WO2014176743A1

WO2014176743A1 - 一种配置无线终端的方法、设备及系统

Info

Publication number: WO2014176743A1
Application number: PCT/CN2013/075006
Authority: WO
Inventors: 李小仙; 丁志明
Original assignee: 华为终端有限公司
Priority date: 2013-04-28
Filing date: 2013-04-28
Publication date: 2014-11-06
Also published as: CN105009618B; US20160050566A1; EP2986045A1; US10091650B2; EP2986045A4; EP2986045B1; CN105009618A

Abstract

本发明实施例公开了一种配置无线终端的方法、设备及系统，涉及通信领域。通过配置设备与无线终端的直接通信完成对无线终端的配置，实现配置过程无需无线接入设备AP参与，使得配置过程更加灵活。解决了现有技术在AP处于不能正常通信的区域或者处于离线状态时不能完成对无线终端的配置的问题。本发明实施例提供的方法包括：配置设备获取无线终端的设备标识信息和配置密码信息；配置设备根据所述无线终端的设备标识信息向无线终端发送配置触发信息；配置设备根据配置密码信息与无线终端进行验证；配置设备向无线终端发送无线终端接入AP的信任状信息和AP的设备标识信息；配置设备向AP发送信任状信息和无线终端的设备标识信息。

Description

一种配置无线终端的方法、设备及系统技术领域

本发明涉及通信领域，尤其涉及一种配置无线终端的方法、设备及系统。背景技术

无线保真（ Wireless Fidelity, 简称 Wi-Fi ) 具有部署快速、使用便利和传输速率高等优势，被广泛应用于各个行业。但是 Wi-Fi网络的安全设置复杂，使得很多无线网络的用户没有配置任何的安全参数，网络很容易遭到攻击。为了使得用户安全便捷的使用无线网络， Wi-Fi联盟推出了 Wi-Fi安全设置（ Wi-Fi Protected Setup , 简称 WPS ) 规范，又称 Wi-Fi简单配置（ Wi-Fi Simple Configuration , 简称 WSC ) , 对接入的无线终端进行安全配置，使得对无线设置和安全没有太多了解的用户也可以简单方便地设置安全的 WLAN , 方便安全地向网络中添力口设备。

WPS规范中定义了一个称为注册器（ Registrar )的实体来完成对无线终端的配置。注册器可以内置于无线接入设备，也可以外置于无线接入设备，外置的注册器可以称其为配置设备。对于使用外置配置设备的情况，在现有技术对无线终端进行配置过程中，无线终端需要通过无线接入设备来转发相应的请求至配置设备，而配置设备也需要通过无线接入设备来转发相应的响应至无线终端，因此三者在配置的过程中都必须处于工作状态，在无线接入设备处于不能与无线终端正常通信的区域或者无线接入设备处于离线状态时不能完成对无线终端的配置，使得配置无线终端的过程缺乏灵活性。发明内容

本发明的实施例提供一种配置无线终端的方法、设备及系统。通过配置设备与无线终端的直接通信完成对无线终端的配置，实现配置过程无需无线接入设备参与也能完成对无线终端的配置。为达到上述目的，本发明的实施例采用如下技术方案：第一方面，本发明实施例提供了一种配置无线终端的方法，其中，配置设备与无线终端之间直接连接，该方法包括：

所述配置设备获取所述无线终端的设备标识信息和配置密码信自 ·

所述配置设备根据所述无线终端的设备标识信息向所述无线终端发送配置触发信息；

所述配置设备根据所述配置密码信息与所述无线终端进行验证，以确定所述无线终端拥有所述配置密码信息；

所述配置设备向所述无线终端发送所述无线终端接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息，以使得在验证成功后，所述无线终端根据所述信任状信息和所述无线接入设备的设备标识信 , 请求接入所述无线接入设备；

所述配置设备向所述无线接入设备发送所述信任状信息和所述无线终端的设备标识信息，以使得所述无线接入设备根据所述信任状信息和所述无线终端的设备标识信息对所述无线终端接入所述无线接入设备的请求进行处理。

在第一种可能的实现方式中，结合第一方面，所述配置设备获取所述无线终端的设备标识信息和配置密码信息，包括，

所述配置设备通过扫描所述无线终端设备的多维码获取所述配置密码信息以及所述无线终端的设备标识信息。

在第二种可能的实现方式中，结合第一方面，所述配置设备获取无线终端的设备标识信息和配置密码信息，包括，

所述配置设备接收所述无线终端发送的配置请求信息，所述配置请求信息包括所述无线终端的设备标识信息和使用个人身份识另 'J码

( Personal Identification Number , 简称 PIN ) 方式的指示信息；

所述配置设备接收用户输入的所述配置密码信息，所述配置密码信息包括所述无线终端的 PIN。

在第三种可能的实现方式中，结合第一方面，所述配置设备获取无线终端的设备标识信息和配置密码信息，包括，

所述配置设备接收所述无线终端发送的配置请求信息，所述配置请求信息包括所述无线终端的设备标识信息和使用按钮配置（ Push Button Control , 简称 PBC ) 方式的指示信息；

所述配置设备通过与无线终端进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN作为配置密码信息。

在第四种可能的实现方式中，结合第一方面，所述配置设备获取无线终端的设备标识信息和配置密码信息，包括，

所述配置设备通过近场通信（Near Field Communication , 简称 NFC )接口读取所述无线终端的配置密码信息以及所述无线终端的设备标识信息。

在第五种可能的实现方式中，结合第一方面、第一种至第四种可能的实现方式中的任一项，所述配置设备与所述无线终端之间直接连接的方式包括临时网络 ad hoc连接。

在第六种可能的实现方式中，结合第一方面、第一种至第四种可能的实现方式中的任一项，所述直接连接的方式包括点对点（ Peer to Peer, 简称 P2P ) 连接。

在第七种可能的实现方式中，结合第六种可能的实现方式，所述配置设备根据所述无线终端的设备标识信息向所述无线终端发送配置触发信息包括，

所述配置设备根据所述无线终端的设备标识信息通过探测响应帧或者信标帧向所述无线终端发送配置触发信息。

在第八种可能的实现方式中，结合第六种或者第七种可能的实现方式中的任一项，所述配置设备根据所述配置密码信息与所述无线终端进行验证包括，所述配置设备根据所述配置密码信息通过扩展认证协议 ( Extensible Authentication Protocol , 简称 EAP ) 消息与所述无线终端进行验证。

在第九种可能的实现方式中，结合第六种至第八种可能的实现方式中的任一项，所述配置设备向所述无线终端发送所述无线终端接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息包括，所述配置设备通过所述 EAP 消息向所述无线终端发送所述无线终端接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息。

第二方面，本发明实施例提供了一种配置无线终端的方法，其中，无线终端与配置设备之间直接连接，该方法包括：

所述无线终端接收所述配置设备根据所述无线终端的设备标识信息发送的配置触发信息；

所述无线终端与所述配置设备进行验证，以使得所述配置设备确定所述无线终端拥有配置密码信息；

所述无线终端接收所述配置设备发送的所述无线终端接入无线接入设备的信任状信 , 以及所述无线接入设备的标识信息，以使得在验证成功后，所述无线终端根据所述信任状信息和所述无线接入设备的设备标识信息请求接入所述无线接入设备。在第一种可能的实现方式中，结合第二方面，在所述无线终端接收所述配置设备根据所述无线终端的设备标识信息发送的配置触发信息之前，所述方法还包括：所述无线终端向所述配置设备发送配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用 PIN方式的指示信息，以使得所述配置设备根据所述配置请求消息接收用户输入的所述配置密码信息，所述配置密码信息包括所述无线终端的 PIN。

在第二种可能的实现方式中，结合第二方面，在所述无线终端接收配置设备根据所述无线终端的设备标识信息发送的配置触发信息之前，所述方法还包括：所述无线终端向所述配置设备发送配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用 PBC方式的指示信息；以使得所述配置设备通过与无线终端进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN作为配置密码信息。

在第三种可能的实现方式中，结合第二方面，第一种或第二种可能的实现方式中的任一项，所述直接连接方式包括 ad hoc连接。

在第四种可能的实现方式中，结合第二方面，第一种或第二种可能的实现方式中的任一项，所述直接连接的方式包括 P2P连接。在第五种可能的实现方式中，结合第四种可能的实现方式，所述无线终端接收所述配置设备根据所述无线终端的设备标识信息发送的配置触发信息包括，

所述无线终端接收所述配置设备根据所述无线终端的设备标识信息通过探测响应帧或者信标帧发送的配置触发信息。

在第六种可能的实现方式中，结合第四种或者第五种可能的实现方式中的任一项，所述无线终端与所述配置设备进行验证包括：所述无线终端通过 EAP消息与所述配置设备进行验证。

在第七种可能的实现方式中，结合第四种至第六种可能的实现方式中的任一项，所述无线终端接收所述配置设备发送的所述无线终端接入无线接入设备的信任状信 , 以及所述无线接入设备的标识信 , 包括，

所述无线终端接收所述配置设备通过所述 EAP 消息发送的所述无线终端接入无线接入设备的信任状信息以及所述无线接入设备的标识信息。

第三方面，本发明实施例提供了一种配置设备，与无线终端直接连接，该配置设备包括，

获取器，用于获取配置密码信息以及将所述配置密码信息传输至处理器；

处理器，用于根据所述配置密码信息生成配置触发信息；以及用于根据所述配置密码信息与所述无线终端进行验证以确定所述无线终端拥有所述配置密码信息；

通信单元，通过直接连接的通信链路与外部网元进行通信，用于向所述无线终端发送配置触发信息；

以及向所述无线终端发送接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息，以使得在验证成功后，所述无线终端根据所述信任状信息和所述无线接入设备的设备标识信 , 请求接入所述无线接入设备；

以及向所述无线接入设备发送所述无线终端的信任状信 , 和所述无线终端的设备标识信息，以使得所述无线接入设备根据所述无线终端的信任状信息和所述无线终端的标识信息对所述无线终端接入所述无线接入设备的请求进行处理。

在第一种可能的实现方式中，结合第三方面，所述获取器包括多维码扫描器，用于扫描所述无线终端设备的多维码获取所述配置密码信 , ¾以及所述无线终端的设备标识信息。

在第二种可能的实现方式中，结合第三方面，所述通信单元还用于，接收所述无线终端发送的配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用 PIN方式的指示信息；所述获取器包括键盘，用于接收用户输入的所述无线终端的配置密码信息，所述配置密码信息包括所述无线终端的个人身份识别码 PIN。

在第三种可能的实现方式中，结合第三方面，所述通信单元还用于，接收所述无线终端发送的配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用 PBC方式的指示信息；

所述获取器包括 PBC按钮，用于与所述无线终端进行 PBC配置方式的交互并在交互过程中使用缺省的 PIN作为配置密码信息。

在第四种可能的实现方式中，结合第三方面，所述获取器包括 NFC 接口，用于读取所述无线终端的配置密码信息以及所述无线终端的设备标识信息。

在第五种可能的实现方式中，结合第三方面、第一种至第四种可能的实现方式中的任一项，所述通信单元通过直接连接的通信链路与外部网元进行通信包括，所述通信单元通过 ad hoc连接链路与外部网元进行通信。

在第六种可能的实现方式中，结合第三方面、第一种至第四种可能的实现方式中的任一项，所述通信单元通过直接连接的通信链路与外部网元进行通信包括，所述通信单元通过 P2P连接链路与外部网元进行通信。

在第七种可能的实现方式中，结合第六种可能的实现方式，所述配置触发信息包括探测响应帧或者信标帧。在第八种可能的实现方式中，结合第六种或第七种可能的实现方式，所述根据所述配置密码信息与所述无线终端进行验证以确定所述无线终端拥有所述配置密码信息，具体包括：

根据所述配置密码信息通过 EAP 消息与所述无线终端进行验证以确定所述无线终端拥有所述配置密码信息。

在第九种可能的实现方式中，结合第六种至第八种可能的实现方式中的任一项，所述向所述无线终端发送接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息，具体包括：通过所述 EAP 消息向所述无线终端发送接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息。

第四方面，本发明实施例提供了一种配置设备，该配置设备包括，获取单元，用于获取所述无线终端的设备标识信息和配置密码信 , ¾以及将所述无线终端的设备标识信息传输至第一发送单元，将所述无线终端的配置密码信息传输至验证单元；第一发送单元，用于从获取单元接收所述无线终端的设备标识信息以及根据所述无线终端的设备标识信息通过直接连接的通信链路向所述无线终端发送配置触发信息；验证单元，用于从所述获取单元接收所述配置密码信息，以及根据所述配置密码信息通过直接连接的通信链路与所述无线终端进行验证，以确定所述无线终端拥有所述配置密码信息；所述第一发送单元还用于，通过直接连接的通信链路向所述无线终端发送所述无线终端接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息，以使得所述验证单元验证成功后，所述无线终端根据所述信任状信息和所述无线接入设备的设备标识信 , 请求接入所述无线接入设备；第二发送单元，用于从所述获取单元接收所述无线终端的设备标识信息，以及向所述无线接入设备发送所述无线终端的信任状信 , ¾和所述无线终端的设备标识信息，以使得所述无线接入设备根据所述无线终端的信任状信息和所述无线终端的设备标识信息对所述无线终端接入所述无线接入设备的请求进行处理。在第一种可能的实现方式中，结合第四方面，所述获取单元用于，扫描所述无线终端设备的多维码获取所述无线终端的配置密码信 , ¾ 以及所述无线终端的设备标识信息。

在第二种可能的实现方式中，结合第四方面，所述获取单元包括：接收模块，用于接收所述无线终端发送的配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用 PIN 方式的指示信息；

PIN模块，用于接收用户输入的所述无线终端的配置密码信息，所述无线终端的配置密码信息包括所述无线终端的 P I N。

在第三种可能的实现方式中，结合第四方面，所述获取单元包括：接收模块，用于接收所述无线终端发送的配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用 PBC 方式的指示信息；

PBC模块，用于通过与无线终端进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN作为配置密码信息。

在第四种可能的实现方式中，结合第四方面，所述获取单元还用于，通过 NFC 接口读取所述无线终端的配置密码信息以及所述无线终端的设备标识信息。

在第五种可能的实现方式中，结合第四方面、第一种至第四种可能的实现方式中的任一项，所述直接连接包括 ad hoc连接。

在第六种可能的实现方式中，结合第四方面、第一种至第四种可能的实现方式中的任一项，所述直接连接包括 P2P连接。

在第七种可能的实现方式中，结合第六种可能的实现方式，所述第一发送单元，用于根据所述无线终端的设备标识信息通过探测响应帧或者信标帧向所述无线终端发送配置触发信息。在第八种可能的实现方式中，结合第六种或第七种可能的实现方式，所述验证单元，用于根据所述配置密码信息通过 EAP 消息与所述无线终端进行验证。在第九种可能的实现方式中，结合第六种至第八种可能的实现方式中的任一项，所述第一发送单元用于，通过所述 EAP 消息向所述无线终端发送所述无线终端接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息。

第五方面，本发明实施例提供了一种无线终端，与配置设备直接连接，该无线终端包括，

通信单元，通过直接连接的通信链路与外部网元进行通信，用于接收所述配置设备根据所述无线终端的设备标识信息发送的配置触发信息；

处理器，用于与所述配置设备进行验证，以使得所述配置设备确定所述无线终端拥有配置密码信息；

所述通信单元还用于，接收所述配置设备发送的所述无线终端接入无线接入设备的信任状信 , 以及所述无线接入设备的标识信息，以使得在所述无线终端与所述配置设备验证成功后，所述无线终端根据所述信任状信息和所述无线接入设备的设备标识信息请求接入所述无线接入设备。

在第一种可能的实现方式中，结合第五方面，所述通信单元还用于，向所述配置设备发送配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用 PIN方式的指示信息，以使得所述配置设备根据所述配置请求消息接收用户输入的所述配置密码信息，所述配置密码信息包括所述无线终端的 PIN。

在第二种可能的实现方式中，结合第五方面，所述通信单元还用于，向所述配置设备发送配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用 PBC 方式的指示信息；以使得所述配置设备通过与无线终端进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN作为配置密码信息。

在第三种可能的实现方式中，结合第五方面，第一种或第二种可能的实现方式中的任一项，所述通信单元通过直接连接的通信链路与外部网元进行通信包括，所述通信单元通过 ad hoc连接链路与外部网元进行通信。在第四种可能的实现方式中，结合第五方面，第一种或第二种可能的实现方式中的任一项，所述通信单元通过直接连接的通信链路与外部网元进行通信包括，所述通信单元通过 P2P连接链路与外部网元进行通信。

在第五种可能的实现方式中，结合第四种可能的实现方式，所述通信单元，用于接收所述配置设备根据所述无线终端的设备标识信, 通过探测响应帧或者信标帧发送的配置触发信息。在第六种可能的实现方式中，结合第四种或者第五种可能的实现方式中的任一项，所述与所述配置设备进行验证，以使得所述配置设备确定所述无线终端拥有配置密码信息，具体包括，通过 EAP 消息与所述配置设备进行验证。

在第七种可能的实现方式中，结合第四种至第六种可能的实现方式中的任一项，所述接收所述配置设备发送的所述无线终端接入无线接入设备的信任状信息以及所述无线接入设备的标识信息，具体包括接收所述配置设备通过所述 EAP 消息发送的所述无线终端接入无线接入设备的信任状信 , 以及所述无线接入设备的标识信息。

第六方面，本发明实施例提供了一种无线终端，与配置设备直接连接，该无线终端包括，

接收单元，用于通过直接连接的通信链路接收所述配置设备根据所述无线终端的设备标识信息发送的配置触发信息；

验证单元，用于通过直接连接的通信链路与所述配置设备进行验证，以使得所述配置设备确定所述无线终端拥有配置密码信息；所述接收单元还用于，通过直接连接的通信链路接收所述配置设备发送的所述无线终端接入无线接入设备的信任状信息以及所述无线接入设备的标识信息，以使得在所述无线终端与所述配置设备验证成功后，所述无线终端根据所述信任状信息和所述无线接入设备的设备标识信 , ¾请求接入所述无线接入设备。在第一种可能的实现方式中，结合第六方面，所述无线终端还包括发送单元，用于向所述配置设备发送配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用个人身份识别码 PIN 方式的指示信息，以使得所述配置设备根据所述配置请求消息接收用户输入的所述配置密码信息，所述配置密码信息包括所述无线终端的

PIN。

在第一种可能的实现方式中，结合第六方面，所述无线终端还包括发送单元，向所述配置设备发送配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用按钮配置 PBC 方式的指示信息；以使得所述配置设备通过与无线终端进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN作为配置密码信息。

在第三种可能的实现方式中，结合第六方面，第一种或第二种可能的实现方式中的任一项，所述直接连接包括 ad hoc连接。

在第四种可能的实现方式中，结合第六方面，第一种或第二种可能的实现方式中的任一项，所述直接连接为 P2P连接。

在第五种可能的实现方式中，结合第四种可能的实现方式，所述接收单元，用于接收所述配置设备根据所述无线终端的设备标识信 , ¾ 通过探测响应帧或者信标帧发送的配置触发信息。

在第六种可能的实现方式中，结合第四种或者第五种可能的实现方式中的任一项，所述验证单元用于，通过 EAP 消息与所述配置设备进行验证。

在第七种可能的实现方式中，结合第四种至第六种可能的实现方式中的任一项，所述接收单元用于，接收所述配置设备通过所述 EAP 消息发送的所述无线终端接入无线接入设备的信任状信 , 以及所述无线接入设备的标识信息。

第七方面，本发明实施例提供了一种配置设备的系统，

包括如第三方面或第四方面任一项所述的配置设备以及如第五方面或第六方面任一项所述的无线终端。在第一种可能的实现方式中，结合第七方面，所述系统还包括，无线接入设备，用于接收所述配置设备发送的所述无线终端的信任状信息和所述无线终端的标识信息，以及根据所述无线终端的信任状信息和所述无线终端的标识信息对所述无线终端接入所述无线接入设备的请求进行处理。本发明实施例提供的配置无线终端的方法、设备及系统，通过配置设备与无线终端的直接通信完成对无线终端的配置，实现配置过程无需无线接入设备参与也能完成对无线终端的配置。使得配置过程更加灵活。解决了现有技术在配置过程中都必须处于工作状态，在无线接入设备处于不能正常通信的区域或者无线接入设备处于离线状态时不能完成对无线终端的配置的问题。附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例提供的一种配置无线终端的方法流程图；图 2为本发明实施例提供的另一种配置无线终端的方法流程图；图 3为本发明实施例提供的另一种配置无线终端的方法流程图；图 4为本发明实施例提供的一种验证方法的流程图；

图 5为本发明实施例提供的另一种验证方法的流程图；图 6为本发明实施例提供的另一种验证方法的流程图；

图 7为本发明实施例提供的一种配置设备的装置图；

图 8为本发明实施例提供的另一种配置设备的装置图；

图 9为本发明实施例提供的另一种配置设备的装置图；

图 10为本发明实施例提供的另一种配置设备的装置图；图 1 1为本发明实施例提供的一种无线终端的装置图；

图 12为本发明实施例提供的另一种无线终端的装置图；图 13为本发明实施例提供的另一种无线终端的装置图；图 14为本发明实施例提供的一种配置无线终端的系统图；图 15为本发明实施例提供的另一种配置无线终端的系统图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明方法实施例中涉及 S 101、 S 102等编号，只具有标识方法中各步骤的作用，并不限定各编号步骤之间的先后顺序。

参见图 1 , 为配置设备侧配置无线终端的方法流程示意图，其中，配置设备与无线终端之间直接连接，可以包括点对点（ P2P ) 连接方式和临时网络（ ad hoc ) 连接方式，本发明实施例对配置设备与无线终端的直接连接的方式不进行限制，示例性的，本发明实施例中配置设备与无线终端采用 P2P连接方式。如图所示，可以包括以下步骤：

S 101 : 配置设备获取无线终端的设备标识信息和配置密码信息；示例性的，配置设备获取无线终端的设备标识信息和配置密码信息，可以选择以下任一种方式进行：

1、配置设备通过扫描无线终端设备的多维码获取配置密码信息以及无线终端的设备标识信息。

2、配置设备接收无线终端发送的配置请求消息，配置请求消息包括无线终端的设备标识信息和使用 PIN方式的指示信息；

配置设备接收用户输入的配置密码信息，配置密码信息包括无线终端的 PIN。

3、配置设备接收无线终端发送的配置请求消息，配置请求消息包括无线终端的设备标识信息和使用 PBC方式的指示信息；

配置设备通过与无线终端进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN (例如 WPS规范中规定的 " 00000000" ) 作为配置密码。 4、配置设备通过 NFC接口读取无线终端的配置密码信息以及无线终端的设备标识信息。

S 102 :配置设备根据无线终端的设备标识信息向无线终端发送配置触发信息；

示例性的，配置设备根据无线终端的设备标识信息可以通过探测响应帧或者信标帧向无线终端发送配置触发信息。

S 103 : 配置设备根据配置密码信息与无线终端进行验证，以确定无线终端拥有配置密码信息；

示例性的，配置设备根据配置密码信息可以通过 EAP 消息与无线终端进行验证。

S 104 :配置设备向无线终端发送无线终端接入无线接入设备的信任状信息和无线接入设备的设备标识信息，以使得在验证成功后，无线终端根据信任状信息和无线接入设备的设备标识信息请求接入无线接入设备。

示例性的，配置设备可以通过 EAP 消息向无线终端发送无线终端接入无线接入设备的信任状信息和无线接入设备的设备标识信息。需要说明的是，根据不同的验证方式及消息交互流程，步骤 S 104 也可以与步骤 S 103 同时进行，本实施例不限于在完成 S 103步骤后再执行步骤 S 104。

S 105 :配置设备向无线接入设备发送信任状信息和无线终端的设备标识信息，以使得无线接入设备根据信任状信息和无线终端的设备标识信息对无线终端接入无线接入设备的请求进行处理。

需要说明的是，步骤 S 105 可以在步骤 S 103验证成功之后的任何时间进行，本实施例不限于完成步骤 S 103或步骤 S014后立即执行步骤 S 105。本发明实施例提供的配置无线终端的方法，通过配置设备与无线终端的直接通信完成对无线终端的配置，实现配置过程无需无线接入设备参与也能完成对无线终端的配置。使得配置过程更加灵活。解决了现有技术在配置过程中都必须处于工作状态，在无线接入设备处于不能正常通信的区域或者无线接入设备处于离线状态时不能完成对无线终端的配置的问题。图 2为无线终端侧配置无线终端的方法流程示意图，其中，无线终端与配置设备之间直接连接，可以包括 P2P连接方式和 ad hoc连接方式，本发明实施例对配置设备与无线终端的直接连接的方式不进行限制，优选的，本发明实施例中配置设备与无线终端采用 P2P连接方式。如图所示，可以包括以下步骤：

S201 :无线终端接收配置设备根据无线终端的设备标识信息发送的配置触发信息；

示例性的，无线终端的设备标识信息可以由配置设备获取；无线终端接收配置设备根据无线终端的设备标识信息通过探测响应帧或者信标帧发送的配置触发信息，并且在无线终端接收配置设备根据无线终端的设备标识信息发送的配置触发信息之前，可以包括以下任意一个步骤：

无线终端向配置设备发送配置请求消息，该配置请求消息包括无线终端的设备标识信息和使用 PIN方式的指示信息，以使得配置设备根据配置请求消息接收用户输入的配置密码信息，配置密码信息包括无线终端的 PIN; 或者，

无线终端向配置设备发送配置请求消息，该配置请求消息包括无线终端的设备标识信息和使用 PBC 方式的指示信息，以使得配置设备通过与无线终端进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN作为配置密码信息。

S202: 无线终端与配置设备进行验证，以使得配置设备确定无线终端拥有配置密码信息，

示例性的，无线终端的配置密码信息可以由配置设备获取，无线终端通过 EAP消息与配置设备进行验证。

S203 :无线终端接收所述配置设备发送的无线终端接入无线接入设备的信任状信 , 以及无线接入设备的标识信息，以使得在验证成功后，无线终端根据信任状信, ¾和无线接入设备的设备标识信 , ¾请求接入无线接入设备；

示例性的，无线终端接收配置设备通过 EAP 消息发送的无线终端接入无线接入设备的信任状信 , 以及无线接入设备的标识信息，需要说明的是，根据不同的验证方式及消息交互流程，步骤 S203 也可以与步骤 S202同时进行，本实施例不限于在完成 S202步骤后再执行步骤 S203。在完成 S203 之后，无线终端就可以按照从配置设备获得的无线接入设备的标识信息去发现无线接入设备，在找到指定的无线接入设备后使用获得的信任状信息与该无线接入设备建立安全的连接。

本发明实施例提供的配置无线终端的方法，通过配置设备与无线终端的直接通信完成对无线终端的配置，实现配置过程无需无线接入设备参与也能完成对无线终端的配置。使得配置过程更加灵活。解决了现有技术在配置过程中都必须处于工作状态，在无线接入设备处于不能正常通信的区域或者无线接入设备处于离线状态时不能完成对无线终端的配置的问题。下面通过具体实施例对上述方法实施例进行说明，参见图 3 , 包括：

301 : 初始 WLAN建立，配置设备成为无线接入设备的配置管理哭口 . ,

示例性的，本发明实施例可以应用于 Wi-Fi网络，可以包含配置设备，无线接入设备以及无线终端，其中，配置设备为无线接入设备的配置管理设备，用以管理无线网络建立、添加和删除无线终端；无线接入设备为无线终端进入网络的接入设备，包括但不限于接入点 ( Access Point , 简称 AP ) , 本实施例以无线接入设备为 AP为例进行说明，例如无线终端可以通过 AP进入家庭网络（局域网）、或者进入互联网、也可以进入企业网或行业专网（例如智能传感网，其中无线终端是传感器）等。本实施例中的配置设备根据其功能可以为现有的 WPS2.0规范中的定义 AP的外置注册器（ External Registrar ) , 可以理解，所述配置设备并不限定为现有 WPS2.0规范中所定义的外置注册哭口。

示例性的 , 配置设备在初始无线局域网建立过程中与 AP进行交互成为 AP的配置设备；优选的，配置设备可以根据 WPS规范的 EAP 与 AP进行交互，成为 AP的配置设备，当然，若 WPS规范中配置设备与 AP进行交互的协议改变，改变后的协议也可以直接应用于本发明实施例；

配置设备还可以通过接收用户输入的配置参数成为 AP的配置设备，即配置设备可以在未与 AP交互的情况下成为 AP的配置设备。优选的，本发明实施例中采用配置设备在初始 WLAN 建立过程中与 AP进行交互成为 AP 的配置设备，并用来配置后续其他需要加入的无线终端，其交互过程本领域技术人员十分熟悉，在此不再赘述。

302 : 配置设备获取无线终端的设备标识信息和第一配置密码信自 · 为了描述方便，本实施例中将配置设备所获取到的无线终端的配置密码信息称为第一配置密码信息，将无线终端自身所拥有的配置密码信息称为第二配置密码信息，第一配置密码信息和第二配置密码信息应该相同，类型可以为 PIN 或密码，可以编码于多维码、存储于 NFC标签、以字符串显示于标签等，例如，无线终端的多维码可以为静态多维码，如标签打印的多维码，或动态多维码，如由无线终端动态生成的多维码；多维码码制可以为任何可以识读的一维条码、二维条码码制，例如通用产品代码（ Universal Product Code , 简称 UPC )、快速响应码（ Quick Response Code , 简称 QR Code ) 等。本发明并不以此为限。无线终端的配置密码信息可以静态存储于无线终端的 N F C 标签内，或是以某种方式动态生成后存储于无线终端的 NFC标签中。

无线终端的设备标识信息可以是能够唯一标识无线终端的任何信息，本实施例对此不进行限定，例如，可以为无线终端的介质访问控制（ Media Access Control , 简称 MAC ) 地址。

示例性的，配置设备获取无线终端的设备标识信息和第一配置密码信息可以选择以下任一种方式进行：

1、配置设备通过扫描无线终端的多维码获取配置密码信息以及无线终端的设备标识信息。

2、配置设备接收无线终端的配置请求消息，配置请求消息包括无线终端的设备标识信息和使用 PIN方式的指示信息；

示例性的，配置设备可以通过以下任一种方式接收无线终端的配置请求消息：

A、配置设备向外广播信标帧，无线终端接收到信标帧后向配置设备发送一个配置请求消息，配置设备接收到配置请求消息之后向无线终端发送探测回复，从而获得无线终端的设备标识信息；

B、无线终端主动在各信道上发送配置请求消息，配置设备接收接收到配置请求消息之后向无线终端发送探测回复，从而获得无线终端的设备标识信息；

3、配置设备接收无线终端的配置请求消息，配置请求消息包括无线终端的设备标识信息和使用 PBC 方式的指示信息，其中，获取配置请求消息的过程与 PIN方式中配置请求消息的接收方法相同；此处不再赘述；

配置设备通过与无线终端进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN (例如 WPS规范中规定的 " 00000000" ) 作为配置密码。

4、配置设备通过 NFC接口读取无线终端的配置密码信息以及无线终端的设备标识信息。

303 : 配置设备向无线终端发送配置触发信息；

根据实际的交互方式的不同，配置触发信息可以为任意由配置设备发送的能够触发无线终端与其进行配置消息交互的消息，例如，配置设备根据无线终端的设备标识信息向无线终端发送信标帧或者探测响应消息（ probe response ) , 以触发无线终端向配置设备进行后续的配置消息交互。本发明并不以此为限。

308 : 配置设备与无线终端进行验证； 309 : 配置设备向无线终端发送信任状以及 AP的设备标识信息；示例性的，配置设备可以通过 EAP 消息将无线终端的信任状和 AP 的设备标识信息发送给无线终端，以使得无线终端根据信任状信息和 AP的标识信息请求接入 AP。需要说明的是，本领域技术人员可以理解，步骤 308与步骤 309 可先后进行，也可以同时进行，这完全取决于验证交互方式。例如，信任状信息和 AP的设备标识信息可以在验证过程结束后进行发送，也可以同时在验证交互消息中进行发送，也可以作为验证过程的一部分，作为验证成功与否的判决条件之一，本发明并不以此为限。此外信任状信息和 AP的设备标识信息可以同时发送，也可以分开发送。

3 10 : 配置设备向 AP 发送无线终端的信任状信息以及无线终端的设备标识信息。

示例性的，配置设备可以向 AP发送通知消息，通知消息中包含信任状信息和无线终端的设备标识信息，使得 AP根据信任状信息和无线终端的设备标识信息对无线终端的接入请求进行处理。需要说明的是，步骤 3 10不限于在步骤 308或步骤 309之后立即执行，其执行时间根据实际配置需求确定。例如，在家庭网络中，当 AP和无线终端均已安装完成并上电工作时，步骤 3 10可以在完成步骤 308或步骤 309后立即执行；在传感器网络中，因需要配置大量的传感器设备，且传感器设备安装后分布较零散，不便于安装后配置，因此需要在安装之前批量配置，此时步骤 3 10可以在步骤 308或步骤 309后的较长时间后执行。

示例性的，本实施例中配置设备与无线终端可以采用直接连接的方式进行直接通信，以完成配置设备与无线终端的验证，其中，直接连接的方式可以包括 P2P连接方式和 ad hoc连接方式，本发明实施例对配置设备与无线终端的直接连接的方式不进行限制。优选的，本实施例中配置设备与无线终端采用 P2P连接方式。

下述步骤 304—步骤 307是无线终端与配置设备完成点对点连接的过程，该过程可以发生在步骤 303与步骤 308之间，其中，配置设备为 P2P连接中的群所有者（ Group Owner, 简称 GO ) , 无线终端为 P2P连接中的群客户端（ Client )。

304 : 无线终端向配置设备发送鉴权请求消息；

305 : 配置设备向无线终端发送鉴权响应消息；

示例性的，配置设备向无线终端发送鉴权回复，其中包含允许无线终端与配置设备进行连接的信息。

306 : 无线终端向配置设备发送关联请求消息；

示例性的，无线终端接收到鉴权响应消息之后，向配置设备发送包含连接请求信, I,的关联请求消 , ¾。

307: 配置设备向无线终端发送关联响应消息；

示例性的，配置设备根据接收到的连接请求，向无线终端发送连接信息，完成配置设备与无线终端的 P2P连接。

需要说明的是，步骤 304、步骤 305、步骤 306、步骤 307 为依据现有的 IEEE802.1 1 -2012协议而设计的。示例性的，参见图 4-图 6 , 本发明实施例针对步骤 308 , 具体分别描述了三种类型的验证方式： 1、配置设备与无线终端进行 4 步握手进行双向验证，即配置设备要验证无线终端拥有配置设备所获得的第一配置密码信息，无线终端也验证配置设备获得了自己的第二配置密码信息； 2、配置设备单向验证无线终端，即配置设备验证其获得的第一配置密码信息来自其进行配置过程的无线终端； 3、配置设备与无线终端采用现有的 WPS2.0中的 EAP认证过程进行双向验证，即配置设备要验证无线终端拥有配置设备所获得的第一配置密码信息，无线终端也验证配置设备获得了自己的第二配置密码信息。需要说明的是，具体的验证方式可以有多种，任何通过信息交互并进行匹配确认的验证方式均适用于本发明实施例步骤 308所述的验证过程，本发明实施例所提供的三种验证方式只是对验证过程的一个详细说明。下面分别对上述三种验证方式进行说明。

参见图 4 , 为第一种验证方法的详细过程：

401 : 配置设备与无线终端各自生成一个随机值，分别为 Ra 和

Ea; 402 : 配置设备向无线终端发送消息一，消息一中包含 Ra;

403 : 无线终端根据接收到的 Ra和自身生成的 Ea和第二配置密码信息，生成共享密钥 Keyl ;

404 : 无线终端向配置设备发送消息二，消息二中包含 Ea及利用 Keyl加密消息二摘要得到的第一消息完整性代码（ Message Integrity Code , 简称 MIC );

405 : 配置设备根据接收到的 Ea和自身生成的 Ra和第一配置密码信息，生成共享密钥 Key2 , 并使用 Key2以与无线终端相同的方式生成第二 MIC ,其中，配置设备生成 Key2的方式与无线终端生成 Keyl 的方式相同。

406 : 配置设备判断第二 MIC与第一 MIC是否匹配。

407 : 若不匹配，结束配置交互过程。示例性的，若第二 MIC与第一 MIC不匹配，则配置设备判定无线终端的第二配置密码信息与配置设备获得的第一配置密码信息不同。配置设备可以向无线终端发送不匹配结果信息，无线终端向配置设备发送断开连接信息，结束配置交互过程，或者，配置设备直接结束配置交互过程，或以其他任何可行的方式结束配置交互过程，本发明并不以此为限。

408 :若匹配，配置设备利用 Key2加密消息三摘要生成第三 MIC;

409 : 配置设备向无线终端发送消息三；

示例性的，若第二 MIC与第一 MIC匹配成功，则配置设备判定无线终端的第二配置密码信息与配置设备获得的第一配置密码信息相同。配置设备生成无线终端接入 AP的信任状信息。配置设备向无线终端发送消息三，消息三中包含利用 Key2加密消息三摘要得到的第三 MIC及利用 Key2加密的无线终端接入 AP 的信任状信息和 AP 的设备标识信息。需要说明的是，本领域的技术人员可以理解，在发送信任状信息之前，信任状信息的生成时间不具体限制；

410 :无线终端接收到消息三后使用 Keyl 以与配置设备相同的方式生成第四 MIC; 41 1 : 无线终端判断第四 MIC与第三 MIC是否匹配； 412 : 若不匹配，结束配置交互过程。示例性的，若第三 MIC与第四 MIC不匹配，则无线终端判定配置设备获得的第一配置密码信息与无线终端自身的第二配置密码信息不同。无线终端向配置设备发送不匹配结果信息，配置设备向无线终端发送断开连接信息，结束配置交互过程，或者，直接结束配置交互过程，或以其他任何可行的方式结束配置交互过程，本发明并不以此为限；

413 : 若匹配，无线终端发送消息四。

示例性的，若第三 MIC与第四 MIC匹配，则无线终端判定配置设备获得的第一配置密码信息与无线终端自身的第二配置密码信息相同。无线终端向配置设备发送消息四，告知配置设备匹配成功，并根据 Keyl解密消息三中利用 Key2加密的无线终端接入 AP的信任状信息和 AP的设备标识信息，获得信任状信息和 AP的设备标识信息。

需要说明的是，本领域技术人员可以理解， AP 的标识信息相对公开，不一定需要对其进行加密，例如 AP的标识信息明文带在消息三中，或者，通过其他的消息进行发送。本实施例中只是提供一种可行的方法，但并不以此为限。参见图 5 , 为第二种验证方法的详细过程：

501 :配置设备生成随机值 Ra及无线终端接入 AP的信任状信息；示例性的，配置设备可以将随机值 Ra及无线终端接入 AP 的信任状信息通过第一配置密码信息进行加密得到加密信息一。

502 : 配置设备将加密信息一发送至无线终端；需要说明的是，本领域的技术人员可以理解，在发送信任状信息之前，信任状信息的生成时间不具体限制。

503 : 无线终端通过第二配置密码将接收到的加密信息一进行解密，得到随机值 α' ;

示例性的，无线终端可以通过第二配置密码信息将随机值 Ra ,加密后得到加密信息二。

504 : 无线终端将加密信息二发送至配置设备；

505 : 配置设备通过第一配置密码信息对接收到的加密信息二进行解密，得到随机值 α" '

506 : 配置设备判断随机值 α"与自身生成的随机值 Ra 是否匹配；

507 : 若不匹配，则结束配置交互过程；

示例性的，若 Wfl "与 Ra不匹配，配置设备可以向无线终端发送断开连接信息，结束配置交互过程，或者直接结束配置交互过程，或以其他任何可行的方式结束配置交互过程，本发明并不以此为限。

508 : 若匹配，配置设备向无线终端发送 AP的设备标识信息。示例性的，若 Wfl"与 Ra 匹配，配置设备确认匹配成功，向无线终端发送 AP的设备标识信息。需要说明的是， AP的设备标识信息也可以在上述的验证过程中随信任状信息一起加密发送，或者， AP 的设备标识信息也可以在上述的验证过程中明文发送，本发明实施例并不以此为限。参见图 6 , 为第三种验证方法的详细过程：

该验证方法的交互是基于现有的 WPS2.0协议中的消息一至消息八的 EAP认证过程，配置设备和无线终端可以通过 8个消息（ Ml ~ M8 ) 完成配置过程。其中 M1 -M8消息为协议中的标准消息，其具体内容在此不再赘述。具体过程如下：

601 : 配置设备和无线终端采用动态密钥交换算法协商出无线终端与配置设备之间的一组临时密钥，用于对后续进行交互认证的消息和重要数据如配置数据、信任状信息等进行加密，保证配置过程的安全性；

示例性的，本发明实施例优选使用迪菲 -赫尔曼（ Diffie-Hellman , 简称 DH ) 动态密钥交换算法，并不代表本发明实施例仅限于采用该动态密钥交换算法。 602 : 配置设备将第一配置密码信息分为前半部分与后半部分并且分别进行加密，优选的，本发明实施例选择高级加密标准（ Advanced Encryption Standard, 简称 AES ) 算法进行加密，但并不代表本发明实施例仅限于该算法，其中，前半部分的加密信息为 R1 , 后半部分的加密信息为 R2 , R1 与 R2 的加密密钥分别为 R_kl , R_k2 , 相应的，无线终端将第二配置密码信息也分为前半部分与后半部分并且与 R1 , R2相同的加密算法分别进行加密，其中，前半部分的加密信息为 E 1 , 后半部分的加密信息为 E2 , E1与 E2的加密密钥分别为 E_kl , E_k2;

603 : 无线终端将 El与 E2发送至配置设备；

604 : 配置设备将加密的信息 R1和 R2与第一配置密码信息的前半部分加密密钥 R_kl发送至无线终端；

605 : 若确认第一配置密码信息与第二配置密码信息的前半部分匹配，无线终端向配置设备发送 E_kl , 示例性的，无线终端根据 R_kl对第二配置密码信息前半部分以与 R1 ,R2相同的加密算法进行加密，如果加密的结果与 R1 相等，则无线终端确认第一配置密码信息与第二配置密码信息的前半部分匹配，无线终端向配置设备发送 E_kl。

若加密的结果与 R1 不相等，无线终端确认第一配置密码信息与第二配置密码信息不匹配，则结束配置交互过程，例如，无线终端可以向配置设备发送不匹配结果信息，配置设备向无线终端发送断开连接信息，结束配置交互过程，或者直接结束配置交互过程，或以其他任何可行的方式结束配置交互过程，本发明并不以此为限。

606 : 若确认第一配置密码信息与第二配置密码信息的前半部分匹配，则配置设备将第二配置密码信息的后半部分加密密钥 R_k2发送至无线终端；

示例性的，配置设备根据 E _k 对第一配置密码信息前半部分以与 R1 ,R2相同的加密算法进行加密，如果加密的结果与 E1 相等，则确认第一配置密码信息与第二配置密码信息的前半部分匹配，并将第二配置密码信息的后半部分加密密钥 R_k2发送至无线终端；

若加密的结果与 E 1 不相等，配置设备确认第一配置密码信息与第二配置密码信息不匹配，则结束配置交互过程，例如，配置设备可以向无线终端发送不匹配结果信息，无线终端向无线终端发送断开连接信息，结束配置交互过程，或者直接结束配置交互过程，或以其他任何可行的方式结束配置交互过程，本发明并不以此为限。

607 : 若确认第一配置密码信息与第二配置密码信息的后半部分匹配，无线终端向配置设备发送 E_k2 ,

示例性的， 607的验证过程步骤 605验证前半部分 R1 的过程相同，此处不再赘述。

608 : 若确认第一配置密码信息与第二配置密码信息的后半部分匹配，配置设备生成无线终端接入 AP的信任状信息并向无线终端发送。

示例性的， 608 的验证过程步骤与 606验证前半部分 E1 的过程相同，此处不再赘述。

示例性的，信任状信息可以包含无线终端的认证信息，以及 AP 与无线终端之间通信消息的加密与解密的密钥。

示例性的，上述举例的三种验证方法对验证配置密码信息为 PIN 码、 NFC标签中的密码和多维码均适用，本实施例对此不进行任何限定。在实际实现中，如图 4所示的验证方法和如图 5所示的验证方法交互过程简单，如需保证信息传输的安全性，需要配置密码信息具备较大的信息量，例如对于数字型的配置密码信息，需要具备较长的位数，不方便手动输入，因此在实际应用中优选使用非手动输入的获取方式，例如通过 NFC接口读取 NFC标签中的配置密码信息或使用图像传感器识读 QR Code中编码的配置密码信息的方式，既能够保证配置设备方便地获取配置密码信息，又能够保证配置密码信息拥有足够的信息量。而对于输入 PIN码、 PBC等配置方式，因配置密码信息的位数较短，为保证其安全性，应优选采用现有的 WPS2.0协议中的 EAP 交互过程，即如图 6所示的验证方法。本领域的技术人员可以理解， WPS2.0协议中的 EAP交互过程对于较短位数的 PIN码有较好的安全性。

本发明实施例提供的配置无线终端的方法，通过配置设备与无线终端的直接通信完成对无线终端的配置，配置过程无需 AP参与也能完成对无线终端的配置，使得配置过程更加灵活。解决了现有技术在配置过程中都必须处于工作状态，在 AP处于不能正常通信的区域或者 AP处于离线状态时不能完成对无线终端的配置的问题。

另一方面，本发明实施例提供了一种配置设备 70 , 该配置设备 70可以应用于 Wi-Fi网络， Wi-Fi网络还可以包含无线接入设备以及无线终端，其中，配置设备 70可以为无线接入设备的配置管理设备，用以管理无线网络建立、添加和删除无线终端；无线接入设备为无线终端进入网络的接入设备，包括但不限于 AP , 本实施例以无线接入设备为 AP为例进行说明，例如无线终端可以通过 AP进入家庭网络 (局域网）、或者进入互联网、也可以进入企业网或行业专网（例如智能传感网，其中无线终端是传感器）等。本实施例中的配置设备 70 根据其功能可以为现有的 WPS2.0规范中的定义 AP 的外置注册器，可以理解，所述配置设备 70并不限定为现有 WPS2.0规范中所定义的外置注册器。

参见图 7 , 该配置设备 70包括；

获取器 701 , 用于获取配置密码信息以及将配置密码信息传输至处理器 702。

处理器 702 , 用于根据配置密码信息生成配置触发信息；以及用于根据配置密码信息与无线终端进行验证以确定无线终端拥有配置密码信息；通信单元 703 , 通过直接连接的通信链路与外部网元进行通信，用于根据无线终端的设备标识信息向无线终端发送配置触发信息；示例性的，通信单元 703通过直接连接的通信链路与外部网元进行通信，可以包括通信单元 703通过 P2P连接链路或 ad hoc连接链路与外部网元进行通信，本发明实施例不作任何限定，本实施例优选的通过 P2P连接链路与外部网元进行通信。其中，配置设备 70为 P2P 连接中的 GO , 无线终端为 P2P连接中的 Client,

可选的， P2P连接的过程如下：

通信单元 703接收无线终端发送的鉴权请求消息；处理器 702根据鉴权请求消息生成鉴权回复消息，其中，鉴权回复消息包含允许无线终端与配置设备 70进行连接的信息；

通信单元 703向无线终端发送所述鉴权回复消息，

通信单元 703接收无线终端发送的关联请求消息；处理器 703根据关联请求消息生成关联响应消息；

通信单元 703 向无线终端发送关联响应消息，完成配置设备 70 与无线终端的 P2P连接。需要说明的是，上述鉴权和关联过程是依据现有的 IEEE802.1 1 -2012协议而设计的。示例性的，为了描述方便，本实施例中将获取器 701所获取到的无线终端的配置密码信息称为第一配置密码信息，将无线终端自身所拥有的配置密码信息称为第二配置密码信息，第一配置密码信息和第二配置密码信息应该相同，第一配置密码信息和第二配置密码信息的类型可以为 PIN或密码，可以编码于多维码、存储于 NFC标签、以字符串显示于标签等，例如，无线终端的多维码可以为静态多维码，如标签打印的多维码，或动态多维码，如由无线终端动态生成的多维码；多维码码制可以为任何可以识读的一维条码、二维条码码制，例如 UPC、 QR Code等。本发明并不以此为限。无线终端的配置密码信息可以静态存储于无线终端的 NFC 标签内，或是以某种方式动态生成后存储于无线终端的 NFC标签中。

无线终端的设备标识信息可以是能够唯一标识无线终端的任何信息，本实施例对此不进行限定，例如，可以为无线终端的 MAC地址。

根据配置密码信息的类型不同，获取器 701也可以对应不同类型的设备来获取配置密码信息，比如接收用户输入的键盘、 PBC按钮、读取 NFC标签信息的 NFC接口和扫描多维码信息的扫描器等等，不同设备类型的获取器对应于不同的配置密码信息类型，具体来说，

1、获取器 701 为多维码扫描器，用于扫描所述无线终端设备上的多维码获取配置密码信息以及无线终端的设备标识信息。 2、获取器 701 为键盘，用于接收用户输入的配置密码信息，配置密码信息包括无线终端的 PIN。

示例性的，当获取器 701为键盘时，通信单元 703还可以用于，接收无线终端发送的配置请求消息，配置请求消息包括无线终端的设备标识信息和使用 PIN方式的指示信息；其中，可以通过以下任一种方式接收无线终端发送的配置请求消息：

A、通信单元 703 接收由无线终端在接收到配置设备 70 向外广播的信标帧后向配置设备 70 发送的配置请求消息，并向无线终端发送探测回复，从而获得无线终端的设备标识信息；

B、通信单元 703接收到无线终端主动在各信道上发送的配置请求消息，并根据配置请求消息向无线终端发送探测回复，从而获得无线终端的设备标识信息。

3、获取器 701 为 PBC按钮，用于通过与无线终端进行 PBC配置方式交互并在交互过程中使用缺省的 PIN (例如 WPS 规范中规定的 " 00000000" , 本发明实施例在此不做限定）作为配置密码。其中接收配置请求消息的过程与 PIN 方式中配置请求消息的接收方法相同，此处不再赘述。示例性的，当获取器 701 为 PBC按钮时，通信单元 703还可以用于，接收所述无线终端的配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用按钮配置 PBC方式的指示信息。

4、获取器 701 为 NFC接口，用于读取无线终端的配置密码信息以及无线终端的设备标识信息。处理器 702 , 用于根据第一配置密码信息与无线终端进行验证，以确定无线终端拥有与第一配置密码信息相同的第二配置密码信息；通信单元 703还用于，向无线终端发送接入 AP的信任状信息和 AP 的设备标识信息，以使得在验证成功后，无线终端根据信任状信息和 AP的设备标识信息请求接入 AP；

以及向 A P发送无线终端的信任状信息和无线终端的设备标识信息，以使得 AP根据无线终端的信任状信息和无线终端的标识信息对无线终端接入 AP的请求进行处理。可选的，配置设备 70还可以包括存储器，用于存储第一配置密码信息、无线终端的信任状信息、无线终端的设备标识信息和 AP 的设备标识信息，该存储器可能包括高速 RAM存储器，也可能还包括非易失性存储器（ non-volatile memory ) , 例如，内存，緩存，寄存器，磁盘存储器，快闪存储器等。

示例性的，配置设备 70可以在初始无线局域网建立过程中与 ΑΡ 进行交互成为 ΑΡ的配置设备；

优选的，处理器 702可以根据 WPS规范的 ΕΑΡ协议与 ΑΡ进行交互，成为 ΑΡ的配置设备，当然，若 WPS规范中配置设备与 ΑΡ进行交互的协议改变，改变后的协议也可以直接应用于本发明实施例。

通信单元 703 还可以通过接收用户输入的 ΑΡ 的配置参数成为 ΑΡ的配置设备 70 , 并用来配置后续其他需要加入的无线终端，其交互过程本领域技术人员十分熟悉，在此不再赘述；示例性的，通信单元 703采用广播包含无线终端的设备标识信息的信标帧或者探测响应帧向无线终端发送配置触发信息，用来触发对无线终端的验证，本发明实施例对此不作任何限定。根据实际的交互方式的不同，配置触发信息可以为任意由配置设备 70 发送的能够触发无线终端与其进行配置消息交互的消息，例如，配置设备 70 根据无线终端的设备标识信息向无线终端发送探测响应消息，以触发无线终端向配置设备 70进行后续的配置消息交互。本发明并不以此为限。

示例性的，处理器 702根据第一配置密码信息通过 ΕΑΡ 消息与无线终端进行验证以确定无线终端拥有与第一配置密码信息相同的第二配置密码信息，其中，处理器 702可以对无线终端通过不同的验证方法进行，以下将详细介绍三种验证方法的过程， 1、处理器 702 与无线终端进行 4步握手进行双向验证，即配置设备 70要验证无线终端拥有配置设备 70 所获得的第一配置密码信息，无线终端也验证配置设备 70获得了自己的第二配置密码信息； 2、处理器 702单向验证无线终端，即配置设备 70 验证其获得的第一配置密码信息来自其进行配置过程的无线终端； 3、处理器 702 与无线终端采用现有的 WPS2.0 中的 EAP认证过程进行双向验证，即配置设备 70要验证无线终端拥有配置设备 70 所获得的第一配置密码信息，无线终端也验证配置设备 70 获得了自己的第二配置密码信息。需要说明的是，具体的验证方式可以有多种，任何通过信息交互并进行匹配确认的验证方式均适用于本发明实施例所述的验证过程，本发明实施例所提供的三种验证方式只是对验证过程的一个详细说明。下面分别对上述三种验证方式进行说明。方法一：

A、处理器 702 与无线终端均可以生成一个随机值，分别为 Ra 和 Ea; 通信单元 703发送消息一，消息一中包含 Ra; 并且通信单元 703 接收由无线终端发送的消息二，消息二中包含 Ea 及无线终端利用 Keyl加密消息二摘要得到的第一 MIC。

B、处理器 702根据接收到的 Ea和自身生成的 Ra和第一配置密码信息，生成共享密钥 Key2 , 其中，处理器 702生成 Key2的方式与无线终端生成 Keyl 的方式相同，处理器 702使用 Key2以与无线终端相同的方式生成第二 MIC , 并判断与第一 MIC是否匹配；

若不匹配，则处理器 702结束配置交互过程。示例性的，若第二 MIC与第一 MIC不匹配，则处理器 702判定无线终端的第二配置密码信息与配置设备 70 获得的第一配置密码信息不同，并生成不匹配结果信息，通信单元 703向无线终端发送不匹配结果信息，并且通信单元 703接收由无线终端向配置设备 70发送的断开连接信息，结束配置交互过程，或者，处理器 702可以直接结束配置交互过程。

若匹配，处理器 702利用 Key2加密消息三摘要生成第三 MIC; 并且通信单元 703向无线终端发送消息三；示例性的，若第二 MIC与第一 MIC 匹配成功，则处理器 702判定无线终端的第二配置密码信息与配置设备 70 获得的第一配置密码信息相同。处理器 702生成无线终端接入 AP的信任状信息。通信单元 703 向无线终端发送消息三，消息三中包含利用 Key2加密消息三摘要得到的第三 MIC及利用 Key2加密的无线终端接入 AP的信任状信息和 AP 的设备标识信息，以使得无线终端侧根据 Key2 生成第四 MIC 与第三 MIC 进行匹配。需要说明的是，本领域的技术人员可以理解，在发送信任状信息之前，信任状信息的生成时间不具体限制；

C、若无线终端侧的第三 MIC 与第四 MIC 匹配，通信单元 703 接收无线终端发送的匹配成功信息。需要说明的是，本领域技术人员可以理解， AP 的标识信息相对公开，不一定需要对其进行加密，例如 AP的标识信息明文带在消息三中，或者，通过其他的消息进行发送。本实施例中只是提供一种可行的方法，但并不以此为限。

方法二：

A、处理器 702生成随机值 Ra及无线终端接入 AP的信任状信息，示例性的，处理器 702可以将随机值 Ra及无线终端接入 AP的信任状信息通过第一配置密码信息进行加密得到加密信息一。

B、通信单元 703将加密信息一发送至无线终端，需要说明的是，本领域的技术人员可以理解，在发送信任状信息之前，信任状信息的生成时间不具体限制。

C、通信单元 703接收无线终端发送的加密消息二，其中，加密消息二是无线终端通过第二配置密码信息将接收到的加密信息一进行解密，并将解密后的随机值 Wfl'通过第二配置密码信息加密后得到的。

D、处理器 702通过第一配置密码信息对接收到的加密信息二进行解密，并将解密后的随机值 α"与自身生成的随机值 Ra进行匹配；若两者不匹配，处理器 702结束配置交互过程；示例性的，若 Wfl"与 Ra不匹配，通信单元 703 向无线终端发送断开连接信息，结束配置交互过程，或者直接结束配置交互过程。

若匹配，处理器 702确认匹配成功，通信单元 703向无线终端发送 AP的设备标识信息。需要说明的是， AP的设备标识信息也可以在上述的验证过程中随信任状信息一起加密发送，或者， AP 的设备标识信息也可以在上述的验证过程中明文发送，本发明实施例并不以此为限。

方法三，该验证方法的交互是基于现有的 WPS2.0协议中的消息一至消息八的 EAP认证过程，配置设备 70和无线终端可以通过 8个消息（ Ml ~ M8 ) 完成配置过程。其中 Ml -M8消息为协议中的标准消息，其具体内容在此不再赘述。具体过程如下：

A, 处理器 702和无线终端采用动态密钥交换算法协商出无线终端与配置设备 70 之间的一组临时密钥，用于对后续进行交互认证的消息和重要数据如配置数据、信任状信息等进行加密，保证配置过程的安全性；

示例性的，本发明实施例优选使用 DH动态密钥交换算法，并不代表本发明实施例仅限于采用该动态密钥交换算法。

B , 处理器 702将第一配置密码信息分为前半部分与后半部分并且分别进行加密，优选的，本发明实施例选择 AES 算法进行加密，但并不代表本发明实施例仅限于该算法，其中，前半部分的加密信息为 R1 , 后半部分的加密信息为 R2 , R1与 R2的加密密钥分别为 R_kl , R_k2 , 相应的，无线终端将第二配置密码信息也分为前半部分与后半部分并且与 Rl , R2相同的加密算法分别进行加密，其中，前半部分的加密信息为 E 1 , 后半部分的加密信息为 E2 , E1 与 E2的加密密钥分另 ll为 E_kl , E_k2 ,

C , 通信单元 703接收无线终端发送至配置设备 70的 E 1与 E2; 并且将加密的信息 Rl、 R2和 R_kl发送至无线终端，以使得无线终端能够根据 R_kl对第二配置密码信息前半部分以与 R1 ,R2相同的加密算法进行加密，如果加密的结果与 R1 相等，则无线终端确认第一配置密码信息与第二配置密码信息的前半部分匹配，通信单元 703接收无线终端发送的 E_kl ;

若加密的结果与 R1 不相等，无线终端确认第一配置密码信息与第二配置密码信息不匹配，则结束配置交互过程，例如，通信单元 703 接收由无线终端向配置设备 70 发送的不匹配结果信息，处理器 702 生成断开连接信息，通信单元 703向无线终端发送断开连接信息，结束配置交互过程，或者处理器 702直接结束配置交互过程。 D、若确认第一配置密码信息与第二配置密码信息的前半部分匹配，通信单元 703将第二配置密码信息的后半部分加密密钥 R_k2发送至无线终端；

示例性的，处理器 702根据 E_kl对第一配置密码信息前半部分以与 R1 ,R2相同的加密算法进行加密，如果加密的结果与 E 1相等，则确认第一配置密码信息与第二配置密码信息的前半部分匹配，并将第二配置密码信息的后半部分加密密钥 R_k2发送至无线终端，以使得无线终端能够根据 R_k2对第二配置密码信息后半部分进行计算，如果加密的结果与 R2相等，则无线终端确认第一配置密码信息与第二配置密码信息的后半部分匹配，并向配置设备 70发送 E_k2;

若加密的结果与 E l 不相等，处理器 702确认第一配置密码信息与第二配置密码信息不匹配，则结束配置交互过程，例如，处理器 702 生成不匹配结果信息，通信单元 703向无线终端发送不匹配结果信息，无线终端向无线终端发送断开连接信息，结束配置交互过程，或者处理器 702直接结束配置交互过程。

E、若确认第一配置密码信息与第二配置密码信息的后半部分匹配，处理器 702生成无线终端接入 AP的信任状信息并且通信单元 703 无线终端发送无线终端接入 AP的信任状信息。

示例性的，验证后半部分的过程与验证前半部分 E1 的过程相同，此处不再赘述。

示例性的，上述举例的三种验证方法对验证配置密码信息为 PIN 码、 NFC标签中的密码和多维码均适用，本实施例对此不进行任何限定。在实际实现中，方法一和方法二交互过程简单，如需保证信息传输的安全性，需要配置密码信息具备较大的信息量，例如对于数字型的配置密码信息，需要具备较长的位数。不方便手动输入，因此在实际应用中优选使用非手动输入的获取方式，例如通过 NFC 接口读取 NFC标签中的配置密码信息或使用图像传感器识读 QR Code 中编码的配置密码信息的方式，既能够保证配置设备 70 方便地获取配置密码信息，又能够保证配置密码信息拥有足够的信息量。而对于输入

PIN码、 PBC等配置方式，因配置密码信息的位数较短，为保证其安全性，应优选采用现有的 WPS2.0协议中的 EAP交互过程，即方法三。本领域的技术人员可以理解， WPS2.0协议中的 EAP交互过程对于较短位数的 PIN码有较好的安全性。

示例性的，处理器 702 在验证成功时，通信单元 703 可以通过 EAP消息向无线终端发送接入 AP的信任状信息和 AP的设备标识信息，以使得无线终端根据信任状信息和 AP的设备标识信息请求接入 AP ; 需要说明的是，本领域技术人员可以理解，信任状信息和 AP的设备标识信息可以在验证过程结束后进行发送，也可以同时在验证交互消息中进行发送，也可以作为验证过程的一部分，作为验证成功与否的判决条件之一，本发明并不以此为限。此外信任状信息和 AP的设备标识信息可以同时发送，也可以分开发送。

示例性的，通信单元 703向 AP发送无线终端的信任状信息和无线终端的设备标识信息，以使得 AP根据无线终端的信任状信息和无线终端的标识信息对无线终端接入 AP的请求进行处理；需要说明的是，向 AP发送信任状信息和无线终端的标识信息的执行时间根据实际配置需求确定。例如，在家庭网络中，当 AP和无线终端均已安装完成并上电工作时，可以立即执行向 AP发送信任状信息和无线终端的标识信息；在传感器网络中，因需要配置大量的传感器设备，且传感器设备安装后分布较零散，不便于安装后配置，因此需要在安装之前批量配置，可以在处理器 702对无线终端验证完成之后的较长时间后执行。本发明的实施例提供的一种配置无线终端的配置设备 70。通过配置设备 70 与无线终端的直接通信完成对无线终端的配置，实现配置过程无需 AP参与也能完成对无线终端的配置。使得配置过程更加灵活。解决了现有技术在配置过程中都必须处于工作状态，在 AP处于不能正常通信的区域或者 AP处于离线状态时不能完成对无线终端的配置的问题。

再一方面，本发明实施例提供了另一种配置设备 70 , 该配置设备 70可以应用于 Wi-Fi网络， Wi-Fi网络还可以包含无线接入设备以及无线终端，其中，配置设备 70 可以为无线接入设备的配置管理设备，用以管理无线网络建立、添加和删除无线终端；无线接入设备为无线终端进入网络的接入设备，包括但不限于 AP , 本实施例以无线接入设备为 AP为例进行说明，例如无线终端可以通过 AP进入家庭网络（局域网）、或者进入互联网、也可以进入企业网或行业专网（例如智能传感网，其中无线终端是传感器）等。本实施例中的配置设备 70根据其功能可以为现有的 WPS2.0规范中的定义 AP的外置注册器，可以理解，所述配置设备 70并不限定为现有 WPS2.0规范中所定义的外置注册器。

示例性的，配置设备 70可以在初始无线局域网建立过程中与 AP 进行协商成为 AP的配置设备；

例如，配置设备 70可以根据 WPS规范的 EAP协议与 AP进行交互，成为 AP的配置设备，当然，若 WPS规范中配置设备与 AP进行交互的协议改变，改变后的协议也可以直接应用于本发明实施例。配置设备 70还可以通过接收用户输入的 AP的配置参数成为 AP 的配置设备，并用来配置后续其他需要加入的无线终端，其交互过程本领域技术人员十分熟悉，在此不再赘述。

示例性的，本实施例中配置设备 70与无线终端可以采用直接连接的方式进行直接通信，以完成配置设备 70 对无线终端的验证，其中，直接连接的方式可以包括 P2P连接方式或 ad hoc连接方式，本发明实施例对配置设备与无线终端的直接连接的方式不进行限制。优选的，本实施例中配置设备与无线终端采用 P2P连接方式。其中，配置设备 70为 P2P连接中的 GO , 无线终端为 P2P连接中的 Client , 其中配置设备 70与无线终端实现 P2P连接的过程已在方法实施例中进行详细说明，此处不再赘述。参见图 8 , 该配置设备 70包括：

获取单元 801 , 用于获取无线终端的设备标识信息和配置密码信息以及将无线终端的设备标识信息传输至第一发送单元 802 , 将无线终端的第一配置密码信息传输至验证单元 803。

示例性的，为了描述方便，本实施例中将获取单元 801所获取到的无线终端的配置密码信息称为第一配置密码信息，将无线终端自身所拥有的配置密码信息称为第二配置密码信息，第一配置密码信息和第二配置密码信息应该相同，类型可以为 PIN或密码，可以编码于多维码、存储于 NFC 标签、以字符串显示于标签等，例如，无线终端的多维码可以为静态多维码，如标签打印的多维码，或动态多维码，如由无线终端动态生成的多维码；多维码码制可以为任何可以识读的一维条码、二维条码码制，例如 UPC、 QR Code等。本发明并不以此为限。无线终端的配置密码信息可以静态存储于无线终端的 NFC 标签内，或是以某种方式动态生成后存储于无线终端的 NFC标签中。

无线终端的设备标识信息可以是能够唯一标识无线终端的任何信息，本实施例对此不进行限定，例如，可以为无线终端的 MAC地址；相应的，获取单元 801 可以用于，扫描所述无线终端设备上的多维码获取配置密码信息以及无线终端的设备标识信息。或者，如图 9 , 获取单元 801 可以包括：

接收模块 901 , 用于接收无线终端的配置请求消息，配置请求消息包括无线终端的设备标识信息和使用 PIN方式的指示信息，其中，可以通过以下任一种方式接收无线终端的配置请求消息：

A、接收模块 901 接收由无线终端在接收到配置设备 70 向外广播的信标帧后向配置设备 70 发送的配置请求消息，并向无线终端发送探测回复，从而获得无线终端的设备标识信息；

B、接收模块 901接收到无线终端主动在各信道上发送的配置请求消息，并根据配置请求消息向无线终端发送探测回复，从而获得无线终端的设备标识信息；

PIN模块 902 , 用于接收用户输入的配置密码信息，配置密码信息包括无线终端的 PIN。

或者，如图 10 , 获取单元 801 可以包括：

接收模快 1001 , 用于接收无线终端的配置请求消息，配置请求消息包括无线终端的设备标识信息和使用 PBC 方式的指示信息，其中，接收配置请求消息的过程与 PIN方式中配置请求消息的接收方法相同，此处不再赘述；

PBC模块 1002 , 用于通过与无线终端进行 PBC配置方式交互并在交互过程中使用缺省的 PIN (例如 WPS规范中规定的 " 00000000" , 本发明实施例在此不做限定）作为配置密码。

或者，获取单元 801 可以用于，通过 NFC接口读取无线终端的配置密码信息以及无线终端的设备标识信息。

第一发送单元 802 , 用于从获取单元 801接收无线终端的设备标识信息以及根据无线终端的设备标识信息通过直接连接的通信链路向无线终端发送配置触发信息；

示例性的，第一发送单元 802可以采用广播包含无线终端的设备标识信息的信标帧或者探测响应帧的方式向无线终端发送配置触发信息，用来触发对无线终端的验证，根据实际的交互方式的不同，配置触发信息可以为任意由配置设备 70 发送的能够触发无线终端与其进行配置消息交互的消息，例如，配置设备 70 根据无线终端的设备标识信息向无线终端发送探测响应消息，以触发无线终端向配置设备 70进行后续的配置消息交互。本发明并不以此为限。

验证单元 803 , 用于从获取单元 801接收第一配置密码信息以及根据第一配置密码信息通过直接连接的通信链路对无线终端进行验证，以确定无线终端拥有与第一配置密码信息相同的第二配置密码信自 · 示例性的，验证单元 803根据第一配置密码信息通过 EAP 消息对无线终端进行验证。

第一发送单元 802还用于，通过直接连接的通信链路向无线终端发送无线终端接入 AP 的信任状信息和 AP 的设备标识信息，以使得在验证成功后，所述无线终端根据所述信任状信息和所述 AP的设备标识信息请求接入所述 AP；

示例性的，第一发送单元 802通过 EAP 消息向所述无线终端发送所述无线终端接入 AP 的信任状信息和 AP 的设备标识信息。本领域技术人员可以理解，信任状信息和 AP的设备标识信息可以在验证过程结束后进行发送，也可以同时在验证交互消息中进行发送，也可以作为验证过程的一部分，作为验证成功与否的判决条件之一，本发明并不以此为限。此外信任状信息和 AP的设备标识信息可以同时发送，也可以分开发送。

第二发送单元 804 , 用于从获取单元 801接收无线终端的设备标识信息，以及向 AP发送无线终端的信任状信息和无线终端的设备标识信息，以使得 AP根据无线终端的信任状信息和无线终端的设备标识信息对无线终端接入 AP的请求进行处理；

示例性的，向 AP发送信任状信息和无线终端的标识信息的执行时间根据实际配置需求确定。例如，在家庭网络中，当 AP和无线终端均已安装完成并上电工作时，可以立即执行向 AP发送信任状信息和无线终端的标识信息；在传感器网络中，因需要配置大量的传感器设备，且传感器设备安装后分布较零散，不便于安装后配置，因此需要在安装之前批量配置，可以在验证单元 803对无线终端验证完成之后的较长时间后执行。

示例性的，验证单元 803根据第一配置密码信息与无线终端进行验证以确定无线终端拥有与第一配置密码信息相同的第二配置密码信息，其中，验证单元 803可以对无线终端通过不同的验证方法进行，以下将详细介绍三种验证方法的过程， 1、验证单元 803 与无线终端进行 4步握手进行双向验证，即配置设备 70要验证无线终端拥有配置设备 70所获得的第一配置密码信息，无线终端也验证配置设备 70 获得了自己的第二配置密码信息； 2、验证单元 803 单向验证无线终端，即配置设备 70 验证其获得的第一配置密码信息来自其进行配置过程的无线终端； 3、验证单元 803 与无线终端采用现有的 WPS2.0 中的 EAP认证过程进行双向验证，即配置设备 70要验证无线终端拥有配置设备 70 所获得的第一配置密码信息，无线终端也验证配置设备 70 获得了自己的第二配置密码信息。需要说明的是，具体的验证方式可以有多种，任何通过信息交互并进行匹配确认的验证方式均适用于本发明实施例所述的验证过程，本发明实施例所提供的三种验证方式只是对验证过程的一个详细说明。下面分别对上述三种验证方式进行说明。方法一：

A、验证单元 803与无线终端均可以生成一个随机值，分别为 Ra 和 Ea, 验证单元 803发送消息一，消息一中包含 Ra; 并接收由无线终端发送的消息二 Ea, 消息二中包含 Ea及无线终端利用 Keyl 加密消息二摘要得到的第一 MIC。

B、验证单元 803根据接收到的 Ea和自身生成的 Ra还有第一配置密码信息，生成共享密钥 Key2 , 其中，验证单元 803生成 Key2的方式与无线终端生成 Keyl 的方式相同，险证单元 803使用 Key2以与无线终端相同的方式生成第二 MIC , 并与第一 MIC进行匹配；

若不匹配，则结束配置交互过程。示例性的，若第二 MIC与第一 MIC不匹配，则验证单元 803判定无线终端的第二配置密码信息与配置设备 70 获得的第一配置密码信息不同。配置设备 70 可以向无线终端发送不匹配结果信息，并接收由无线终端发送的断开连接信息，结束配置交互过程，或者，配置设备 70直接结束配置交互过程。

若匹配，验证单元 803利用 Key2加密消息三摘要生成第三 MIC; 配置设备 70向无线终端发送消息三；

示例性的，若第二 MIC与第一 MIC 匹配成功，则验证单元 803 判定无线终端的第二配置密码信息与配置设备 70 获得的第一配置密码信息相同。配置设备 70生成无线终端接入 AP的信任状信息，并向无线终端发送消息三，消息三中包含利用 Key2加密消息三摘要得到的第三 MIC及利用 Key2加密的无线终端接入 AP的信任状信息和 AP 的设备标识信息，以使得无线终端侧根据 Key2生成第四 MIC与第三 MIC进行匹配。需要说明的是，本领域的技术人员可以理解，在发送信任状信息之前，信任状信息的生成时间不具体限制；

C、若无线终端判断第三 MIC与第四 MIC 匹配，无线终端向配置设备 70发送匹配成功信息。若无线终端判断第三 MIC与第四 MIC 不匹配，则结束配置交互过程。例如，无线终端向配置设备 70 发送不匹配结果信息，配置设备 70 向无线终端发送断开连接信息，结束配置交互过程，或者直接结束配置交互过程。需要说明的是，本领域技术人员可以理解， AP 的标识信息相对公开，不一定需要对其进行加密，例如 AP的标识信息明文带在消息三中，或者，通过其他的消息进行发送。本实施例中只是提供一种可行的方法，但并不以此为限。方法二：

A、验证单元 803生成随机值 Ra及无线终端接入 AP的信任状信自示例性的，验证单元 803 可以将随机值 Ra及无线终端接入 AP 的信任状信息通过第一配置密码信息进行加密得到加密信息一。

B、验证单元 803将加密信息一发送至无线终端，需要说明的是，本领域的技术人员可以理解，在发送信任状信息之前，信任状信息的生成时间不具体限制。

C、验证单元 803接收无线终端发送的加密消息二，其中，加密消息二是无线终端通过第二配置密码信息将接收到的加密信息一进行解密，并将解密后的随机值 Wfl '通过第二配置密码信息加密后得到的。

D、验证单元 803通过第一配置密码信息对接收到的加密信息二进行解密，并将解密后的随机值 α "与自身生成的随机值 Ra 进行匹配；

若不匹配，配置设备 70结束配置交互过程；

示例性的，若验证单元 803确认 Ra "与 Ra不匹配，配置设备 70 向无线终端发送断开连接信息，结束配置交互过程，或者直接结束配置交互过程。

若匹配，验证单元 803确认匹配成功，配置设备 70向无线终端发送 AP的设备标识信息。需要说明的是， AP的设备标识信息也可以在上述的验证过程中随信任状信息一起加密发送，或者， AP 的设备标识信息也可以在上述的验证过程中明文发送，本发明实施例并不以此为限。

方法三该验证方法的交互是基于现有的 WPS2.0协议中的消息一至消息八的 EAP认证过程 ,配置设备 70和无线终端可以通过 8个消息（ Ml ~ M8 ) 完成配置过程。其中 M1 -M8消息为协议中的标准消息，其具体内容在此不再赘述。具体过程如下：

A、验证单元 803和无线终端采用动态密钥交换算法协商出无线终端与配置设备 70 之间的一组临时密钥，用于对后续进行交互认证的消息和重要数据如配置数据、信任状信息等进行加密，保证配置过程的安全性；

B、验证单元 803将第一配置密码信息分为前半部分与后半部分并且分别进行加密，优选的，本发明实施例选择 AES算法进行加密，但并不代表本发明实施例仅限于该算法，其中，前半部分的加密信息为 R1 , 后半部分的加密信息为 R2 , R1与 R2的加密密钥分别为 R_kl , R_k2 , 相应的，无线终端将第二配置密码信息也分为前半部分与后半部分并且与 Rl , R2相同的加密算法分别进行加密，其中，前半部分的加密信息为 E 1 , 后半部分的加密信息为 E2 , E1 与 E2的加密密钥分另 ll为 E_kl , E_k2 ,

C、验证单元 803接收无线终端发送至配置设备 70的 E 1与 E2; 并且将加密的信息 Rl、 R2和 R_kl发送至无线终端，以使得无线终端能够根据 R_kl对第二配置密码信息前半部分以与 R1 ,R2相同的加密算法进行加密，如果加密的结果与 R1 相等，则无线终端确认第一配置密码信息与第二配置密码信息的前半部分匹配，验证单元 803接收无线终端发送的 E_kl ;

若加密的结果与 R1 不相等，无线终端确认第一配置密码信息与第二配置密码信息不匹配，则结束配置交互过程，例如，配置设备 70 接收无线终端发送的不匹配结果信息，向无线终端发送断开连接信息，结束配置交互过程，或者直接结束配置交互过程。

D、若验证单元 803确认第一配置密码信息与第二配置密码信息的前半部分匹配，则将第二配置密码信息的后半部分加密密钥 R_k2发送至无线终端；

示例性的，验证单元 803根据 E_k †第一配置密码信息前半部分以与 Rl ,R2相同的加密算法进行加密，如果加密的结果与 E 1相等，则确认第一配置密码信息与第二配置密码信息的前半部分匹配，并将第二配置密码信息的后半部分加密密钥 R_k2发送至无线终端，以使得无线终端能够根据 R_k2对第二配置密码信息后半部分以与 R1 ,R2相同的加密算法进行加密，如果加密的结果与 R2相等，则无线终端确认第一配置密码信息与第二配置密码信息的后半部分匹配，并向配置设备 70发送 E_k2;

若加密的结果与 E 1 不相等，验证单元 803确认第一配置密码信息与第二配置密码信息不匹配，则结束配置交互过程，例如，配置设备 70 可以向无线终端发送不匹配结果信息，无线终端向无线终端发送断开连接信息，结束配置交互过程，或者直接结束配置交互过程。

E、若验证单元 803确认第一配置密码信息与第二配置密码信息的后半部分匹配，配置设备 70生成无线终端接入 AP的信任状信息并向无线终端发送。

示例性的，上述举例的三种验证方法对验证配置密码信息为 PIN 码、 NFC标签中的密码和多维码均适用，本实施例对此不进行任何限定。在实际实现中，方法一和方法二交互过程简单，如需保证信息传输的安全性，需要配置密码信息具备较大的信息量，例如对于数字型的配置密码信息，需要具备较长的位数。不方便手动输入，因此在实际应用中优选使用非手动输入的获取方式，例如通过 NFC 接口读取 NFC标签中的配置密码信息或使用图像传感器识读 QR Code 中编码的配置密码信息的方式，既能够保证配置设备 70 方便地获取配置密码信息，又能够保证配置密码信息拥有足够的信息量。而对于输入 PIN码、 PBC等配置方式，因配置密码信息的位数较短，为保证其安全性，应优选采用现有的 WPS2.0协议中的 ΕΑΡ交互过程，即方法三。本领域的技术人员可以理解， WPS2.0协议中的 ΕΑΡ交互过程对于较短位数的 PIN码有较好的安全性。本发明的实施例提供的一种配置无线终端的配置设备 70。通过配置设备 70 与无线终端的直接通信完成对无线终端的配置，实现配置过程无需 AP参与也能完成对无线终端的配置。使得配置过程更加灵活。解决了现有技术在配置过程中都必须处于工作状态，在 AP处于不能正常通信的区域或者 AP处于离线状态时不能完成对无线终端的配置的问题。

再一方面，本发明实施例提供了一种无线终端 110 , 参见图 11 , 包括：

通信单元 1 101 , 通过直接连接的通信链路与外部网元进行通信；示例性的，通信单元 1101 通过直接连接的通信链路与外部网元进行通信，可以包括 P2P连接链路或 ad hoc连接链路，本发明实施例不作任何限定，本实施例优选的通过 P2P连接链路与外部网元进行通信，其中，无线终端 1 10为 P2P连接中的 Client, 配置设备为 P2P连接中的 GO , 进一步的，通信单元 1101还可以用于，

向配置设备发送鉴权请求消息，并接收由配置设备向无线终端 110发送的鉴权响应消息，其中，鉴权响应消息包含允许无线终端 1 10 与配置设备进行连接的信息；

向配置设备发送关联请求消息，并接收由配置设备向无线终端

110发送的关联响应消息，完成无线终端 110与配置设备的 P2P连接，需要说明的是，鉴权和关联过程是依据现有的 IEEE802.1 1 -2012 协议而设计的。通信单元 1101 , 用于接收配置设备根据无线终端 1 10 的设备标识信息发送的配置触发信息；

示例性的，无线终端 1 10的设备标识信息由配置设备获取；配置触发信息是由配置设备通过探测响应帧或者信标帧向无线终端 110发送的。处理器 1102 , 用于与配置设备进行验证，以使得配置设备确定无线终端 110拥有配置密码信息，

示例性的，配置密码信息由所述配置设备获取；无线终端 110通过 EAP消息与所述配置设备进行验证通信单元 1101 , 还用于接收配置设备发送的无线终端 110 接入 AP的信任状信息以及 AP的标识信息，以使得在无线终端 1 10与配置设备验证成功后，无线终端 110根据信任状信息和 AP的设备标识信息请求接入 AP。

示例性的，配置设备通过 EAP消息发送无线终端 110接入 AP的信任状信息以及 AP的标识信息。需要说明的是，本领域技术人员可以理解，信任状信息和 AP的设备标识信息可以在验证过程结束后进行接收，也可以同时在验证交互消息中进行接收，也可以作为验证过程的一部分，作为验证成功与否的判决条件之一，本发明并不以此为限。此外信任状信息和 AP的设备标识信息可以同时接收，也可以分开接收。

示例性的，为了描述方便，本实施例中将配置设备所获取到的无线终端 110的配置密码信息称为第一配置密码信息，将无线终端 1 10 自身所拥有的配置密码信息称为第二配置密码信息，第一配置密码信息和第二配置密码信息应该相同，类型可以为 PIN或密码，可以编码于多维码、存储于 NFC 标签、以字符串显示于标签等，例如，无线终端 110的多维码可以为静态多维码，如标签打印的多维码，或动态多维码，如由无线终端 1 10动态生成的多维码；多维码码制可以为任何可以识读的一维条码、二维条码码制，例如 UPC、 QR Code等。本发明并不以此为限。无线终端 1 10的配置密码信息可以静态存储于无线终端 110 的 NFC标签内，或是以某种方式动态生成后存储于无线终端 110的 NFC标签中。

无线终端 1 10的设备标识信息可以是能够唯一标识无线终端 110 的任何信息，本实施例对此不进行限定，例如，可以为无线终端 110 的 MAC地址。示例性的，通信单元 1101 用于，向配置设备通过信标帧发送配置请求消息，配置请求消息可以包括无线终端 1 10的设备标识信息和使用个人身份识别码 PIN方式的指示信息，以使得配置设备根据配置请求消息接收用户输入的配置密码信息，配置密码信息包括无线终端 110 的 PIN , 或者，配置请求消息包括无线终端 110 的设备标识信息和使用按钮配置 PBC 方式的指示信息；以使得配置设备通过与无线终端 1 10 进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN 作为配置密码信息。

示例性的，通信单元 1101 可以通过以下任一种方式向配置设备发送配置请求消息：

A、通信单元 1101 在接收到配置设备向外广播的信标帧后向配置设备发送的配置请求消息；

B、通信单元 1101主动在各信道上发送的配置请求消息。

示例性的，处理器 1 102与配置设备进行验证，以使得配置设备确定无线终端 1 10拥有配置密码信息，其中，处理器 1102可以通过不同的验证方法与配置设备进行验证，以下将详细介绍三种验证方法的过程，需要说明的是，具体的验证方式可以有多种，任何通过信息交互并进行匹配确认的验证方式均适用于本发明实施例所述的验证过程，本发明实施例所提供的三种验证方式只是对验证过程的一个详细说明。

方法一：

A, 处理器 1 102与配置设备可以均生成一个随机值，分别为 Ea 和 Ra, 通信单元 1101接收由配置设备发送的消息一，消息一中包含 Ra; 并且通信单元 1 101 向配置设备发送消息二，其中，消息二包括 Ea及利用 Keyl加密消息二摘要得到的第一 MIC , 以使得配置设备以与无线终端 1 10 生成 Keyl 的相同方式生成共享密钥 Key2 , 并使用 Key2以与无线终端 110相同的方式生成第二 MIC , 并且与第一 MIC 进行匹配。若不匹配，则结束配置交互过程，通信单元 1101 接收由配置设备发送的不匹配结果信息，并且通信单元 1101 向配置设备发送断开连接信息，结束配置交互过程，或者处理器 1 102 直接结束配置交互过程。

若匹配，通信单元 1 101 接收由配置设备发送的消息三，其中，消息三包括利用 Key2加密消息三摘要得到的第三 MIC及利用 Key2 加密的无线终端 110接入 AP的信任状信息和 AP的设备标识信息；需要说明的是，本领域的技术人员可以理解，在发送信任状信息之前，信任状信息的生成时间不具体限制；

B、处理器 1102根据消息三生成第四 MIC，并与第三 MIC匹配，若匹配，通信单元 1101 向配置设备发送匹配成功信息。若不匹配，则结束配置交互过程，例如，通信单元 1 101 向配置设备发送不匹配结果信息，配置设备向无线终端 110发送断开连接信息，结束配置交互过程，或者处理器 1102直接结束配置交互过程。需要说明的是，本领域技术人员可以理解， AP 的标识信息相对公开，不一定需要对其进行加密，例如 AP的标识信息明文带在消息三中，或者，通过其他的消息进行发送。本实施例中只是提供一种可行的方法，但并不以此为限。方法二：

A、通信单元 1101 接收由配置设备发送的加密信息一，其中，加密信息一是通过配置设备将随机值 Ra及无线终端 1 10接入 AP 的信任状信息通过第一配置密码信息进行加密得到，需要说明的是，本领域的技术人员可以理解，在发送信任状信息之前，信任状信息的生成时间不具体限制。

B、通信单元 1 101向配置设备发送加密消息二，

示例性的，处理器 1 102通过第二配置密码信息将接收到的加密信息一进行解密，获得解密后的随机值 α' , 再将 α'通过第二配置密码信息加密后得到加密消息二。

C、配置设备根据第一配置密码信息将加密信息二进行解密，获得解密后的随机值 α" , 并将 Wfl"与 Ra进行匹配；

若不匹配，则结束配置交互过程，例如，配置设备可以向无线终端 1 10发送不匹配结果信息，无线终端 110向配置设备发送断开连接信息，结束配置交互过程，或者配置设备直接结束配置交互过程；若匹配，配置设备向无线终端 110发送 AP的设备标识信息。需要说明的是， AP 的设备标识信息也可以在上述的验证过程中随信任状信息一起加密发送，或者， AP 的设备标识信息也可以在上述的验证过程中明文发送，本发明实施例并不以此为限。方法三

该验证方法的交互是基于现有的 WPS2.0协议中的消息一至消息八的 EAP 认证过程，配置设备和无线终端 110 可以通过 8 个消息 ( Ml ~ M8 ) 完成配置过程。其中 Ml -M8消息为协议中的标准消息 , 其具体内容在此不再赘述。具体过程如下：

A, 处理器 1102 和配置设备采用动态密钥交换算法协商出无线终端 110与配置设备之间的一组临时密钥，用于对后续进行交互认证的消息和重要数据如配置数据、信任状信息等进行加密，保证配置过程的安全性；

B,处理器 1102将第二配置密码信息分为前半部分与后半部分并且分别进行加密，优选的，本发明实施例选择 AES 算法进行加密，但并不代表本发明实施例仅限于该算法，其中，前半部分的加密信息为 E1, 后半部分的加密信息为 E2, E1与 E2的加密密钥分别为 E_kl, E_k2, 并且指示通信单元 1101 向配置设备发送 El 与 E2, 相应的，配置设备也将第一配置密码信息分为前半部分与后半部分并且与 E1, E2相同的加密算法分别进行加密，其中，前半部分的加密信息为 R1, 后半部分的加密信息为 R2, R1与 R2的加密密钥分别为 R_kl, R_k2。

C, 通信单元 1101接收配置设备发送的 Rl、 R2和 R_kl, 并根据 R_kl对第二配置密码信息前半部分以与 El, E2相同的加密算法进行加密，如果加密的结果与 R1相等，则无线终端 110确认第一配置密码信息与第二配置密码信息的前半部分匹配，通信单元 1101 向配置设备发送 E_kl。若加密的结果与 Rl不相等，处理器 1102确认第一配置密码信息与第二配置密码信息不匹配，则结束配置交互过程，例如，通信单元 1101向配置设备发送不匹配结果信息，并接收由配置设备发送的断开连接信息，结束配置交互过程，或者处理器 1 102 直接结束配置交互过程。

D、配置设备判断第一配置密码信息与第二配置密码信息的前半部分是否匹配。

若匹配，配置设备向无线终端 110发送 R_k2 ,

若不匹配，则结束配置交互过程，例如，配置设备向无线终端 110发送不匹配结果信息，无线终端 110向配置设备发送断开连接信息，结束配置交互过程，或者直接结束配置交互过程。

E、通信单元 1101 接收配置设备发送的 R_k2 , 处理器 1 102根据 R_k2 判断第一配置密码信息与第二配置密码信息的后半部分是否匹配。

若匹配，通信单元 1 101向配置设备发送 E_k2 ,

若不匹配，则结束配置交互过程，例如，通信单元 1 101 向配置设备发送不匹配结果信息，并接收由配置设备发送的断开连接信息，结束配置交互过程，或者直接结束配置交互过程。

F、配置设备判断第一配置密码信息与第二配置密码信息的后半部分是否匹配，

若匹配，配置设备向无线终端 1 10发送无线终端 110接入 AP的信任状信息，示例性的，信任状信息可以包含无线终端 110的认证信息，以及 AP与无线终端 1 10之间通信消息的加密与解密的密钥。

若不匹配，则结束配置交互过程，例如，配置设备向无线终端 110发送不匹配结果信息，无线终端 110向配置设备发送断开连接信息，结束配置交互过程，或者直接结束配置交互过程。示例性的，上述举例的三种验证方法对验证配置密码信息为 PIN 码、 NFC标签中的密码和多维码均适用，本实施例对此不进行任何限定。在实际实现中，方法一和方法二交互过程简单，如需保证信息传输的安全性，需要配置密码信息具备较大的信息量，例如对于数字型的配置密码信息，需要具备较长的位数。不方便手动输入，因此在实际应用中优选使用非手动输入的获取方式，例如通过 NFC 接口读取 NFC标签中的配置密码信息或使用图像传感器识读 QR Code 中编码的配置密码信息的方式，既能够保证配置设备方便地获取配置密码信息，又能够保证配置密码信息拥有足够的信息量。而对于输入 PIN码、 PBC等配置方式，因配置密码信息的位数较短，为保证其安全性，应优选采用现有的 WPS2.0协议中的 EAP交互过程，即方法三。本领域的技术人员可以理解， WPS2.0协议中的 EAP交互过程对于较短位数的 PIN码有较好的安全性。本发明的实施例提供的一种配置无线终端的无线终端 1 10。通过无线终端 110与配置设备的直接通信完成对无线终端 110的配置，实现配置过程无需 AP参与也能完成对无线终端 1 10的配置。使得配置过程更加灵活。解决了现有技术在配置过程中都必须处于工作状态，在 AP处于不能正常通信的区域或者 AP处于离线状态时不能完成对无线终端 1 10的配置的问题。

再一方面，本发明实施例提供了一种无线终端 1 10 , 该无线终端 110与配置设备可以采用直接连接的方式进行直接通信，以完成与配置设备进行验证，其中，直接连接的方式可以包括 P2P 连接方式或 ad hoc连接方式，本发明实施例对无线终端与配置设备的直接连接的方式不进行限制。优选的，本实施例中配置设备与无线终端采用 P2P 连接方式。其中，无线终端 1 10为 P2P连接中的 Client , 配置设备为 P2P连接中的 GO , 具体实现 P2P连接的过程已在方法实施例中进行详细说明，此处不再赞述，参见图 12 , 该无线终端 110包括：

接收单元 1201 , 用于通过直接连接的通信链路接收配置设备根据无线终端 110的设备标识信息发送的配置触发信息，

示例性的，无线终端 1 10的设备标识信息由配置设备获取；配置设备可以通过信标帧或者探测响应帧向无线终端 110发送配置触发信验证单元 1202 , 用于通过直接连接的通信链路与配置设备进行验证，以使得配置设备确定无线终端 1 10拥有配置密码信息，

示例性的，配置密码信息由配置设备获取；验证单元 1202 可以通过 EAP消息与所述配置设备进行验证示例性的，为了描述方便，本实施例中将配置设备所获取到的无线终端 110的配置密码信息称为第一配置密码信息，将无线终端 1 10 自身所拥有的配置密码信息称为第二配置密码信息，第一配置密码信息和第二配置密码信息应该相同，类型可以为 PIN或密码，可以编码于多维码、存储于 NFC 标签、以字符串显示于标签等，例如，无线终端 110的多维码可以为静态多维码，如标签打印的多维码，或动态多维码，如由无线终端 1 10动态生成的多维码；多维码码制可以为任何可以识读的一维条码、二维条码码制，例如 UPC、 QR Code等。本发明并不以此为限。无线终端 1 10的配置密码信息可以静态存储于无线终端 110 的 NFC标签内，或是以某种方式动态生成后存储于无线终端 110的 NFC标签中。

无线终端 1 10的设备标识信息可以是能够唯一标识无线终端 110 的任何信息，本实施例对此不进行限定，例如，可以为无线终端 110 的 MAC地址。

接收单元 1201 还用于，通过直接连接的通信链路接收配置设备发送的无线终端 110接入 AP 的信任状信息以及 AP的标识信息，以使得在无线终端 110与配置设备验证成功后，无线终端 110根据信任状信息和 AP的设备标识信息请求接入 AP。

示例性的，接收单元 1201可以接收配置设备通过 EAP消息发送的无线终端 1 10接入 AP的信任状信息以及 AP的标识信息，本领域技术人员可以理解，信任状信息和 AP的设备标识信息可以在验证过程结束后进行接收，也可以同时在验证交互消息中进行接收，也可以作为验证过程的一部分，作为验证成功与否的判决条件之一，本发明并不以此为限。此外信任状信息和 AP的设备标识信息可以同时接收，也可以分开接收。

示例性的，参见图 13 , 无线终端 110还包括发送单元 1203 , 用于向所述配置设备发送配置请求消息，其中，配置请求消息包括无线终端 110的设备标识信息和使用个人身份识别码 PIN方式的指示信息，以使得配置设备根据配置请求消息接收用户输入的所述配置密码信息，配置密码信息包括所述无线终端 1 10的 PIN; 或者，配置请求消息包括无线终端 110的设备标识信息和使用 PBC方式的指示信息；以使得配置设备通过与无线终端 110 进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN作为配置密码信息。

示例性的，发送单元 1203 可以通过以下任一种方式向配置设备发送配置请求消息：

A、发送单元 1203 在接收到配置设备向外广播的信标帧后向配置设备发送的配置请求消息；

B、发送单元 1203主动在各信道上发送的配置请求消息。

示例性的，验证单元 1202与配置设备进行验证，验证单元 1202 可以通过不同的验证方法与配置设备进行验证，以下将详细介绍三种验证方法的过程，需要说明的是，具体的验证方式可以有多种，任何通过信息交互并进行匹配确认的验证方式均适用于本发明实施例所述的验证过程，本发明实施例所提供的三种验证方式只是对验证过程的一个详细说明。

方法一：

A, 验证单元 1202 与配置设备可以均生成一个随机值，分别为 Ea和 Ra, 验证单元 1202接收由配置设备发送的消息一，消息一中包含 Ra; 并指示通信单元 1101 向配置设备发送消息二，其中，消息二包括 Ea及利用 Keyl加密消息二摘要得到的第一 MIC ,以使得配置设备以与无线终端 110生成 Keyl 的相同方式生成共享密钥 Key2 , 并使用 Key2以与无线终端 1 10相同的方式生成第二 MIC ,并且与第一 MIC 进行匹配。若不匹配，验证单元 1202接收由配置设备发送的不匹配结果信息，并向配置设备发送断开连接信息，结束配置交互过程，或者直接结束配置交互过程。若匹配，验证单元 1202接收由配置设备发送的消息三，其中，消息三包括利用 Key2加密消息三摘要得到的第三 MIC及利用 Key2 加密的无线终端 1 1 0接入 AP的信任状信息和 AP的设备标识信息；需要说明的是，本领域的技术人员可以理解，在发送信任状信息之前，信任状信息的生成时间不具体限制；

B、验证单元 1202根据消息三生成第四 MIC , 并与第三 MIC 匹配。

若匹配，验证单元 1202向配置设备发送匹配成功信息。

若不匹配，无线终端 1 10向配置设备发送不匹配结果信息，并接收配置设备发送的断开连接信息，结束配置交互过程，或者直接结束配置交互过程。

需要说明的是，本领域技术人员可以理解， AP 的标识信息相对公开，不一定需要对其进行加密，例如 AP的标识信息明文带在消息三中，或者，通过其他的消息进行发送。本实施例中只是提供一种可行的方法，但并不以此为限。方法二：

A、验证单元 1202接收由配置设备发送的加密信息一，示例性的，加密信息一由配置设备将随机值 Ra及无线终端 1 1 0 接入 AP的信任状信息通过第一配置密码信息进行加密得到，需要说明的是，本领域的技术人员可以理解，在发送信任状信息之前，信任状信息的生成时间不具体限制。

B、验证单元 1202向配置设备发送加密消息二，

示例性的，验证单元 1202通过第二配置密码将接收到的加密信息一进行解密，获得解密后的随机值 R i，，再将解密后的随机值 α '通过第二配置密码信息加密后得到加密消息二。

C、配置设备根据第一配置密码信息将加密信息二进行解密，获得解密后的随机值 α " , 并将 Wfl "与 Ra进行匹配；

若不匹配，则结束配置交互过程，例如，配置设备可以向无线终端 1 10发送不匹配结果信息，无线终端 1 10向配置设备发送断开连接信息，结束配置交互过程，或者配置设备直接结束配置交互过程；若匹配，配置设备向无线终端 110发送 AP的设备标识信息。方法三

该验证方法的交互是基于现有的 WPS2.0协议中的消息一至消息八的 EAP认证过程，配置设备和无线终端可以通过 8个消息（ Ml ~ M8) 完成配置过程。其中 M1-M8消息为协议中的标准消息，其具体内容在此不再赘述。具体过程如下：

A, 验证单元 1202 和配置设备采用动态密钥交换算法协商出无线终端 110与配置设备之间的一组临时密钥，用于对后续进行交互认证的消息和重要数据如配置数据、信任状信息等进行加密，保证配置过程的安全性；

B,验证单元 1202将第二配置密码信息分为前半部分与后半部分并且分别进行加密优选的，本发明实施例选择 AES 算法进行加密，但并不代表本发明实施例仅限于该算法，其中，前半部分的加密信息为 E1, 后半部分的加密信息为 E2, E1与 E2的加密密钥分别为 E_kl, E_k2, 并且向配置设备发送 El与 E2, 相应的，配置设备也将第一配置密码信息分为前半部分与后半部分并且与 El, E2相同的加密算法分别进行加密，其中，前半部分的加密信息为 R1, 后半部分的加密信息为 R2, R1与 R2的加密密钥分别为 R_kl, R_k2。

C, 验证单元 1202接收配置设备发送的 Rl、 R2和 R_kl, 并根据 R_kl对第二配置密码信息前半部分与 El, E2 相同的加密算法进行加密，如果加密的结果与 R1相等，则无线终端 110确认第一配置密码信息与第二配置密码信息的前半部分匹配，验证单元 1202 向配置设备发送 E_kl。

若加密的结果与 R1不相等，验证单元 1202确认第一配置密码信息与第二配置密码信息不匹配，则结束配置交互过程，例如，无线终端 110向配置设备发送不匹配结果信息，并接收由配置设备发送的断开连接信息，结束配置交互过程，或者直接结束配置交互过程。 D、配置设备判断第一配置密码信息与第二配置密码信息的前半部分是否匹配。

若匹配，配置设备向无线终端 110发送 R_k2 ,

E、无线终端 110接收配置设备发送的 R_k2 , 验证单元 1202根据 R_k2 判断第一配置密码信息与第二配置密码信息的后半部分是否匹配。

若匹配，验证单元 1202向配置设备发送 E_k2 ,

若不匹配，则结束配置交互过程，例如，无线终端 1 10向配置设备发送不匹配结果信息，并接收由配置设备发送的断开连接信息，结束配置交互过程，或者直接结束配置交互过程。

若不匹配，则结束配置交互过程，例如，配置设备向无线终端 110发送不匹配结果信息，无线终端 110向配置设备发送断开连接信息，结束配置交互过程，或者直接结束配置交互过程。示例性的，上述举例的三种验证方法对验证配置密码信息为 PIN 码、 NFC标签中的密码和多维码均适用，本实施例对此不进行任何限定。在实际实现中，方法一和方法二交互过程简单，如需保证信息传输的安全性，需要配置密码信息具备较大的信息量，例如对于数字型的配置密码信息，需要具备较长的位数。不方便手动输入，因此在实际应用中优选使用非手动输入的获取方式，例如通过 NFC 接口读取 NFC标签中的配置密码信息或使用图像传感器识读 QR Code 中编码的配置密码信息的方式，既能够保证配置设备方便地获取配置密码信息，又能够保证配置密码信息拥有足够的信息量。而对于输入 PIN码、 PBC等配置方式，因配置密码信息的位数较短，为保证其安全性，应优选采用现有的 WPS2.0协议中的 EAP交互过程，即方法三。本领域的技术人员可以理解， WPS2.0协议中的 EAP交互过程对于较短位数的 PIN码有较好的安全性。本发明的实施例提供的一种配置无线终端的无线终端 110。通过无线终端 110与配置设备的直接通信完成对无线终端 110的配置，实现配置过程无需 AP参与也能完成对无线终端 1 10的配置。使得配置过程更加灵活。解决了现有技术在配置过程中都必须处于工作状态，在 AP处于不能正常通信的区域或者 AP处于离线状态时不能完成对无线终端 1 10的配置的问题。

再一方面，本发明实施例提供了一种配置无线终端的系统，参见图 14 , 该系统可以包括：上述任一实施例的配置设备 70 以及上述任一实施例的无线终端 110。示例性的，参见图 15 , 该系统还可以包括，

无线接入设备 150 , 用于接收配置设备 70 发送的无线终端 110 的信任状信息和无线终端 110的标识信息，以及根据无线终端 1 10的信任状信息和无线终端 110的标识信息对无线终端 1 10接入无线接入设备的请求进行处理。本发明的实施例提供的一种配置无线终端的系统，通过配置设备 70与无线终端 110的直接通信完成对无线终端 110的配置，实现配置过程无需无线接入设备 150参与也能完成对无线终端 1 10的配置。使得配置过程更加灵活。解决了现有技术在配置过程中都必须处于工作状态，在无线接入设备 150处于不能正常通信的区域或者无线接入设备 150处于离线状态时不能完成对无线终端 70的配置的问题。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理包括，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括： U 盘、移动硬盘、只读存储器（ Read-Only Memory , 简称 ROM )、随机存取存储器（ Random Access Memory , 简称 RAM )、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权利要求书

1、一种配置无线终端的方法，其特征在于，配置设备与无线终端之间直接连接，包括：

2、根据权利要求 1 所述的配置无线终端的方法，其特征在于，所述配置设备获取所述无线终端的设备标识信息和配置密码信息，包括，

3、根据权利要求 1 所述的配置无线终端的方法，其特征在于，所述配置设备获取所述无线终端的设备标识信息和配置密码信息，包括，

所述配置设备接收所述无线终端发送的配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用个人身份识另 'J码 PIN方式的指示信息；

4、根据权利要求 1 所述的配置无线终端的方法，其特征在于，所述配置设备获取所述无线终端的设备标识信息和配置密码信息，包括，

所述配置设备接收所述无线终端发送的配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用按钮配置 PBC 方式的指示信息；

5、根据权利要求 1 所述的配置无线终端的方法，其特征在于，所述配置设备获取所述无线终端的设备标识信息和配置密码信息，包括，

所述配置设备通过近场通信 NFC接口读取所述无线终端的配置密码信, I,以及所述无线终端的设备标识信息。

6、根据权利要求 1 -5 任一项所述的配置无线终端的方法，其特征在于，所述配置设备与所述无线终端之间直接连接的方式包括临时网络 ad hoc连接。

7、根据权利要求 1 -5 任一项所述的配置无线终端的方法，其特征在于，所述直接连接的方式包括点对点 P2P连接。

8、根据权利要求 7所述的配置无线终端的方法，其特征在于，所述配置设备根据所述无线终端的设备标识信息向所述无线终端发送配置触发信息包括，

9、根据权利要求 7或 8所述的配置无线终端的方法，其特征在于，所述配置设备根据所述配置密码信息与所述无线终端进行验证包括，

所述配置设备根据所述配置密码信息通过扩展认证协议 EAP 消息与所述无线终端进行验证。

10、根据权利要求 7-9任一项所述的配置无线终端的方法，其特征在于，

所述配置设备向所述无线终端发送所述无线终端接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息包括，

所述配置设备通过所述 EAP 消息向所述无线终端发送所述无线终端接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息。

11、一种配置无线终端的方法，其特征在于，无线终端与配置设备之间直接连接，包括：

所述无线终端接收所述配置设备发送的所述无线终端接入无线接入设备的信任状信 , 以及所述无线接入设备的标识信息，以使得在验证成功后，所述无线终端根据所述信任状信息和所述无线接入设备的设备标识信 , 请求接入所述无线接入设备。

12、根据权利要求 11所述的配置无线终端的方法，其特征在于，在所述无线终端接收所述配置设备根据所述无线终端的设备标识信息发送的配置触发信息之前，所述方法还包括：

所述无线终端向所述配置设备发送配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用个人身份识别码 PIN 方式的指示信息，以使得所述配置设备根据所述配置请求消息接收用户输入的所述配置密码信息，所述配置密码信息包括所述无线终端的 PIN。

13、根据权利要求 11所述的配置无线终端的方法，其特征在于，在所述无线终端接收所述配置设备根据所述无线终端的设备标识信息发送的配置触发信息之前，所述方法还包括：

所述无线终端向所述配置设备发送配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用按钮配置 PBC 方式的指示信息；以使得所述配置设备通过与无线终端进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN作为配置密码信息。

14、根据权利要求 1 1 - 13任一项所述的配置无线终端的方法，其特征在于，所述直接连接方式包括临时网络 ad hoc连接。

15、根据权利要求 1 1 - 13任一项所述的配置无线终端的方法，其特征在于，所述直接连接的方式包括点对点 P2P连接。

16、根据权利要求 15所述的配置无线终端的方法，其特征在于，所述无线终端接收所述配置设备根据所述无线终端的设备标识信息发送的配置触发信息包括，

17、根据权利要求 15或 16所述的配置无线终端的方法，其特征在于，所述无线终端与所述配置设备进行验证包括：

所述无线终端通过扩展认证协议 EAP 消息与所述配置设备进行验证。

1 8、根据权利要求 15- 17任一项所述的配置无线终端的方法，其特征在于，所述无线终端接收所述配置设备发送的所述无线终端接入无线接入设备的信任状信 , 以及所述无线接入设备的标识信息包括，所述无线终端接收所述配置设备通过所述 EAP 消息发送的所述无线终端接入无线接入设备的信任状信息以及所述无线接入设备的标识信息。

19、一种配置设备，其特征在于，包括，

20、根据权利要求 19所述的配置设备，其特征在于，所述获取器包括多维码扫描器，用于扫描所述无线终端设备的多维码获取所述配置密码信息以及所述无线终端的设备标识信息。

21、根据权利要求 19所述的配置设备，其特征在于，所述通信单元还用于，接收所述无线终端发送的配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用个人身份识别码 PIN方式的指示信息；

所述获取器包括键盘，用于接收用户输入的所述无线终端的配置密码信息，所述配置密码信息包括所述无线终端的个人身份识别码 PIN。

22、根据权利要求 19所述的配置设备，其特征在于，

所述通信单元还用于，接收所述无线终端发送的配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用按钮配置 PBC方式的指示信息；

所述获取器包括按钮配置 PBC 按钮，用于与所述无线终端进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN 作为配置密码信息。

23、根据权利要求 19所述的配置设备，其特征在于，所述获取器包括近场通信 NFC 接口，用于读取所述无线终端的配置密码信息以及所述无线终端的设备标识信息。

24、根据权利要求 19-23任一项所述的配置设备，其特征在于，所述通信单元通过直接连接的通信链路与外部网元进行通信包括，所述通信单元通过临时网络 ad hoc连接链路与外部网元进行通信。

25、根据权利要求 19-23任一项所述的配置设备，其特征在于，所述通信单元通过点对点 P2P连接链路与外部网元进行通信。

26、根据权利要求 25 所述的配置设备，其特征在于，所述配置触发信息包括探测响应帧或者信标帧。

27、根据权利要求 25或 26任一项所述的配置设备，其特征在于，所述根据所述配置密码信息与所述无线终端进行验证以确定所述无线终端拥有所述配置密码信息，具体包括：

根据所述配置密码信息通过扩展认证协议 EAP 消息与所述无线终端进行验证。

28、根据权利要求 27所述的配置设备，其特征在于，所述向所述无线终端发送接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息，具体包括：通过所述 EAP 消息向所述无线终端发送接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息。

29、一种配置设备，其特征在于，所述配置设备包括，

获取单元，用于获取所述无线终端的设备标识信息和配置密码信 , ¾以及将所述无线终端的设备标识信息传输至第一发送单元，将所述无线终端的配置密码信息传输至验证单元；

第一发送单元，用于从获取单元接收所述无线终端的设备标识信息以及根据所述无线终端的设备标识信息通过直接连接的通信链路向所述无线终端发送配置触发信息；

验证单元，用于从所述获取单元接收所述配置密码信息，以及根据所述配置密码信息通过直接连接的通信链路与所述无线终端进行验证，以确定所述无线终端拥有所述配置密码信息；

所述第一发送单元还用于，通过直接连接的通信链路向所述无线终端发送所述无线终端接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息，以使得所述验证单元验证成功后，所述无线终端根据所述信任状信息和所述无线接入设备的设备标识信 , 请求接入所述无线接入设备；

第二发送单元，用于从所述获取单元接收所述无线终端的设备标识信息，以及向所述无线接入设备发送所述无线终端的信任状信 , ¾和所述无线终端的设备标识信息，以使得所述无线接入设备根据所述无线终端的信任状信息和所述无线终端的设备标识信息对所述无线终端接入所述无线接入设备的请求进行处理。

30、根据权利要求 29所述的配置设备，其特征在于，

所述获取单元用于，扫描所述无线终端设备的多维码获取所述配置密码信息以及所述无线终端的设备标识信息。

3 1、根据权利要求 29所述的配置设备，其特征在于，

所述获取单元包括：

接收模块，用于接收所述无线终端发送的配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用个人身份识别码 PIN方式的指示信息；

PIN模块，用于接收用户输入的所述无线终端的配置密码信息，所述无线终端的配置密码信息包括所述无线终端的 PIN。

32、根据权利要求 29所述的配置设备，其特征在于，所述获取单元包括：

接收模块，用于接收所述无线终端发送的配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用按钮配置 P B C 方式的指示信息；

PBC模块，用于通过与无线终端进行 PBC配置方式的交互并在交互过程中使用缺省的 PIN作为配置密码信息。

33、根据权利要求 29所述的配置设备，其特征在于，

所述获取单元用于，通过近场通信 NFC接口读取所述无线终端的配置密码信息以及所述无线终端的设备标识信息。

34、根据权利要求 29-33任一项所述的配置设备，其特征在于，所述直接连接包括临时网络 ad hoc连接。

35、根据权利要求 29-33任一项所述的配置设备，其特征在于，所述直接连接包括点对点 P2P连接。

36、根据权利要求 35 所述的配置设备，其特征在于，所述第一发送单元，用于根据所述无线终端的设备标识信息通过探测响应帧或者信标帧向所述无线终端发送配置触发信息。

37、根据权利要求 35或 36所述的配置设备，其特征在于，所述验证单元，用于根据所述配置密码信息通过扩展认证协议 EAP消息与所述无线终端进行验证。

38、根据权利要求 35-37任一项所述的配置设备，其特征在于，所述第一发送单元用于，通过所述 EAP 消息向所述无线终端发送所述无线终端接入无线接入设备的信任状信息和所述无线接入设备的设备标识信息。

39、一种无线终端，其特征在于，包括，

40、根据权利要求 39所述的无线终端，其特征在于，所述通信单元还用于，向所述配置设备发送配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用个人身份识别码 PIN 方式的指示信息，以使得所述配置设备根据所述配置请求消息接收用户输入的所述配置密码信息，所述配置密码信息包括所述无线终端的 PIN。

41、根据权利要求 39所述的无线终端，其特征在于，所述通信单元还用于，向所述配置设备发送配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用按钮配置 PBC 方式的指示信息；以使得所述配置设备通过与无线终端进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN作为配置密码信息。

42、根据权利要求 39-41任一项所述的无线终端，其特征在于，所述通信单元通过直接连接的通信链路与外部网元进行通信包括，所述通信单元通过临时网络 a d h 0 c连接链路与外部网元进行通信。

43、根据权利要求 39-41任一项所述的无线终端，其特征在于，所述通信单元通过直接连接的通信链路与外部网元进行通信包括，所述通信单元通过点对点 P2P连接链路与外部网元进行通信。

44、根据权利要求 43 所述的无线终端，其特征在于，所述通信单元，用于接收所述配置设备根据所述无线终端的设备标识信息通过探测响应帧或者信标帧发送的配置触发信息。

45、根据权利要求 43或 44所述的无线终端，其特征在于，所述与所述配置设备进行验证，以使得所述配置设备确定所述无线终端拥有配置密码信息，具体包括，通过扩展认证协议 EAP 消息与所述配置设备进行验证。

46、根据权利要求 43-45任一项所述的无线终端，其特征在于，所述接收所述配置设备发送的所述无线终端接入无线接入设备的信任状信息以及所述无线接入设备的标识信息，具体包括接收所述配置设备通过所述 EAP 消息发送的所述无线终端接入无线接入设备的信任状信息以及所述无线接入设备的标识信息。

47、一种无线终端，其特征在于，包括，接收单元，用于通过直接连接的通信链路接收所述配置设备根据所述无线终端的设备标识信息发送的配置触发信息；

验证单元，用于通过直接连接的通信链路与所述配置设备进行验证，以使得所述配置设备确定所述无线终端拥有配置密码信息；

所述接收单元还用于，通过直接连接的通信链路接收所述配置设备发送的所述无线终端接入无线接入设备的信任状信息以及所述无线接入设备的标识信息，以使得在所述无线终端与所述配置设备验证成功后，所述无线终端根据所述信任状信息和所述无线接入设备的设备标识信 , ¾请求接入所述无线接入设备。

48、根据权利要求 47所述的无线终端，其特征在于，所述无线终端还包括发送单元，用于向所述配置设备发送配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用个人身份识别码 PIN方式的指示信息，以使得所述配置设备根据所述配置请求消息接收用户输入的所述配置密码信息，所述配置密码信息包括所述无线终端的 PIN。

49、根据权利要求 47所述的无线终端，其特征在于，所述无线终端还包括发送单元，向所述配置设备发送配置请求消息，所述配置请求消息包括所述无线终端的设备标识信息和使用按钮配置 PBC 方式的指示信息；以使得所述配置设备通过与无线终端进行 PBC 配置方式的交互并在交互过程中使用缺省的 P I N作为配置密码信息。

50、根据权利要求 47-49任一项所述的无线终端，其特征在于，所述直接连接包括临时网络 ad hoc连接。

51、根据权利要求 47-49任一项所述的无线终端，其特征在于，所述直接连接包括点对点 P2P连接。

52、根据权利要求 51 所述的无线终端，其特征在于，所述接收单元，用于接收所述配置设备根据所述无线终端的设备标识信息通过探测响应帧或者信标帧发送的配置触发信息。

53、根据权利要求 51或 52所述的无线终端，其特征在于，所述验证单元用于，通过扩展认证协议 EAP 消息与所述配置设备进行验证。

54、根据权利要求 51 -53任一项所述的无线终端，其特征在于，所述接收单元用于，接收所述配置设备通过所述 EAP 消息发送的所述无线终端接入无线接入设备的信任状信息以及所述无线接入设备的标识信息。

55、一种配置设备的系统，其特征在于，包括如权利要求 19-3 8 任一项所述的配置设备以及如权利要求 39-54 任一项所述的无线终端。

56、根据权利要求 55 所述的配置设备的系统，其特征在于，还包括，

无线接入设备，用于接收所述配置设备发送的所述无线终端的信任状信息和所述无线终端的标识信息，以及根据所述无线终端的信任状信息和所述无线终端的标识信息对所述无线终端接入所述无线接入设备的请求进行处理。