地址进行密钥派生得到第一派生密钥,并将所述第一派生密钥进行加密得到消息完整性校验码及所述第二随机数发送至所述无线网络接入点;
所述无线网络接入点根据所述第二随机数和所述消息完整性校验码,以及从查询得到的所述成对主密钥,验证所述终端设备所使用的所述成对主密钥是否正确;
若所述终端设备使用的所述成对主密钥正确,则向所述终端设备发送验证成功消息;
所述终端设备接收到所述验证成功消息后返回确认消息,并利用所述第一派生密钥对与所述无线网络接入点之间的通信数据进行加密。
7.一种无线网络接入认证装置,其特征在于,应用于云服务端,所述装置包括:
网络配置获取模块,用于获取无线网络接入点形成的至少一个无线网络的网络配置信息,所述网络配置信息包括服务集标识和预共享密钥中的至少一种;
成对主密钥生成模块,用于根据所述网络配置信息获得与所述网络配置信息相匹配的成对主密钥;
发送模块,用于将所述网络配置信息和相匹配的成对主密钥发送至所述无线网络接入点,以使所述无线网络接入点通过所述成对主密钥对请求接入的设备进行接入认证。
8.一种无线网络接入认证装置,其特征在于,应用于无线网络接入点,所述装置包括:
接收模块,用于接收云服务端发送的无线网络配置指令,所述无线网络配置指令携带网络配置信息和相匹配的成对主密钥,所述网络配置信息包括服务集标识和预共享密钥中的至少一种;
存储模块,用于根据所述网络配置信息配置无线网络,并存储所述网络配置信息及相匹配的成对主密钥;
认证模块,用于利用所述预共享密钥对请求接入的终端设备进行接入认证。
9.一种云服务器,其特征在于,包括:
处理器和存储器;
其中,所述处理器用于执行所述存储器中存储的程序;
所述存储器用于存储程序,所述程序至少用于:
获取无线网络接入点形成的至少一个无线网络的网络配置信息,所述网络配置信息包括服务集标识和预共享密钥中的至少一种;
根据所述网络配置信息获得与所述网络配置信息相匹配的成对主密钥;
将所述网络配置信息和相匹配的成对主密钥发送至所述无线网络接入点,以使所述无线网络接入点通过所述成对主密钥对请求接入的设备进行接入认证。
10.一种无线接入点,其特征在于,包括:
处理器和存储器;
其中,所述处理器用于执行所述存储器中存储的程序;
所述存储器用于存储程序,所述程序至少用于:
接收云服务端发送的无线网络配置指令,所述无线网络配置指令携带网络配置信息和相匹配的成对主密钥,所述网络配置信息包括服务集标识和预共享密钥中的至少一种;
根据所述网络配置信息配置无线网络,并存储所述网络配置信息及相匹配的成对主密钥;
利用所述预共享密钥对请求接入的终端设备进行接入认证。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有程序指令,所述程序指令被处理器加载并执行时,实现如上权利要求1-3任一项所述的无线网络接入认证方法,或者,实现如上权利要求4-6任一项所述的无线网络接入认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011147672.7A CN112423300A (zh) | 2020-10-23 | 2020-10-23 | 无线网络接入认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011147672.7A CN112423300A (zh) | 2020-10-23 | 2020-10-23 | 无线网络接入认证方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112423300A true CN112423300A (zh) | 2021-02-26 |
Family
ID=74840728
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011147672.7A Pending CN112423300A (zh) | 2020-10-23 | 2020-10-23 | 无线网络接入认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112423300A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113347627A (zh) * | 2021-05-21 | 2021-09-03 | 中国联合网络通信集团有限公司 | 无线网络接入方法、装置和移动终端 |
-
2020
- 2020-10-23 CN CN202011147672.7A patent/CN112423300A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113347627A (zh) * | 2021-05-21 | 2021-09-03 | 中国联合网络通信集团有限公司 | 无线网络接入方法、装置和移动终端 |
| CN113347627B (zh) * | 2021-05-21 | 2023-01-10 | 中国联合网络通信集团有限公司 | 无线网络接入方法、装置和移动终端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11178125B2 (en) | Wireless network connection method, wireless access point, server, and system | |
| US11496320B2 (en) | Registration method and apparatus based on service-based architecture | |
| CN111835520B (zh) | 设备认证的方法、服务接入控制的方法、设备及存储介质 | |
| US10841784B2 (en) | Authentication and key agreement in communication network | |
| US9467432B2 (en) | Method and device for generating local interface key | |
| CN107579958B (zh) | 数据管理方法、装置及系统 | |
| US20180199205A1 (en) | Wireless network connection method and apparatus, and storage medium | |
| WO2022057736A1 (zh) | 授权方法及装置 | |
| KR20160078475A (ko) | 키 구성 방법, 시스템, 및 장치 | |
| CN107094127B (zh) | 安全信息的处理方法及装置、获取方法及装置 | |
| US20230344626A1 (en) | Network connection management method and apparatus, readable medium, program product, and electronic device | |
| WO2022111187A1 (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| WO2019056971A1 (zh) | 一种鉴权方法及设备 | |
| WO2018010480A1 (zh) | eSIM卡锁网方法、终端及锁网认证服务器 | |
| CN113364584B (zh) | 一种物联网设备与雾节点认证系统和方法 | |
| US20230308875A1 (en) | Wi-fi security authentication method and communication apparatus | |
| CN111866881A (zh) | 无线局域网认证方法与无线局域网连接方法 | |
| KR101246339B1 (ko) | 큐알 코드 보안인증 시스템 및 그 방법 | |
| CN112423300A (zh) | 无线网络接入认证方法及装置 | |
| CN115426178B (zh) | 呼叫方法、装置、电子设备和计算机可读介质 | |
| CN114650182B (zh) | 身份认证方法、系统、装置、网关设备、设备和终端 | |
| US20220174490A1 (en) | System, method, storage medium and equipment for mobile network access | |
| CN102487505B (zh) | 一种传感器节点的接入认证方法、装置及系统 | |
| WO2022037123A1 (zh) | 安全模式配置方法、装置、系统和计算机可读存储介质 | |
| CN117135634A (zh) | 无线网络接入方法、装置、系统、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |