CN117135634A

CN117135634A - 无线网络接入方法、装置、系统、存储介质及电子设备

Info

Publication number: CN117135634A
Application number: CN202210546900.0A
Authority: CN
Inventors: 刘国旭
Original assignee: Tencent Technology Shenzhen Co Ltd
Current assignee: Tencent Technology Shenzhen Co Ltd
Priority date: 2022-05-19
Filing date: 2022-05-19
Publication date: 2023-11-28

Abstract

本申请属于云计算和无线通信技术领域，涉及一种无线网络接入方法、装置、系统、存储介质及电子设备。该方法应用于无线网络接入系统中的边缘服务器，所述边缘服务器中存储有第一预共享密钥PSK集，并且所述第一PSK集包含所有企业分支中终端的PSK；该方法包括：接收网络接入设备发送的终端接入认证请求，所述终端接入认证请求中包含与目标终端对应的目标PSK；基于所述目标PSK和所述第一PSK集对所述目标终端进行认证，并将认证结果通过所述网络接入设备发送至所述目标终端。本申请能够提高对请求加入无线网络的终端的认证效率。

Description

无线网络接入方法、装置、系统、存储介质及电子设备

技术领域

本申请涉及云计算和无线通信技术领域，具体而言，涉及一种无线网络接入方法、无线网络接入装置、无线网络接入系统、计算机存储介质及电子设备。

背景技术

无线网络通信技术WIFI(Wireless Fidelity，无线保真)常用的认证方式一般有PSK(PreShared Key，预共享密钥)认证和MAC地址(Media Access Control Address，媒体存取控制位址)认证，而PSK认证通常又分为WAP-PSK认证和WPA2-PSK认证两种。

目前，PSK认证过程一般在设备端实现的，用户通常通过设备本地网页配置PSK，并且在每个用户接入认证的时候，设备端都需要进行完整的四次握手过程，当大量用户接入、用户频繁变更PSK或设备端性能不足的时候，认证效率低、速度慢，影响用户体验。

发明内容

本申请的实施例提供了一种无线网络接入方法、无线网络接入装置、计算机存储介质及电子设备，进而至少在一定程度上可以提高认证效率。

本申请的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本申请的实践而习得。

第一方面，本申请的实施例提供了一种无线网络接入方法，应用于无线网络接入系统中的边缘服务器，所述边缘服务器中存储有第一预共享密钥PSK集，并且所述第一PSK集包含所有企业分支中终端的PSK；所述方法包括：接收网络接入设备发送的终端接入认证请求，所述终端接入认证请求中包含与目标终端对应的目标PSK；基于所述目标PSK和所述第一PSK集对所述目标终端进行认证，并将认证结果通过所述网络接入设备发送至所述目标终端。

第二方面，本申请的实施例提供了一种无线网络接入装置，配置于无线网络接入系统中的边缘服务器，所述边缘服务器中存储有第一预共享密钥PSK集，并且所述第一PSK集包含所有企业分支中终端的PSK；所述装置包括：接收模块，用于接收网络接入设备发送的终端接入认证请求，所述终端接入认证请求中包含与目标终端对应的目标PSK；认证模块，用于基于所述目标PSK对所述目标终端进行认证，并将认证结果通过所述网络接入设备发送至所述目标终端。

第三方面，本申请的实施例提供了一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得所述计算机执行如上述实施例所述的无线网络接入方法。

第四方面，本申请的实施例提供了一种电子设备，包括处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器用于调用所述可执行指令来实现如上述实施例所述的无线网络接入方法。

第五方面，本申请的实施例提供了一种计算机程序产品，当所述指令在计算机上运行时，使得所述计算机执行如上述实施例所述的无线网络接入方法。

本申请的实施例所提供的无线网络接入方法，无线网络接入系统中包括多个边缘服务器，各个边缘服务器中存储有第一预共享密钥PSK集，并且第一PSK集包含所有企业分支中终端对应的PSK，当目标终端发送的终端接入认证请求经由网络接入设备发送至边缘服务器后，边缘服务器能够基于该目标终端对应的目标PSK和自身存储的第一PSK集对目标终端进行认证，并将认证结果通过网络接入设备发送至目标终端。通过边缘服务器对与其连接的网络接入设备所发送的终端接入认证请求进行处理，能够实现对目标终端的快速认证，提高了用户体验。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

图1示意性地示出了相关技术中的存在多分支的企业进行PSK认证的架构图；

图2示出了可以应用本申请实施例的技术方案的无线网络接入系统的架构示意图；

图3示意性地示出了一个实施例中的无线网络接入方法的流程示意图；

图4示意性地示出了一个实施例中的包含边缘服务器的无线网络接入系统的架构示意图；

图5示意性地示出了一个实施例中的基于目标PSK和第一PSK集对目标终端进行认证的流程示意图；

图6示意性地示出了一个实施例中的通过边缘服务器进行PSK认证的交互流程图；

图7示意性地示出了一个实施例中的网络接入设备对目标终端进行认证的流程示意图；

图8示意性地示出了一个实施例中的无线网络接入装置的框图；

图9示意性地示出了一个实施例中的电子设备的计算机系统的结构示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本申请将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本申请的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本申请的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

在本领域的相关技术中，PSK认证过程通常是在设备端实现的，用户只能通过设备本地网页配置PSK，并且在用户接入认证的时候，设备端都需要进行完整的四次握手过程，当大量用户接入或者设备端性能不足的时候，认证效率低、速度慢，影响用户体验。

考虑到设备端实现PSK认证时存在的认证效率低、速度慢的问题，在本申请中首先考虑将PSK认证流程中的部分任务放到云端，实现基于云端与设备端结合的PSK认证。对于企业网络而言，为了保证网络安全以及网络畅通，使用企业网络的合法用户通常都可以通过终端配置一个单独的PSK，即PPSK(Private PreShared Key，私有预共享密钥)，然后将所配置的PPSK发送到云端，并通过云服务将各个终端对应的PPSK下发至企业中的所有AC和AP，这样企业中所有持有PPSK的用户就可以在办公场所任何被AP覆盖的区域实现无线认证上网。但是当企业人数较多时，一台AC存储所有用户的PSK，在认证时时延会显著提高。另外，当企业存在多个分支时，如果员工在所有分支都能使用PPSK连接企业网络的话就会方便很多，但是由于各个分支常驻员工数量有限，所以分支内选用的AC/AP产品的性能一般，无法支持全企业员工的密钥认证需求。

图1示出了存在多分支的企业进行PSK认证的架构图，如图1所示，企业A下设有三个分支：分支1、分支2和分支3，各个分支均设置有2个AC和四个AP，每个AC和两个AP联合组网，当云端(云服务器)接收到所有工作人员通过应用程序配置的PPSK后，可以将PPSK下发至各个分支中的AC，以便各分支中的工作人员所使用的终端联网。但是当分支1的工作人员去分支3交流时，该工作人员通过终端向分支3中的AP发送认证请求，由于分支3使用的AC/AP性能一般，并没有存储该工作人员的PPSK，这就导致该工作人员的终端不能通过认证，进而无法连接到企业网络。

为了便于理解本申请的技术方案，首先对本申请中涉及的技术名词进行解释说明。

1、PSK：PreShared Key，预共享密钥，用于验证L2TP/IPSec连接的Unicode字符串。

2、PMK：Pairwise Master Key，成对主密钥。

3、PTK：Pairwise Transient Key，成对临时密钥，最终用于加密单播数据流的加密密钥。

4、GMK：Group Master Key，组主密钥。

5、GTK：Group Transient Key，组临时密钥，由组主密钥(GMK)通过哈希运算生成，是用来保护广播和组播数据的加密密钥。

6、MIC：Message Integrity Protocol，消息完整性校验码，针对一组需要保护的数据计算出的散列值，用来防止数据遭篡改。

7、ANonce：服务端生成的随机数，服务端随机生成的值，只使用一次。

8、Snonce：客户端生成的随机数，客户端随机生成的值，只使用一次。

9、SSID：Service Set Identifier，服务集标识。

10、AP：Access Point，无线接入点，用于无线网络的无线交换机，也是无线网络的核心。

11、AC：Access Control，无线局域网接入控制设备，负责把来自不同AP的数据进行汇聚并接入Internet，同时完成AP设备的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能。

在介绍本申请用到的一些技术名词之后，以下结合图2对应用本申请技术方案的示例性系统架构进行说明：

图2示出了可以应用本申请实施例的技术方案的无线网络接入系统的架构示意图。

如图2所示，无线网络接入系统200的架构可以包括目标终端201、网络接入设备202、网络203、边缘服务器204和云服务器205。

其中，目标终端201可以是诸如笔记本电脑、平板电脑、台式计算机、智能车载终端、智能手机、飞行器等终端设备，但并不局限于此。目标终端201用于通过网络203向网络接入设备202发送终端接入认证请求，并在认证通过后，通过网络接入设备202打开的控制端口接入无线网络，进行数据传输。

网络接入设备202具体可以包括AC(Access Control，接入控制器)和AP(AccessPoint，无线接入点)，也可以只包括AC，根据不同的需求可以采用不同的配置。网络接入设备202与目标终端201连接，用于接收目标终端201发送的终端接入认证请求，并将终端接入认证请求通过网络203发送至与网络接入设备202连接的边缘服务器204，以通过边缘服务器204对目标终端201进行认证，或者网络接入设备202可以接收对应的边缘服务器204下发的终端PSK形成PSK集，并在接收到目标终端201发送的终端接入认证请求后，根据PSK集和终端接入认证请求中包含的目标PSK对目标终端进行认证。

网络203用以在目标终端201和网络接入设备202、网络接入设备202和边缘服务器204、边缘服务器204和云服务器205之间提供通信链路的介质。网络202可以包括各种连接类型，例如有线通信链路、无线通信链路等等。

边缘服务器204，与网络接入设备202和云服务器205连接，一方面可以接收云服务器205下发的与所有企业分支中的终端所对应的PSK，一方面可以在接收到网络接入设备202发送的终端设备接入请求后，根据终端设备接入请求中的目标PSK和基于所有终端对应的PSK形成的第一PSK集对目标终端进行认证，并将认证结果反馈至网络接入设备202。进一步地，边缘服务器204还可以对网络接入设备202的可靠性进行判断，在判定网络接入设备202具有高可靠性后，可以将终端的PSK下发至网络接入设备202以形成第二PSK集，以使网络接入设备202在接收到终端接入认证请求后根据第二PSK集和终端接入认证请求中包含的目标PSK对目标终端进行认证。

通过设置边缘服务器204，可以将许多计算任务通过本地设备实现而无需交由云端，处理过程将在本地边缘计算层完成。这无疑将大大提升处理效率，减轻云端的负荷。另外由于更加靠近用户，还可为用户提供更快的响应，将需求在边缘端解决。

云服务器205，与目标终端201、网络接入设备202、边缘服务器204连接，云服务器205在接收到目标终端201发送的PSK后可以将PSK发送至边缘服务器204，或者在接收到终端PSK后，根据PSK计算PMK，并将PSK和PMK同时发送至边缘服务器204；云服务器205还可以在边缘服务器204接收终端接入认证请求对目标终端进行认证之前，向网络接入设备202发送包含待接入边缘服务器的标识的连接指令，以使网络接入设备202向具有该标识的边缘服务器发送连接请求，以建立与具有该标识的边缘服务器的连接。

应该理解，图2中的目标终端、网络接入设备、网络、边缘服务器和云服务器的数目仅仅是示意性的。根据实际需要，可以具有任意数目的目标终端、网络接入设备、网络、边缘服务器和云服务器。比如边缘服务器204可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，云服务器205可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的服务器。

在本申请的一个实施例中，目标终端201可以通过网络203向其所在企业分支对应的网络接入设备202发送终端接入认证请求，网络接入设备202在接收到终端接入认证请求后，可以将终端接入认证请求通过网络203发送至与其连接的边缘服务器204，由于边缘服务器204中存储有由云服务器205下发的所有企业分支中终端对应的私有预共享密钥PPSK，因此边缘服务器204在接收到终端接入认证请求后，可以对终端接入认证请求进行解析以获取其中所包含的与目标终端对应的目标PSK，接着可以根据目标PSK和自身存储的由所有终端对应的私有预共享密钥形成的第一PSK集对目标终端进行认证。

在本申请的一个实施例中，边缘服务器204在与其覆盖范围内的网络接入设备202建立连接后，可以对网络接入设备202的可靠性进行判断，当判定网络接入设备202具有高可靠性，不存在信息泄露的可能性时，可以将其存储的第一PSK集中的PSK发送至网络接入设备202，以使网络接入设备202在接收到目标终端201发送的终端接入认证请求后，根据终端接入认证请求中包含的目标终端对应的目标PSK和由边缘服务器204下发的PSK形成的第二PSK集对目标终端进行认证。由于网络接入设备202的容量有限，如果其容量大于第一PSK集的大小时，那么边缘服务器204可以将第一PSK集中的所有PSK发送至网络接入设备202，如果其容量小于第一PSK集的大小时，那么边缘服务器204可以将第一PSK集中的部分PSK发送至网络接入设备202，这样就存在一种情况，那就是目标PSK不存在于网络接入设备202接收到的PSK中，这样网络接入设备202就需要将接收到的终端接入认证请求通过网络203发送至边缘服务器204，以使边缘服务器204根据第一PSK集和终端接入认证请求中的目标PSK对目标终端进行认证。

本申请实施例所提供的无线网络接入方法，能够通过边缘服务器对目标终端进行认证，实现了云(云服务器)、边(边缘服务器)、端(网络接入设备)协调的方式对终端进行认证，提高了认证效率，并且在目标终端从一个分支转移到另一个分支时，由于边缘服务器存储了所有终端对应的PSK，可以对任一企业分支中的终端进行认证，进而避免了由于另一分支中的网络接入设备未存储该终端的PSK所导致的认证失败、终端无法接入无线网络的情况，提高了认证通过的概率，并提升了用户体验。

需要说明的是，本申请实施例所提供的无线网络接入方法一般由边缘服务器执行，相应地，无线网络接入装置一般设置于边缘服务器中，进一步地，本申请中的无线网络接入系统还可以部署在云端，那么也可以由云服务器执行，相应地，无线网络接入装置可以设置于云服务器中。但是，在本申请的其它实施例中，也可以由目标终端或者网络接入设备执行本申请实施例所提供的无线网络接入方法。

在本申请的一个实施例中，可以采用提供云计算服务的云服务器执行本申请中的无线网络接入方法，相应地，本申请的技术方案涉及云技术中的云计算和云存储。

云计算(cloud computing)是一种计算模式，它将计算任务分布在大量计算机构成的资源池上，使各种应用系统能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取，按需使用，随时扩展，按使用付费。

作为云计算的基础能力提供商，会建立云计算资源池(简称云平台，一般称为IaaS(Infrastructure as a Service，基础设施即服务)平台，在资源池中部署多种类型的虚拟资源，供外部客户选择使用。云计算资源池中主要包括：计算设备(为虚拟化机器，包含操作系统)、存储设备、网络设备。

按照逻辑功能划分,在IaaS(Infrastructure as a Service，基础设施即服务)层上可以部署PaaS(Platform as a Service,平台即服务)层，PaaS层之上再部署SaaS(Software as a Service,软件即服务)层，也可以直接将SaaS部署在IaaS上。PaaS为软件运行的平台，如数据库、web容器等。SaaS为各式各样的业务软件，如web门户网站、短信群发器等。一般来说，SaaS和PaaS相对于IaaS是上层。

云存储(cloud storage)是在云计算概念上延伸和发展出来的一个新的概念，分布式云存储系统(以下简称存储系统)是指通过集群应用、网格技术以及分布存储文件系统等功能，将网络中大量各种不同类型的存储设备(存储设备也称之为存储节点)通过应用软件或应用接口集合起来协同工作，共同对外提供数据存储和业务访问功能的一个存储系统。

目前，存储系统的存储方法为：创建逻辑卷，在创建逻辑卷时，就为每个逻辑卷分配物理存储空间，该物理存储空间可能是某个存储设备或者某几个存储设备的磁盘组成。客户端在某一逻辑卷上存储数据，也就是将数据存储在文件系统上，文件系统将数据分成许多部分，每一部分是一个对象，对象不仅包含数据而且还包含数据标识(ID，ID entity)等额外的信息，文件系统将每个对象分别写入该逻辑卷的物理存储空间，且文件系统会记录每个对象的存储位置信息，从而当客户端请求访问数据时，文件系统能够根据每个对象的存储位置信息让客户端对数据进行访问。

存储系统为逻辑卷分配物理存储空间的过程，具体为：按照对存储于逻辑卷的对象的容量估量(该估量往往相对于实际要存储的对象的容量有很大余量)和独立冗余磁盘阵列(RAID，Redundant Array of Independent Disk)的组别，预先将物理存储空间划分成分条，一个逻辑卷可以理解为一个分条，从而为逻辑卷分配了物理存储空间。

本申请实施例首先提供了一种无线网络接入方法，本申请实施例中的无线网络接入方案适用于对包含多个分支的企业中的用户终端在接入企业WIFI时进行认证，图3示意性示出了根据本申请的一个实施例的无线网络接入方法的流程图，该无线网络接入方法可以由无线网络接入系统中的边缘服务器来执行，如图2中所示的边缘服务器204，边缘服务器中存储有第一PSK集，并且该第一PSK集中包含所有企业终端的预共享密钥PSK的。参照图3所示，该无线网络接入方法至少包括S310至S320，具体如下：

在S310中，接收网络接入设备发送的终端接入认证请求，所述终端接入认证请求中包含与目标终端对应的目标PSK；

在S320中，基于所述目标PSK和所述第一PSK集对所述目标终端进行认证，并将认证结果通过所述网络接入设备发送至所述目标终端。

本申请实施例所提供的无线网络接入方法，无线网络接入系统中包括多个边缘服务器，各个边缘服务器中可以存储包含所有终端对应的PSK的第一PSK集，当目标终端发送的终端接入认证请求经由网络接入设备发送至边缘服务器后，边缘服务器能够基于该目标终端对应的目标PSK和存储的第一PSK集对目标终端进行认证，并将认证结果通过网络接入设备发送至目标终端。通过边缘服务器对与其连接的网络接入设备发送的终端接入认证请求进行处理，能够实现对目标终端的快速认证，提高了用户体验。

接下来，基于图2中所示的无线网络接入系统，对如何通过本申请实施例中无线网络接入方法对包含多分支的企业级用户实现网络接入的步骤进行详细介绍：

在S310中，接收网络接入设备发送的终端接入认证请求，所述终端接入认证请求中包含与目标终端对应的目标PSK。

在本申请的一个实施例中，当企业在云端进行业务配置时，各个企业分支都需在云端进行配置，配置信息中包括各个企业分支的地理位置，云服务器可以根据所有企业分支所处的地理位置进行边缘服务器的设置。该地理位置具体可以是经纬度，云端在获取各个企业分支的地理位置后，可以根据该地理位置确定分支的分布地域和分布密度，进而根据所获取的分布地域和分布密度设置边缘服务器。例如，当企业的分支分布比较散，且分布地域也不是高人口密集度的地区时，那么可以在每个分布地区只设置较少数量的边缘服务器，例如设置一个边缘服务器等等，当企业的分支分布在高人口密集度的地方，并且分支分布密度也较高，那么可以在该地可以独立设置多个边缘服务器。边缘服务器的具体位置则主要根据企业分支所在的地理位置确定，当边缘服务器距离企业分支越近，网络开销就会越小。

在设置好边缘服务器后，云服务器可以向各个企业分支内的网络接入设备下发接入指令，该接入指令中包含待接入边缘服务器的标识，网络接入设备在接收到该标识后，可以基于该标识搜索对应的边缘服务器，并向该边缘服务器发送连接请求，当边缘服务器接受连接请求后，网络接入设备与边缘服务器之间建立连接。当然，网络接入设备还可以主动搜索与其最近的边缘服务器，并发送连接请求，当边缘服务器接受网络接入设备的连接请求时，即可建立网络接入设备与边缘服务器之间的连接。

在本申请的一个实施例中，企业员工可以通过终端中的小程序、应用程序或者web页面新增、修改PSK，新增的PSK和修改后的PSK均会由终端发送至云服务器，接着云服务器可以将所有终端的PSK都下发至各个边缘服务器，以在各个边缘服务器中形成第一PSK集，也就是说，该第一PSK集中包含了所有企业分支中所有终端的PSK，并且所存储的终端的PSK都是与终端对应的最新PSK。

图4示出了包含边缘服务器的无线网络接入系统的架构示意图，如图4所示，云服务器401下设有多个边缘服务器402-1、402-2、…、402-n，且各边缘服务器覆盖有多个企业分支，例如边缘服务器402-1覆盖企业分支1和企业分支2，边缘服务器402-2覆盖企业分支3和企业分支4，边缘402-n覆盖企业分支n-1和企业分支n，终端将用户通过小程序、应用程序或者web页面配置好的PSK发送至云服务器401，进而云服务器401将所有终端的PSK发送至各个边缘服务器以形成第一PSK集。

当边缘服务器与网络接入设备建立连接，并存储有第一PSK集后，即可用于对企业用户的终端发送的终端接入认证请求进行处理，以实现对终端进行认证。为了使得本申请的技术方案更清晰，接下来，以一个边缘服务器对目标终端进行认证并为该目标终端提供网络服务为例进行说明。

在本申请的一个实施例中，目标终端接收到用户的触发操作，可以向所处企业分支中的网络接入设备发送终端接入认证请求，接着该终端接入认证请求可以被网络接入设备发送至与其连接的边缘服务器，以便该边缘服务器对该目标终端进行认证。该终端接入认证请求中包含与目标终端对应的目标PSK，因此在边缘服务器对目标终端进行认证时，可以根据目标PSK和第一PSK集进行认证。

终端接入无线网络的过程分为扫描、认证和关联，其中，扫描阶段是终端通过扫描来寻找AP热点，扫描方式分为主动扫描和被动扫描，主动扫描是终端在每个信道上发送探测帧Probe request，从响应帧Probe response中获取AP信息；被动扫描是终端侦听AP定期发送的信标Beacon帧，通过Beacon中包含的信息来获取AP的一些基本信息；认证阶段是当终端找到与其有相同SSID的AP，在SSID匹配的AP中，根据收到的AP信号强度，选择一个信号最强的AP，然后进入认证阶段，只有身份认证通过的站点才能进行无线接入访问；关联就是完成认证后，在终端和AP之间建立连接，以进行通信。

其中，认证主要有开放系统身份认证、共享密钥认证、WAP PSK认证和802.1X EAP认证四种方式，最常见的为开放系统认证(即不要密码直接连接)和WPA PSK认证。

开放系统认证是IEEE802.11默认的认证方式，实质上并没有做认证，连接无线网络时，基站并没有验证终端的真实身份。认证过程由以下两个步骤组成：第一，终端发送身份声明和认证请求；第二，AP应答认证结果，如果返回的结果是“successful”，表示两者已相互认证成功。

WPA PSK认证有WPA-PSK认证机制和WPA2-PSK认证机制，其中WPA(Wi-FiProtected Access)是WIFI联盟制定的安全性标准，WPA2是第二个版本。WPA-PSK/WPA2-PSK的大致认证过程分为以下几步：

1、无线AP定期发送Beacon数据包，使无线终端更新自己的无线网络列表；

2、无线终端在每个信道(1-13)广播Probe Request(非隐藏类型的WiFi含ESSID，隐藏类型的WiFi不含ESSID)；

3、每个信道的AP回应，Probe Response包含ESSID(Extended Service SetIdentifier，服务区别号)以及RSN(Robust Security Network，强健安全网络)信息；

4、无线终端给目标AP发送认证AUTH包。AUTH认证类型有两种，0为开放式、1为共享式，其中WPA/WPA2必须是开放式；

5、目标AP回应AUTH包；

6、无线终端给目标AP发送关联请求包Association Request数据包；

7、目标AP给无线终端发送关联响应包Association Response数据包；

8、EAPOL四次握手进行认证；

9、完成认证可以上网。

以上描述了扫描阶段和认证阶段的具体实现方式，并详细描述了开放系统身份认证、WPA PSK认证机制和WPA2 PSK认证机制的标准认证过程，而在本申请实施例中，由于是基于目标PSK进行无线网络接入认证的，因此采用的是WPA PSK/WPA2 PSK认证机制，并且由于边缘服务器已经接收到网络接入设备发送的终端接入认证请求，这也就意味着，目标终端已经找到与之对应的网络接入设备并进行了连接，也就是说，已经完成了标准认证过程中的步骤1-7，边缘服务器只需要进行步骤8中的四次握手进行认证即可。

值得说明的是，在无线网络接入场景中，通常由AC和AP联合组网，但是有时候认证是在AC中进行，有时候是在AP中进行，这取决于厂商的配置，因此为了描述方便，本申请实施例中采用网络接入设备进行统一表示，也就是说，本申请实施例中的网络接入设备是具有认证功能的无线接入设备。

在本申请的一个实施例中，图5示出了基于目标PSK和第一PSK集对目标终端进行认证的流程示意图，如图5所示，在S501中，根据边缘服务器的服务集标识SSID和所述第一PSK集中与所述目标终端对应的PSK计算第一成对主密钥PMK；在S502中，通过所述目标终端根据目标终端的SSID和所述目标PSK计算第二PMK；在S503中，根据所述第一PMK和所述第二PMK进行认证。

在S501和S502中，PMK可以通过对服务集标识SSID和PSK进行哈希处理生成，具体而言，第一PMK是基于边缘服务器的SSID和第一PSK集中与目标终端对应的PSK进行哈希处理生成的，同样地，第二PMK是基于目标终端的SSID和目标PSK进行哈希处理所生成的，至于哈希处理的具体方法，例如可以是通过调用pdkdf2_SHA1函数对SSID和PSK进行哈希处理，当然还可以是其它的哈希处理方法，本申请实施例对此不作具体限定。

在获取第一PMK和第二PMK后，目标终端和边缘服务器可以基于第一PMK和第二PMK进行握手，以实现对目标终端的认证。

图6示出了通过边缘服务器进行PSK认证的交互流程图，如图6所示，该交互流程包括S601-S607，具体如下：

在S601中，边缘服务器向目标终端发送第一信息。

在本申请的一个实施例中，第一信息包括边缘服务器生成的第一随机数和与边缘服务器对应的边缘服务器MAC地址，边缘服务器可以基于EAPOL-Key frame将第一随机数和边缘服务器MAC地址以第一EAPOL-Key的形式通过网络接入设备发送给目标终端。

在步骤S602中，目标终端根据存储的信息和第一信息进行密钥派生，以生成第二信息。

在本申请的一个实施例中，目标终端接收到第一随机数和边缘服务器MAC地址后，自身生成第二随机数，根据第一随机数、第二随机数、第二PMK、边缘服务器的MAC地址和目标终端的MAC地址生成第一PTK。在生成第一PTK时，可以采用PRF(Pseudo randomfunction，伪随机算法)生成，当然还可以采用其它算法生成，本申请实施例对此不做具体限定。

在生成第一PTK后，目标终端可以从第一PTK中提取头部预设位数的字节作为MICkey，例如可以提取第一PTK中前16个字节作为MIC key，该MIC key即为密钥确认密钥KCK，接着可以根据MIC key和要发送的消息数据进行加密以生成第一消息完整性校验码MIC，并采用KCK对第一MIC进行加密，其中，计算第一MIC的计算公式如公式(1)所示：

第一MIC＝HMAC_MD5(MIC Key，16，802.1x data) (1)

其中802.1x data指的是每次发送的消息数据。

在生成第一MIC后，可以根据第二随机数和加密后的第一MIC形成二信息。

在步骤S603中，目标终端将第二信息发送至边缘服务器。

在本申请的一个实施例中，目标终端在生成第二信息后，可以将第二信息通过网络接入设备以第二EAPOL-Key发送给边缘服务器，以便边缘服务器对目标终端对应的第二PMK的正确性进行验证。

在步骤S604中，边缘服务器根据存储的信息和第二信息生成第二MIC，并根据第一MIC与第二MIC对第二PMK的准确性进行判断。

在本申请的一个实施例中，边缘服务器接收到第一密钥信息后，可以获取其中的第二随机数和第一MIC，同时边缘服务器可以根据生成第一PTK的方法对第一PMK、第一随机数、第二随机数、边缘服务器的MAC地址和目标终端的MAC地址进行处理，以生成第二PTK，接着可以获取第二PTK中头部预设位数的字符作为MIC key，并根据公式(1)生成第二MIC。

在本申请的一个实施例中，在生成第二MIC后，可以将第一MIC与第二MIC进行比对，以判断第二PMK的准确性，具体而言，当第一MIC与第二MIC相同时，判定第二PMK是正确的，当第一MIC与第二MIC不同时，判定第二PMK错误。进一步地，当判定第二PMK错误时，整个握手工作停止，认证失败，禁止目标终端接入无线网络。

在步骤S605中，当判定第二PMK正确时，生成第三信息。

在本申请的一个实施例中，当判定第二PMK正确时，继续进行握手工作。边缘服务器一方面可以对第一GMK进行哈希处理生成第一GTK，另一方面可以根据第二PTK确定第一KEK，然后采用第一KEK对第一GTK进行加密以生成加密后的第一GTK，其中，第一KEK是第二PTK中的部分字节，具体地可以是第二PTK中第17-33位的字节，用于对第一GTK进行加密生成消息；第一GTK是用来保护广播和组播数据的密钥，在根据第一GMK生成第一GTK时，也可以采用PRF算法实现，具体的计算公式如公式(2)所示：

GTK＝PRF-X(GMK，“Group key expansion”，AA||GN) (2)

其中，Group key expansion表示组密钥扩展，AA为边缘服务器MAC地址，GN为边缘服务器生成的第一随机数。

接着，边缘服务器还可以从第二PTK中提取头部预设位数的字节，例如前16位字节作为MIC Key，并根据公式(1)生成第三MIC，该第三MIC用MIC key形成的KCK进行加密，以保证密钥生成消息的完整性。根据加密后的第一GTK和加密后的第三MIC即可形成第三信息，该第三信息可以基于第三EAPOL-Key通过网络接入设备发送给目标终端，以便目标终端对边缘服务器中的第一PMK的正确性进行判断。

在S606中，边缘服务器将第三信息发送至目标终端。

在S607中，接收目标终端发送的确认信息，建立与目标终端之间的连接。

在本申请的一个实施例中，目标终端接收到第三信息后，可以根据第一PTK确定MIC，并将所确定的MIC与第三MIC进行对比，当第三MIC与基于第一PTK确定的MIC相同时，说明边缘服务器中的第一PMK正确，可以与其建立连接，当第三MIC与基于第一PTK确定的MIC不同时，说明边缘服务器中的第一PMK错误，握手工作结束，认证失败。当确认边缘服务器中的第一PMK正确时，可以基于第四EAPOL-Key向边缘服务器发送确认信息，该确认信息包括目标终端生成的MIC，MIC的生成方法与上述第一MIC的生成方式相同，在此不再赘述。

在边缘服务器接收到确认信息后，双方可以安装密钥，并根据安装的密钥对数据进行加密。具体地，在双方完成认证后，边缘服务器的控制端口将会被打开，这样802.11的数据帧将能够正常通过，而且所有的单播数据帧将会被PTK保护，所有的组播数据以及广播数据将会被GTK保护。至此，边缘服务器和目标终端完成密钥派生和组对，双方可以正常进行通信了。

在本申请的一个实施例中，该无线网络接入方法适用于包含多个企业分支的企业的WIFI接入认证，其中各企业分支中布设有一个或多个网络接入设备，各网络接入设备可接收请求接入无线网络的终端向其发送的终端接入认证请求，并将该终端接入认证请求发送至边缘服务器，以对终端进行认证。其中，请求接入无线网络的终端可以是企业中任意一个企业分支的工作人员所使用的终端，当工作人员的终端从初始企业分支转移至目标企业分支时，工作人员可以通过终端向目标企业分支中的网络接入设备发送终端接入认证请求，接着该终端接入认证请求被发送至与目标企业分支中的网络接入设备对应的边缘服务器，以对终端进行认证。值得注意的是，初始企业分支中的网络接入设备对应的边缘服务器与目标企业分支中的网络接入设备对应的边缘服务器可以相同，也可以不同，这是因为所有的边缘服务器中均存储有由所有企业分支中的终端的PSK形成的第一PSK集，因此无论终端处于哪个企业分支，均可以通过对应的边缘服务器对终端进行认证。

例如终端从企业分支A转移到了企业分支B，而企业分支A和企业分支B对应的边缘服务器为不同的边缘服务器，由于各个边缘服务器中存储有所有企业分支中用户终端对应的PSK，因此当终端设备向企业分支B的网络接入设备发送终端接入认证请求时，与企业分支B对应的边缘服务器在接收到网络接入设备发送的终端接入认证请求后，仍然可以根据上述实施例对该终端进行认证，并在认证通过后，将认证通过结果通过网络接入设备发送至该终端，同时网络接入设备打开控制端口，以保证该终端顺利接入无线网络。

在本申请的一个实施例中，云服务器接收到所有终端的PSK时，还可以根据所有终端的PSK计算与之对应的PMK，在计算得到与所有终端对应的PMK后，可以将PSK和PMK一同下发至边缘服务器，这样在边缘服务器对目标终端进行认证的时候，边缘服务器就可以直接使用云服务器计算好的PMK进行认证，减少了数量处理量，节省了时间，提高了认证效率。

在本申请的一个实施例中，边缘服务器还可以对与之连接的网络接入设备的可靠性进行判断，该可靠性主要通过对网络接入设备的性能指标进行识别确定，当判定网络接入设备的可靠性达到预设标准时，边缘服务器可以将第一PSK集中的PSK发送至网络接入设备，以形成第二PSK集。这样，当网络接入设备接收到目标终端的终端接入认证请求后，就可以根据目标PSK和第二PSK集对目标终端进行认证。

在本申请的一个实施例中，边缘服务器在将第一PSK集中的PSK发送至网络接入设备时，可以将所有的PSK发送至网络接入设备，也可以只发送部分PSK，那么在网络接入设备根据目标PSK和第二PSK集对目标终端进行认证时，首先可以判断第二PSK集与目标PSK的关系，然后根据判断结果确定是通过网络接入设备对目标终端进行认证还是通过边缘服务器对目标终端进行认证。具体地，当第二PSK集中包含目标PSK时，通过网络接入设备对目标终端进行认证，当第二PSK集不包含目标PSK时，通过网络接入设备将终端接入认证请求发送至边缘服务器，以使边缘服务器对目标终端进行认证。

值得说明的是，边缘服务器在将第一PSK集中的PSK发送至网络接入设备中形成第二PSK集时，是根据网络接入设备的存储量确定是将第一PSK集中所有的PSK发送至网络接入设备，还是将第一PSK集中的部分PSK发送至网络接入设备，具体地，当网络接入设备的存储量大于第一PSK集的大小时，可以将第一PSK集中的所有PSK发送至网络接入设备，当网络接入设备的存储量小于第一PSK集的大小时，可以将第一PSK集中的部分PSK发送至网络接入设备，并在第二PSK集中不包含目标PSK时，将终端接入认证请求发送至边缘服务器，以通过边缘服务器对目标终端进行认证。

在本申请的一个实施例中，通过网络接入设备对目标终端进行认证的方法与边缘服务器对目标终端进行认证的方法相同。图7示出了网络接入设备对目标终端进行认证的流程示意图，如图7所示，在S701中，网络接入设备向目标终端发送第四信息，该第四信息包括网络接入设备生成的第三随机数和与网络接入设备的MAC地址；在S702中，目标终端根据存储的信息和第四信息进行密钥派生，以生成第五信息，该第五信息包括目标终端生成的第四随机数和基于第三PTK确定的第四MIC；在S703中，目标终端将第五信息发送至网络接入设备；在S704中，网络接入设备根据存储的信息和第五信息生成第五MIC，并根据第四MIC与第五MIC对第四PMK的准确性进行判断；在S705中，当判定第四PMK正确时，生成第六信息；在S706中，网络接入设备将第六信息发送至目标终端，该第六信息包含加密后的第二GTK和加密后的第六MIC，以使目标终端根据存储的信息和第六信息对第三PMK的准确性进行判断；在S707中，在判定第三PMK正确后，向网络接入设备发送确认消息，以建立与网络接入设备之间的网络连接。

图7中各步骤的实现方式与图6中进行PSK认证的方式相同，区别仅在于，图6是在边缘服务器中进行认证，图7是在网络接入设备中进行认证，因此对于图7中各步骤的具体实现方式在此不再赘述。

在本申请的一个实施例中，当对目标终端认证通过后，可以将该目标终端对应的PSK存储于内存缓存中，由于边缘服务器在存储PSK时是存储于数据库中的，而数据库的读取速度低于内存的读取速度，因此通过将目标终端的PSK存储于缓存中，可以在目标终端发送终端接入认证请求时，从内存缓存中快速读取该目标终端对应的PSK，并进行认证，加速了边缘服务器的认证过程，提升了一个边缘范围内所有企业分支对应的设备的密钥认证效率。

在本申请的一个实施例中，由于内存缓存的存储量有限，如果将所有认证后的终端的PSK都存储于缓存中，必然会导致存储失败，并且影响设备的整体性能，因此需要定期清理缓存中使用频次较低的PSK，以保证缓存的可用性。在本申请的实施例中，可以在边缘服务器中设置一个LRU(Least Recently Used，最近最少使用)链来记录每个PSK被连接的时间和次数，并根据每个PSK被连接的时间和次数形成最近最少使用PSK集，当缓存中存储的PSK的大小达到缓存的存储阈值时，就可以从缓存中将最近最少使用PSK集中的PSK清除掉，这样就可以保证在缓存中记录的都是连接频率较高的PSK，并且还保证了缓存的正常运转。其中，存储阈值可以根据缓存的大小设置，例如可以设置为缓存大小的80％、90％等等，本申请实施例对此不作具体限定。在本申请的实施例中，如果边缘服务器配置足够，缓存基本可以覆盖边缘服务器覆盖范围内所有企业分支中所有常用用户的PSK，如此便可以极大提高边缘服务器的认证效率。

本申请实施例中的无线网络接入方法可以应用于多个场景，只要是涉及到多个对应不同位置信息的企业分支的企业用户接入无线网络的场景均可使用本申请中的无线网络接入方法。接下来，以大型超市的工作人员在不同分店间开展业务为例，对本申请中的无线网络接入方法进行说明。

该超市在云端设置有云端WIFI服务，即使是身在不同地域的员工均可以使用该云端WIFI服务，这是因为在云端能够接收到超市所有员工的终端发送的PPSK，该PPSK是员工通过终端设备中的应用程序、小程序、web页面等新增或修改的PPSK，并且云端可以将接收到的所有PPSK下发到各个分店中部署的网络接入设备，当员工在自己工作的分店发起WIFI连接时，该分店中的网络接入设备能够接收到员工终端发送的接入认证请求，并根据自身所存储的PSK和接入认证请求中携带的终端PSK对员工终端进行认证，当认证通过后，便可以打开控制端口，进行数据传输。

但是通常各个分店的工作人员相对固定，因此分店中使用的网络接入设备的性能都很一般，这就导致网络接入设备无法存储所有云端下发的PSK，当工作人员从一号分店前往二号分店进行业务学习时，如果工作人员的终端PSK并未存储在二号分店的网络接入设备时，那么就无法在网络接入设备中完成密钥认证，进而该工作人员所使用的终端设备就无法接入超市配置的企业WIFI。

鉴于此，云端可以根据超市的各个分店所在的位置在超市分店所在的城市布设一个或多个边缘服务器，以便边缘服务器对覆盖范围内的分店提供网络服务。在部署边缘服务器时，可以根据每个城市中分店的数量以及分店分布的情况进行部署，例如当每个城市中分店的数量均在10个左右，并且所处的地段都差不多的情况下，可以在每个城市中分别部署一个边缘服务器，用于对该城市中所有的分店提供网络服务；当有的城市分店数量少且分散，有的城市分店数量多且聚集时，可以在分店数量少的城市部署一个边缘服务器，在分店数量多的城市部署多个边缘服务器，等等。在配置好边缘服务器后，云端可以向各个分店的网络接入设备发送连接指令，该连接指令中包含该网络接入设备需要连接的边缘服务器的标识，在网络接入设备和对应的边缘服务器建立连接后，就可以对超市所有员工的网络接入请求进行处理，并保证员工无论在哪个分店都能接入超市的WIFI。

云端可以将所有工作人员的终端设备对应的PSK发送至各个边缘服务器，当工作人员向某分店的网络接入设备发送终端接入认证请求后，该网络接入设备可以将该终端接入认证请求发送至对应的边缘服务器，接着边缘服务器就可以基于该终端接入认证请求中的目标PSK和自身所存储的由云端下发的所有工作人员的终端对应的PSK形成的PSK集中的PSK对工作人员的终端设备进行认证，当认证通过后，边缘服务器将认证通过结果反馈至网络接入设备，并通过网络接入设备将认证通过结果反馈至工作人员的终端设备，同时网络接入设备打开控制端口，以使工作人员的终端设备接入无线网络，并为该终端设备提供无线网络服务。

进一步地，边缘服务器还可以对覆盖范围内的分店的网络接入设备的可靠性进行识别，当确定网络接入设备具有高可靠性时，边缘服务器可以把存储的PSK集中的PSK发送至网络接入设备，以便网络接入设备在接收到工作人员的终端设备发送的终端接入认证请求后，能够直接根据接收到的边缘服务器发送的PSK和终端接入认证请求中的目标PSK对该终端设备进行认证。考虑到网络接入设备的容量有限，边缘服务器可能只能发送部分的PSK到网络接入设备，在这种情况下，网络接入设备可以先判断其是否存储有终端接入认证请求中的目标PSK，如果有，则对该终端进行认证，如果没有，则将终端接入认证请求发送至边缘服务器，通过边缘服务器对该终端进行认证。

在对工作人员的终端设备进行认证并认证通过后，可以将工作人员的终端对应的PSK存储于缓存中，当再接收到该终端发送的终端接入认证请求时，可以从缓存中读取该终端对应的PSK，并基于读取到的PSK和终端接入认证请求中的目标PSK对该终端进行认证。进一步地，缓存中可以存储多个连接频繁的PSK，当存储量达到存储阈值时，可以根据最近最少使用PSK集对缓存中的PSK进行清理，以保证缓存中的PSK都是使用频次较多的，其中最近最少使用PSK集是根据最近最少使用LRU链记录PSK被连接的时间和次数确定的。

本申请实施例中的无线网络接入方法，无线网络接入系统中包括多个边缘服务器，各个边缘服务器中可以存储有第一PSK集，并且第一PSK集中包含所有企业分支中的终端所对应的PSK，当目标终端发送的终端接入认证请求经由网络接入设备发送至边缘服务器后，边缘服务器能够基于该目标终端对应的目标PSK和自身存储的包含所有终端PSK的第一PSK集对目标终端进行认证，并将认证结果通过网络接入设备发送至目标终端。本申请实施例中的无线网络接入方法能够在云服务器、边缘服务和网络接入设备的协同工作下，对终端设备发送的终端接入认证请求进行处理，实现了对目标终端的快速认证。另外，当终端从一个分支转移到了另一个分支时，终端可以向另一个分支的网络接入设备发送终端接入认证请求，网络接入设备可以将该终端接入认证请求发送给对应的边缘服务器，并通过该边缘服务器对终端进行认证，实现了在终端切换区域后仍能对其进行快速认证，避免了因为切换后的网络接入设备未存储终端PSK所导致的认证不通过的情况，进而提高了用户体验。

以下介绍本申请的装置实施例，可以用于执行本申请上述实施例中的无线网络接入方法。对于本申请装置实施例中未披露的细节，请参照本申请上述的无线网络接入方法。

图8示意性示出了根据本申请的一个实施例的无线网络接入装置的框图。

参照图8所示，根据本申请的一个实施例的无线网络接入装置800，该无线网络接入装置配置于无线网络接入系统中的边缘服务器，所述边缘服务器中存储有第一预共享密钥PSK集，并且所述第一PSK集包含所有企业分支中终端的PSK；无线网络接入装置800包括：接收模块801和认证模块802。

其中，接收模块801，用于接收网络接入设备发送的终端接入认证请求，所述终端接入认证请求中包含与目标终端对应的目标PSK；认证模块802，用于基于所述目标PSK对所述目标终端进行认证，并将认证结果通过所述网络接入设备发送至所述目标终端。

在本申请的一个实施例中，所述边缘服务器的数量为多个，各所述边缘服务器覆盖一个或多个分支所对应的网络接入设备，所述终端接入认证请求为由一个分支转移到另一个分支的所述目标终端生成的。

在本申请的一个实施例中，所述认证模块802包括：第一PMK生成单元，用于根据所述边缘服务器的服务集标识SSID和所述第一PSK集中与所述目标终端对应的PSK计算第一成对主密钥PMK；第二PMK生成单元，用于通过所述目标终端根据所述目标终端的SSID和所述目标PSK计算第二PMK；第一认证单元，用于根据所述第一PMK和所述第二PMK进行认证。

在本申请的一个实施例中，所述认证单元包括：第一信息生成单元，用于生成第一随机数，根据所述第一随机数和所述边缘服务器的MAC地址形成第一信息；第一发送单元，用于将所述第一信息发送至所述目标终端，以使所述目标终端根据所述第一随机数、第二随机数、所述第二PMK、所述边缘服务器的MAC地址和所述目标终端的MAC地址生成第一成对临时密钥PTK；第一接收单元，用于接收所述目标终端发送的第二信息，所述第二信息包括所述第二随机数和基于所述第一PTK确定的第一消息完整性校验码MIC；第二PTK生成单元，用于根据所述第一随机数、所述第二随机数、所述第一PMK、所述第一MAC地址和所述第二MAC地址生成第二PTK；第一比对单元，用于基于所述第二PTK确定第二MIC，将所述第二MIC与所述第一MIC进行比对，并根据比对结果执行目标操作；其中，所述第二随机数是所述目标终端生成的。

在本申请的一个实施例中，所述第一比对单元包括：第一处理单元，用于当所述第二MIC与所述第一MIC相同时，对所述目标终端继续进行认证；第二处理单元，用于当所述第二MIC与所述第一MIC不同时，认证失败并禁止所述目标终端接入无线网络。

在本申请的一个实施例中，所述第一处理单元配置为：根据第一组主密钥GMK生成第一组临时密钥GTK，根据所述第二PTK确定第一密钥加密密钥KEK，并采用所述第一KEK加密所述第一GTK；根据所述第二PTK生成第三MIC和第一密钥确认密钥KCK，并采用所述第一KCK加密所述第三MIC；根据加密后的所述第一GTK和加密后的所述第三MIC生成第三信息，将所述第三信息通过所述网络接入设备发送至所述目标终端，以使所述目标终端对所述第一PMK进行确认；接收所述目标终端发送的确认信息，并建立与所述目标终端之间的网络连接。。

在本申请的一个实施例中，所述无线网络接入装置800还包括：判断模块，用于对所述网络接入设备的可靠性进行判断；PSK发送模块，用于当所述网络接入设备的可靠性达到预设标准时，将所述第一PSK集中的PSK发送至所述网络接入设备以形成第二PSK集，以使所述网络接入设备接收到所述终端接入认证请求后，根据所述目标PSK和所述第二PSK集对所述目标终端进行认证。

在本申请的一个实施例中，所述PSK发送模块配置为：第三处理单元，用于当所述第二PSK集包含所述目标PSK时，通过所述网络接入设备对所述目标终端进行认证；第四处理单元，用于当所述第二PSK集不包含所述目标PSK时，响应所述网络接入设备发送的所述终端接入认证请求，对所述目标终端进行认证。

在本申请的一个实施例中，所述第三处理单元包括：第三PMK生成单元，用于根据所述网络接入设备的SSID和所述第二PSK集中与所述目标终端对应的PSK计算第三PMK；第四PMK生成单元，用于通过所述目标终端根据所述目标终端的SSID和所述目标PSK计算第四PMK；第二认证单元，用于根据所述第三PMK和所述第四PMK进行认证。

在本申请的一个实施例中，所述第二认证单元包括：第四信息生成单元，用于生成第三随机数，根据所述第三随机数和所述网络接入设备的MAC地址生成第四信息；第二发送单元，用于将所述第四信息发送至所述目标终端，以使所述目标终端根据所述第三随机数、第四随机数、所述第四PMK、所述网络接入设备的MAC地址和所述目标终端的MAC地址生成第三PTK；第二接收单元，用于接收所述目标终端发送的第五信息，所述第五信息包括所述第四随机数和基于所述第三PTK确定的第四MIC；第四PTK生成单元，用于根据所述第三随机数、所述第四随机数、所述第三PMK、所述第三MAC地址和所述第二MAC地址生成第四PTK；第二比对单元，用于基于所述第四PTK确定第五MIC，将所述第五MIC与所述第四MIC进行比对，并根据比对结果执行目标操作；其中，所述第四随机数是所述目标终端生成的。

在本申请的一个实施例中，所述第二比对单元包括：第五处理单元，用于当所述第四MIC与所述第五MIC相同时，对所述目标终端继续进行认证；第六处理单元，用于当所述第四MIC与所述第五MIC不同时，认证失败并禁止所述目标终端接入无线网络。

在本申请的一个实施例中，所述第五处理单元配置为：根据第二GMK生成第二GTK，根据所述第四PTK确定第二KEK，并采用所述第二KEK加密所述第二GTK；根据所述第四PTK生成第六MIC和密钥确认密钥KCK，并采用所述KCK加密所述第六MIC；根据加密后的所述第二GTK和加密后的所述第六MIC生成第六信息，并将所述第六信息发送至所述目标终端，以使所述目标终端对所述第三PMK进行确认；接收所述目标终端发送的确认信息，并建立与所述目标终端之间的网络连接。

在本申请的一个实施例中，所述无线网络接入装置800还配置为：当所述认证结果为认证成功时，将所述目标PSK加入缓存中；以及，当所述缓存中存储的PSK的大小达到存储阈值时，获取最近最少使用PSK集，并根据所述最近最少使用PSK集对所述缓存中的PSK进行清理；其中，所述最近最少使用PSK集是根据最近最少使用链记录PSK被连接的时间和次数确定的。

在本申请的一个实施例中，所述无线网络接入系统包括云服务器、多个边缘服务器和多个网络接入设备；所述无线网络接入装置800还配置为：在接收网络接入设备发送的终端接入认证请求之前，响应所述网络接入设备发送的连接请求，与所述网络接入设备建立连接；其中，所述连接请求中包括所述云服务器向所述网络接入设备发送的待连接边缘服务器的标识。

图9示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

需要说明的是，图9示出的电子设备的计算机系统900仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图9所示，计算机系统900包括中央处理单元(Central Processing Unit，CPU)901，其可以根据存储在只读存储器(Read-Only Memory，ROM)902中的程序或者从存储部分908加载到随机访问存储器(Random Access Memory，RAM)903中的程序而执行各种适当的动作和处理，实现上述实施例中所述的图像标注方法。在RAM 903中，还存储有系统操作所需的各种程序和数据。CPU 901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(Input/Output，I/O)接口905也连接至总线904。

以下部件连接至I/O接口905：包括键盘、鼠标等的输入部分906；包括诸如阴极射线管(Cathode Ray Tube，CRT)、液晶显示器(Liquid Crystal Display，LCD)等以及扬声器等的输出部分907；包括硬盘等的存储部分908；以及包括诸如LAN(Local Area Network，局域网)卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至I/O接口905。可拆卸介质911，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器910上，以便于从其上读出的计算机程序根据需要被安装入存储部分908。

特别地，根据本申请的实施例，下文参考流程图描述的过程可以被实现为计算机软件程序。例如，本申请的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分909从网络上被下载和安装，和/或从可拆卸介质911被安装。在该计算机程序被中央处理单元(CPU)901执行时，执行本申请的系统中限定的各种功能。

需要说明的是，本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

作为另一方面，本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的无线网络接入装置中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个指令，当上述一个或者多个指令在计算机上运行时，使得该计算机执行上述实施例中所述的方法。

作为另一方面，本申请还提供了一种包含指令的计算机程序产品，当指令在计算机上运行时，使得计算机执行上述实施例中所述的方法。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本申请的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本申请实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims

1.一种无线网络接入方法，其特征在于，应用于无线网络接入系统中的边缘服务器，所述边缘服务器中存储有第一预共享密钥PSK集，并且所述第一PSK集包含所有企业分支中终端的PSK；所述方法包括：

接收网络接入设备发送的终端接入认证请求，所述终端接入认证请求中包含与目标终端对应的目标PSK；

基于所述目标PSK和所述第一PSK集对所述目标终端进行认证，并将认证结果通过所述网络接入设备发送至所述目标终端。

2.根据权利要求1所述的方法，其特征在于，所述基于所述目标PSK和所述第一PSK集对所述目标终端进行认证，包括：

根据所述边缘服务器的服务集标识SSID和所述第一PSK集中与所述目标终端对应的PSK计算第一成对主密钥PMK；

通过所述目标终端根据所述目标终端的SSID和所述目标PSK计算第二PMK；

根据所述第一PMK和所述第二PMK进行认证。

3.根据权利要求2所述的方法，其特征在于，所述根据所述第一PMK和所述第二PMK进行认证，包括：

生成第一随机数，根据所述第一随机数和所述边缘服务器的MAC地址形成第一信息；

将所述第一信息发送至所述目标终端，以使所述目标终端根据所述第一随机数、第二随机数、所述第二PMK、所述边缘服务器的MAC地址和所述目标终端的MAC地址生成第一成对临时密钥PTK；

接收所述目标终端发送的第二信息，所述第二信息包括所述第二随机数和基于所述第一PTK确定的第一消息完整性校验码MIC；

根据所述第一随机数、所述第二随机数、所述第一PMK、所述第一MAC地址和所述第二MAC地址生成第二PTK；

基于所述第二PTK确定第二MIC，将所述第二MIC与所述第一MIC进行比对，并根据比对结果执行目标操作；

其中，所述第二随机数是所述目标终端生成的。

4.根据权利要求3所述的方法，其特征在于，所述根据比对结果执行目标操作，包括：

当所述第二MIC与所述第一MIC相同时，对所述目标终端继续进行认证；

当所述第二MIC与所述第一MIC不同时，认证失败并禁止所述目标终端接入无线网络。

5.根据权利要求4所述的方法，其特征在于，所述当所述第二MIC与所述第一MIC相同时，对所述目标终端继续进行认证，包括：

根据第一组主密钥GMK生成第一组临时密钥GTK，根据所述第二PTK确定第一密钥加密密钥KEK，并采用所述第一KEK加密所述第一GTK；

根据所述第二PTK生成第三MIC和第一密钥确认密钥KCK，并采用所述第一KCK加密所述第三MIC；

根据加密后的所述第一GTK和加密后的所述第三MIC生成第三信息，将所述第三信息通过所述网络接入设备发送至所述目标终端，以使所述目标终端对所述第一PMK进行确认；

接收所述目标终端发送的确认信息，并建立与所述目标终端之间的网络连接。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

对所述网络接入设备的可靠性进行判断；

当所述网络接入设备的可靠性达到预设标准时，将所述第一PSK集中的PSK发送至所述网络接入设备以形成第二PSK集，以使所述网络接入设备接收到所述终端接入认证请求后，根据所述目标PSK和所述第二PSK集对所述目标终端进行认证。

7.根据权利要求6所述的方法，其特征在于，所述将所述第一PSK集中的PSK发送至所述网络接入设备以形成第二PSK集，以使所述网络接入设备接收到所述终端接入认证请求后，根据所述目标PSK和所述第二PSK集对所述目标终端进行认证，包括：

当所述第二PSK集包含所述目标PSK时，通过所述网络接入设备对所述目标终端进行认证；

当所述第二PSK集不包含所述目标PSK时，响应所述网络接入设备发送的所述终端接入认证请求，对所述目标终端进行认证。

8.根据权利要求7所述的方法，其特征在于，所述通过所述网络接入设备对所述目标终端进行认证，包括：

根据所述网络接入设备的SSID和所述第二PSK集中与所述目标终端对应的PSK计算第三PMK；

通过所述目标终端根据所述目标终端的SSID和所述目标PSK计算第四PMK；

根据所述第三PMK和所述第四PMK进行认证。

9.根据权利要求8所述的方法，其特征在于，所述根据所述第三PMK和所述第四PMK进行认证，包括：

生成第三随机数，根据所述第三随机数和所述网络接入设备的MAC地址生成第四信息；

将所述第四信息发送至所述目标终端，以使所述目标终端根据所述第三随机数、第四随机数、所述第四PMK、所述网络接入设备的MAC地址和所述目标终端的MAC地址生成第三PTK；

接收所述目标终端发送的第五信息，所述第五信息包括所述第四随机数和基于所述第三PTK确定的第四MIC；

根据所述第三随机数、所述第四随机数、所述第三PMK、所述第三MAC地址和所述第二MAC地址生成第四PTK；

基于所述第四PTK确定第五MIC，将所述第五MIC与所述第四MIC进行比对，并根据比对结果执行目标操作；

其中，所述第四随机数是所述目标终端生成的。

10.根据权利要求9所述的方法，其特征在于，所述根据比对结果执行目标操作，包括：

当所述第四MIC与所述第五MIC相同时，对所述目标终端继续进行认证；

当所述第四MIC与所述第五MIC不同时，认证失败并禁止所述目标终端接入无线网络。

11.根据权利要求10所述的方法，其特征在于，所述当所述第四MIC与所述第五MIC相同时，对所述目标终端继续进行认证，包括：

根据第二GMK生成第二GTK，根据所述第四PTK确定第二KEK，并采用所述第二KEK加密所述第二GTK；

根据所述第四PTK生成第六MIC和密钥确认密钥KCK，并采用所述KCK加密所述第六MIC；

根据加密后的所述第二GTK和加密后的所述第六MIC生成第六信息，并将所述第六信息发送至所述目标终端，以使所述目标终端对所述第三PMK进行确认；

12.一种无线网络接入装置，其特征在于，配置于无线网络接入系统中的边缘服务器，所述边缘服务器中存储有第一预共享密钥PSK集，并且所述第一PSK集包含所有企业分支中终端的PSK；所述装置包括：

接收模块，用于接收网络接入设备发送的终端接入认证请求，所述终端接入认证请求中包含与目标终端对应的目标PSK；

认证模块，用于基于所述目标PSK对所述目标终端进行认证，并将认证结果通过所述网络接入设备发送至所述目标终端。

13.一种计算机可读介质，其特征在于，包括指令，当其在计算机上运行时，使得所述计算机执行权利要求1至11中任意一项所述的无线网络接入方法。

14.一种电子设备，其特征在于，包括：

处理器；以及

存储器，用于存储所述处理器的可执行指令；

其中，所述处理器用于调用所述可执行指令来实现权利要求1至11中任意一项所述的无线网络接入方法。

15.一种包含指令的计算机程序产品，其特征在于，当所述指令在计算机上运行时，使得所述计算机执行权利要求1至11中任意一项所述的无线网络接入方法。