CN112672351A - 无线局域网认证方法及装置、电子设备、存储介质 - Google Patents
无线局域网认证方法及装置、电子设备、存储介质 Download PDFInfo
- Publication number
- CN112672351A CN112672351A CN202011481963.XA CN202011481963A CN112672351A CN 112672351 A CN112672351 A CN 112672351A CN 202011481963 A CN202011481963 A CN 202011481963A CN 112672351 A CN112672351 A CN 112672351A
- Authority
- CN
- China
- Prior art keywords
- terminal
- key
- authenticated
- verification
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
本申请的实施例揭示了一种无线局域认证方法及装置,该方法包括:接收无线接入点设备发送的待认证信息,所述待认证信息中含有待认证终端生成的验证信息;获取与所述待认证终端相匹配的验证密钥,根据所述验证密钥对所述验证信息进行验证;若所述验证信息通过验证,则向所述无线接入点设备返回所述验证密钥,以使所述无线接入点设备将所述验证密钥与所述待认证终端的终端标识进行关联存储。基于本申请实施例的技术方案,可以优化无线局域网中已进行过历史连接的无线终端的后续连接方案,也能够有效提升无线局域网络的连接效率。
Description
技术领域
本申请涉及无线通信技术领域,具体而言,涉及一种无线局域网认证方法及装置、电子设备、计算机可读存储介质。
背景技术
企业无线局域网(Wi-Fi)的市场规模巨大,并且企业无线局域网中通常存在大量的无线局域网连接需求。
目前,企业无线局域网系统中通常由接入控制器设备或者无线接入点设备处理无线局域网认证过程,但是无线接入点设备的性能普遍较弱,在多无线终端并发进行无线局域网认证的情况下,容易出现无线终端进行无线局域网认证失败而无法连接企业无线局域网的问题;虽然接入控制器设备的性能强大,但价格非常昂贵,导致企业部署无线局域网系统的成本非常高。
发明内容
本申请的实施例从不同方面提供了无线局域网认证方法及装置、电子设备、计算机可读存储介质。
根据本申请实施例的一个方面,提供了一种无线局域网认证方法,包括:接收无线接入点设备发送的待认证信息,所述待认证信息中含有待认证终端生成的验证信息;获取与所述待认证终端相匹配的验证密钥,根据所述验证密钥对所述验证信息进行验证;若所述验证信息通过验证,则向所述无线接入点设备返回所述验证密钥,以使所述无线接入点设备将所述验证密钥与所述待认证终端的终端标识进行关联存储。
根据本申请实施例的一个方面,提供了另一种无线局域网认证方法,包括:当接收到待认证终端发送的无线局域网连接请求时,根据所述待认证终端的终端标识在本地查找与所述终端标识相关联的验证密钥,其中,与所述终端标识相关联的验证密钥是云服务器在接收到无线接入点设备历史发送的待认证信息后,通过获取与所述待认证终端相匹配的验证密钥,并根据获取到的验证密钥对所述待认证信息中含有的验证信息进行验证通过后下发的,所述验证信息是所述待认证终端生成的;若查找到与所述终端标识相关联的验证密钥,则响应于所述无线局域网连接请求,与所述待认证终端建立无线局域网连接。
根据本申请实施例的一个方面,提供了一种无线局域网认证装置,包括:待认证信息接收模块,配置为接收无线接入点设备发送的待认证信息,所述待认证信息中含有待认证终端生成的验证信息;密钥获取及验证模块,配置为获取与所述待认证终端相匹配的验证密钥,根据所述验证密钥对所述验证信息进行验证;密钥信息返回模块,配置为若所述验证信息通过验证,则向所述无线接入点设备返回所述验证密钥,以使所述无线接入点设备将所述验证密钥与所述待认证终端的终端标识进行关联存储。
根据本申请实施例的一个方面,提供了另一种无线局域网认证装置,包括:验证密钥查找模块,配置为当接收到待认证终端发送的验证信息时,根据所述待认证终端的终端标识在本地查找与所述终端标识相关联的验证密钥,其中,与所述终端标识相关联的验证密钥是云服务器在接收到无线接入点设备历史发送的待认证信息后,通过获取与所述待认证终端相匹配的验证密钥,并根据获取到的验证密钥对所述历史发送的待认证信息中含有的验证信息进行验证通过后下发的;请求响应模块,配置为若查找到与所述终端标识相关联的验证密钥,则响应于所述无线局域网连接请求,与所述待认证终端建立无线局域网连接。
根据本申请实施例的一个方面,提供了一种电子设备,包括处理器及存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现如上所述的无线局域网认证方法。
根据本申请实施例的一个方面,提供了一种计算机可读存储介质,其上存储有计算机可读指令,当所述计算机可读指令被计算机的处理器执行时,使计算机执行如上所述的无线局域网认证方法。
根据本申请实施例的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种可选实施例中提供的无线局域网认证方法。
在本申请的实施例提供的技术方案中,提供了一种新的企业无线局域网认证方案,一方面,部署于企业本地的无线接入点设备与云服务器进行通信,以将无线局域网认证过程中的待认证信息发送至云服务器,由云服务器具体处理局域网认证过程,企业无需购买价格昂贵的接入点控制设备,部署于企业本地的无线接入点设备也无需处理无线局域网认证过程;另一方面,无线接入点设备中还对认证成功的待认证终端的终端标识、以及针对待认证终端生成的验证信息进行验证通过所采用的成对主密钥进行关联存储,使得该待认证终端下一次请求连接该无线接入点设备提供的无线局域网络的过程中,该无线接入点设备可根据本地所关联存储的信息快速进行认证,由此优化无线局域网中已进行过历史连接的无线终端的后续连接方案,能够有效提升企业无线局域网络的整体连接效率。
附图说明
图1是本申请的一实施例示出的无线局域网络连接流程的示意图;
图2是本申请的一实施例示出的无线局域网络认证方式的流程图;
图3是本申请的一实施例示出的企业无线局域网系统的架构图;
图4是本申请的一示例性实施例示出的无线局域网认证方法的流程图;
图5是图4所示实施例中获取与待认证终端相匹配的验证密钥,根据验证密钥对验证信息进行验证过程的一示例性流程图;
图6是本申请的另一示例性实施例示出的无线局域网认证方法的流程图;
图7是本申请的另一示例性示出的无线局域网认证方法的流程图;
图8是本申请的另一示例性示出的无线局域网认证方法的流程图;
图9是本申请的另一实施例示出的企业无线局域网系统的架构图;
图10是本申请的一实施例示出的示例性应用场景示意图;
图11是本申请的另一实施例示出的示例性应用场景示意图;
图12是本申请的另一实施例示出的示例性应用场景示意图;
图13是本申请的一实施例示出的无线局域网认证装置的框图;
图14是本申请的另一实施例示出的无线局域网认证装置的框图;
图15是本申请的一实施例示出的适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
这里将详细地对示例性实施例执行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
还需要说明的是:在本申请中提及的“多个”是指两个或者两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
在无线通信领域,无线终端在使用自身的无线局域网(Wi-Fi)功能时,通常需要在无线终端和无线接入点设备之间至少执行扫描(Scanning)、认证(Authentication))以及关联(Association)的过程,才能使得无线终端连接至无线局域网络,具体请参见图1所示的无线终端接入无线接入点设备提供的无线局域网络的过程。
扫描过程包括主动扫描和被动扫描。主动扫描包括:无线终端在每个信道广播探测请求(Probe Request);接着,接收到探测请求的无线接入点设备向无线终端回应探测响应(Probe Response)。探测响应包含无线接入点设备的服务集标识SSID(Service SetIdentifier),以使得无线终端能够更新自己的无线网络列表。被动扫描包括无线接入点设备定期发送信标数据包(Beacon),使无线终端更新自己的无线网络列表。
扫描完成后,无线终端会选择想要加入的无线局域网络,此时无线设备中通常弹出输入用户密码的窗口,也可能不会弹出输入用户密码的窗口。之后,无线终端与所选择的无线局域网络对应的无线接入点设备之间将进入认证过程。
认证过程通常包括WPA/WPA2-PSK认证或者WPA/WPA2-PPSK认证,二者认证过程包括EAPOL((Extensible Authentication Protocol over LAN,基于局域网的扩展认证协议)四次握手过程。二者认证过程也是适应于企业等对于网络安全性要求较高场景的无线认证过程。
在认证成功后,无线终端和无线接入点设备执行关联过程。具体地,无线终端给无线接入点设备发送关联请求(Association Request)数据包,无线接入点设备给无线终端发送关联响应(Association Response)数据包。
关联过程完成之后,无线终端则成功连接至所选择的无线局域网络。
相比于WPA/WPA2-PSK认证方式,WPA/WPA2-PPSK认证方式可以为无线局域网络中的每个用户分配一个单独的预共享密钥PSK(Pre-Shared Key),大幅度提升了网络安全,并且只要无线终端支持WPA-PSK(主要针对个人或家庭网络的无线网络认证方式)认证方式,无线终端在连接无线网络时无需执行额外的处理过程,十分适用于存在大量员工连接无线网络的企业场景。因此,本申请的一些实施例提供的企业无线局域网系统中可具体采用WPA/WPA2-PPSK认证方式。当然在其它实施例中,企业无线局域网系统也可以采用WPA/WPA2-PSK认证方式,本处不进行限制。
图2是本申请的一实施例示出的WPA/WPA2-PPSK认证方式的流程图。WPA/WPA2-PPSK认证包括图2所示的四次握手过程,详细的过程可以参照如下描述。
第一次握手:无线接入点设备生成接入点随机值ANonce,并将生成的接入点随机值ANonce发送给无线终端。
第二次握手:无线终端获取用户输入密钥,并生成终端随机值SNonce。
无线终端基于用户输入密钥、终端随机值、接入点随机值、无线接入点设备的设备标识中的一种或多种,生成第一成对临时密钥PTK(Pairwise Temp Key),无线接入点设备的设备标识可以包括无线接入点设备对应的MAC地址、服务集标识、扩展服务集标识、基本服务集标识中的一种或者多种,无线接入点设备的设备标识是在扫描过程中被无线终端获取到的。第一成对临时密钥采用伪随机函数算法计算得到,例如采用PRF(Pseudo-randomFunction)伪随机函数算法计算得到,用户输入密钥通常为用户个人的预共享密钥。
无线终端还将根据第一成对临时密钥生成第一消息完整性校验码MIC(MessageIntegrity Code),并将终端随机值和第一消息完整性校验码作为验证信息发送至无线接入点设备。第一消息完整性校验码是通过无线终端自身的第一用于生成消息完整性校验码的密钥KCK(Key Confirmation Key)对待发送的消息进行加密运算得到。第一用于生成消息完整性校验码的密钥是第一成对临时密钥含有的特定字节,通常为第一成对临时密钥中的前16个字节。
第三次握手:无线接入点设备在接收到无线终端发送的验证信息之后,根据自身获取到的参数信息,采用无线终端中生成第一成对临时密钥的相同方式生成第二成对临时密钥,并相应生成第二消息完整性校验码,且使用第二消息完整性校验码对验证信息中含有的第一消息完整性校验码进行验证。如果第二消息完整性校验码与第一消息完整性校验码相同,则表示通过验证。
值得提及的是,无线接入点设备自身获取到的参数信息包括无线终端对应的成对主密钥PMK(Pairwise Master Key)。例如,无线接入点设备中存储有为大量用户分配的预共享密钥,通过各个用户的预共享密钥和无线接入点设备的服务集识别码,可以计算得到各个用户的成对主密钥,但由于无线接入点设备无法识别无线终端所对应的用户,导致无法从自身直接搜索到无线终端对应的成对主密钥。基于此,无线接入点设备需要在自身查找成对主密钥,然后使用查找到的成对主密钥生成第二成对临时密钥,并相应生成第二消息完整性校验码,如果第二消息完整性校验码与第一消息完整性校验码不同,则表示本次查找到的成对主密钥对应的用户与无线终端中的用户不相匹配,认证无法通过,因此需执行下一轮的成对主密钥以及用户身份验证,直至验证通过。在一些实施例中,也存在查找完所有成对主密钥仍无法对无线终端中用户的身份验证通过的可能性。
无线接入点设备对无线终端发送的验证信息验证通过后,则生成组临时密钥GTK(Group Transient Key)。组临时密钥可以基于无线接入点随机值计算得到。无线接入点设备将自身生成的组临时密钥和第二消息完整性校验码发送至无线终端,则完成第三次握手的过程。需要说明的是,在一些实施例中,无线接入点设备还通过第二用于加密发送的密钥KEK(Key Encryption Key)对组临时密钥加密,以得到加密后组临时密钥,并在第三次握手的过程中将加密后组临时密钥发送给无线终端。第二用于加密发送的密钥是第二成对临时密钥含有的特定字节。
第四次握手:无线终端接收到无线接入点设备发送的组临时密钥和第二消息完整性校验码后,对比第二消息完整性校验码和自身的第一消息完整性校验码是否相同,如果相同,则安装第一成对临时密钥和组临时密钥。若无线终端接收的是加密后组临时密钥,则使用自身的第一用于加密发送的密钥对加密后组临时密钥解密,以得到组临时密钥。无线终端对比第二消息完整性校验码和自身的第一消息完整性校验码是否相同的方式,可以是无线终端使用自身的第一用于生成消息完整性校验码的密钥对第二消息完整性校验码进行解密,若成功解密,则确定第二消息完整性校验码和第一消息完整性校验码是相同的。
无线终端在安装第一成对临时密钥和组临时密钥之后,向无线接入点设备发送密钥确认的信息,由此完成第四次握手过程,即完成WPA/WPA2-PPSK认证过程。
无线接入点设备接收到密钥确认的信息后,也将安装第二成对临时密钥和组临时密钥。需要说明的是,经由上述认证过程可以确定第二成对临时密钥与无线终端安装的第一成对临时密钥相同。
由于第二成对临时密钥和第一成对临时密钥均是用于加密单播数据流的加密密钥,组临时密钥是用于加密广播和组播数据流的加密密钥,因此无线终端和无线接入点设备之间可以进行单播数据流、广播数据流以及租播数据流的加密传输,保证了无线网络的安全性。
考虑到无线接入点设备性能普遍较弱,上述无线认证的执行过程对于无线接入点设备来说性能压力较大。以使用560MHz(兆赫兹)单核MIPS(Million Instructions PerSecond,单字长定点指令平均执行速度,是衡量CPU速度的指标)CPU的无线接入点设备为示例,查找1000条成对主密钥生成第二成对临时密钥,并进行消息完整性校验码的验证需耗时226ms(毫秒),在多无线终端并发认证的情况下,无线接入点设备响应认证的耗时很长,无线终端容易由于耗时过长而重新发起连接请求,无线终端始终无法完成WPA/WPA2-PPSK认证,导致企业无线局域网系统出现网络恶化的严重问题。
现有的解决方案是设置与无线接入点设备相连接的接入控制器,接入控制器例如可以是支持802.11X认证(是一种起源于802.11协议的无线局域网协议,用于解决无线局域网用户的接入认证问题)的Radius服务器,认证过程中原本由无线接入点设备执行的处理操作将转移到接入控制器中处理,由此保证企业无线局域网系统的稳定性。但是,接入控制器的价格非常昂贵,对于一般企业来说仍具有较大的成本负担,而在大型企业中因购买接入控制器而带来的成本问题尤其明显。
为解决上述存在的问题,本申请的一实施例提出如图3所示的企业无线局域网系统。如图3所示,该示例性的企业无线局域网系统包括无线终端10、无线接入点设备20、云服务器30、防火墙设备40和交换机50。
需要说明的是,图3所示的企业无线局域网系统只是一个适配于本申请的示例,不能认为是提供了对本申请的使用范围的任何限制。该企业无线局域网系统也不能解释为必须具有图3中示出的示例性的企业无线局域网系统中的一个或者多个组件。
在图3所示的企业无线局域网系统中,无线终端10通常是企业员工所持有的智能终端,例如智能手机、平板、笔记本电脑等,同一员工可以持有至少一个无线终端10。
无线接入点设备20通常是用于提供无线局域网络接入点(AP,Access Point)的设备,也称为用于无线局域网络的无线交换机或者无线路由器。无线终端10在与无线接入点设备20建立无线通信连接后,员工即则可通过无线接入点设备20提供的无线局域网络上网。为便于企业进行网络管理,每个无线接入点设备20可配置同一服务集标识。
无线接入点设备20与云服务器30之间建立有线或者无线通信连接,如图3所示,无线接入点设备20可以与云服务器30建立无线的通信连接,也可以依次通过交换机50和防火墙设备40与云服务器30建立有线的通信连接。
基于无线接入点设备20与云服务器30之间的通信连接,云服务器30则能够向无线接入点设备20提供网络服务,例如由于无线接入设备20的性能普遍较弱,当无线终端10请求接入无线接入点设备20提供的无线局域网络时,由云服务器30具体执行无线局域网认证过程,以避免出现由于无线接入点设备20性能较弱导致认证失败,进而导致的无线终端10无法连接无线局域网的问题,企业也无需购买价格昂贵的接入控制器,极大节约了企业成本。
云服务器30在执行认证通过后,还向无线接入点设备20下发与无线终端10相关的信息,无线接入点设备20将云服务器30下发的信息与无线终端10的终端标识进行关联存储。无线终端10的终端标识可以包括无线终端10的MAC地址(即Media Access ControlAddress,媒体存取控制位地址,也称为局域网地址、物理地址等)。
当无线终端10再次请求连接无线接入点设备20提供的无线局域网络时,无线接入点设备20可以根据无线终端10的终端标识在本地查找到云服务器30预先针对无线接入点设备20执行过无线局域网认证的信息,且认证通过,因此无线接入点设备20则直接与该无线终端10进行无线局域网连接,使得无线接入点设备20可以快速响应该无线终端10连接无线局域网的请求。
需要说明的是,云服务器30具体可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content DeliveryNetwork,内容分发网络)以及大数据和人工智能平台等基础云计算服务的云服务器,本处不进行限制。
图4是本申请的一示例性实施例示出的无线局域网认证方法的流程图。该无线局域网认证方法可以应用于图3所示的企业无线局域网系统,例如由图3所示的云服务器30具体执行。在其它应用场景中,该无线局域网认证方法也可以由其它服务器设备具体执行,本实施例不对此进行限制。
如图4所示,在一示例性实施例中,该无线局域网认证方法至少包括步骤S110至步骤S150,详细介绍如下:
步骤S110,接收无线接入点设备发送的待认证信息,待认证信息中含有待认证终端生成的验证信息。
首先需要说明的是,本实施例提供的方法可作用于图2所示的无线局域网认证过程,本实施例提及的待认证终端是指待接入无线接入点设备所提供无线局域网络的无线终端。
在进行无线局域网认证的过程中,由于无线接入点设备的性能较弱,无线接入点设备在接收到待认证终端在第二次握手时传输的验证信息后,向云服务器发送待认证信息。
验证信息由待认证终端生成,例如可以包括待认证终端所生成的终端随机值和消息完整性校验码。待认证信息中除含有验证信息外,还包含有云服务器在对验证信息进行验证时所需的参数信息,例如待认证终端的终端标识、无线接入点设备自身生成的接入点随机值、以及无线接入点设备的设备标识等。待认证终端的终端标识可以是待认证终端的MAC地址,无线接入点设备的设备标识可以是无线接入点设备的MAC地址。
由此,云服务器将接收到接入点设备发送的待认证信息。
步骤S130,获取与待认证终端相匹配的验证密钥,根据验证密钥对验证信息进行验证。
云服务器对验证信息进行的验证,实际是对验证信息中含有的消息完整性校验码的验证。验证密钥即是用于验证信息中含有的消息完整性校验码进行验证的密钥,验证密钥只有与待认证终端相匹配,才能对验证信息验证通过。
验证信息中含有的消息完整性校验码是待认证终端根据用户输入密钥生成的,用户输入密钥可以是预先为用户分配的密钥,例如是为用户分配的预共享密钥。需要说明的是,每个用户所分配的密钥是唯一的。
云服务器对验证消息中含有的消息完整性校验码进行验证的过程,是按照待认证终端中生成消息完整性校验码的过程,在云服务器中生成一消息完整性校验码,若云服务器中生成的消息完整性校验码与验证信息中含有的消息完整性校验码一致,则表示验证信息通过验证。因此,与待认证终端相匹配的验证密钥应当与用户输入密钥相一致或相关联,云服务器生成的消息完整性校验码才能与验证信息中含有的消息完整性校验码一致,验证信息也才能在云服务器中验证通过。
步骤S150,若验证信息通过验证,则向无线接入点设备返回验证密钥,以使无线接入点设备将验证密钥与待认证终端的终端标识进行关联存储。
若云服务器对验证信息验证通过,则向无线接入点设备返回验证密钥,以使无线接入点设备获知云服务器已完成验证信息的验证,可继续与待认证终端进行后续认证过程。
需要说明的是,在第三次握手时,无线接入点设备需向待认证终端发送组临时密钥、以及云服务器执行验证信息的验证时生成的消息完整性校验码,因此在验证信息通过验证后,云服务器还可将二者信息发送至无线接入点设备。或者在一些实施例中,无线接入点设备接收到云服务器返回的验证密钥后,还可基于接收到的验证密钥自身生成第三次握手时所需向待认证终端发送的信息。
无线接入点设备接收到云服务器返回的验证密钥后,还将验证密钥与待认证终端的终端标识进行关联存储。当同一待认证终端再次连接该无线接入点设备时,无线接入点设备可以根据待认证终端的终端标识在本地查找到关联存储的验证密钥,无线接入点设备则可确定该待认证终端已预先完成无线局域网认证过程,因此无线接入点设备可以直接与待认证终端进行安全的数据流传输。或者,无线接入点设备根据查找到关联存储的验证密钥,对待认证终端发送的验证信息进行验证,此时无线接入点设备仅针对待认证终端发送的验证信息验证一次,也极大地减轻了无线接入点的性能压力。
由此可以得出,基于本实施例提供的方法,部署在企业无线局域网系统中的无线接入点设备在无线局域网认证过程中不需要针对第二次握手接收到的验证信息进行具体验证,只需处理无线局域网认证过程中的少量数据,在大量无线设备并发进行无线局域网认证的情况下,无线接入点设备能够及时进行数据处理,无线终端不会由于认证超时而向接入点设备重新发送无线局域网连接的请求,由此实现企业无线局域网系统的稳定性。
同时,企业也无需购买价格昂贵的接入控制器,虽然企业获取云服务器提供的认证服务也需一定成本,但相比于批量购买接入控制器,获取软件服务的成本通常远小于购买硬件设备的成本,因此基于本实施例提供的方法也极大地减少了企业无线局域网系统的部署成本。
并且,在无线接入点设备中关联存储待认证终端的终端标识和与待认证终端相匹配的验证密钥的手段,也极大提升了无线接入点设备对于无线终端请求连接无线局域网络的响应。根据局部性原理,本实施例通过优化企业无线局域网系统中连接过的无线终端的后续连接,也可以有效提升整个企业无线局域网系统的连接效率。
在图5示出的示例性实施例中,与待认证终端相匹配的验证密钥包括成对主密钥,该成对主密钥是云服务器根据其为待认证终端中用户分配的预共享密钥与无线接入点的服务集识别码进行计算得到的。
示例性的,可使用HMAC(Hash-based Message Authentication Code,密钥相关的哈希运算消息认证码)算法将云服务器为待认证终端中用户分配的预共享密钥与无线接入点设备的服务集识别码导出为与待认证终端相匹配的成对主密钥。例如,可将云服务器为待认证终端中用户分配的预共享密钥作为用户密码(Password)参数,将无线接入点设备的服务集识别码作为盐度(Salt)参数,根据协商的HMAC算法进行密钥导出,并循环进行4096次,将最终得到的长度为32字节的密钥作为与待认证终端相匹配的成对主密钥。
云服务器可根据录入的企业员工的信息和企业分支机构的信息,对企业无线局域网系统进行初始化信息的配置。其中,云服务器将每个员工作为无线局域网络中的一个用户,为各个用户生成唯一的预共享密钥。云服务器还为企业分配服务集识别码,并将服务集识别码同步到企业的各个分支结构所部署的无线接入点设备上,以使得企业中部署的所有无线接入点设备具有同一服务集识别码,从而便于企业进行网络管理。
云服务器根据每个用户对应的预共享密钥,以及企业对应的服务集标识码,则可计算得到各个用户的成对主密钥。因此在一些实施例中,云服务器在完成初始化信息的配置后,可进行各个用户的成对主密钥的计算,并对计算得到的成对主密钥可与相应用户信息进行关联存储,用户信息可包括用户手机号、用户微信号等。云服务器在执行无线局域网认证处理时,可直接获取本地存储的成对主密钥,而无需根据预共享密钥和服务集标识码进行成对主密钥的实时计算,由此减轻了云服务器在执行无线局域网认证过程中的性能压力,也可在一定程度上提升整个企业无线局域网系统的连接效率。
由于云服务器无法确定待认证终端中用户的用户信息,从而无法从本地直接查找到与待认证终端中用户相匹配的成对主密钥或者预共享密钥,因此无法直接对验证信息进行验证。为解决此问题,图5所示的实施例提出一种根据云服务器本地存储的大量用户对应的成对主密钥,来对验证信息进行验证的方案。需要说明的是,若云服务器未预先计算和存储各个用户对应的成对主密钥,在对验证信息进行验证时,只需增加根据预共享密钥和服务集识别码计算成对主密钥的步骤即可。
如图5所示,在一示例性实施例中,获取与待认证终端相匹配的验证密钥,根据验证密钥对验证信息进行验证的过程可包括步骤S210至步骤S250,详细介绍如下:
步骤S210,在本地查找所存储的成对主密钥,根据查找得到的成对主密钥对验证信息进行验证。
首先说明的是,本实施例涉及的查找过程是指每轮在本地查找存储的一个成对主密钥,然后根据查找到的成对主密钥对验证信息进行验证,如果验证不通过,继续查找下一个成对主密钥对验证信息进行验证。
验证信息是待认证终端基于用户输入密钥生成的,具体来说是验证信息中含有的消息完整性校验码是待认证终端基于用户输入密钥生成的。待认证终端中生成消息完整性校验码的过程通常如下:
根据用户输入密钥和无线接入点设备的服务集识别码生成成对主密钥,再根据所生成的成对主密钥、待认证终端的终端随机值和终端标识、无线接入点设备的接入点随机值和设备标识中的一种或者多种生成成对临时密钥,再从成对临时密钥中获取用于生成消息完整性校验码的密钥,通过用于生成消息完整性校验码的密钥对待发送信息进行加密,即可得到消息完整性校验码。待发送信息至少包括待认证终端生成的终端随机值。
云服务器中生成消息完整性校验码的过程与待认证终端中生成消息完整性校验码的过程类似,但也有所不同,具体如下:
根据查找得到的成对组密钥计算成对临时密钥。云服务器从无线接入点设备发送的待认证信息中获取待认证终端生成的终端随机值、待认证终端的终端标识、无线接入点设备生成的接入点随机值、无线接入点设备的设备标识中的至少一种与用户输入密钥相关的信息,然后根据查找得到的成对主密钥以及这些与用户输入密钥相关的信息进行伪随机函数运算,即可得到成对临时密钥。
根据计算得到的成对临时密钥生成消息完整性校验码。云服务器根据成对临时密钥获取用于生成消息完整性校验码的密钥,并根据用于生成消息完整性校验码的密钥,对待认证终端发送的消息进行加密运算,以得到消息完整性校验码。其中,用于生成消息完整性校验码的密钥是成对临时密钥含有的指定序列,待认证终端发送的消息包括待认证终端生成的终端随机值。
若云服务器生成的消息完整性校验码与验证信息中含有的消息完整性校验码相一致,则表示用户输入密钥是云服务器预先为用户分配的合法密钥,因此云服务器对验证信息验证通过。
步骤S230,若验证信息验证失败,则进行下一轮成对主密钥的查找,并根据查找得到的成对主密钥对验证信息进行验证,直至验证信息验证成功,将针对验证信息验证成功的成对主密钥作为与待认证终端相匹配的验证密钥。
若用户输入密钥为云服务器为合法用户所分配的预共享密钥,那么云服务器一定能够在本地查找到能够对验证信息验证通过的成对主密钥,此成对主密钥即作为与待认证终端相匹配的验证密钥。其中,用户输入密钥通常是用户在使用待认证终端的Wi-Fi功能时输入的密钥。
步骤S250,若查找所有的成对主密钥都无法对验证信息验证成功,则向无线接入点设备返回认证失败的消息。
若查找所有的成对主密钥都无法对验证信息验证成功,则表示用户输入密钥并非云服务器为合法用户所分配的预共享密钥,也即使用待认证终端的用户并非合法用户,云服务器需向无线接入点返回认证失败的消息。待认证终端无法完成无线局域网认证,则无法与无线局域网建立连接,由此实现了企业无线局域网络的安全性。
需要说明的是,考虑到企业中随时存在人员新增或删减的情况,云服务器在完成初始化信息的配置后,支持初始化信息的更改,通常包括用户个人的预共享密钥的更改,由此适应企业对于无线局域网络的实际需求。
在图6所示的示例性实施例中,云服务器在对验证信息验证通过后,还将与待认证终端相匹配的验证密钥以及待认证终端的终端标识进行关联存储,以在云服务器中形成对于已连接过企业无线局域网的无线终端的验证密钥与终端标识的信息存储。与待认证终端相匹配的验证密钥例如是对验证信息进行验证通过的成对主密钥。
云服务器在获取与待认证终端相匹配的验证密钥,根据验证密钥对验证信息进行验证之前,还执行图6所示的步骤S310至步骤S350,详细介绍如下:
步骤S310,在本地查找与待认证终端的终端标识进行关联存储的验证密钥。
在本实施例中,若在本地查找到与待认证终端的终端标识进行关联存储的验证密钥,则可确定待认证终端已经连接过企业无线局域网络,无需进行无线局域网认证也能够保证企业无线局域网络的安全性,因此执行步骤S350的内容。
若未在本地查找到与待认证终端的终端标识进行关联存储的验证密钥,则表示待认证终端是第一次请求连接企业无线局域网络,必须进行无线局域网认证才能保证企业无线局域网络的安全性,因此执行步骤S330的内容。
步骤S330,若未查找到验证密钥,则执行获取与待认证终端相匹配的验证密钥,根据验证密钥对所述验证信息进行验证的步骤。
云服务器获取与待认证终端相匹配的验证密钥,根据验证密钥对所述验证信息进行验证的详细过程可详细参见图5所示实施例中的步骤S210,本处不进行赘述。
步骤S350,若查找到验证密钥,则确定验证信息通过验证。
若云服务器查找到验证密钥,通过向无线接入点设备返回验证密钥,使得无线接入点设备验证密钥与待认证终端的终端标识进行关联存储,详细过程可以参见图4所示实施例中的步骤S150,本处也不对此进行赘述。
因此在本实施例提供的方法中,云服务器在获取与待认证终端相匹配的验证密钥,根据验证密钥对验证信息进行验证之前,预先在本地查找到与待认证终端的终端标识进行关联存储的验证密钥,在确定待认证终端已经连接过企业无线局域网络的情况下,无需针对待认证终端重复执行无线局域网认证的过程,极大减轻了云服务器的性能压力,也能够极大地提升整个企业无线局域网系统的连接效率。
图7是本申请的另一示例性示出的无线局域网认证方法的流程图。该无线局域网认证方法该也可以应用于图3所示的企业无线局域网系统,例如由图3所示的无线接入服务器20具体执行。在其它应用场景中,该无线局域网认证方法也可以由其它的无线接入点设备具体执行,本实施例不对此进行限制。
如图7所示,在一示例性实施例中,该无线局域网认证方法至少包括步骤S410至步骤S470,详细介绍如下:
步骤S410,当接收到待认证终端发送的无线局域网连接请求时,根据待认证终端的终端标识在本地查找与终端标识相关联的验证密钥,其中,与终端标识相关联的验证密钥是云服务器在接收到无线接入点设备历史发送的待认证信息后,通过获取与待认证终端相匹配的验证密钥,并根据获取到的验证密钥对待认证信息中含有的验证信息进行验证通过后下发的,验证信息是待认证终端生成的。
其中,待认证终端向无线接入点设备发送无线局域网连接请求,可以是待认证终端在执行图1所示的扫描过程后,在自身更新的无线网络列表中选择想要加入的无线局域网络后,向所选择的无线局域网络对应的无线接入点设备发起的。
待认证终端的终端标识可以携带在待认证终端所发送的无线局域网连接请求中,或者在执行图1所示的扫描过程中,无线接入点设备也可获取得到待认证终端的终端标识。待认证终端的终端标识可以是待认证终端的MAC地址。
如图4所示实施例中描述的,由于无线接入点设备性能较弱,无线接入点在第二次握手时获取到待认证终端发送的验证信息后,会向云服务器发送待认证信息,并将待认证终端发送的验证信息携带在待认证信息中,以使云服务器对验证信息进行验证。其中,验证信息是待认证终端生成的,验证信息所含有的消息完整性校验码是待认证终端基于用户输入密钥生成的。云服务器查找自身存储的验证密钥对验证信息验证通过后,会将此验证密钥返回给无线接入点设备,使得无线接入点设备将此验证密钥与待认证终端的终端标识进行关联存储。
因此,无线接入点设备中存储有与已经连接过企业无线局域网络的待认证终端相关的信息,当无线接入点设备接收到待认证终端发送的无线局域网连接请求后,先根据待认证终端的终端标识在本地查找与终端标识相关联的验证密钥,如果查找得到此验证密钥,则表示此次发起无线局域网连接请求的待认证终端已经连接过企业无线局域网络,因此可执行步骤S430中描述的内容。
若未查找得到此验证密钥,则表示此次发起无线局域网连接请求的待认证终端是第一次请求与无线接入点设备建立无线局域网连接,需执行无线局域网认证过程,因此执行步骤S450至步骤S470中描述的内容。
步骤S430,若查找到与终端标识相关联的验证密钥,则响应于无线局域网连接请求,与待认证终端建立无线局域网连接。
由于待认证终端和无线接入点设备在首次进行无线局域网认证时,均安装有用于加密单播数据流的成对临时密钥,以及用于加密广播和租播数据流的组临时密钥,因此无线接入点设备响应于无线局域网连接请求,与待认证终端建立无线局域网连接后,即可与待认证终端进行加密数据流的传输。
步骤S450,若未查找到与终端标识相关联的验证密钥,则向云服务端发送待认证信息,待认证信息中含有待认证终端生成的验证信息。
步骤S470,接收云服务端在对验证信息验证通过后,返回的与待认证终端相匹配的成对主密钥,将云服务端返回的成对主密钥作为验证密钥,与待认证终端的终端标识进行关联存储。
需要说明的是,步骤S450和步骤S470的详细过程请参见图4所示实施例描述的内容,本处不再对此进行赘述。
由上可以看出,通过本实施例提供的方法,将使得部署于企业无线局域网系统中的任意无线接入点设备都无需针对待认证终端所生成验证信息进行验证,而是将针对待认证终端所生成验证信息进行验证的过程转移至云端执行,企业无需购买价格昂贵的接入控制器,可以有效地解决现有技术中存在的问题。
本申请还设置在无线接入点设备中存储有与已经连接过企业无线局域网络的待认证终端相关的信息,并且在接收到待认证终端发送的无线局域网连接请求时,无线接入点设备优先判断发起请求的待认证终端是否为已经连接过企业无线局域网络的待认证终端,如果是,则直接与待认证终端建立无线局域网连接,此技术手段极大减轻了云服务器性能压力,实现了无线终端与无线接入点设备之间的快速连接,极大地提升整个企业无线局域网系统的连接效率。
并且在本实施例中,无线接入点设备只会存储曾经连接过无线局域网络的无线终端的信息,而不会同步存储企业中所有连接过的无线终端,能够减少无线接入点中的数据冗余,也减少无线接入点设备查找得到与无线终端的终端标识相关联的验证密钥的耗时,由此减轻了无线接入点设备自身的性能压力,能够提升无线终端与无线接入点设备之间的连接速率。
还需说明的是,在其它的一些实施例中,例如在无线接入点设备自身性能较好的情况下,无线接入点设备中也可以存储企业中所有连接过的无线终端,本处不对此进行限制。
在图8所示的示例性实施例中,无线接入点设备还执行步骤S510至步骤S550,详细介绍如下:
步骤S510,在查找到与待认证终端的终端标识相关联的验证密钥之后,根据与终端标识相关联的验证密钥计算成对临时密钥。
在本实施例中,待认证终端与无线接入点设备之间仍需进行无线局域网认证的过程,无线接入点设备在查找到与待认证终端的终端标识相关联的验证密钥之后,根据查找到的验证密钥,在本地进行待认证终端所发送验证信息的验证。
由此,无线接入点设备需根据查找得到的验证密钥计算成对临时密钥。详细计算过程请参见前述实施例中记载的云服务器生成成对临时密钥的过程,本处不对此进行赘述。
步骤S530,基于计算得到的成对临时密钥获取消息完整性校验码。
在计算得到成对临时密钥,无线接入点设备还需生成消息完整性校验码,以根据自身生成的消息完整性校验码对验证信息中含有的消息完整性校验码进行验证,以实现对于验证信息的验证。详细计算过程仍请参见前述实施例中记载的云服务器生成消息完整性校验码的过程,本处也不进行赘述。
步骤S550,根据消息完整性校验码对用户输入密钥进行验证,若验证通过,则执行响应于所述无线局域网连接请求,与待认证终端建立无线局域网连接的步骤。
由于验证信息中含有的消息完整性校验码是待认证终端根据用户输入密钥生成的,因此无线接入点设备在生成消息完整性校验码后,将自身生成的消息完整性校验码与验证信息中含有的消息完整性校验码进行对比,若二者相一致,则表示用户输入密钥是为合法用户输入的预共享密钥,验证信息则通过验证。
对验证信息进行验证通过后,无线接入点设备则可与待认证终端进行后续的无线局域网连接过程,与待认证终端建立无线局域网连接。
可以看出,在本实施例提供的方法中,无线接入点设备与无线终端之间将执行完整的无线局域网认证流程,也即图2所示的四次握手过程。无线接入点设备根据查找到关联存储的验证密钥,对待认证终端发送的验证信息进行验证,此时无线接入点设备仅针对待认证终端发送的验证信息验证一次,,相比于现有的技术实现方案中无线接入点设备需要多次查找执行验证信息的验证过程,本实施例的方案也极大地减轻了无线接入点的性能压力,能够保证企业无线局域网络的稳定性和安全性。
基于上述实施例可以得到如图9所示的企业无线局域网系统架构。
如图9所示,该企业无线局域网系统的架构可划分为边缘端以及云端,边缘端包括多个无线接入点设备,用于为企业核心网络提供入口点,云端则实现通过云服务器向边缘端的无线接入点设备提供无线接入点服务。
云服务器包括接入服务、密钥管理、设备管理、应用服务、通讯录以及企业配置中的一个或多个功能模块。接入服务模块用于与无线接入点设备进行连接,并维持相关的心跳。设备管理模块用于管理相连接的无线接入点设备的相关信息,例如无线接入点设备所属的企业等信息。企业配置模块用于管理每个企业相关的无线接入点配置信息,例如不同企业的服务集标识码是不同的。通讯录模块用于记录企业员工的信息,例如手机号或者微信号等。应用服务模块用于对外提供API(Application Programming Interface,应用程序接口)的相关信息。
值得提及的是,密钥管理模块用于生成、删除和更新密钥信息,例如当企业中新增了员工时,需为新增员工分配唯一的预共享密钥,当企业中员工离职时也相应删除与该员工相关的信息。密钥管理模块还用于成对主密钥的缓存(即图9所示的PMK缓存)以及无线终端的终端标识与成对主密钥的关联缓存(即图9所示的MAC-PMK缓存)。PMK缓存是指云服务器会根据企业中各个员工的预共享密钥和企业对应的服务集标识码生成各个员工的成对主密钥,并对各个员工的成对主密钥进行本地存储。MAC-PMK缓存是指将针对无线终端生成的验证信息进行验证通过后的成对主密钥与此无线终端的终端标识在本地进行关联存储。
边缘端的无线接入点设备则与云服务器连接,并接收云服务器为其配置的接入点信息,例如服务集标识码,隶属于同一企业的各个无线接入点设备可以具有同一服务集标识码,以及接收云服务器的密钥下发和管理,接收无线终端的连接信息等。无线接入点设备本地也进行MAC-PMK缓存。
在图9示出的企业无线局域网系统架构中,提供了多级密钥缓存机制,具体如下:
1、无线接入点设备进行MAC-PMK缓存,使得无线接入点设备可以在本地实现无线局域网快速认证;
2、云端进行MAC-PMK缓存,使得云端可以实现无线局域网快速认证;
3、云端进行PMK缓存,使得云端可以实现无线局域网快速认证。
需要说明的是,以上的多级密钥缓存机制的详细实现过程请参见图4至图8所示实施例中描述的内容,本处不再赘述。通过设置以上的多级密钥缓存机制,也使得企业无线局域网络可以轻松应对大量员工的无线局域网连接需求,可以应用于1000人以上的企业中。并且在实际应用中,也可以根据实际情况选择至少一种密钥缓存机制,本处也不对此进行限制。
图10至图12是本申请的实施例所示出的三种示例性应用场景示意图,以便于理解本申请提供的无线局域网认证方法在企业无线局域网系统的应用,进而便于理解本申请的技术方案。
在图10所示的示例性应用场景中,员工B使用无线终端首次连接企业分支机构2的AP设备(即无线接入点设备),分支机构2的AP设备则云服务器发送待认证信息,以使云服务器对待认证信息中的验证信息进行验证,验证信息是员工B的无线终端根据用户输入密钥生成的。云服务器需向分支机构2的AP设备返回验证结果,若验证通过,云服务器返回针对验证信息验证通过的成对主密钥PMK,若验证失败,则返回验证失败的消息。分支机构2的AP设备根据云服务器下发的成对主密钥与员工B的无线终端的MAC地址在本地进行MAC-PMK信息的缓存,还根据云服务器返回的验证结果,向员工B的无线终端返回连接结果。
此外,员工A使用无线终端首次连接企业分支机构1的AP设备,员工C使用无线终端首次连接企业分支机构3的AP设备,详细的连接流程与上述员工B使用无线终端首次连接企业分支机构2的AP设备相同。
在图11所示的示例性应用场景中,员工B使用无线终端再次连接企业分支机构2的AP设备,由于分支机构2的AP设备中存储有员工B的无线终端对应的MAC-PMK信息,分支机构2的AP设备可直接与员工B的无线终端建立连接,或者使用此成对主密钥PMK对员工B的无线终端发送的验证信息进行验证,在验证通过后,与员工B的无线终端建立连接。
在图12所示的示例性应用场景中,员工A使用无线终端首次连接企业分支机构2的AP设备,由于分支机构2的AP设备并未存储此无线终端对应的MAC-PMK信息,因此需通过云服务器对员工A的无线终端发送的验证信息进行验证。
由此可以看出,本申请所提供的技术方案通过企业边缘AP设备与云端AP服务相协同,并设置多级密钥缓存机制,实现企业无线局域网络的高效连接和管理,能够极大地满足企业中的大量无线局域网连接需求,也十分满足企业中分支结构的无线局域网连接需求。
图13是本申请的一示例性实施例示出的无线局域网认证装置的框图。如图13所示,该装置包括:
待认证信息接收模块610,配置为接收无线接入点设备发送的待认证信息,待认证信息中含有待认证终端生成的验证信息;密钥获取及验证模块630,配置为获取与待认证终端相匹配的验证密钥,根据验证密钥对验证信息进行验证;密钥信息返回模块650,配置为若验证信息通过验证,则向无线接入点设备返回验证密钥,以使无线接入点设备将验证密钥与待认证终端的终端标识进行关联存储。
在另一示例性实施例中,该还装置包括:
第一本地查找单元,配置为在本地查找与待认证终端的终端标识进行关联存储的验证密钥;第一响应单元,配置为若未查找到验证密钥,则执行获取与待认证终端相匹配的验证密钥,根据验证密钥对验证信息进行验证的步骤;第二响应单元,配置为若查找到验证密钥,则确定验证信息通过验证。
在另一示例性实施例中,验证密钥包括成对主密钥;密钥获取及验证模块630包括:
第二本地查找单元,配置为在本地查找所存储的成对主密钥,根据查找得到的成对主密钥对验证信息进行验证;第三响应单元,配置为若验证信息验证失败,则进行下一轮成对主密钥的查找,并根据查找得到的成对主密钥对验证信息进行验证,直至验证信息验证成功;第四查找单元,配置为将针对验证信息验证成功的成对主密钥作为与待认证终端相匹配的验证密钥。
在另一示例性实施例中,验证信息是待认证终端基于用户输入密钥生成的;第二本地查找单元包括:
成对临时密钥计算子单元,配置为根据查找得到的成对主密钥计算成对临时密钥;消息完整性校验码计算子单元,配置为基于计算得到的成对临时密钥获取消息完整性校验码;消息完整性校验码验证子单元,配置为根据消息完整性校验码对用户输入密钥进行验证,若验证通过,则确定验证信息通过验证。
在另一示例性实施例中,成对临时密钥计算子单元包括:
相关信息获取子单元,配置为从待认证信息中获取待认证终端生成的终端随机值、待认证终端的终端标识、无线接入点设备生成的接入点随机值、无线接入点设备的设备标识中的至少一种与用户输入密钥相关的信息;伪随机函数运算子单元,配置为根据查找得到的成对主密钥以及与用户输入密钥相关的信息进行伪随机函数运算,以得到成对临时密钥。
在另一示例性实施例中,消息完整性校验码计算子单元包括:
密钥获取子单元,配置为根据成对临时密钥获取用于生成消息完整性校验码的密钥;加密运算子单元,配置为根据用于生成消息完整性校验码的密钥,对待认证终端发送的消息进行加密运算,以得到消息完整性校验码,其中,待认证终端发送的消息包括待认证终端生成的终端随机值。
在另一示例性实施例中,该装置还包括:
关联存储模块,配置为将与认证终端相匹配的验证密钥与待认证终端的终端标识进行关联存储。
在另一示例性实施例中,该装置还包括:
初始化配置模块,配置为进行初始化信息的配置,初始化信息包括企业中各个用户唯一的预共享密钥以及企业对应的服务集识别码,其中,企业中部署的所有无线接入点设备具有同一服务集识别码;密钥计算及存储模块,配置为根据企业中各个用户唯一的预共享密钥和企业对应的服务集识别码,分别计算各个用户的验证密钥,并对各个用户的验证密钥进行本地存储。
图14是本申请的另一示例性实施例示出的无线局域网认证装置的框图。如图14所示,该装置包括:
验证密钥查找模块710,配置为当接收到待认证终端发送的验证信息时,根据待认证终端的终端标识在本地查找与终端标识相关联的验证密钥,其中,与终端标识相关联的验证密钥是云服务器在接收到无线接入点设备历史发送的待认证信息后,通过获取与待认证终端相匹配的验证密钥,并根据获取到的验证密钥对历史发送的待认证信息中含有的验证信息进行验证通过后下发的;请求响应模块730,配置为若查找到与终端标识相关联的验证密钥,则响应于无线局域网连接请求,与待认证终端建立无线局域网连接。
在另一示例性实施例中,该装置还包括:
待认证信息发送模块,配置为若未查找到与终端标识相关联的验证密钥,则向云服务端发送待认证信息,待认证信息中含有待认证终端生成的验证信息;成对主密钥接收模块,配置为接收云服务端在对验证信息验证通过后,返回的与待认证终端相匹配的成对主密钥;成对主密钥关联存储模块,配置为将云服务端返回的成对主密钥作为验证密钥,与待认证终端的终端标识进行关联存储。
在另一示例性实施例中,验证信息是待认证终端基于用户输入密钥生成的;该装置还包括:
成对临时密钥获取模块,配置为根据与终端标识相关联的验证密钥计算成对临时密钥;消息完整性校验码获取模块,配置为基于计算得到的成对临时密钥获取消息完整性校验码;验证通过响应模块,配置为根据消息完整性校验码对用户输入密钥进行验证,若验证通过,则执行响应于无线局域网连接请求,与待认证终端建立无线局域网连接的步骤。
需要说明的是,上述实施例所提供的装置与上述实施例所提供的方法属于同一构思,其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述,此处不再赘述。
并且还需要说明的是,上述实施例所提供的装置部署到企业无线局域网系统时,无线终端不会由于认证超时而向接入点设备重新发送无线局域网连接的请求,企业也无需购买价格昂贵的接入控制器,能实现企业无线局域网系统的稳定性,企业无线局域网系统也能够获得很高的连接效率。
本申请的实施例还提供了一种电子设备,包括处理器和存储器,其中,存储器上存储有计算机可读指令,该计算机可读指令被处理器执行时实现如前所述的无线局域网认证方法。
图15示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
需要说明的是,图15示出的电子设备的计算机系统1600仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图15所示,计算机系统1600包括中央处理单元(Central Processing Unit,CPU)1601,其可以根据存储在只读存储器(Read-Only Memory,ROM)1602中的程序或者从储存部分1608加载到随机访问存储器(Random Access Memory,RAM)1603中的程序而执行各种适当的动作和处理,例如执行上述实施例中所述的方法。在RAM 1603中,还存储有系统操作所需的各种程序和数据。CPU 1601、ROM 1602以及RAM 1603通过总线1604彼此相连。输入/输出(Input/Output,I/O)接口1605也连接至总线1604。
以下部件连接至I/O接口1605:包括键盘、鼠标等的输入部分1606;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分1607;包括硬盘等的储存部分1608;以及包括诸如LAN(Local AreaNetwork,局域网)卡、调制解调器等的网络接口卡的通信部分1609。通信部分1609经由诸如因特网的网络执行通信处理。驱动器1610也根据需要连接至I/O接口1605。可拆卸介质1611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1610上,以便于从其上读出的计算机程序根据需要被安装入储存部分1608。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中,该计算机程序可以通过通信部分1609从网络上被下载和安装,和/或从可拆卸介质1611被安装。在该计算机程序被中央处理单元(CPU)1601执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
本申请的另一方面还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如前所述的无线局域网认证方法。该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的,也可以是单独存在,而未装配入该电子设备中。
本申请的另一方面还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各个实施例中提供的无线局域网认证方法。
上述内容,仅为本申请的较佳示例性实施例,并非用于限制本申请的实施方案,本领域普通技术人员根据本申请的主要构思和精神,可以十分方便地进行相应的变通或修改,故本申请的保护范围应以权利要求书所要求的保护范围为准。
Claims (15)
1.一种无线局域网认证方法,其特征在于,所述方法包括:
接收无线接入点设备发送的待认证信息,所述待认证信息中含有待认证终端生成的验证信息;
获取与所述待认证终端相匹配的验证密钥,根据所述验证密钥对所述验证信息进行验证;
若所述验证信息通过验证,则向所述无线接入点设备返回所述验证密钥,以使所述无线接入点设备将所述验证密钥与所述待认证终端的终端标识进行关联存储。
2.根据权利要求1所述的方法,其特征在于,在所述获取与所述待认证终端相匹配的验证密钥,根据所述验证密钥对所述验证信息进行验证之前,所述方法还包括:
在本地查找与所述待认证终端的终端标识进行关联存储的验证密钥;
若未查找到所述验证密钥,则执行所述获取与所述待认证终端相匹配的验证密钥,根据所述验证密钥对所述验证信息进行验证的步骤;
若查找到所述验证密钥,则确定所述验证信息通过验证。
3.根据权利要求1或2所述的方法,其特征在于,所述验证密钥包括成对主密钥;所述获取与所述待认证终端相匹配的验证密钥,根据所述验证密钥对所述验证信息进行验证,包括:
在本地查找所存储的成对主密钥,根据查找得到的成对主密钥对所述验证信息进行验证;
若所述验证信息验证失败,则进行下一轮成对主密钥的查找,并根据查找得到的成对主密钥对所述验证信息进行验证,直至所述验证信息验证成功;
将针对所述验证信息验证成功的成对主密钥作为与所述待认证终端相匹配的验证密钥。
4.根据权利要求3所述的方法,其特征在于,所述验证信息是所述待认证终端基于用户输入密钥生成的;所述在本地查找所存储的成对主密钥,根据查找得到的成对主密钥对所述验证信息进行验证,包括:
根据查找得到的成对主密钥计算成对临时密钥;
基于计算得到的成对临时密钥获取消息完整性校验码;
根据所述消息完整性校验码对所述用户输入密钥进行验证,若验证通过,则确定所述验证信息通过验证。
5.根据权利要求4所述的方法,其特征在于,所述根据查找得到的成对主密钥计算成对临时密钥,包括:
从所述待认证信息中获取所述待认证终端生成的终端随机值、所述待认证终端的终端标识、所述无线接入点设备生成的接入点随机值、所述无线接入点设备的设备标识中的至少一种与所述用户输入密钥相关的信息;
根据所述查找得到的成对主密钥以及与所述用户输入密钥相关的信息进行伪随机函数运算,以得到所述成对临时密钥。
6.根据权利要求4所述的方法,其特征在于,基于计算得到的成对临时密钥获取消息完整性校验码,包括:
根据所述成对临时密钥获取用于生成消息完整性校验码的密钥;
根据所述用于生成消息完整性校验码的密钥,对所述待认证终端发送的消息进行加密运算,以得到所述消息完整性校验码,其中,所述待认证终端发送的消息包括所述待认证终端生成的终端随机值。
7.根据权利要求1所述的方法,其特征在于,在所述验证信息通过验证之后,所述方法还包括:
将所述与认证终端相匹配的验证密钥与所述待认证终端的终端标识进行关联存储。
8.根据权利要求1所述的方法,其特征在于,在所述接收无线接入点设备转发的待认证信息之前,所述方法还包括:
进行初始化信息的配置,所述初始化信息包括企业中各个用户唯一的预共享密钥以及所述企业对应的服务集识别码,其中,所述企业中部署的所有无线接入点设备具有同一服务集识别码;
根据企业中各个用户唯一的预共享密钥和所述企业对应的服务集识别码,分别计算各个用户的验证密钥,并对所述各个用户的验证密钥进行本地存储。
9.一种无线局域网认证方法,其特征在于,所述方法包括:
当接收到待认证终端发送的无线局域网连接请求时,根据所述待认证终端的终端标识在本地查找与所述终端标识相关联的验证密钥,其中,与所述终端标识相关联的验证密钥是云服务器在接收到无线接入点设备历史发送的待认证信息后,通过获取与所述待认证终端相匹配的验证密钥,并根据获取到的验证密钥对所述待认证信息中含有的验证信息进行验证通过后下发的,所述验证信息是所述待认证终端生成的;
若查找到与所述终端标识相关联的验证密钥,则响应于所述无线局域网连接请求,与所述待认证终端建立无线局域网连接。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
若未查找到所述与所述终端标识相关联的验证密钥,则向所述云服务端发送待认证信息,所述待认证信息中含有所述待认证终端生成的验证信息;
接收所述云服务端在对所述验证信息验证通过后,返回的与所述待认证终端相匹配的成对主密钥;
将所述云服务端返回的成对主密钥作为验证密钥,与所述待认证终端的终端标识进行关联存储。
11.根据权利要求9所述的方法,其特征在于,所述验证信息是所述待认证终端基于用户输入密钥生成的;在查找到与所述终端标识相关联的验证密钥之后,所述方法还包括:
根据与所述终端标识相关联的验证密钥计算成对临时密钥;
基于计算得到的成对临时密钥获取消息完整性校验码;
根据所述消息完整性校验码对所述用户输入密钥进行验证,若验证通过,则执行所述响应于所述无线局域网连接请求,与所述待认证终端建立无线局域网连接的步骤。
12.一种无线局域网认证装置,其特征在于,所述装置包括:
待认证信息接收模块,配置为接收无线接入点设备发送的待认证信息,所述待认证信息中含有待认证终端生成的验证信息;
密钥获取及验证模块,配置为获取与所述待认证终端相匹配的验证密钥,根据所述验证密钥对所述验证信息进行验证;
密钥信息返回模块,配置为若所述验证信息通过验证,则向所述无线接入点设备返回所述验证密钥,以使所述无线接入点设备将所述验证密钥与所述待认证终端的终端标识进行关联存储。
13.一种无线局域网认证装置,其特征在于,所述装置包括:
验证密钥查找模块,配置为当接收到待认证终端发送的验证信息时,根据所述待认证终端的终端标识在本地查找与所述终端标识相关联的验证密钥,其中,与所述终端标识相关联的验证密钥是云服务器在接收到无线接入点设备历史发送的待认证信息后,通过获取与所述待认证终端相匹配的验证密钥,并根据获取到的验证密钥对所述历史发送的待认证信息中含有的验证信息进行验证通过后下发的;
请求响应模块,配置为若查找到与所述终端标识相关联的验证密钥,则响应于所述无线局域网连接请求,与所述待认证终端建立无线局域网连接。
14.一种电子设备,其特征在于,包括:
存储器,存储有计算机可读指令;
处理器,读取存储器存储的计算机可读指令,以执行权利要求1-11中的任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,其上存储有计算机可读指令,当所述计算机可读指令被计算机的处理器执行时,使计算机执行权利要求1-11中的任一项所述的方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011481963.XA CN112672351A (zh) | 2020-12-15 | 2020-12-15 | 无线局域网认证方法及装置、电子设备、存储介质 |
| PCT/CN2021/129267 WO2022127434A1 (zh) | 2020-12-15 | 2021-11-08 | 无线局域网认证方法及装置、电子设备、存储介质 |
| US17/986,719 US20230071813A1 (en) | 2020-12-15 | 2022-11-14 | Wireless local area network authentication method and apparatus, electronic device, and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011481963.XA CN112672351A (zh) | 2020-12-15 | 2020-12-15 | 无线局域网认证方法及装置、电子设备、存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112672351A true CN112672351A (zh) | 2021-04-16 |
Family
ID=75406140
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011481963.XA Pending CN112672351A (zh) | 2020-12-15 | 2020-12-15 | 无线局域网认证方法及装置、电子设备、存储介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230071813A1 (zh) |
| CN (1) | CN112672351A (zh) |
| WO (1) | WO2022127434A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113556227A (zh) * | 2021-07-09 | 2021-10-26 | 腾讯科技(深圳)有限公司 | 网络连接管理方法、装置、计算机可读介质及电子设备 |
| CN113691974A (zh) * | 2021-08-19 | 2021-11-23 | 支付宝(杭州)信息技术有限公司 | 验证无线接入点的方法和装置 |
| CN114513785A (zh) * | 2022-02-22 | 2022-05-17 | 新华三技术有限公司 | 一种终端认证方法及装置 |
| CN114630285A (zh) * | 2022-01-28 | 2022-06-14 | 浙江大华技术股份有限公司 | 一种数据传输方法、设备、系统和计算机可读存储介质 |
| WO2022127434A1 (zh) * | 2020-12-15 | 2022-06-23 | 腾讯科技(深圳)有限公司 | 无线局域网认证方法及装置、电子设备、存储介质 |
| WO2023121301A1 (en) * | 2021-12-24 | 2023-06-29 | Samsung Electronics Co., Ltd. | Method and system for selecting device for accessing wireless connectivity in network |
| WO2024026664A1 (en) * | 2022-08-02 | 2024-02-08 | Qualcomm Incorporated | Reassociation between station and access point |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115223292B (zh) * | 2022-09-07 | 2022-12-09 | 四川绿源集科技有限公司 | 发药机的处理方法、装置、存储介质及电子设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105491093B (zh) * | 2014-09-19 | 2019-06-25 | 中国移动通信集团公司 | 终端认证、网络访问的方法、服务器、无线接入点及终端 |
| EP3413508A1 (en) * | 2017-06-06 | 2018-12-12 | Thomson Licensing | Devices and methods for client device authentication |
| CN106941405A (zh) * | 2017-04-28 | 2017-07-11 | 北京星网锐捷网络技术有限公司 | 一种在无线局域网中终端认证的方法和装置 |
| CN112672351A (zh) * | 2020-12-15 | 2021-04-16 | 腾讯科技(深圳)有限公司 | 无线局域网认证方法及装置、电子设备、存储介质 |
-
2020
- 2020-12-15 CN CN202011481963.XA patent/CN112672351A/zh active Pending
-
2021
- 2021-11-08 WO PCT/CN2021/129267 patent/WO2022127434A1/zh unknown
-
2022
- 2022-11-14 US US17/986,719 patent/US20230071813A1/en active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022127434A1 (zh) * | 2020-12-15 | 2022-06-23 | 腾讯科技(深圳)有限公司 | 无线局域网认证方法及装置、电子设备、存储介质 |
| CN113556227A (zh) * | 2021-07-09 | 2021-10-26 | 腾讯科技(深圳)有限公司 | 网络连接管理方法、装置、计算机可读介质及电子设备 |
| WO2023280194A1 (zh) * | 2021-07-09 | 2023-01-12 | 腾讯科技(深圳)有限公司 | 网络连接管理方法、装置、可读介质、程序产品及电子设备 |
| CN113691974A (zh) * | 2021-08-19 | 2021-11-23 | 支付宝(杭州)信息技术有限公司 | 验证无线接入点的方法和装置 |
| WO2023121301A1 (en) * | 2021-12-24 | 2023-06-29 | Samsung Electronics Co., Ltd. | Method and system for selecting device for accessing wireless connectivity in network |
| CN114630285A (zh) * | 2022-01-28 | 2022-06-14 | 浙江大华技术股份有限公司 | 一种数据传输方法、设备、系统和计算机可读存储介质 |
| CN114513785A (zh) * | 2022-02-22 | 2022-05-17 | 新华三技术有限公司 | 一种终端认证方法及装置 |
| CN114513785B (zh) * | 2022-02-22 | 2023-10-20 | 新华三技术有限公司 | 一种终端认证方法及装置 |
| WO2024026664A1 (en) * | 2022-08-02 | 2024-02-08 | Qualcomm Incorporated | Reassociation between station and access point |
Also Published As
| Publication number | Publication date |
|---|---|
| US20230071813A1 (en) | 2023-03-09 |
| WO2022127434A1 (zh) | 2022-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2022127434A1 (zh) | 无线局域网认证方法及装置、电子设备、存储介质 | |
| CN109286932B (zh) | 入网认证方法、装置及系统 | |
| EP2343917B1 (en) | Method, system and device for implementing device addition in the wi-fi device to device network | |
| US9843575B2 (en) | Wireless network authentication method and wireless network authentication apparatus | |
| US7809354B2 (en) | Detecting address spoofing in wireless network environments | |
| WO2017190616A1 (zh) | 无线网络连接方法、无线接入点、服务器及系统 | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| US7370350B1 (en) | Method and apparatus for re-authenticating computing devices | |
| US10305684B2 (en) | Secure connection method for network device, related apparatus, and system | |
| WO2017028593A1 (zh) | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 | |
| US20200076606A1 (en) | Blockchain key storage on sim devices | |
| CN110856174B (zh) | 一种接入认证系统、方法、装置、计算机设备和存储介质 | |
| US20230344626A1 (en) | Network connection management method and apparatus, readable medium, program product, and electronic device | |
| CN107567017B (zh) | 无线连接系统、装置及方法 | |
| CN111447220B (zh) | 认证信息管理方法、应用系统的服务端及计算机存储介质 | |
| WO2022111187A1 (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| US20150381611A1 (en) | Method and network node for obtaining a permanent identity of an authenticating wireless device | |
| WO2017012204A1 (zh) | 无线连接方法、终端及无线访问接入点、计算机存储介质 | |
| CN110784865A (zh) | 物联网设备的配网方法、终端、物联网设备及配网系统 | |
| CN105050086A (zh) | 一种终端登录Wifi热点的方法 | |
| CN111031540B (zh) | 一种无线网络连接方法及计算机存储介质 | |
| CN109561431B (zh) | 基于多口令身份鉴别的wlan接入访问控制系统及方法 | |
| US9622075B2 (en) | System and method for adaptive multifactor authentication | |
| KR20100053703A (ko) | Otp 클라이언트기반의 공중 무선랜 서비스망 사용자 인증 시스템 및 방법 | |
| CN111741464B (zh) | 设备连接方法、主控设备、被控设备、控制系统及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40041955 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |