WO2013117131A1

WO2013117131A1 - 一种无线接入认证的方法及装置

Info

Publication number: WO2013117131A1
Application number: PCT/CN2013/070886
Authority: WO
Inventors: 张凯
Original assignee: 华为终端有限公司
Priority date: 2012-02-08
Filing date: 2013-01-23
Publication date: 2013-08-15
Also published as: CN103249040B; CN103249040A

Abstract

一种无线接入认证的方法及装置，涉及无线通信领域，以防止密钥被破解。该方法包括：在判断第一用户设备的特征字未预存在网关设备中，且所述第一用户设备首次使用密钥试图接入网关设备失败后，统计并记录所述第一用户设备接入网关设备连续失败的次数（S101）；若所述次数大于预设的第一阈值，则生成新密钥，并通过新密钥对特征字未预存在网关设备的用户设备进行WIFI接入认证（S102）。

Description

一种无线接入认证的方法及装置

技术领域本发明涉及无线通信领域，尤其涉及一种无线接入认证的方法及装置。背景技术

随着无线通信的发展，无线相容认证（wireless fidelity, 简称 WIFI )技术越来越普遍， WIFI接入点接入密钥安全性也成为技术人员研究的课题，由于现有 WIFI 接入点的初始密钥都是出厂设置好的或者由厂商为 WIFI 接入点的默认密钥提供一个完全随机的序列号，并且一般用户不会修改这些出厂设置，而且这些密钥都是一成不变的，用户始终用这一密钥，只要黑客发现其中的规律或者以遍历的方法攻击 WIFI接入点，那么就会对 WIFI设备的安全性造成较大影响，这样一来，无法保证用户正常使用 WIFI设备，并且如果被黑客连接到 WIFI设备上，无法保证用户的利益，为用户带来极大的不便。发明内容

本发明的实施例提供一种无线接入认证的方法及装置，以防止密钥被破解。

为达到上述目的，本发明的实施例釆用如下技术方案：

一方面，提供一种无线接入认证的方法，包括：

在判断第一用户设备的特征字未预存在网关设备中，且所述第一用户设备首次使用密钥试图接入网关设备失败后，

统计并记录所述第一用户设备接入网关设备连续失败的次数；

若所述次数大于预设的第一阔值，则生成新密钥，并通过所述新密钥对特征字未预存在网关设备的用户设备进行 Wl F I接入认证。一方面，提供一种无线接入认证的装置，包括：

判断单元，用于判断第一用户设备的特征字是否预存在网关设备中，以及所述第一用户设备首次使用密钥试图接入网关设备是否成功；

统计记录单元，统计并记录所述第一用户设备接入网关设备连续失败的次数；

密钥生成单元，用于在所述次数大于预设的第一阔值后，生成新密钥；认证单元，用于通过所述新密钥对特征字未预存在网关设备的用户设备进行 WIFI接入认证。

本发明实施例提供的无线接入认证的方法及装置，在判断特征字未预存在网关设备中的用户设备与网关设备连接失败的次数大于预设的第一阔值后，生成新密钥，并通过该新密钥对特征字未预存在网关设备的用户设备进行 WIFI接入认证，这样一来，以动态生成新密钥的方式，防止了密钥被破解。附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例提供的无线接入认证的方法的流程示意图之一；图 2为本发明实施例提供的无线接入认证的方法的流程示意图之二；图 3为本发明实施例提供的无线接入认证的方法的流程示意图之三；图 4为本发明实施例提供的无线接入认证的方法的流程示意图之四；图 5为本发明实施例提供的无线接入认证的装置的示意图之一；

图 6为本发明实施例提供的无线接入认证的装置的示意图之二。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明实施例提供的无线接入认证的方法，在通常情况下，本方法的执行主体是网关，网关为在釆用不同体系结构或协议的网络之间进行互通时，用于提供协议转换、路由选择、数据交换等网络兼容功能的设施。在有设备通过网关传输数据时，网关一般可以记录通过它发送数据的设备的特征字，以备后用，该设备的特征字是设备的 "身份证" ，如设备的物理地址（Media Access Control, 简称 MAC )等。在本实施例中的网关设备可以具体为 WIFI 设备或者无线路由器等。该方法如图 1所示，包括：

S101 , 在判断第一用户设备的特征字未预存在网关设备中，且第一用户设备首次使用密钥试图接入网关设备失败后，统计并记录该第一用户设备接入网关设备连续失败的次数。

优选的，该特征字可以为物理地址（MAC )或者组织唯一标识符（0UI ) 或者出厂设备序列号（ SN )或者 IP地址，在本实施例中以 MAC为例进行说明。

具体的，如图 2所示，当第一用户设备首次与网关设备尝试连接时，首先将第一用户设备的 MAC与网关设备中 MAC清单或 MAC列表里预存的 MAC进行匹配，以判断第一用户设备的 MAC是否为预存在网关设备中的 MAC, 若判断第一用户设备的 MAC是预存在网关设备中的 MAC, 则通过原密钥对第一用户设备进行 WIFI接入认证，该原密钥为生成新密钥之前，用户设备与网关设备进行 WIFI接入认证时使用的密钥；若判断出第一用户设备的 MAC不是预存在网关设备中的 MAC, 再判断第一用户设备与网关设备连接是否成功，若判断不成功，则统计并记录第一用户设备接入网关设备连续失败的次数。

示例性的，在本实施例中原密钥为 123456, 用户设备曱试图与网关设备连接时，在判断出用户设备曱为 MAC未预存在网关设备的用户设备，并且用户设备曱与网关设备首次使用非 123456的密码连接失败后，统计并记录用户设备曱接入网关设备连续失败的次数。

5102、若该次数大于预设的第一阔值，则生成新密钥，并通过该新密钥对特征字未预存在网关设备的用户设备进行 WIFI接入认证。

示例性的，以上述步骤中统计出用户设备曱接入网关设备连续失败 10次为例进行说明，预设的第一阔值为 8次，用户设备曱连续失败的次数大于预设的第一阔值 8之后，则生成新密钥 546213, 在生成新密钥后， MAC未预存在网关设备的用户设备乙在用户设备曱之后也连接网关设备，则通过生成的新密钥 546213对用户设备乙进行 WIFI接入认证，这样一来，如果有非法用户设备试图破解密钥与连接网关设备连接时，网关会自动更改密钥，由于非法用户设备难以得知新密钥，因此有效防止了密钥被破解。

本发明实施例提供的无线接入认证的方法，在判断特征字未预存在网关设备中的用户设备与网关设备连接失败的次数大于预设的第一阔值后，生成新密钥，并通过该新密钥对特征字未预存在网关设备的用户设备进行 WIFI接入认证，这样一来，以动态生成新密钥的方式，防止了密钥被破解。

需要说明的是，若判断试图接入网关设备的用户设备的 MAC预存在网关设备中，则在该设备得到新密钥后，还可以通过新密钥对该 MAC预存在网关设备的用户设备进行 WIFI接入认证。

更进一步的，在生成新密钥后，如图 3所示，该方法还包括：

5103、通过无线端口接收来自特征字预存在网关设备并且成功认证到 WIFI接入点的用户设备的新密钥查看消息。

5104、发送该新密钥至该用户设备。

示例性的，以上步骤中用户设备曱为例进行说明， MAC预存在网关设备中的用户设备丙通过原密钥与网关设备建立无线连接后，用户设备曱试图连接该网关设备，由于不知道新密钥 546213所以是不能通过无线接入到该网关设备上，但是，用户设备丙可以向该网关设备发送一个查看新密钥的消息，待该网关设备通过无线端口接收来自用户设备丙的查看新密钥消息后，将该新密钥 546213又通过无线方式发送给用户设备丙，用户设备丙的用户再将新密钥告诉用户设备曱的用户。这样，用户设备曱通过用户设备丙就可以得知新密钥并无线连接到该网关设备上了，这样一来，既保证了 MAC未预存在网关设备的用户设备正常使用该网关设备，又动态生成了新密钥，防止了密钥被破解。

作为本发明另一实施方法，在生成新密钥后，如图 4所示，还可以包括： S105、通过物理端口接收用户设备的新密钥查看消息。

S106、发送该新密钥至该用户设备。

示例性的，上一用户设备曱还可以直接连接到网关设备的物理端口上，向网关设备发送查看新密钥消息，待该网关设备接收到物理端口发送的查看新密钥消息后，通过物理端口发送新密钥 546213给用户设备曱，这样用户设备曱在获得新密钥后就可以又通过无线连接到网关设备上了，同样地，用户设备丙不仅可以通过无线查看新密钥 546213, 还可以通过接入到网关设备的物理端口上进行查看，这样一来，也保证了 MAC未预存在网关设备的用户设备正常使用该网关设备。

优选的，待特征字预存在网关设备的用户设备全部使用了新密钥 546213 后，还可以将原密钥 123456设置为无效，这样一来，更有效的防止了密钥被破解。使用了新密钥后，允许最初使用出厂密钥与网关设备完成认证连接的用户设备使用出厂密钥与网关设备进行认证连接，而其他原密钥设置为无效，这样一来，有效的防止了密钥被破解的同时，还保证了用户正常使用网关设备。

优选的，在 S 101中统计并记录所述第一用户设备接入网关设备连续失败的次数，还可以为：统计并记录在预设的第一时间门限内所述第一用户设备接入网关设备连续失败的次数。

示例性的，预设该第一时间门限为 1分钟，可以统计并记录用户设备曱在 1分钟内与网关设备连接的次数，如果该次数大于预设的第一阔值，则生成新密钥，这样，更有效的判断了是否需要更改密钥，从而进一步的防止了密钥被破解。

本发明实施例提供的无线接入认证的装置 50, 如图 5所示，包括，判断单元 501 , 用于判断第一用户设备的特征字是否预存在网关设备中，以及第一用户设备首次使用密钥试图接入网关设备是否成功。

优选的，该特征字可以为物理地址（MAC )或者组织唯一标识符（OUI ) 或者出厂设备序列号（ SN )或者 IP地址，在本实施例中以 MAC为例进行说明。

示例性的，在本实施例中，当用户设备曱首次试图与网关设备连接，判断单元 501判断该用户设备曱是否是 MAC预存在网关设备的用户设备，以及判断该用户设备曱与网关设备首次连接是否失败。

统计记录单元 502 ,统计并记录该第一用户设备接入网关设备连续失败的次数。

示例性的，原密钥为 123456, 当判断单元 501判断用户设备曱为 MAC未预存在网关设备的用户设备，并且判断该用户设备曱首次连接失败后，统计并记录用户设备曱试图接入网关设备连续失败的次数。

密钥生成单元 503, 用于在该次数大于预设的第一阔值后，生成新密钥。示例性的，若统计记录单元 502中统计出用户设备曱接入网关设备连续失败 10次，预设的第一阔值为 8次，这样，用户设备曱连续失败的次数大于预设的第一阔值，则生成新密钥 546213。

认证单元 504,用于通过该新密钥对特征字未预存在网关设备的用户设备进行 WIFI接入认证。

示例性的，在密钥生成单元 503生成新密钥后， MAC未预存在网关设备的用户设备乙在用户设备曱之后也连接网关设备，则通过生成的新密钥 546213 对用户设备乙进行 WIFI接入认证，这样一来，如果有非法用户设备试图破解密钥与连接网关设备连接时，网关会自动更改密钥，以防止密钥被破解。本发明实施例提供的无线接入认证的装置，在判断特征字未预存在网关设备中的用户设备与网关设备连接失败的次数大于预设的第一阔值后，生成新密钥，并通过该新密钥对特征字未预存在网关设备的用户设备进行 WIFI的接入认证，这样一来，以动态生成新密钥的方式，防止了密钥被破解。

其中，优选的，认证单元 504, 还用于在判断单元 501判断试图接入网关设备的用户设备的特征字预存在网关设备中后，通过新密钥对该特征字预存在网关设备的用户设备进行 WIFI接入认证。

示例性的， MAC预存在网关设备的用户设备丙试图连接到网关设备上，则通过原密钥 123456对该用户设备丙进行 WIFI认证接入，当然用户设备丙也可以在得到新密钥后，使用新密钥 546213与网关设备接入。

进一步的，为了保证了特征字未预存在网关设备的用户设备正常使用该网关设备，如图 6所示，该装置 50还包括：

接收单元 505 ,用于通过无线端口接收来自特征字预存在网关设备并且成功认证到 WIFI接入点的用户设备的新密钥查看消息。

发送模块 506, 用于发送该新密钥至该用户设备。

示例性的，当上述 MAC预存在网关设备中的用户设备丙与网关设备通过无线连接后，的用户设备曱试图连接该网关设备，由于不知道新密钥 546213 所以是不能通过无线接入到该网关设备上，但是，用户设备丙可以向该网关设备发送一个查看新密钥的消息，待该接收单元 505通过无线端口接收来自用户设备丙的查看新密钥消息后，发送单元 506将该新密钥 546213又通过无线方式发送给用户设备丙，这样，用户设备曱可以通过用户设备丙得知新密钥后，就可以通过无线连接到该网关设备上了，这样一来，既保证了 MAC未预存在网关设备的用户设备正常使用该网关设备，又动态生成了新密钥，防止了密钥被破解。

更进一步的，为了保证特征字未预存在网关设备的用户设备正常使用该网关设备，该装置 50中，接收单元 505 , 还用于通过物理端口接收用户设备的新密钥查看消息。发送单元 506, 还用于发送所述新密钥至所述用户设备。

示例性的，上一用户设备曱还可以直接连接到网关设备的物理端口上，向网关设备发送查看新密钥消息 ,待该接收单元 505接收到物理端口发送的查看新密钥消息后，发送单元 506通过物理端口发送新密钥 546213给用户设备曱，这样用户设备曱在获得新密钥后就可以又通过无线连接到网关设备上了，同样地，用户设备丙不仅可以通过无线查看新密钥 546213, 还可以通过接入到网关设备的物理端口上进行查看，这样一来，也保证了 MAC未预存在网关设备的用户设备正常使用该网关设备。

优选的，待特征字预存在网关设备的用户设备全部使用了新密钥 546213 后，还可以将原密钥 123456设置为无效，这样一来，更有效的防止了密钥被破解。

优选的，为了更有效的判断是否需要更改密钥，统计记录单元 502还用于，统计并记录在预设的第一时间门限内所述第一用户设备接入网关设备连续失败的次数。

示例性的，预设该第一时间门限为 1分钟，统计记录单元 502统计并记录的用户设备曱在 1分钟内与网关设备连接的次数，如果该次数大于预设的第一阔值，则生成新密钥，这样，更有效的判断了是否需要更改密钥，从而进一步的防止了密钥被破解。

本领域普通技术人员可以理解实现上述实施例装置中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各装置的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（ Read-Only Memory, ROM )或随机存储记忆体（ Random Access Memory, RAM )等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

权利要求书

1、一种无线接入认证的方法，其特征在于，包括：

在判断第一用户设备的特征字未预存在网关设备中，且所述第一用户设备首次使用密钥试图接入网关设备失败后，统计并记录所述第一用户设备接入网关设备连续失败的次数；

若所述次数大于预设的第一阔值，则生成新密钥，并通过所述新密钥对特征字未预存在网关设备的用户设备进行 WIFI接入认证。

2、根据权利要求 1所述的无线接入认证的方法，其特征在于，还包括：若判断试图接入网关设备的用户设备的特征字预存在网关设备中，则通过原密钥或者所述新密钥对所述特征字预存在网关设备的用户设备进行 WIFI接入认证。

3、根据权利要求 1所述的无线接入认证的方法，其特征在于，在所述生成新密钥后，还包括：

通过无线端口接收来自特征字预存在网关设备并且成功认证到 WIFI接入点的用户设备的新密钥查看消息；

发送所述新密钥至所述用户设备。

4、根据权利要求 1所述的无线接入认证的方法，其特征在于，在所述生成新密钥后，还包括：

通过物理端口接收用户设备的新密钥查看消息；

发送所述新密钥至所述用户设备。

5、根据权利要求 1所述的无线接入认证的方法，其特征在于，统计并记录所述第一用户设备接入网关设备连续失败的次数，包括，

统计并记录在预设的第一时间门限内所述第一用户设备接入网关设备连续失败的次数。

6、根据权利要求 1 ~5任意所述的无线接入认证的方法，其特征在于，所述特征字为物理地址（MAC )或者组织唯一标识符（OUI )或者出厂设备序列号 ( SN )或者 IP地址。

7、一种无线接入认证的装置，其特征在于，包括：

8、根据权利要求 7所述的无线接入认证的装置，其特征在于，

认证单元，还用于在判断单元判断试图接入网关设备的用户设备的特征字预存在所述网关设备中后，通过所述新密钥对所述特征字预存在网关设备的用户设备进行 Wl F I接入认证。

9、根据权利要求 7所述的无线接入认证的装置，其特征在于，还包括：接收单元，用于通过无线端口接收来自特征字预存在网关设备并且成功认证到 Wl F I接入点的用户设备的新密钥查看消息；

发送单元，用于发送所述新密钥至所述用户设备。

10、根据权利要求 9所述的无线接入认证的装置，其特征在于，

所述接收单元，还用于通过物理端口接收用户设备的新密钥查看消息；所述发送单元，还用于发送所述新密钥至所述用户设备。

1 1、根据权利要求 7所述的无线接入认证的装置，其特征在于，

所述统计记录单元具体用于，统计并记录在预设的第一时间门限内所述第一用户设备接入网关设备连续失败的次数。