WO2017129089A1

WO2017129089A1 - 无线网络连接方法、装置及存储介质

Info

Publication number: WO2017129089A1
Application number: PCT/CN2017/072186
Authority: WO
Inventors: 朱戈; 唐文宁; 杨志伟; 付火平; 陈水明; 徐森圣
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2016-01-29
Filing date: 2017-01-23
Publication date: 2017-08-03
Also published as: US10638321B2; EP3410758A1; EP3410758A4; KR20180095873A; EP3410758B1; US20180199205A1; KR102134302B1

Abstract

本申请实施例公开了一种无线网络连接方法、装置及系统，属于网络安全领域。本申请通过向无线接入点发送第一接入请求；向认证服务器发送第二接入请求；验证无线接入点是否属于可信任无线接入点，属于可信任无线接入点时与用户终端进行第一身份认证，与用户终端协商生成主密钥；向无线接入点发送与用户信息对应的主密钥；根据主密钥与用户终端协商建立加密无线网络连接；解决了用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题；达到了只有可信任无线接入点能获取与用户信息对应的主密钥，从而与用户终端根据各自持有的主密钥协商建立加密无线网络连接，提高了用户终端传输的数据以及用户终端内部数据安全性的效果。

Description

无线网络连接方法、装置及存储介质

技术领域

本申请实施例涉及网络安全领域，特别涉及一种无线网络连接方法、装置及存储介质。

背景

随着用户终端的广泛使用，无线网络成为用户终端接入互联网的一种重要形式。常见的无线网络是Wi-Fi(Wireless-Fidelity，无线保真)网络。目前的大部分商业场所均提供有公众Wi-Fi，供用户免费使用。

现有技术中，用户终端接入公众Wi-Fi的方式主要包括：无密码接入、验证码接入和单一密码接入三种方式。无密码接入方式是指用户终端在获取到公众Wi-Fi的SSID(Service Set Identifier，服务集标识)后，向无线接入点发送接入请求，无线接入点无需验证，直接允许用户终端接入该公众Wi-Fi。验证码接入方式是指用户终端在接入公众Wi-Fi时需要获取公众Wi-Fi的SSID和验证码，通过将验证码和SSID向无线接入点发送接入请求，无线接入点对验证码和SSID进行验证；在验证成功后，允许用户终端接入该公众Wi-Fi。验证码通常具有有效期，比如60s。单一密码接入方式是指用户终端在接入公众Wi-Fi时，预先获取该公众Wi-Fi的SSID和连接密码，通过将该SSID和连接密码向无线接入点发送接入请求。无线接入点对SSID和连接密码进行验证；在无线接入点验证成功后，允许用户终端接入该公众Wi-Fi。连接密码通常是长期有效的。

内容

为了解决用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi后，导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题，本申请实施例提供了一种无线网络连接方法、装置及系统。所述技术方案如下：

本申请实施例的一种无线网络连接方法包括：

接收无线接入点发送的接入请求，所述接入请求携带有试图接入所述无线接入点的用户终端的用户信息；

在接收到所述接入请求后，验证所述无线接入点是否为可信任无线接入点；

确定所述无线接入点为可信任无线接入点时，与所述用户终端进行第一身份认证；

在所述第一身份认证成功时，为所述用户终端生成主密钥，并向所述用户终端发送所述主密钥；

向所述无线接入点发送与所述用户信息对应的所述主密钥，以便所述无线接入点与所述用户终端根据各自持有的所述主密钥建立加密无线网络连接。

本申请实施例的一种无线网络连接方法包括：

接收用户终端发送的第一接入请求，所述第一接入请求携带有所述用户终端的用户信息；

向所述认证服务器发送第二接入请求，所述第二接入请求携带有所述用户信息；

接收所述认证服务器发送的与所述用户信息对应的主密钥，所述主密钥是所述认证服务器在接收到所述第二接入请求后，验证无线接入点属于可信任无线接入点时，与用户终端进行第一身份认证成功后协商生成的密钥；

与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。

本申请实施例的一种无线网络连接装置包括：

请求接收模块，用于接收无线接入点发送的接入请求，所述接入请求携带有试图接入所述无线接入点的用户终端的用户信息；

信任验证模块，用于在接收到所述接入请求后，验证所述无线接入点是否为可信任无线接入点；

用户认证模块，用于在确定所述无线接入点为可信任无线接入点时，与所述用户终端进行第一身份认证；

密钥生成模块，用于在所述第一身份认证成功时，为所述用户终端生成主密钥，并向所述用户终端发送所述主密钥；

密钥发送模块，用于向所述无线接入点发送与所述用户信息对应的所述主密钥，以便所述无线接入点与用户终端根据各自持有的所述主密钥与用户终端协商建立加密无线网络连接。

本申请实施例的一种无线网络连接装置包括：

第一接收模块，用于接收用户终端发送的第一接入请求，所述第一接入请求携带有所述用户终端的用户信息；

第二接收模块，用于向所述认证服务器发送第二接入请求，所述第二接入请求携带有所述用户信息；

密钥接收模块，用于接收所述认证服务器发送的与所述用户信息对应的主密钥，所述主密钥是所述认证服务器在接收到所述第二接入请求后，验证无线接入点属于可信任无线接入点时，与用户终端进行第一身份认证成功后为所述用户终端生成的密钥；

网络连接模块，用于与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。

本申请实施例的一种存储介质存储有一系列机器可执行指令，其特征在于，所述指令可以使至少一个处理器执行以下操作：

接收无线接入点发送的第二接入请求，所述第二接入请求携带有所述用户信息；

在接收到所述第二接入请求后，验证所述无线接入点是否属于可信任无线接入点；

在所述无线接入点属于所述可信任无线接入点时与用户终端进行第一身份认证；

在所述第一身份认证成功时，与所述用户终端协商生成主密钥，并向所述用户终端发送所述主密钥；

向所述无线接入点发送与所述用户信息对应的所述主密钥，以便所述无线接入点与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。

向认证服务器发送第二接入请求，所述第二接入请求携带有所述用户信息；

接收所述认证服务器发送的与所述用户信息对应的主密钥，所述主密钥是所述认证服务器在接收到所述第二接入请求后，验证发送所述第二接入请求的无线接入点为可信任无线接入点时，与用户终端进行第一身份认证成功后为所述用户终端生成的密钥；

与所述用户终端根据各自持有的所述主密钥进行加密通信。

通过认证服务器对无线接入点进行身份认证，只有可信任无线接入点才能获取与用户信息对应的主密钥，从而根据主密钥与用户终端建立加密无线网络连接，提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。

附图简要说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1A是本申请实施例提供的无线网络连接系统的结构示意图；

图1B是本申请实施例提供的认证服务器的示意图；

图1C是本申请实施例提供的无线接入点的示意图；

图2是本申请实施例提供的无线网络连接方法的流程图；

图3是本申请实施例提供的无线网络连接方法的流程图；

图4是本申请实施例提供的无线网络连接方法的流程图；

图5A是本申请实施例提供的无线网络接入方法的流程图；

图5B是本申请实施例提供的认证服务器对无线接入点的身份认证过程的示意图；

图5C是本申请实施例提供的用户终端向认证服务器注册用户名和密钥信息过程的示意图；

图5D是本申请实施例提供的用户终端接入无线接入点过程的示意图；

图6是本申请实施例提供的无线网络连接装置的结构方框图；

图7是本申请实施例提供的无线网络连接装置的结构方框图；

图8是本申请实施例提供的无线网络连接装置的结构方框图；

图9是本申请实施例提供的无线网络连接装置的结构方框图；

图10是本申请实施例提供的一种无线网络连接系统的结构方框图；

图11是本申请实施例提供的无线接入点认证系统的结构示意图；

图12是本申请实施例提供的无线接入点认证方法的流程图；

图13是本申请实施例提供的无线接入点认证方法的流程图；

图14是本申请实施例提供的无线接入点认证方法的流程图；

图15A是本申请实施例提供的无线接入点认证方法的流程图；

图15B是本申请实施例提供的无线接入点认证方法的流程图；

图15C是本申请实施例提供的无线接入点认证方法的流程图；

图16是本申请实施例提供的无线接入点认证装置的结构方框图；

图17是本申请实施例提供的无线接入点认证装置的结构方框图；

图18本申请实施例提供的一种无线接入点认证系统的结构方框图。

实施本申请的方式

为了描述上的简洁和直观，下文通过描述若干代表性的实施例来对本申请的方案进行阐述。但本文并未示出所有实施方式。实施例中大量的细节仅用于帮助理解本申请的方案，本申请的技术方案实现时可以不局限于这些细节。为了避免不必要地模糊了本申请的方案，一些实施方式没有进行细致地描述，而是仅给出了框架。下文中，“包括”是指“包括但不限于”，“根据......”是指“至少根据......，但不限于仅根据......”。说明书和权利要求书中的“包括”是指某种程度上至少包括，应当解释为除了包括之后提到的特征外，其它特征也可以存在。

为了便于理解，首先介绍一些本申请实施例所涉及的技术概念。

公钥和私钥

公钥是指公开的密钥，不需要进行保密，解密方可以通过各种渠道获取；而私钥是指仅由加密方自身持有的密钥，需要进行保密。一个公钥对应一个私钥；公钥和私钥共同组成了一种不对称加密方式。不对称加密方式是指用公钥加密的信息只能用对应的私钥进行解密，使用私钥加密的信息也只能用对应的公钥进行解密。也即，加密和解密使用的密钥是不相同的。

比如：假定A要向B发送加密信息，则A首先要获取与B对应的公钥，然后使用与B对应的公钥对需要发送的信息进行加密后，将加密后的信息发送给B，B在接收到A发送的加密的信息后，必须使用与B对应的私钥才可以对加密的信息进行解密，获取加密的信息中的内容。由于与B对应的私钥只有B自己拥有，因此A发送的加密的信息是安全的。

加密和签名

加密是指发送者使用与接收者对应的公钥对发送的数据进行加密，接收者在接收到加密的数据后只能使用与接收者对应的私钥进行解密，在解密后才可以获取到发送者发送的数据；或者，发送者使用与发送者对应的私钥对发送的数据进行加密，接收者在接收到加密的数据后，只能使用与发送者对应的公钥进行解密，在解密后才可获取到发送者发送的数据。加密用于防止数据泄露，只有拥有与公钥对应的私钥才可以解密得到数据的内容。

签名是指发送者使用与发送者对应的私钥对发送的数据进行签名，签名是指发送者对发送的数据运用哈希函数计算得到信息摘要，发送者使用与发送者对应的私钥对计算得到的信息摘要进行加密，发送者将加密后的信息摘要作为数据的签名和数据一起发送给接收者；接收者在接收到数据和签名后，首先使用与发送者一样的哈希函数从接收到的数据中计算得出信息摘要，再使用与发送者对应的公钥对加密后的信息摘要进行解密；当两个信息摘要相同时，接收者可以确认接收到的数据和签名是发送者发送的。签名用于防止数据被篡改，拥有与私钥对应的公钥可以验证数据是否是拥有私钥的发送者发送的数据。

请参考图1A，其示出了本申请一个示例性实施例提供的无线网络连接系统的结构示意图。该无线网络连接系统包括：无线接入点120、用户终端140和认证服务器160。

无线接入点120可以是路由器、Wi-Fi热点和无线网关等提供无线网络接入服务的设备的统称。本申请实施例中，以无线接入点120是路由器来举例说明。无线接入点120在与用户终端140建立无线网络连接之前，需要通过认证服务器160对该无线接入点120的身份认证。无线接入点120与认证服务器160之间通过无线网络或有线网络建立连接。本申请实施例对无线接入点120和认证服务器160之间的通信方式不做限定。

用户终端140可以是手机、平板电脑、电子书阅读器、MP3(Moving Picture Experts Group Audio Layer III，动态影像专家压缩标准音频层面3)播放器、MP4(Moving Picture Experts Group Audio Layer IV，动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。一些例子中，用户终端140中安装有具有扫码功能的应用程序，比如，腾讯QQ、微信、 QQ浏览器、无线上网程序等。

用户终端140与认证服务器160之间通过无线网络或有线网络建立连接。一些例子中，用户终端140通过独立通道向认证服务器160注册用户信息和密钥信息。其中，用户信息是指用于标识用户的信息，例如，用户名、用户ID、用户的设备标识(如国际移动设备身份码IMEI、唯一设备识别符UDID、MAC地址、)、用户的IP地址，等。独立通道是指不经过无线接入点的通信通道，比如：2G网络、3G网络等。本申请实施例对用户终端140和认证服务器160之间的通信方式不做限定。

认证服务器160中存储有可信任公钥集合、每个用户终端140对应的用户信息和密钥信息。认证服务器160可以是一台服务器、多台服务器组成的服务器集群或云计算中心。

图1B是本申请实施例提供的认证服务器的示意图。该认证服务器可以包括处理器161、通信接口164、存储装置166和互联机构169。存储装置166中包括操作系统167、通信模块168、数据库162和安全认证模块163。

处理器161可以有一个或者多个，可以在同一个物理设备中，或者分布在多个物理设备中。

认证服务器可以利用通信接口164通过某种网络与用户终端和无线接入点设备等进行通信。

数据库162中存储有用户数据库1621和接入点数据库1622。用户数据库1621中存储有每个用户终端140对应的用户信息和密钥信息。接入点数据库1622存储有可信任公钥集合，即经过认证的无线接入点对应的公钥的集合。

安全认证模块163包括：用户认证模块1631、接入点认证模块1632和接入控制模块1633。

用户认证模块1631可以接收用户终端发送的注册请求，为用户终端生成用户信息和密钥信息，并将生成的用户信息和密钥信息提供给用户终端并保存在用户数据库1621中。

接入点认证模块1632可以接收无线接入点发送的身份认证请求，将通过身份认证的无线接入点对应的公钥添加至接入点数据库1622中的可信任公钥集合中。一些例子中，接入点认证模块1632对无线接入点进行身份认证时，还可以依据从另一设备接收到的服务提供方的认证信息对该无线接入点进行认证。该另一设备是指使用该无线接入点提供公共无线网络接入服务的一方(如商家)所使用的其它设备，后文也称为商家终端。商家终端提供的认证信息是指与无线接入点的拥有者的身份和资质有关的信息，例如，可以包括拥有者信息、管理员信息、商家的资质证明、经营许可信息，等。

接入控制模块1633可以在接收到无线接入点的接入请求后，利用接入点数据库1622中的可信任公钥集合验证无线接入点是否为可信任无线接入点；当无线接入点为可信任无线接入点时，根据接入请求中的用户信息和用户数据库1621中的用户数据为用户终端生成通信密钥，并将通信密钥分别发送给该用户终端和该无线接入点。这里，通信密钥是专门用于该用户终端与该无线接入点之间进行加密通信的密钥，后文也称为主密钥。

本申请实施例中，用户终端与无线接入点之间进行加密通信使用的主密钥与认证服务器对用户终端认证所使用的密钥(即用户数据库1621中该用户终端的用户信息对应的密钥信息)不同，也与无线接入点与认证服务器通信时使用的密钥(即无线接入点对应的公钥和私钥)不同。

一些实施例中，认证服务器可以由多台服务器实现时，上述各模块可以分别位于不同的物理设备中，同一模块的功能也可以由多个物理设备实现。安全认证模块163中的各模块仅仅是为了方便描述而采用的模块划分方式，其它实施例中，安全认证模块163的功能可以由按照多种划分方式得到的模块集合分别实现。

图1C是本申请实施例提供的无线接入点的示意图。该无线接入点可以包括处理器121、通信接口124、存储装置126和互联机构129。存储装置126中包括操作系统127、通信模块128和接入管理模块123。

处理器121可以有一个或者多个，可以包括多核处理器。

存储装置126可以包括ROM、FLASH、NVRAM、RAM等中的一个或者多个。

无线接入点可以利用通信接口124与用户终端和认证服务器进行通信。

接入管理模块123包括：注册模块1231和用户接入模块1232。

注册模块1231可以按照预先设置的机制获得该无线接入点对应的公钥和私钥，获取预先设置的认证服务器的信息(例如地址、认证服务器对应的公钥，等)，向认证服务器发送身份认证请求。

用户接入模块1232可以在接收到用户终端发送的第一接入请求后，向认证服务器发送包括用户终端信息的第二接入请求，接收认证服务器发送的主密钥，并利用主密钥与该用户终端建立加密无线网络连接。

一些实施例中，接入管理模块123可以作为固件存储在ROM、或FLASH、或NVRAM中。各种预先设置的机制和信息可以作为接入管理模块123的一部分保存在ROM、或FLASH、或NVRAM中，也可以以独立的配置文件的形式保存在ROM、或FLASH、或NVRAM中。

请参考图2，其示出了本申请一个实施例提供的无线网络连接方法的流程图。本实施例以该无线网络连接方法应用于图1A所示的无线接入点120中来举例说明。该方法包括：

步骤201，接收用户终端发送的第一接入请求，第一接入请求携带有试图接入所述无线接入点的用户终端的用户信息；

步骤202，向认证服务器发送第二接入请求，第二接入请求携带有用户信息；

步骤203，接收认证服务器发送的与用户信息对应的主密钥，主密钥是认证服务器在接收到第二接入请求后，验证无线接入点属于可信任无线接入点时，与用户终端进行第一身份认证成功后协商生成的密钥；

步骤204，与用户终端根据各自持有的主密钥协商建立加密无线网络连接。

综上所述，本实施例提供的无线网络接入方法，接收用户终端发送的第一接入请求；向认证服务器发送第二接入请求；接收认证服务器发送的与用户信息对应的主密钥；根据主密钥与用户终端协商建立加密无线网络连接；解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时，导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题；达到了通过认证服务器对无线接入点进行身份认证，只有可信任无线接入点才能获取与用户信息对应的主密钥，从而根据主密钥与用户终端建立加密无线网络连接，提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。

请参考图3，其示出了本申请一个实施例提供的无线网络连接方法的流程图。本实施例以该无线网络连接方法应用于图1A所示的认证服务器160中来举例说明。该方法包括：

步骤301，接收无线接入点发送的第二接入请求，第二接入请求携带有用户信息。

步骤302，在接收到第二接入请求后，验证无线接入点是否属于可信任无线接入点。

步骤303，在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证。

步骤304，在第一身份认证成功时，与用户终端协商生成主密钥，并向用户终端发送主密钥。

步骤305，向无线接入点发送与用户信息对应的主密钥，以便无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接。

综上所述，本实施例提供的无线网络接入方法，通过接收无线接入点发送的第二接入请求；在接收到第二接入请求后，验证无线接入点是否属于可信任无线接入点；在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证；在第一身份认证成功时，与用户终端协商生成主密钥，并向用户终端发送主密钥；向无线接入点发送与用户信息对应的主密钥；解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时，导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题；达到了通过认证服务器对无线接入点进行身份认证，只有可信任无线接入点才能获取与用户信息对应的主密钥，从而根据主密钥与用户终端建立加密无线网络连接，提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。

请参考图4，其示出了本申请一个实施例提供的无线网络连接方法的流程图。本实施例以该无线网络连接方法应用于图1A所示的无线网络接入系统中来举例说明。该方法包括：

步骤401，用户终端向无线接入点发送第一接入请求，第一接入请求携带有用户终端的用户信息。

用户终端存储有预先在认证服务器中注册的用户信息和密钥信息。

对应地，无线接入点接收用户终端发送的第一接入请求。

步骤402，无线接入点向认证服务器发送第二接入请求，第二接入请求携带有用户信息。

第二接入请求中携带有与无线接入点对应的第二公钥。

对应地，认证服务器接收无线接入点发送的第二接入请求。

步骤403，认证服务器在接收到第二接入请求后，验证无线接入点是否属于可信任无线接入点。

步骤404，在无线接入点属于可信任无线接入点时，认证服务器与用户终端进行第一身份认证。

在无线接入点属于可信任无线接入点时，认证服务器与用户终端进行双向身份认证，认证服务器对用户终端进行身份认证，认证用户终端是否可信；同时用户终端对认证服务器也进行认证。

步骤405，在第一身份认证成功时，认证服务器与用户终端协商生成主密钥，并向用户终端发送主密钥。

对应地，用户终端接收认证服务器发送的与用户信息对应的主密钥。

步骤406，认证服务器向无线接入点发送与用户信息对应的主密钥。

对应地，无线接入点接收认证服务器发送的与用户信息对应的主密钥。

步骤407，无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接。

综上所述，本实施例提供的无线网络接入方法，通过用户终端向无线接入点发送第一接入请求；无线接入点向认证服务器发送第二接入请求；认证服务器在接收到第二接入请求后，验证无线接入点是否属于可信任无线接入点，在无线接入点属于可信任无线接入点时，认证服务器与用户终端进行第一身份认证；在第一身份认证成功时，认证服务器与用户终端协商生成主密钥，并向用户终端发送主密钥；认证服务器向无线接入点发送与用户信息对应的主密钥；无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接；解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时，导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题；达到了通过认证服务器对无线接入点进行身份认证，只有可信任无线接入点才能获取与用户信息对应的主密钥，从而根据主密钥与用户终端建立加密无线网络连接，提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。

在一个具体的例子中，本申请实施例的整个过程包括四个阶段：

第一、无线接入点根据与无线接入点对应的第二公钥和第二私钥，在认证服务器中完成身份认证，认证服务器将完成身份认证的无线接入点对应的第二公钥添加至可信任公钥集合中；

第二、用户终端通过独立通道在认证服务器中注册用户信息和密钥信息，认证服务器将用户终端注册的用户信息和密钥信息反馈给用户终端。一些例子中，密钥信息是密码或者证书。

第三、用户终端向无线接入点发送第一接入请求，第一接入请求中携带有用户信息，无线接入点向认证服务器发送第二接入请求，第二接入请求携带有用户信息和与无线接入点对应的第二公钥。

第四、认证服务器对无线接入点进行验证，在无线接入点是可信任无线接入点时，与用户终端进行第一身份认证；在第一身份认证成功时，与用户终端根据各自持有的密钥信息协商生成主密钥，并将与用户信息对应的主密钥分别发送给用户终端和无线接入点；无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接。

请参考图5A，其示出了本申请另一个实施例提供的无线网络接入方法的流程图。本实施例以该无线网络接入方法应用于图1A所示的无线网络接入系统中来举例说明。该方法包括：

第一阶段，包括步骤501至步骤506；

步骤501，无线接入点生成与无线接入点对应的第二公钥和第二私钥。

无线接入点在使用之前，首先生成与无线接入点对应的第二公钥和第二私钥。第二私钥由无线接入点自身来保存。

步骤502，无线接入点获取与认证服务器对应的第一公钥。

无线接入点在生成第二公钥和第二私钥后，获取认证服务器对应的第一公钥。

一些例子中，无线接入点首先获取认证服务器对应的第一公钥后，再生成与无线接入点对应的第二公钥和第二私钥。

一些例子中，与认证服务器对应的第一公钥存储在无线接入点的固件中，无线接入点直接从固件中获取与认证服务器对应的第一公钥。

本实施例中，对无线接入点获取认证服务器对应的第一公钥和生成与无线接入点对应的第二公钥和第二私钥的先后顺序不作具体限定。

步骤503，无线接入点向认证服务器发送身份认证请求。

身份认证请求携带有认证信息和与无线接入点对应的第二公钥，认证信息和与无线接入点对应的第二公钥均使用与认证服务器对应的第一公钥进行加密，认证信息至少包括硬件信息和/或拥有者信息。

一些例子中，认证信息是无线接入点通过与无线接入点对应的第二私钥进行加密的信息。

一些例子中，无线接入点直接将硬件信息和拥有者信息发送给认证服务器。另一些例子中，无线接入点只将硬件信息发送给认证服务器，拥有者信息由管理终端间接发送给认证服务器。

本实施例中，对向认证服务器发送认证信息的方式不作具体限定。本实施例中以无线接入点向认证服务器发送硬件信息和拥有者信息为例进行举例说明。

无线接入点在获取到认证服务器对应的第一公钥后，与认证服务器建立加密通道。无线接入点通过加密通道将认证信息和与无线接入点对应的第二公钥携带在身份认证请求中发送给认证服务器。

加密通道是指：将无线接入点向认证服务器发送的信息均使用与认证服务器对应的第一公钥进行加密，认证服务器在接收到无线接入点发送的加密信息后，需要使用认证服务器的第一私钥进行解密后获取其中的信息；认证服务器向无线接入点发送的信息均使用与无线接入点对应的第二公钥进行加密，无线接入点在接收到认证服务器发送的加密信息后，必须使用与无线接入点对应的第二私钥进行解密后才能获取其中的信息。

一些例子中，与无线接入点对应的硬件信息可以包括：无线接入点的服务集标识、无线接入点的BSSID(Basic Service Set Identifier，基本服务集标识)、无线接入点的MAC(MediaAccess Control，设备的物理地址)、无线接入点的网络地址和无线接入点的网关IP(Internet Protocol，互联网协议)等。

本实施例中，对无线接入点将第二公钥提供给认证服务器的方式不作具体限定。

与无线接入点对应的拥有者信息可以包括：管理员帐号、商家名称、注册公司、商家地址和商家电话等信息。

一些例子中，无线接入点可以将认证信息和与无线接入点对应的第二公钥分别单独发送给认证服务器。比如：无线接入点先通过与认证服务器对应的第一公钥对与无线接入点对应的第二公钥进行加密后发送给认证服务器，再通过与无线接入点对应的第二公钥对认证信息进行加密后发送给认证服务器。认证服务器首先根据与认证服务器对应的第一私钥解密得到与无线接入点对应的第二公钥；再使用与无线接入点对应的第二公钥对加密后的认证信息进行解密得到认证信息。

一些例子中，无线接入点可以直接将身份认证请求发送给认证服务器，身份认证请求中携带有与无线接入点对应的第二公钥、硬件信息和/或拥有者信息。

一些例子中，无线接入点使用与认证服务器对应的第一公钥对身份认证请求进行加密，身份认证请求中携带有与无线接入点对应的第二公钥、硬件信息和/或拥有者信息；

一些例子中，无线接入点使用与认证服务器对应的第一公钥对身份认证请求进行加密，身份认证请求包括认证信息和与无线接入点对应的第二公钥。认证信息是无线接入点使用与无线接入点对应的第二私钥进行加密的信息。认证信息携带有硬件信息和/或拥有者信息。

对应地，认证服务器接收无线接入点发送的身份认证请求。

本实施例中以无线接入点使用与认证服务器对应的第一公钥对身份认证请求进行加密，身份认证请求包括认证信息和与无线接入点对应的第二公钥；并使用与无线接入点对应的第二私钥对认证信息进行加密为例进行举例说明。

步骤504，认证服务器通过与认证服务器对应的第一私钥对身份认证请求进行解密，得到认证信息和与无线接入点对应的第二公钥。

认证服务器在接收到无线接入点发送的身份认证请求后，通过与认证服务器对应的第一私钥对身份认证请求进行解密，得到身份认证请求携带的认证信息和与无线接入点对应的第二公钥。

步骤505，认证服务器通过与无线接入点对应的第二公钥对认证信息进行解密，得到硬件信息和/或拥有者信息。

认证服务器通过与认证服务器对应的第一私钥解密得到认证信息和与无线接入点对应的第二公钥后，通过与无线接入点对应的第二公钥对认证信息进行解密，得到认证信息包括的硬件信息和/或拥有者信息。

步骤506，认证服务器对硬件信息和/或拥有者信息进行第二身份认证，在第二身份认证成功时，将与无线接入点对应的第二公钥添加至可信任公钥集合中。

认证服务器在解密得到认证信息中携带的硬件信息和/或拥有者信息后，对硬件信息和/或拥有者信息进行第二身份认证。一些例子中，该第二身份认证过程是人工审核过程。

其中，第二身份认证是指核实认证信息中携带的硬件信息和/或拥有者信息是否正确或完整。在第二身份认证成功后，认证服务器将与无线接入点对应的第二公钥添加至可信任公钥集合中，并保存与无线接入点对应的第二公钥。可信任公钥集合是认证服务器存储的成功通过第二身份认证的无线接入点对应的第二公钥的列表。也即，可信任公钥集合中对应的无线接入点都是经过认证服务器第二身份认证成功的无线接入点。

一些例子中，在第二身份认证成功后，认证服务器将无线接入点对应的第二公钥与无线接入点的对应关系添加至可信任公钥集合中，允许用户终端向认证服务器查询该无线接入点，并认证该无线接入点是否为可信任无线接入点。同时，认证服务器允许该无线接入点向认证服务器查询用户终端的用户信息对应的主密钥。

示例性地，可信任公钥集合如下表一所示：

表一

如表一所示，无线接入点A对应的第二公钥为“公钥1”；无线接入点B对应的第二公钥为“公钥2”；无线接入点C对应的第二公钥为“公钥3”；无线接入点D对应的第二公钥为“公钥4”。

认证服务器对无线接入点的第二身份认证过程如图5B所示。在图5B中，无线接入点120向认证服务器160发送硬件信息，注册该无线接入点120的商家终端180向认证服务器160发送拥有者信息和管理员信息，认证服务器160对接收到的硬件信息、拥有者信息和管理员信息进行身份认证，在第二身份认证成功后，批准该无线接入点120加入可信任无线接入点中。

第二阶段，包括步骤507；

步骤507，用户终端通过独立通道向认证服务器注册用户信息和与用户信息对应的密钥信息。

独立通道是不经过无线接入点的通信通道。

一些例子中，密钥信息包括密码和证书中的至少一种。

认证服务器在生成与用户终端对应的用户信息和密钥信息时，将用户终端与用户信息和密钥信息之间的对应关系存储至认证服务器中，并将用户信息和密钥信息发送给用户终端。

一些例子中，认证服务器将用户终端注册的用户信息和密钥信息以用户信息-密码对的形式进行存储，或者认证服务器将用户终端注册的用户信息和密钥信息以用户信息-证书对的形式进行存储。

示例性地，认证服务器以用户信息-密码对的形式进行存储的对应关系如下表二所示：

用户信息	密码
用户A	密码1
用户B	密码2
用户C	密码3

表二

一些例子中，用户终端向认证服务器注册的用户信息和密钥信息是唯一的。也即，每一个用户终端对应唯一一个用户信息和密钥信息，用户终端与用户信息之间是一一对应的关系。

用户终端向认证服务器注册用户信息和密钥信息的过程如图5C所示，以用户终端向认证服务器注册用户信息和密码为例进行举例说明。在图5C中，用户终端140与认证服务器160之间通过独立通道完成用户信息和密码的注册，也即，用户信息和密码的注册过程在不经过无线接入点的通信通道中完成的。

一些例子中，用户终端向认证服务器注册用户信息和密钥信息时，可以通过用户终端中的通信类客户端或浏览器客户端等向认证服务器注册用户信息和密钥信息。

第三阶段，包括步骤508和步骤509；

步骤508，用户终端向无线接入点发送第一接入请求。第一接入请求携带有用户终端的用户信息。

在存在待接入的无线接入点时，用户终端向该无线接入点发送第一接入请求，该第一接入请求中携带有与用户终端对应的用户信息。

用户终端向无线接入点发送第一接入请求的方式包括：

一些例子中，用户终端通过应用程序中的扫码功能扫描商家提供的携带有无线接入点的硬件信息的二维码，则用户终端通过扫描二维码向无线接入点发送第一接入请求。

一些例子中，用户终端根据商家提供的携带有无线接入点的硬件信息的公众号向该无线接入点发送第一接入请求。

一些例子中，用户终端根据商家提供的携带有无线接入点的硬件信息的单独的无线网络客户端向该无线接入点发送第一接入请求。

比如：用户终端利用微信中的扫一扫功能，扫描商家提供的携带有无线接入点的硬件信息的二维码，通过微信向无线接入点发送第一接入请求。又比如：用户终端直接利用浏览器中的扫一扫功能，扫描商家提供的携带有无线接入点的硬件信息的二维码，通过浏览器直接向无线接入点发送第一接入请求。

又比如：用户终端利用微信中的关注功能，对商家提供的公众号进行关注，并通过公众号向无线接入点发送第一接入请求。还比如：用户终端安装商家提供的携带有无线接入点的硬件信息的单独的无线网络客户端，通过单独的无线网络客户端向无线接入点发送第一接入请求。

对应地，无线接入点接收用户终端发送的第一接入请求。

步骤509，无线接入点向认证服务器发送第二接入请求，第二接入请求携带有用户信息。

无线接入点在接收到用户终端发送的第一接入请求后，向认证服务器发送第二接入请求，第二接入请求中携带有用户信息。

一些例子中，第二接入请求中还携带有与无线接入点对应的第二公钥。

无线接入点在接收到用户终端发送的第一接入请求后，将与无线接入点对应的第二公钥和第一接入请求中携带的用户信息发送给认证服务器。

一些例子中，无线接入点向认证服务器发送第二接入请求，第二接入请求中携带有用户信息和与无线接入点对应的第二公钥。

一些例子中，无线接入点向认证服务器发送第二接入请求，第二接入请求携带有用户信息和与无线接入点对应的第二公钥。第二接入请求是无线接入点使用与认证服务器对应的第一公钥进行加密的请求。

一些例子中，无线接入点向认证服务器发送第二接入请求，第二接入请求携带有第一密文和与无线接入点对应的第二公钥。第二接入请求是无线接入点使用与认证服务器对应的第一公钥进行加密的请求。第一密文是无线接入点使用与无线接入点对应的第二私钥对用户信息进行加密的密文。

本实施例中以第三种可能的实现方式进行举例说明。

对应地，认证服务器接收无线接入点发送的第二接入请求。

第四阶段，包括步骤510至步骤519；

步骤510，认证服务器获取查询密钥请求中携带的第一密文和与无线接入点对应的第二公钥。

认证服务器在接收到无线接入点发送的第二接入请求后，获取第二接入请求中携带的第一密文和与无线接入点对应的第二公钥。

一些例子中，认证服务器接收到第二接入请求后，可以直接获取第二接入请求中携带的用户信息和与无线接入点对应的第二公钥。

一些例子中，认证服务器接收到第二接入请求后，可以使用与认证服务器对应的第一私钥对第二接入请求进行解密，获取第二接入请求携带的用户信息和与无线接入点对应的第二公钥。

其中，第二接入请求是无线接入点通过与认证服务器对应的第一公钥对第一密文和与无线接入点对应的第二公钥进行加密的请求。

步骤511，认证服务器验证与无线接入点对应的第二公钥是否存在于可信任公钥集合中；若与无线接入点对应的第二公钥存在于可信任公钥集合中，则将无线接入点验证为可信任无线接入点。

其中，可信任公钥集合存储有成功通过认证服务器的身份认证的无线接入点对应的第二公钥，第一密文包括用户信息。

认证服务器在获取到与无线接入点对应的第二公钥后，验证与无线接入点对应的第二公钥是否存在于可信任公钥集合中，若存在于可信任公钥集合中，则认证服务器确定该无线接入点为可信任无线接入点。

比如：如表一中示例性的可信任公钥集合为例，假定认证服务器获取到的与无线接入点对应的第二公钥为公钥2，则认证服务器将获取到的公钥2与表一中所示的可信任公钥集合中的第二公钥进行匹配，结果发现公钥2是属于可信任公钥集合中，则认证服务器确定该无线接入点为可信任无线接入点。

一些例子中，当认证服务器验证该无线接入点不属于可信任无线接入点时，则不执行后续步骤。

步骤512，认证服务器在无线接入点属于可信任无线接入点时，使用与无线接入点对应的第二公钥对第二接入请求中携带的第一密文进行解密，得到用户信息。

认证服务器在确定该无线接入点为可信任无线接入点后，使用获取到的与无线接入点对应的第二公钥对获取到的第一密文进行解密，解密后得到第一密文中携带的用户信息。

第一密文是无线接入点通过与无线接入点对应的第二私钥对用户信息进行加密的密文，

步骤513，认证服务器根据用户信息查询与用户信息对应的密钥信息。

认证服务器在对第一密文解密得到第一密文携带的用户信息后，查询与用户信息对应的密钥信息。

比如：如表二中示例性的用户信息和密码之间的对应关系为例，假定认证服务器获取到的第二接入请求中携带的用户信息为“用户B”，则认证服务器到用户信息和密码之间的对应关系中查询与“用户B”对应的密码，则如表二所示，查询到的密码为“密码2”。

步骤514，认证服务器使用密钥信息与用户终端进行第一身份认证。

认证服务器在查询到与用户信息对应的密钥信息后，使用该密钥信息与用户终端进行第一身份认证。一些例子中，第一身份认证是指认证服务器与用户终端之间的双向认证。也即，认证服务器需要根据密钥信息对用户终端进行身份认证；用户终端也需要根据密钥信息对认证服务器进行身份认证。

一些例子中，第一身份认证为单向认证。也即认证服务器根据密钥信息对用户终端进行身份认证；或，用户终端需要根据密钥信息对认证服务器进行身份认证。

认证服务器与用户终端进行第一身份认证和协商生成主密钥的过程是通过建立TLS(Transport Layer Security，安全传输层协议)通道，通过无线接入点的转发进行第一身份认证和协商生成主密钥。

一些例子中，认证服务器与用户终端进行第一身份认证的过程符合PEAP(Protected Extensible Authentication Protocol，基于保护信道的认证协议)对用户接入的协议。

步骤515，在第一身份认证成功时，认证服务器与用户终端协商生成主密钥，并向用户终端发送主密钥。

在第一身份认证成功时，认证服务器与用户终端根据密钥信息协商生成主密钥。

一些例子中，认证服务器与用户终端协商生成的主密钥为PMK(Pairwise Master Key，主成对密钥)。

认证服务器与用户终端协商生成主密钥后，认证服务器将协商生成的主密钥通过TLS通道发送给用户终端。

步骤516，认证服务器使用与无线接入点对应的第二公钥对协商生成的主密钥进行第一加密。

认证服务器将主密钥发送给无线接入点的方式包括三种：

一些例子中，认证服务器可以直接通过加密通道将主密钥发送给无线接入点；

一些例子中，认证服务器可以使用与认证服务器对应的第一私钥对主密钥进行加密，将加密后的主密钥发送给无线接入点；

一些例子中，认证服务器可以首先使用与无线接入点对应的第二公钥对主密钥进行第一加密；再使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密；将第二加密后的主密钥发送给无线接入点。本实施例中，以采用该方式为例进行说明。

其中，与无线接入点对应的第二公钥是认证服务器对无线接入点的身份认证成功时保存的。

认证服务器在与用户终端协商生成主密钥后，使用与无线接入点对应的第二公钥对主密钥进行第一加密。

步骤517，认证服务器使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密，向无线接入点发送第二加密后的主密钥。

认证服务器在使用与无线接入点对应的第二公钥对主密钥进行第一加密后，再使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密。将两次加密后的主密钥发送给无线接入点。

一些例子中，本实施例中，仅以先使用与无线接入点对应的第二公钥对主密钥进行第一加密，再使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密进行举例说明。本实施例中，对主密钥的加密顺序不作具体限定，可以先使用与认证服务器对应的第一私钥对主密钥进行第一加密，再使用与无线接入点对应的第二公钥对第一加密后的主密钥进行第二加密。本实施例中认证服务器对主密钥的加密方式不作具体限定。

对应地，无线接入点接收认证服务器发送的加密的主密钥。

一些例子中，无线接入点接收认证服务发送的第一加密后的主密钥，第一加密后的主密钥是认证服务器在无线接入点属于可信任无线接入点时，使用与无线接入点对应的第二公钥对主密钥进行加密后的主密钥。

一些例子中，无线接入点接收认证服务器发送的第二加密后的主密钥，第二加密后的主密钥是认证服务器在无线接入点属于可信任无线接入点时，使用与无线接入点对应的第二公钥对主密钥进行第一加密，再使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密后的主密钥。

步骤518，无线接入点使用与认证服务器对应的第一公钥对第二加密后的主密钥进行解密，得到第二密文。

无线接入点在接收到认证服务器发送的加密的主密钥后，使用与认证服务器对应的第一公钥对第二加密后的主密钥进行解密，得到第二密文。

其中，第二密文是认证服务器通过与无线接入点对应的第二公钥对主密钥进行加密的密文。

步骤519，无线接入点使用与无线接入点对应的第二私钥对第二密文进行解密，得到主密钥。

无线接入点通过与认证服务器对应的第一公钥解密得到第二密文后，使用与无线接入点对应的第二私钥对第二密文进行解密，得到主密钥。

一些例子中，若认证服务器仅使用与无线接入点对应的第二公钥对与用户信息对应的主密钥进行加密，则无线接入点仅需要使用与无线接入点对应的第二私钥对加密后的主密钥进行解密，即可得到主密钥。

步骤520，无线接入点与用户终端根据各自持有的主密钥协商生成本次连接所使用的临时密钥，使用临时密钥建立加密无线网络连接。

一些例子中，无线接入点和用户终端使用PMK协商生成本次连接所使用的PTK(Pairwise Temporary Key，临时成对密钥)，无线接入点和用户终端使用PTK建立加密无线网络连接。

无线接入点在获取到认证服务器发送的主密钥后，无线接入点和用户终端使用各自获取到的主密钥作为PMK，完成WPA2(Wi-Fi Protected Access II，Wi-Fi联盟推出的无线网络安全认证协议)加密协议。利用主密钥作为PMK，协商生成本次连接使用的PTK，用户终端与无线接入点使用协商生成的PTK建立加密无线网络连接。

无线接入点与用户终端之间通过PTK建立加密无线网络连接的具体过程如下：

第一、无线接入点生成一个随机数A，无线接入点向用户终端发送消息M1，消息M1种携带有随机数A；

第二、用户终端生成一个随机数B，用户终端根据主密钥、随机数A和随机数B计算得到本次连接所使用的PTK；用户终端向无线接入点发送消息M2，消息M2中携带有随机数B；且使用计算得到的PTK中的确认密钥部分对消息M2进行MIC(Message Integrity Code，消息完整性)认证；

第三、无线接入点得到随机数B，并根据主密钥、随机数A和随机数B计算得到本次连接所使用的PTK，并使用计算得到的PTK中的确认密钥部分对消息M2进行MIC校验。若校验失败则丢弃消息M2，若校验正确则向用户终端发送消息M3，消息M3中包含一个MIC校验，使得用户终端核实无线接入点拥有主密钥。

第四、用户终端收到消息M3后，对消息M3进行MIC校验，校验成功后装入PTK，并向无线接入点发送消息M4，消息M4用于表明用户终端已装入PTK。无线接入点在接收到消息M4后，也装入PTK即完成建立加密无线网络连接的过程。

本实施例中无线接入点与用户终端之间完成WPA2加密协议的核心加密算法以WPE2-PEAP(WPE2-PEAP，基于保护信道的认证协议)进行举例说明，但完成WPA2加密协议的核心加密算法还可以包括但不限于：EAP-TLS(Extensible Authentication Protocol-Transport Layer Security，基于信道的认证协议和传输层加密协议)、EAP-TTLS/MSCHAPv2、PEAPv0/EAP-MSCHAPv2、PEAPv1/EAP-GTC、PEAP-TLS(Protected Extensible Authentication Protocol-Transport Layer Security，基于传输层安全的受保护的可扩展身份验证协议)、EAP-SIM(EPA-Subscriber Identity Module，基于客户身份识别卡的认证协议)、EAP-AKA(EAP-Authentication and Key Agreement，认证与密钥协商)和EAP-FAST(EAP-Flexible Authentication via Secure Tunneling，基于安全隧道的灵活认证协议)。

一些例子中，用户终端接入无线接入点的过程如图5D所示。用户终端140向无线接入点120发送用户信息，无线接入点120将用户信息转发给认证服务器160，认证服务器160在确认无线接入点属于可信任无线接入点后与用户终端140进行第一身份认证，在第一身份认证成功时，分别向用户终端140和无线接入点120发送与用户信息对应的主密钥，用户终端140与无线接入点120以获取到的主密钥为PMK，协商建立加密无线网络连接。

综上所述，本实施例提供的无线网络接入方法，通过用户终端向无线接入点发送第一接入请求；无线接入点向认证服务器发送第二接入请求；认证服务器在接收到第二接入请求后，验证无线接入点是否属于可信任无线接入点，在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证，在第一身份认证成功时与用户终端协商生成主密钥；认证服务器向无线接入点发送与用户信息对应的主密钥；无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接；解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时，导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题；达到了通过认证服务器对无线接入点进行身份认证，只有可信任无线接入点才能获取与用户信息对应的主密钥，从而与用户终端根据各自持有的主密钥建立加密无线网络连接，提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。

同时，认证服务器与无线接入点之间通过加密通道进行数据传输，提高了传输过程中数据的安全性。

需要说明的一点是，本实施例中对步骤501至步骤506和步骤507的先后顺序不作具体限制。也即，无线接入点在认证服务器中的认证过程和用户终端向认证服务器注册用户信息和密钥信息的过程之间没有必然的先后顺序；但是与用户终端建立加密无线网络连接的无线接入点必须是存储于认证服务器的可信任无线接入点。

需要说明的另一点是，本申请实施例中，无线接入点与认证服务器在通过加密通道进行数据传输时，在传输的数据中还可以携带的信息有各自生成的随机数、发送数据的时间戳等。比如：无线接入点向认证服务器发送数据时，在数据中还携带有无线接入点生成的随机数、发送该数据的时间戳等信息。本申请实施例无线接入点与认证服务器进行数据传输过程中，除上述实施例中数据携带的信息外，对数据中还可以携带的信息不作具体限定。同理，用户终端与认证服务器通过独立通道进行数据传输时，在传输的数据中还可以携带的信息有各自生成的随机数、发送数据的时间戳等，此处不再赘述。针对数据还可以携带的信息的变换实施例都是本申请实施例的等同替换实施例，包含在本申请的保护范围之内。

在一个具体的实施例中，假如黑客设置假冒的无线接入点，该假冒的无线接入点与真实的无线接入点具有完全相同的硬件信息。

第一，用户终端在获取到假冒的无线接入点时，向该假冒的无线接入点发送第一接入请求，该接入请求中携带有用户终端对应的用户信息。

第二、假冒的无线接入点向认证服务器发送第二接入请求，第二接入请求携带有用户信息。

假冒的无线接入点获取与认证服务器对应的第一公钥，并使用与认证服务器对应的第一公钥对第二接入请求进行加密，并将加密后的第二接入请求发送给认证服务器。

第三、认证服务器通过与认证服务器对应的第一私钥对第二接入请求进行解密，得到与假冒的无线接入点对应的第二公钥和用户信息。

第四、认证服务器验证与假冒的无线接入点对应的第二公钥是否存在于可信任公钥集合中。

虽然假冒的无线接入点与真实的无线接入点具有完全相同的硬件信息，但与假冒的无线接入点对应的第二公钥和与真实的无线接入点对应的第二公钥是不相同的，因此，认证服务器在验证与假冒的无线接入点对应的第二公钥是否存在于可信任公钥集合中时，会将假冒的无线接入点确定为不可信任无线接入点。认证服务器在确定该无线接入点为假冒的无线接入点后，不会将与用户信息对应的主密钥发送给假冒的无线接入点。

综上所述，假如黑客设置假冒的无线接入点，该假冒的无线接入点与真实的无线接入点具有完全相同的硬件信息时，在图5A所示的实施例提供的无线网络接入方法中，假冒的无线接入点也无法与用户终端建立加密无线网络连接。在步骤511中，与假冒的无线接入点对应的第二公钥并不存在于认证服务器存储的可信任公钥集合中，因此被认证服务器确定为不可信任无线接入点。因此，图5A实施例提供的无线网络接入方法，提高了用户终端传输的数据以及用户终端内部数据的安全性。

请参考图6，其示出了本申请一个实施例提供的无线网络连接装置的结构方框图。该无线网络连接装置可以通过软件、硬件或者两者的结合实现成为图1A中无线接入点的全部或一部分。该无线网络连接装置包括：

第一接收模块610，用于接收用户终端发送的第一接入请求，第一接入请求携带有用户终端的用户信息；

第二接收模块620，用于向认证服务器发送第二接入请求，第二接入请求携带有用户信息；

密钥接收模块630，用于接收认证服务器发送的与用户信息对应的主密钥，主密钥是认证服务器在接收到第二接入请求后，验证无线接入点属于可信任无线接入点时，与用户终端进行第一身份认证成功后协商生成的密钥；

网络连接模块640，用于与用户终端根据各自持有的主密钥协商建立加密无线网络连接。

综上所述，本实施例提供的无线网络接入装置，通过接收用户终端发送的第一接入请求；向认证服务器发送第二接入请求；接收认证服务器发送的与用户信息对应的主密钥；与用户终端根据各自持有的主密钥协商建立加密无线网络连接；解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时，导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题；达到了通过认证服务器对无线接入点进行身份认证，只有可信任无线接入点才能获取与用户信息对应的主密钥，从而与用户终端根据各自持有的主密钥建立加密无线网络连接，提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。

请参考图7，其示出了本申请另一个实施例提供的无线网络连接装置的结构方框图。该无线网络连接装置可以通过软件、硬件或者两者的结合实现成为图1A中无线接入点的全部或一部分。该无线网络连接装置包括：

密钥生成模块710，用于生成与无线接入点对应的第二公钥和第二私钥；

公钥获取模块720，用于获取与认证服务器对应的第一公钥；

信息发送模块730，用于向认证服务器发送身份认证请求，身份认证请求携带有认证信息和与无线接入点对应的第二公钥，认证信息和与无线接入点对应的第二公钥均使用与认证服务器对应的第一公钥进行加密，认证信息至少包括硬件信息和/或拥有者信息。

在一种可能的实现方式中，认证信息是通过与无线接入点对应的第二私钥进行加密的信息。

第一接收模块740，用于接收用户终端发送的第一接入请求，第一接入请求携带有用户终端的用户信息。

第二接收模块750，用于向认证服务器发送第二接入请求，第二接入请求携带有用户信息。

密钥接收模块760，用于接收认证服务器发送的与用户信息对应的主密钥，主密钥是认证服务器在接收到第二接入请求后，验证无线接入点属于可信任无线接入点时，与用户终端进行第一身份认证成功后协商生成的密钥。

在一种可能的实现方式中，密钥接收模块760，还用于接收认证服务器发送的第一加密后的主密钥，第一加密后的主密钥是认证服务器在无线接入点属于可信任无线接入点时，使用与无线接入点对应的第二公钥对主密钥进行加密后的主密钥。

在另一种可能的实现方式中，密钥接收模块760，还用于接收认证服务器发送的第二加密后的主密钥，第二加密后的主密钥是认证服务器在无线接入点属于可信任无线接入点时，使用与无线接入点对应的第二公钥对主密钥进行第一加密，再使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密后的主密钥。

网络连接模块770，用于根据主密钥与用户终端协商建立加密无线网络连接。

在第一种可能的实现方式中，网络连接模块770，可以包括：第一解密单元771和第一连接单元772；

第一解密单元771，用于使用与无线接入点对应的第二私钥对第一加密后的主密钥进行解密，得到主密钥。

第一连接单元772，用于与用户终端根据各自持有的主密钥协商建立加密无线网络连接。

在第二种可能的实现方式中，网络连接模块770，可以包括：第二解密单元773、第三解密单元774和第二连接单元775。

第二解密单元773，用于使用与认证服务器对应的第一公钥对第二加密后的主密钥进行解密，得到第二密文。

第三解密单元774，用于使用与无线接入点对应的第二私钥对第二密文进行解密，得到主密钥。

第二连接单元775，用于与用户终端根据各自持有的主密钥协商建立加密无线网络连接。

在第三种可能的实现方式中，网络连接模块770，还用于与用户终端使用各自持有的主密钥，协商生成本次连接所使用的临时密钥，使用临时密钥与用户终端建立加密无线网络连接。

请参考图8，其示出了本申请一个实施例提供的无线网络连接装置的结构方框图。该无线网络连接装置可以通过软件、硬件或者两者的结合实现成为图1A中认证服务器的全部或一部分。该无线网络连接装置包括：

请求接收模块810，用于接收无线接入点发送的第二接入请求，第二接入请求携带有用户信息；

信任验证模块820，用于在接收到第二接入请求后，验证无线接入点是否属于可信任无线接入点；

用户认证模块830，用于在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证；

密钥生成模块840，用于在第一身份认证成功时，与用户终端协商生成主密钥，并向用户终端发送主密钥。

密钥发送模块850，用于在无线接入点属于可信任无线接入点时向无线接入点发送与用户信息对应的密钥信息，以便无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接。

综上所述，本实施例提供的无线网络接入装置，通过接收无线接入点发送的第二接入请求；在接收到第二接入请求后，验证无线接入点是否属于可信任无线接入点；在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证，在第一身份认证成功时与用户终端协商生成主密钥，并向用户终端发送主密钥；向无线接入点发送与用户信息对应的主密钥；解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时，导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题；达到了通过认证服务器对无线接入点进行身份认证，只有可信任无线接入点才能获取与用户信息对应的主密钥，从而与用户终端根据各自持有的主密钥建立加密无线网络连接，提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。

请参考图9，其示出了本申请另一个实施例提供的无线网络连接装置的结构方框图。该无线网络连接装置可以通过软件、硬件或者两者的结合实现成为图1A中认证服务器的全部或一部分。该无线网络连接装置包括：

认证接收模块910，用于接收无线接入点发送的身份认证请求，身份认证请求携带有认证信息和与无线接入点对应的第二公钥，认证信息和与无线接入点对应的第二公钥均使用与认证服务器对应的第一公钥进行加密，认证信息至少包括硬件信息和/或拥有者信息。

信息解密模块920，用于通过与认证服务器对应的第一私钥对身份认证请求进行解密，得到认证信息和与无线接入点对应的第二公钥。

信息认证模块930，用于对认证信息进行第二身份认证，在第二身份认证成功时，将与无线接入点对应的第二公钥添加至可信任公钥集合中。

作为一种可能的实现方式，信息认证模块930，可以包括：第一解密单元931和第一认证单元932。

第一解密单元931，用于通过与无线接入点对应的第二公钥对认证信息进行解密，得到硬件信息和/或拥有者信息；

第一认证单元932，用于对硬件信息和/或拥有者信息进行第二身份认证，在第二身份认证成功时，将与无线接入点对应的第二公钥添加至可信任公钥集合中。

请求接收模块940，用于接收无线接入点发送的第二接入请求，第二接入请求携带有用户信息。

信任验证模块950，用于在接收到第二接入请求后，验证无线接入点是否属于可信任无线接入点。

作为一种可能的实现方式，本实施例中，信任验证模块950，可以包括：公钥获取单元951和第一验证单元952。

公钥获取单元951，用于获取第二接入请求中携带的第一密文和与无线接入点对应的第二公钥。

一些例子中，公钥获取单元951，还用于通过与认证服务器对应的第一私钥对第二接入请求进行解密，得到第一密文和与无线接入点对应的第二公钥；

第一验证单元952，用于验证与无线接入点对应的第二公钥是否存在于可信任公钥集合中；若与无线接入点对应的第二公钥存在于可信任公钥集合中，则将无线接入点验证为可信任无线接入点；

其中，可信任公钥集合存储有成功通过第二身份认证的无线接入点对应的第二公钥。

用户认证模块960，用于在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证。

作为一种可能的实现方式，本实施例中，用户认证模块960，可以包括：密文解密单元961、密钥查询单元962和密钥认证单元963。

密文解密单元961，用于在无线接入点属于可信任无线接入点时，使用与无线接入点对应的第二公钥对第二接入请求中携带的第一密文进行解密，得到用户信息。

密钥查询单元962，用于查询与用户信息对应的密钥信息；

密钥认证单元963，用于根据密钥信息与用户终端进行第一身份认证。

其中，第一密文是无线接入点通过与无线接入点对应的第二私钥对用户信息进行加密的密文。

密钥生成模块970，用于在第一身份认证成功时，与用户终端协商生成主密钥，并向用户终端发送主密钥。

密钥发送模块980，用于向无线接入点发送与用户信息对应的主密钥，以便无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接。

一些例子中，密钥发送模块980，还用于使用与无线接入点对应的第二公钥对协商生成的主密钥进行第一加密，向无线接入点发送第一加密后的主密钥。

一些例子中，密钥发送模块980，还用于使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密，向无线接入点发送第二加密后的主密钥。

请参考图10，其示出了本申请实施例提供的一种无线网络连接系统的结构方框图，该系统包括：用户终端1020、无线接入点1040和认证服务器1060；

用户终端1020，用于向无线接入点发送第一接入请求，以及与认证服务器进行第一身份认证；

无线接入点1040，包括如图6所示实施例或图7所示实施例任一所述的无线网络连接装置；

认证服务器1060，包括如图8所示实施例或图9所示实施例任一所述的无线网络连接装置。

本申请实施例还提供一种无线接入点认证方法。

请参考图11，其示出了本申请一个示例性实施例提供的无线接入点系统的结构示意图。该无线接入点系统包括：无线接入点1120、管理终端1140和认证服务器1160。

无线接入点1120可以是路由器、Wi-Fi热点和无线网关等提供无线网络接入服务的设备的统称。本申请实施例中，以无线接入点1120是路由器来举例说明。无线接入点1120与管理终端1140之间通过无线网络连接，无线接入点1120与用户终端(图中未示出)建立无线网络连接之前，需要通过认证服务器1160对该无线接入点1120的身份认证。无线接入点1120与认证服务器1160之间通过无线网络或有线网络建立连接。本申请实施例对无线接入点1120和认证服务器1160之间的通信方式不做限定。

管理终端1140即上文中的商家终端180。管理终端1140可以是手机、平板电脑、电子书阅读器、膝上型便携计算机和台式计算机等等。一些例子中，管理终端1140中安装有专门用于管理公众Wi-Fi的应用程序，比如，腾讯QQ、微信、微博等。

管理终端1140与认证服务器1160之间通过无线网络或有线网络建立连接。一些例子中，管理终端1140通过加密通道向认证服务器1160发送信息，其中，加密通道是指管理终端1140与认证服务器1160之间的独立通道，比如：使用https通道发送信息。本申请实施例对管理终端1140和认证服务器1160之间的通信方式不做限定。

认证服务器1160中存储有可信任无线接入点列表、与认证服务器1160对应的第二公钥和第二私钥。一些例子中，与认证服务器1160对应的第二公钥不止一个，不同的第二公钥分别用于签名、会话等。认证服务器1160可以是一台服务器、多台服务器组成的服务器集群或云计算中心。

请参考图12，其示出了本申请一个实施例提供的无线接入点认证方法的流程图。本实施例以该无线接入点认证方法应用于图11所示的认证服务器1160中来举例说明。该方法包括：

步骤1201，接收无线接入点发送的第一信息，第一信息包括：无线接入点的硬件信息和与无线接入点对应的第一公钥。

硬件信息包括：无线接入点的SSID(Service Set Identifier，服务集标识)、无线接入点的BSSID(Basic Service Set Identifier，基本服务集标识)和无线接入点的MAC(Media Access Control，设备的物理地址)。

步骤1202，接收管理终端发送的第二信息，第二信息包括：无线接入点的硬件信息和无线接入点的拥有者信息。

拥有者信息包括但不限于：经纬度坐标、拥有者名称和拥有者地址中的至少一种。

步骤1203，在接收到第二信息后，对硬件信息和拥有者信息进行身份认证，在身份认证通过时，将无线接入点添加至可信任无线接入点列表，并存储与无线接入点对应的第一公钥。

综上所述，本实施例提供的无线接入点认证方法，通过接收无线接入点发送的第一信息；接收管理终端发送的第二信息；在接收到第二信息后，对硬件信息和拥有者信息进行身份认证，在身份认证通过时，将无线接入点添加至可信任无线接入点列表，并存储与无线接入点对应的第一公钥；解决了现有的认证方法，认证服务器会将假冒的公众Wi-Fi默认为可信任的公众Wi-Fi，导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题；达到了通过认证服务器对无线接入点进行身份认证，使得只有真实的无线接入点才可以通过认证服务器的身份认证，提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。

请参考图13，其示出了本申请另一个实施例提供的无线接入点认证方法的流程图。本实施例以该无线接入点认证方法应用于图11所示的无线接入点认证系统中来举例说明。该方法包括：

步骤1301，无线接入点向认证服务器发送第一信息，第一信息包括：无线接入点的硬件信息和与无线接入点对应的第一公钥。

硬件信息包括：无线接入点的SSID、无线接入点的BSSID和无线接入点的MAC。

步骤1302，管理终端向认证服务器发送第二信息，第二信息包括：无线接入点的硬件信息和无线接入点的拥有者信息。

步骤1303，认证服务器在接收到第二信息后，对硬件信息和拥有者信息进行身份认证，在身份认证通过时，将无线接入点添加至可信任无线接入点列表，并存储与无线接入点对应的第一公钥。

综上所述，本实施例提供的无线接入点认证方法，通过无线接入点向认证服务器发送第一信息；管理终端向认证服务器发送第二信息；认证服务器在接收到第二信息后，对硬件信息和拥有者信息进行身份认证，在身份认证通过时，将无线接入点添加至可信任无线接入点列表，并存储与无线接入点对应的第一公钥；解决了现有的认证方法，认证服务器会将假冒的公众Wi-Fi默认为可信任的公众Wi-Fi，导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题；达到了通过认证服务器对无线接入点进行身份认证，使得只有真实的无线接入点才可以通过认证服务器的身份认证，提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。

请参考图14，其示出了本申请再一个实施例提供的无线接入点认证方法的流程图。本实施例以该无线接入点认证方法应用于图11所示的无线网络接入系统中来举例说明。该方法包括：

步骤1401，无线接入点向认证服务器发送第一信息，第一信息包括：无线接入点的硬件信息和与无线接入点对应的第一公钥。

无线接入点首先向认证服务器发送第一信息，第一信息包括无线接入点的硬件信息和与该无线接入点对应的第一公钥。

无线接入点的硬件信息包括：无线接入点的SSID、无线接入点的BSSID和无线接入点的MAC。

一些例子中，一个无线接入点中至少包括一个SSID和一个BSSID；若一个无线接入点中包括多个SSID和多个BSSID，则无线接入点将多个SSID和多个BSSID同时携带在硬件信息中发送给认证服务器。

无线接入点向认证服务器发送第一信息之前，无线接入点生成与无线接入点对应的第一公钥和第一私钥，将与无线接入点对应的第一公钥发送给认证服务器。

一些例子中，无线接入点向认证服务器发送的第一信息还携带有第一随机数。

比如：无线接入点随机产生12字节的随机数，无线接入点对产生的12字节的随机数进行编码得到16字节的第一随机数。

一些例子中，无线接入点向认证服务器发送的第一信息还携带有与无线接入点对应的固件/插件版本号。

一些例子中，无线接入点使用与无线接入点对应的第一私钥对第一信息进行第一签名，向认证服务器发送第一信息和第一签名。

在一个示意性的例子中，无线接入点将硬件信息、与无线接入点对应的第一公钥、第一随机数和固件/插件版本号都携带于第一信息中，无线接入点使用与无线接入点对应的第一私钥对第一信息进行签名，无线接入点将第一信息和第一签名同时发送给认证服务器。

比如：无线接入点通过URL(Uniform Resource Locator，统一资源定位符)为：“http：//[域名]/router/inform”的通道向认证服务器发送第一信息和第一签名。

示例性地，无线接入点发送给认证服务器的第一信息包括如表三三所示的内容：

表三

如表三所示，表三中所示的无线接入点包括2个ssid。其中，字段代表不同信息的标识，如：ver代表无线接入点当前的固件/插件版本号；mac代表无线接入点的MAC地址；ssid代表无线接入点的SSID；bssid代表无线接入点的BSSID；ssid2代表无线接入点的第二个SSID；bssid2代表无线接入点的第二个BSSID；pbk代表与无线接入点对应的第二公钥，第二公钥是无线接入点根据Curve25519算法计算后使用base64编码得到的；x代表无线接入点产生的第一随机数，第一随机数是对无线接入点随机产生的12字节的随机数使用base64编码后得到的16字节的随机数；sig代表使用无线接入点对应的第二私钥对上述数据进行签名得到的第一签名。第一信息中所有信息的类型都是字符串的类型。

对应地，认证服务器接收无线接入点发送的第一信息。

步骤1402，认证服务器向无线接入点发送反馈信息和第二签名，第二签名是认证服务器使用与认证服务器对应的第二私钥对反馈信息进行的签名，反馈信息包括与认证服务器对应的第二公钥和第二随机数。

认证服务器在接收到无线接入点发送的第一信息后，通过与无线接入点对应的第一公钥验证第一信息是否被篡改，在第一信息未被篡改时，向无线接入点发送反馈信息和第二签名。一些例子中，反馈信息包括与认证服务器对应的第二公钥和第二随机数。认证服务器使用与认证服务器对应的第二私钥对反馈信息进行第二签名；认证服务器将反馈信息和第二签名一起发送给无线接入点。

一些例子中，反馈信息还可以包括与无线接入点对应的固件/插件最新版本号。与无线接入点对应的固件/插件最新版本号用于检测无线接入点中的固件/插件是否需要更新。

示例性地，认证服务器向无线接入点发送的反馈信息和第二签名如表四所示：

表四

如表四所示，字段代表不同信息的标识，如：ret代表返回码；msg代表返回码文字信息；ver代表无线接入点的固件/插件最新版本号；pbk代表与认证服务器对应的第一公钥；y代表认证服务器产生的第二随机数，第二随机数用于计算加密密钥；sig代表使用与认证服务器对应的第一私钥对以上数据进行签名，无线接入点使用与认证服务器对应的第一公钥对签名进行验证。类型是指第二信息中各个信息的类型，包括整型和字符串。

对应地，无线接入点接收认证服务器发送的反馈信息和第二签名。

步骤1403，管理终端向无线接入点发送获取请求，获取请求用于获取无线接入点的硬件信息。

一些例子中，无线接入点提供一个无需验证的默认无线网络，管理终端接入该默认无线网络。然后，管理终端通过该默认无线网络向无线接入点发送获取请求，该获取请求用于获取与无线接入点对应的硬件信息。

比如：管理终端通过URL为：“http：//[域名]/admin/getrouterinfo”的通道向无线接入点发送获取请求，一些例子中，管理终端通过即时通讯程序“微信’向无线接入点发送获取请求，则获取请求中携带有微信登录后的openid身份标识，openid身份标识是管理终端的标识。

一些例子中，获取请求中携带有管理终端的标识。

一些例子中，管理终端通过无线接入点默认的无线网络与无线接入点建立连接，管理终端通过无线网络向无线接入点发送获取请求。

示例性地，管理终端向无线接入点发送的获取请求如表五所示：

字段	类型	说明	备注
openid	String	微信登录后的openid	发给无线接入点

表五

如表五所示，字段openid代表管理终端的标识，类型为字符串型。

对应地，无线接入点接收管理终端发送的获取请求。

步骤1404，无线接入点向管理终端发送硬件信息。

无线接入点接收到管理终端发送的获取请求后，根据获取请求，向管理终端发送硬件信息。

一些例子中，无线接入点向管理终端发送的硬件信息包括但不限于：无线接入点的MAC地址、无线接入点的SSID和无线接入点的BSSID中的至少一种。

一些例子中，无线接入点在接收到管理终端发送的获取请求后，对获取请求中携带的管理终端的标识进行验证，在验证该标识具有管理权限时，向管理终端发送硬件信息。

一些例子中，管理终端预先存储有与无线接入点对应的第一公钥。无线接入点使用与无线接入点对应的第一私钥对全部或部分硬件信息和管理终端的标识进行第三签名。

比如：无线接入点使用与无线接入点对应的第一私钥对无线接入点的MAC地址和管理终端的标识进行第三签名。

一些例子中，无线接入点将硬件信息和第三签名发送给管理终端。

示例性地，无线接入点向管理终端发送的硬件信息如表六所示：

表六

如表六所示，字段代表不同信息的标识，如：ret代表返回码；msg代表返回码文字信息；mac代表无线接入点的MAC地址；ssid代表无线接入点的SSID；bssid代表无线接入点的BSSID，若无线接入点支持多个ssid和bssid，则定义为数组ssidlist，显示多个ssid和bssid；sig代表使用与无线接入点对应的第二私钥对openid和MAC地址进行签名。类型是指第二信息中各个信息的类型，包括整型和字符串。

对应地，管理终端接收无线接入点发送的硬件信息以及第三签名，并对第三签名进行验证。

步骤1405，管理终端向认证服务器发送第二信息，第二信息包括：无线接入点的硬件信息和无线接入点的拥有者信息。

管理终端在接收到无线接入点发送的硬件信息后，向认证服务器发送第二信息，第二信息包括无线接入点的硬件信息和无线接入点的拥有者信息。

一些例子中，管理终端通过加密连接向认证服务器发送第二信息，比如：加密连接为：采用https技术的连接。

例如，管理终端通过“https：//[域名]/admin/bind”通道向认证服务器发送第二信息。

无线接入点的拥有者信息包括但不限于：经纬度坐标、拥有者名称和拥有者地址中的至少一种。一些例子中，拥有者的经纬度坐标由管理终端通过定位自动获取。

本实施例中，对无线接入点的拥有者信息中包括的信息不作具体限定。

一些例子中，第二信息还包括：管理终端的标识和管理终端的访问令牌。管理终端的访问令牌用于表明该管理终端有请求认证服务器对该无线接入点进行认证的权限。

一些例子中，第二信息还包括第三签名。第三签名是指无线接入点使用与无线接入点对应的第一私钥对全部或部分硬件信息和管理终端的标识进行的签名。

示例性地，管理终端向认证服务器发送的第二信息如表七所示：

表七

如表七所示，字段代表不同信息的标识，如：openid代表管理终端的标识；token代表管理终端的访问令牌；mac代表无线接入点的MAC地址；ssid代表无线接入点的SSID；bssid代表无线接入点的BSSID；mark代表无线接入点的SSID的备注；ssid2代表无线接入点的第二个SSID；bssid2代表无线接入点的第二个BSSID；mark2代表无线接入点的第二个SSID的备注；sig代表使用与无线接入点对应的第二私钥对openid和MAC地址进行签名；position代表拥有者的经纬度坐标；company代表拥有者名称；address代表拥有者地址。类型是指第二信息中各个信息的为字符串类型。

对应地，认证服务器接收管理终端发送的第二信息。

步骤1406，认证服务器在接收到第二信息后，对硬件信息和拥有者信息进行身份认证，在身份认证通过时，将无线接入点添加至可信任无线接入点列表，并存储与无线接入点对应的第一公钥。

认证服务器在接收到管理终端发送的第二信息后，获取第二信息中的硬件信息和拥有者信息；对获取到的硬件信息和拥有者信息进行身份认证。

一些例子中，认证服务器对硬件信息和拥有者信息的身份认证包括：

1)认证服务器认证管理终端发送的硬件信息与无线接入点发送的硬件信息是否匹配；

2)认证服务器认证管理终端发送的拥有者信息是否正确。

在身份认证通过时，认证服务器将无线接入点添加至可信任无线接入点列表中，同时存储与无线接入点对应的第一公钥。认证服务器将无线接入点添加至可信任无线接入点列表是指认证服务器将身份认证通过的无线接入点提供的SSID添加至可信任无线接入点列表中。同时，认证服务器存储与无线接入点对应的第一公钥，以便认证服务器在对无线接入点进行身份认证时，认证无线接入点提供的第一公钥是否属于可信任无线接入点列表中对应的公钥。

认证服务器存储的与无线接入点对应的第一公钥用于在后续过程中对无线接入点的身份认证。认证服务器对无线接入点的身份认证过程包括：认证服务器接收无线接入点提供的第一公钥，认证服务器验证与无线接入点对应的第一公钥是否属于与可信任无线接入点列表对应的公钥列表中，公钥列表是指与可信任无线接入点对应的公钥的列表。当无线接入点提供的第一公钥存在于可信任无线接入点列表对应的公钥列表中时，认证服务器确定该无线接入点是可信任无线接入点；当无线接入点提供的第一公钥不存在于可信任无线接入点列表对应的公钥列表时，认证服务器确定该无线接入点不是可信任无线接入点。

另外，无线接入点使用与无线接入点对应的第一私钥对第一信息进行第一签名，向认证服务器发送第一信息和第一签名，使得第一信息不被篡改，提高了第一信息的安全性。

同时，无线接入点使用与无线接入点对应的第一私钥对全部或部分硬件信息和管理终端的标识进行第三签名，保证了管理终端接收到的无线接入点的硬件信息未被篡改，提高了数据的安全性。

需要说明的一点是，本实施例中有关认证服务器一侧的步骤可以单独实现成为认证服务器侧的无线接入点认证方法。

基于图14所示的无线接入点认证方法，认证服务器和无线接入点之间的信息传输可以通过加密的方式进行传输，也即，在步骤1402之后，还可以包括如下步骤，如图15A所示：

步骤1402a，认证服务器根据第一随机数、第二随机数和与无线接入点对应的第一公钥计算得出第一密钥，使用第一密钥对发送给无线接入点的信息进行加密。

认证服务器在向无线接入点发送反馈信息和第二签名后，根据第一随机数、第二随机数和与无线接入点对应的第一公钥计算得出第一密钥。认证服务器使用第一密钥对发送给无线接入点的信息进行加密。

一些例子中，认证服务器计算第一密钥所需的信息还包括数据包的序号。数据包的序号是指认证服务器发送给无线接入点的信息对应的序号。

比如：认证服务器第一次给无线接入点发送信息，此时数据包的序号为1；认证服务器第二次给无线接入点发送信息，此时数据包的序号为2，以此类推。

示例性地，认证服务器计算第一密钥的过程如下：

当数据包的序号为1时，认证服务器通过第一随机数和第二随机数计算得出会话密钥；认证服务器通过与无线接入点对应的第一公钥计算得出共享密钥；认证服务器根据会话密钥和共享密钥计算得出第一密钥；

当数据包的序号不为1时，认证服务器根据上一个会话密钥和共享密钥计算得出第一密钥。

认证服务器计算得出第一密钥后，使用第一密钥对发送给无线接入点的信息进行加密。

步骤1402b，无线接入点根据第一随机数、第二随机数和与认证服务器对应的第二公钥计算得出第二密钥，使用第二密钥对发送给认证服务器的信息进行加密。

无线接入点在接收到认证服务器发送的反馈信息和第二签名后，根据与认证服务器对应的第二公钥验证反馈信息是否被篡改，在反馈信息未被篡改时，根据第一随机数、第二随机数和与认证服务器对应的第二公钥计算得出第二密钥。无线接入点使用第二密钥对发送给认证服务器的信息进行加密。

一些例子中，无线接入点计算第二密钥所需的信息还包括数据包的序号。数据包的序号是指无线接入点发送给认证服务器的信息对应的序号。

比如：无线接入点第一次给认证服务器发送信息，此时数据包的序号为1；无线接入点第二次给认证服务器发送信息，此时数据包的序号为2，以此类推。

示例性地，无线接入点计算第二密钥的过程如下：

当数据包的序号为1时，无线接入点通过第一随机数和第二随机数计算得出会话密钥；无线接入点通过与认证服务器对应的第二公钥计算得出共享密钥；无线接入点根据会话密钥和共享密钥计算得出第二密钥；

当数据包的序号不为1时，无线接入点根据上一个会话密钥和共享密钥计算得出第二密钥。

无线接入点计算得出第二密钥后，使用第二密钥对发送给认证服务器的信息进行加密。

综上所述，通过认证服务器使用第一密钥对发送给无线接入点的信息进行加密，和无线接入点使用第二密钥对发送给认证服务器的信息进行加密，保证了无线接入点和认证服务器之间信息传输的安全性。

基于图14所示的无线接入点认证方法，管理终端可以通过认证服务器获取认证服务器中的认证网络列表。并对认证网络列表中的硬件信息进行删除。也即，在步骤1406之后，还可以包括如下步骤，如图15B所示：

步骤1407，管理终端向认证服务器发送列表获取请求。

列表获取请求用于获取认证服务器中的认证网络列表，认证网络列表是可信任无线接入点提供的各个可信SSID的列表。

管理终端在需要查看或删除与无线接入点对应的认证网络时，向认证服务器发送列表获取请求。该列表获取请求用于获取认证服务器中可信任无线接入点提供的各个可信SSID的列表。

一些例子中，列表获取请求中携带有管理终端的标识。比如：获取请求中携带有微信登录后的openid和访问令牌。

比如：管理终端通过“http：//[域名]/admin/getrouterlist”向认证服务器发送列表获取请求。

示例性地，管理终端向认证服务器发送的列表获取请求如表八所示：

字段	类型	说明	备注
openid	String	微信登录的openid
token	String	微信登录的accesstoken

表八

如表八所示，列表获取请求中携带有管理终端的标识。字段openid代表管理终端的标识，token代表管理终端的访问令牌，两者的类型都为字符串型。

对应地，认证服务器接收管理终端发送的列表获取请求。

步骤1408，认证服务器向管理终端发送认证网络列表。

认证在接收到列表获取请求后，向管理终端发送认证网络列表。其中，认证网络列表是可信任无线接入点提供的各个可信SSID的列表。

示例性地，认证服务器向管理终端发送的认证网络列表如表九所示：

表九

如表九所示，字段代表不同信息的标识，如：ret代表返回码；msg代表返回码文字信息；mac代表无线接入点的MAC地址；ssid代表无线接入点的SSID；bssid代表无线接入点的BSSID，若无线接入点支持多个ssid和bssid，则建立数组ssidlist和routerlist，显示多个ssid和bssid；mark代表无线接入点的SSID的备注。类型是指认证网络列表中各个信息的类型，包括整型和字符串。

对应地，管理终端接收认证服务器发送的认证网络列表。

步骤1409，管理终端向认证服务器发送取消绑定请求，取消绑定请求包括无线接入点提供的可信SSID。

管理终端接收到认证网络列表后，向认证服务器发送取消绑定请求，取消绑定请求包括无线接入点提供的可信SSID。取消绑定请求用于在认证服务器中的认证网络列表中取消对应的无线接入点提供的可信SSID。比如：管理终端通过“http：//[域名]/admin/unbind”向认证服务器发送取消绑定请求。

一些例子中，取消绑定请求还包括管理终端的标识。

假定无线接入点列表中的一个无线接入点中包括有多个SSID，则取消绑定请求可以取消该无线接入点中的所有SSID，也可以取消该无线接入点中的部分SSID。

取消绑定请求中包括的无线接入点提供的可信SSID是指无线接入点中需取消的SSID。

示例性地，管理终端向认证服务器发送的取消绑定请求如表十所示：

表十

如表十所示，表十中所示的无线接入点包括2个ssid。其中，字段代表不同信息的标识，如：字段openid代表管理终端的标识，token代表管理终端的访问令牌；mac代表无线接入点的MAC地址；ssid代表无线接入点的SSID；bssid代表无线接入点的BSSID；ssid2代表无线接入点的第二个SSID；bssid2代表无线接入点的第二个BSSID。取消绑定请求中所有信息的类型都是字符串的类型。

对应地，认证服务器接收管理终端发送的取消绑定请求。

步骤1410，认证服务器根据取消绑定请求，在认证网络列表中删除无线接入点提供的可信SSID。

认证服务器接收到取消绑定请求后，获取取消绑定请求中携带的无线接入点提供的可信SSID，根据该硬件信息，在认证网络列表中删除无线接入点提供的可信SSID。

基于图14所示的无线接入点认证方法，管理终端确定无线接入点的SSID为认证网络时，将确定后的无线接入点的SSID发送给认证服务器。也即，在步骤1406之后，还可以包括如下步骤，如图15C所示：

步骤1411，管理终端向认证服务器发送网络确认请求，网络确认请求携带有无线接入点的SSID。

管理终端通过认证服务器连接到无线接入点后，将无线接入点的SSID指定为认证网络的SSID；并将指定的无线接入点的SSID携带在网络确认请求中发送给认证服务器。

比如：管理终端通过“http：//[域名]/admin/setwifi”向认证服务器发送网络确认请求。

对应地，认证服务器接收管理终端发送的网络确认请求。

步骤1412，认证服务器根据网络确认请求，将指定的SSID添加至认证网络列表。

认证服务器在接收到管理终端发送的网络确认请求后，获取网络确认请求中指定的无线接入点的SSID；认证服务器将指定的SSID添加至认证网络列表。

认证网络列表是指可信任无线接入点提供的各个可信SSID的列表。

请参考图16，其示出了本申请一个实施例提供的无线接入点认证装置的结构方框图。该无线接入点认证装置可以通过软件、硬件或者两者的结合实现成为图11中认证服务器的全部或一部分。该无线接入点认证装置包括：

第一接收模块1620，用于接收无线接入点发送的第一信息，第一信息包括：无线接入点的硬件信息和与无线接入点对应的第一公钥。

第二接收模块1640，用于接收管理终端发送的第二信息，第二信息包括：无线接入点的硬件信息和无线接入点的拥有者信息。

身份认证模块1660，用于在接收到第二信息后，对硬件信息和拥有者信息进行身份认证，在身份认证通过时，将无线接入点添加至可信任无线接入点列表，并存储与无线接入点对应的第一公钥。

综上所述，本实施例提供的无线接入点认证装置，通过接收无线接入点发送的第一信息；接收管理终端发送的第二信息；在接收到第二信息后，对硬件信息和拥有者信息进行身份认证，在身份认证通过时，将无线接入点添加至可信任无线接入点列表，并存储与无线接入点对应的第一公钥；解决了现有的认证方法，认证服务器会将假冒的公众Wi-Fi默认为可信任的公众Wi-Fi，导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题；达到了通过认证服务器对无线接入点进行身份认证，使得只有真实的无线接入点才可以通过认证服务器的身份认证，提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。

请参考图17，其示出了本申请另一个实施例提供的无线接入点认证装置的结构方框图。该无线接入点认证装置可以通过软件、硬件或者两者的结合实现成为图11中认证服务器的全部或一部分。该无线接入点认证装置包括：

第一接收模块1710，用于接收无线接入点发送的第一信息，第一信息包括：无线接入点的硬件信息和与无线接入点对应的第一公钥。

一些例子中，本实施例中，第一接收模块1710，还用于接收无线接入点发送的第一信息和第一签名，第一签名是无线接入点使用与无线接入点对应的第一私钥对第一信息进行的签名。

一些例子中，第一信息还携带有第一随机数。

本实施例中，无线接入点认证装置还可以包括：反馈发送模块1720和密钥计算模块1730。

反馈发送模块1720，用于向无线接入点发送反馈信息和第二签名，第二签名是认证服务器使用与认证服务器对应的第二私钥对反馈信息进行的签名，反馈信息包括与认证服务器对应的第二公钥和第二随机数。

密钥计算模块1730，用于根据第一随机数、第二随机数和与无线接入点对应的第一公钥计算得出第一密钥，使用第一密钥对发送给无线接入点的信息进行加密。

第二接收模块1740，用于接收管理终端发送的第二信息，第二信息包括：无线接入点的硬件信息和无线接入点的拥有者信息。

身份认证模块1750，用于在接收到第二信息后，对硬件信息和拥有者信息进行身份认证，在身份认证通过时，将无线接入点添加至可信任无线接入点列表，并存储与无线接入点对应的第一公钥。

一些例子中，本实施例中，无线接入点认证装置还可以包括：请求接收模块1760和列表发送模块1770。

请求接收模块1760，用于接收管理终端发送的列表获取请求，列表获取请求用于获取认证服务器中的认证网络列表，认证网络列表是可信任无线接入点提供的各个可信服务集标识SSID的列表。

列表发送模块1770，用于向管理终端发送认证网络列表。

一些例子中，本实施例中，无线接入点认证装置还可以包括：取消接收模块1780和信息删除模块1790。

取消接收模块1780，用于接收管理终端发送的取消绑定请求，取消绑定请求包括无线接入点提供的可信SSID。

信息删除模块1790，用于根据取消绑定请求，在认证网络列表中删除无线接入点提供的可信SSID。

综上所述，本实施例提供的无线接入点认证装置，通过无线接入点向认证服务器发送第一信息；管理终端向认证服务器发送第二信息；认证服务器在接收到第二信息后，对硬件信息和拥有者信息进行身份认证，在身份认证通过时，将无线接入点添加至可信任无线接入点列表，并存储与无线接入点对应的第一公钥；解决了现有的认证方法，认证服务器会将假冒的公众Wi-Fi默认为可信任的公众Wi-Fi，导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题；达到了通过认证服务器对无线接入点进行身份认证，使得只有真实的无线接入点才可以通过认证服务器的身份认证，提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。

请参考图18，其示出了本申请实施例提供的一种无线接入点认证系统的结构方框图，该系统包括：管理终端1820、无线接入点1840和认证服务器1860；

管理终端1820，用于向认证服务器发送第二信息；

无线接入点1840，用于向认证服务器发送第一信息；

认证服务器1860，包括如图16所示实施例或图17所示实施例任一所述的无线接入点认证装置。

需要说明的是，上述实施例中，不是所有的步骤和模块都是必须的。步骤的执行顺序也可以根据需要进行调整。上述实施例提供的无线网络连接的装置在连接无线网络时，仅以上述各功能模块的划分进行举例说明。实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的无线网络连接与无线网络连接的方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

Claims

一种无线网络连接方法，其特征在于，所述方法包括：

接收无线接入点发送的接入请求，所述接入请求携带有试图接入所述无线接入点的用户终端的用户信息；

在接收到所述接入请求后，验证所述无线接入点是否为可信任无线接入点；

确定所述无线接入点为可信任无线接入点时，与用户终端进行第一身份认证；

在所述第一身份认证成功时，为所述用户终端生成主密钥，并向所述用户终端发送所述主密钥；

向所述无线接入点发送与所述用户信息对应的主密钥，以使所述无线接入点与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
根据权利要求1所述的方法，其特征在于，所述验证所述无线接入点是否属于可信任无线接入点，包括：

获取所述接入请求中携带的第一密文和与所述无线接入点对应的第一公钥；

验证所述第一公钥是否存在于可信任公钥集合中；若所述第一公钥存在于所述可信任公钥集合中，则将所述无线接入点验证为可信任无线接入点；

其中，所述可信任公钥集合存储有通过第二身份认证的无线接入点对应的公钥。
根据权利要求2所述的方法，其特征在于，所述获取所述接入请求中携带的第一密文和与所述第一公钥，包括：

通过与所述认证服务器对应的第一私钥对所述接入请求进行解密，得到所述第一密文和所述第一公钥；

其中，所述接入请求是所述无线接入点通过与所述认证服务器对应的第二公钥对所述第一密文和所述第一公钥进行加密的请求。
根据权利要求2所述的方法，其特征在于，确定所述无线接入点为可信任无线接入点时与所述用户终端进行第一身份认证，包括：

确定所述无线接入点为可信任无线接入点时，使用所述第一公钥对所述接入请求中携带的第一密文进行解密，得到所述用户信息；

查询与所述用户信息对应的密钥信息；

根据所述密钥信息与所述用户终端进行第一身份认证；

其中，所述第一密文是所述无线接入点通过与所述无线接入点对应的第二私钥对所述用户信息进行加密的密文。
根据权利要求4所述的方法，其特征在于，所述向所述无线接入点发送与所述用户信息对应的所述主密钥，包括：

使用所述第一公钥对所述主密钥进行第一加密，向所述无线接入点发送第一加密后的所述主密钥。
根据权利要求5所述的方法，其特征在于，向所述无线接入点发送第一加密后的所述主密钥，包括：

使用与所述认证服务器对应的第一私钥对第一加密后的所述主密钥进行第二加密，向所述无线接入点发送第二加密后的所述主密钥。
根据权利要求1至6任一所述的方法，其特征在于，所述接收无线接入点发送的接入请求之前，还包括：

接收所述无线接入点发送的身份认证请求，所述身份认证请求携带有认证信息和与所述无线接入点对应的第一公钥，所述认证信息和所述第一公钥均使用与所述认证服务器对应的第二公钥进行加密，所述认证信息至少包括硬件信息和/或拥有者信息；

通过与所述认证服务器对应的第一私钥对所述身份认证请求进行解密，得到所述认证信息和与所述第一公钥；

对所述认证信息进行第二身份认证，在所述第二身份认证成功时，将所述第一公钥添加至所述可信任公钥集合中。
根据权利要求7所述的方法，其特征在于，所述认证信息是所述无线接入点通过与所述无线接入点对应的第二私钥进行加密的信息；

所述对所述认证信息进行第二身份认证，包括：

通过所述第一公钥对所述认证信息进行解密，得到所述硬件信息和/或所述拥有者信息；

对所述硬件信息和/或所述拥有者信息进行所述第二身份认证，在所述第二身份认证成功时，将所述第一公钥添加至所述可信任公钥集合中。
根据权利要求1所述的方法，其特征在于，进一步包括：

接收所述无线接入点发送的第一信息，所述第一信息包括：所述无线接入点的硬件信息和与所述无线接入点对应的第一公钥；

接收管理终端发送的第二信息，所述第二信息包括：所述无线接入点的硬件信息和所述无线接入点的拥有者信息；

在接收到所述第二信息后，对所述硬件信息和所述拥有者信息进行身份认证，在所述身份认证通过时，将所述无线接入点添加至可信任无线接入点列表，并存储与所述无线接入点对应的第一公钥。
根据权利要求9所述的方法，其特征在于，所述接收无线接入点发送的第一信息，包括：

接收所述无线接入点发送的所述第一信息和第一签名，所述第一签名是所述无线接入点使用与所述无线接入点对应的第二私钥对所述第一信息进行的签名。
根据权利要求10所述的方法，其特征在于，所述第一信息还携带有第一随机数；

所述接收所述无线接入点发送的所述第一信息和第一签名之后，还包括：

向所述无线接入点发送反馈信息和第二签名，所述第二签名是所述认证服务器使用与所述认证服务器对应的第一私钥对所述反馈信息进行的签名，所述反馈信息包括与所述认证服务器对应的第二公钥和第二随机数；

根据所述第一随机数、所述第二随机数和与所述无线接入点对应的第一公钥计算得出第一密钥，使用所述第一密钥对发送给所述无线接入点的信息进行加密。
根据权利要求9至11任一所述的方法，其特征在于，所述将所述无线接入点添加至可信任无线接入点列表之后，还包括：

接收所述管理终端发送的列表获取请求，所述列表获取请求用于获取所述认证服务器中的认证网络列表，所述认证网络列表是所述可信任无线接入点提供的各个可信服务集标识SSID的列表；

向所述管理终端发送所述认证网络列表。
根据权利要求12所述的方法，其特征在于，所述向所述管理终端发送所述认证网络列表之后，还包括：

接收所述管理终端发送的取消绑定请求，所述取消绑定请求包括所述无线接入点提供的可信服务集标识SSID；

根据所述取消绑定请求，在所述认证网络列表中删除所述可信服务集标识SSID。
一种无线网络连接方法，其特征在于，所述方法包括：

接收用户终端发送的第一接入请求，所述第一接入请求携带有所述用户终端的用户信息；

向认证服务器发送第二接入请求，所述第二接入请求携带有所述用户信息；

接收所述认证服务器发送的与所述用户信息对应的主密钥，所述主密钥是所述认证服务器在接收到所述第二接入请求后，验证无线接入点属于可信任无线接入点时，与用户终端进行第一身份认证成功后为所述用户终端生成的密钥；

与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
根据权利要求14所述的方法，其特征在于，所述接收所述认证服务器发送的与所述用户信息对应的主密钥，包括：

接收所述认证服务器发送的第一加密后的主密钥，所述第一加密后的主密钥是所述认证服务器在所述无线接入点属于所述可信任无线接入点时，使用与所述无线接入点对应的第二公钥对所述主密钥进行加密后的主密钥。
根据权利要求14所述的方法，其特征在于，所述接收所述认证服务器发送的与所述用户信息对应的主密钥，包括：

接收所述认证服务器发送的第二加密后的主密钥，所述第二加密后的主密钥是所述认证服务器在所述无线接入点属于所述可信任无线接入点时，使用与所述无线接入点对应的第二公钥对所述主密钥进行第一加密，再使用与所述认证服务器对应的第一私钥对第一加密后的所述主密钥进行第二加密后的主密钥。
根据权利要求15所述的方法，其特征在于，所述与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接，包括：

使用与所述无线接入点对应的第二私钥对所述第一加密后的主密钥进行解密，得到所述主密钥；

与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
根据权利要求16所述的方法，所述与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接，包括：

使用与所述认证服务器对应的第一公钥对第二加密后的所述主密钥进行解密，得到第二密文；

使用与所述无线接入点对应的第二私钥对所述第二密文进行解密，得到所述主密钥；

与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接；

其中，所述第二密文是所述认证服务器通过与所述无线接入点对应的第二公钥对所述主密钥进行加密的密文。
根据权利要求14所述的方法，其特征在于，所述向所述认证服务器发送第二接入请求之前，还包括：

生成与所述无线接入点对应的第二公钥和第二私钥；

获取与所述认证服务器对应的第一公钥；

向所述认证服务器发送身份认证请求，所述身份认证请求携带有认证信息和与所述无线接入点对应的第二公钥，所述认证信息和与所述无线接入点对应的第二公钥均使用与所述认证服务器对应的第一公钥进行加密，所述认证信息至少包括硬件信息和/或拥有者信息。
根据权利要求19所述的方法，其特征在于，所述认证信息是通过与所述无线接入点对应的第二私钥进行加密的信息。
根据权利要求14至20中任一所述的方法，其特征在于，所述与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接，包括：

与所述用户终端使用各自持有的所述主密钥，协商生成本次连接所使用的临时密钥，根据所述临时密钥与所述用户终端建立加密无线网络连接。
一种无线网络连接装置，其特征在于，所述装置包括：

请求接收模块，用于接收无线接入点发送的接入请求，所述接入请求携带有试图接入所述无线接入点的用户终端的用户信息；

信任验证模块，用于在接收到所述第二接入请求后，验证所述无线接入点是否为可信任无线接入点；

用户认证模块，用于在确定所述无线接入点为可信任无线接入点时与所述用户终端进行第一身份认证；

密钥生成模块，用于在所述第一身份认证成功时，为所述用户终端生成主密钥，并向所述用户终端发送所述主密钥；

密钥发送模块，用于向所述无线接入点发送与所述用户信息对应的所述主密钥，以使所述无线接入点与用户终端根据各自持有的所述主密钥与用户终端协商建立加密无线网络连接。
根据权利要求22所述的装置，其特征在于，所述信任验证模块，包括：

公钥获取单元，用于获取所述第二接入请求中携带的第一密文和与所述无线接入点对应的第一公钥；

第一验证单元，用于验证所述第一公钥是否存在于可信任公钥集合中；若所述第一公钥存在于所述可信任公钥集合中，则将所述无线接入点验证为所述可信任无线接入点；

其中，所述可信任公钥集合存储有通过第二身份认证的无线接入点对应的公钥。
根据权利要求23所述的装置，其特征在于，所述公钥获取单元，还用于通过与所述认证服务器对应的第一私钥对所述接入请求进行解密，得到第一密文和所述第一公钥；

其中，所述接入请求是所述无线接入点通过与所述认证服务器对应的第二公钥对所述第一密文和所述第一公钥进行加密的请求。
根据权利要求23所述的方法，其特征在于，所述用户认证模块，包括：

密文解密单元，用于在确定所述无线接入点为可信任无线接入点时，使用与所述无线接入点对应的第二公钥对所述接入请求中携带的第一密文进行解密，得到所述用户信息；

密钥查询单元，用于查询与所述用户信息对应的密钥信息；

密钥认证单元，用于根据所述密钥信息与所述用户终端进行第一身份认证；

其中，所述第一密文是所述无线接入点通过与所述无线接入点对应的第二私钥对所述用户信息进行加密的密文。
根据权利要求25所述的装置，其特征在于，所述密钥发送模块，还用于使用所述第一公钥对所述主密钥进行第一加密，向所述无线接入点发送第一加密后的所述主密钥。
根据权利要求26所述的装置，其特征在于，所述密钥发送模块，还用于使用与所述认证服务器对应的第一私钥对第一加密后的所述主密钥进行第二加密，向所述无线接入点发送第二加密后的所述主密钥。
根据权利要求22至27中任一所述的装置，其特征在于，所述装置，还包括：

认证接收模块，用于接收所述无线接入点发送的身份认证请求，所述身份认证请求携带有认证信息和与所述无线接入点对应的第一公钥，所述认证信息和所述第一公钥均使用与所述认证服务器对应的第二公钥进行加密，所述认证信息至少包括硬件信息和/或拥有者信息；

信息解密模块，用于通过与所述认证服务器对应的第一私钥对所述身份认证请求进行解密，得到所述认证信息和所述第一公钥；

信息认证模块，用于对所述认证信息进行第二身份认证，在所述第二身份认证成功时，将所述第一公钥添加至所述可信任公钥集合中。
根据权利要求28所述的装置，其特征在于，所述认证信息是所述无线接入点通过与所述无线接入点对应的第二私钥进行加密的信息；

所述信息认证模块，包括：

第一解密单元，用于通过所述第一公钥对所述认证信息进行解密，得到所述硬件信息和/或所述拥有者信息；

第一认证单元，用于对所述硬件信息和/或所述拥有者信息进行第二身份认证，在所述第二身份认证成功时，将所述第一公钥添加至所述可信任公钥集合中。
根据权利要求22所述的装置，其特征在于，进一步包括：

第一接收模块，用于接收所述无线接入点发送的第一信息，所述第一信息包括：所述无线接入点的硬件信息和与所述无线接入点对应的第一公钥；

第二接收模块，用于接收所述管理终端发送的第二信息，所述第二信息包括：所述无线接入点的硬件信息和所述无线接入点的拥有者信息；

身份认证模块，用于在接收到所述第二信息后，对所述硬件信息和所述拥有者信息进行身份认证，在所述身份认证通过时，将所述无线接入点添加至可信任无线接入点列表，并存储与所述无线接入点对应的第一公钥。
根据权利要求22所述的装置，其特征在于，所述第一接收模块还用于接收所述无线接入点发送的所述第一信息和第一签名，所述第一签名是所述无线接入点使用与所述无线接入点对应的第一私钥对所述第一信息进行的签名，所述第一信息还携带有第一随机数；

所述装置还包括：

反馈发送模块，用于向所述无线接入点发送反馈信息和第二签名，所述第二签名是所述认证服务器使用与所述认证服务器对应的第二私钥对所述反馈信息进行的签名，所述反馈信息包括与所述认证服务器对应的第二公钥和第二随机数；

密钥计算模块，用于根据所述第一随机数、所述第二随机数和与所述无线接入点对应的第一公钥计算得出第一密钥，使用所述第一密钥对发送给所述无线接入点的信息进行加密。
根据权利要求30或31所述的装置，其特征在于，所述装置还包括：

请求接收模块，用于接收所述管理终端发送的列表获取请求，所述列表获取请求用于获取所述认证服务器中的认证网络列表，所述认证网络列表是所述可信任无线接入点提供的各个可信服务集标识SSID的列表；

列表发送模块，用于向所述管理终端发送所述认证网络列表。
根据权利要求32所述的装置，其特征在于，所述装置还包括：

取消接收模块，用于接收所述管理终端发送的取消绑定请求，所述取消绑定请求包括所述无线接入点提供的可信服务集标识SSID；

信息删除模块，用于根据所述取消绑定请求，在所述认证网络列表中删除所述可信服务集标识SSID。
一种无线网络连接装置，其特征在于，所述装置包括：

第一接收模块，用于接收用户终端发送的第一接入请求，所述第一接入请求携带有所述用户终端的用户信息；

第二接收模块，用于向认证服务器发送第二接入请求，所述第二接入请求携带有所述用户信息；

密钥接收模块，用于接收所述认证服务器发送的与所述用户信息对应的主密钥，所述主密钥是所述认证服务器在接收到所述第二接入请求后，验证无线接入点属于可信任无线接入点时，与用户终端进行第一身份认证成功后协商生成的密钥；

网络连接模块，用于与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
根据权利要求34所述的装置，其特征在于，所述密钥接收模块，还用于接收所述认证服务器发送的第一加密后的主密钥，所述第一加密后的主密钥是所述认证服务器在所述无线接入点属于所述可信任无线接入点时，使用与所述无线接入点对应的第二公钥对所述主密钥进行加密后的主密钥。
根据权利要求34所述的装置，其特征在于，所述密钥接收模块，还用于接收所述认证服务器发送的第二加密后的主密钥，所述第二加密后的主密钥是所述认证服务器在所述无线接入点属于所述可信任无线接入点时，使用与所述无线接入点对应的第二公钥对所述主密钥进行第一加密，再使用与所述认证服务器对应的第一私钥对第一加密后的所述主密钥进行第二加密后的主密钥。
根据权利要求35所述的装置，其特征在于，所述网络连接模块，包括：

第一解密单元，用于使用与所述无线接入点对应的第二私钥对所述第一加密后的主密钥进行解密，得到所述主密钥；

第一连接单元，用于与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
根据权利要求36所述的装置，其特征在于，所述网络连接模块，包括：

第二解密单元，用于使用与所述认证服务器对应的第一公钥对第二加密后的所述主密钥进行解密，得到第二密文；

第三解密单元，用于使用与所述无线接入点对应的第二私钥对所述第二密文进行解密，得到所述主密钥；

第二连接单元，用于与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接；

其中，所述第二密文是所述认证服务器通过与所述无线接入点对应的第二公钥对所述主密钥进行加密的密文。
根据权利要求34所述的装置，其特征在于，所述装置还包括：

密钥生成模块，用于生成与所述无线接入点对应的第二公钥和第二私钥；

公钥获取模块，用于获取与所述认证服务器对应的第一公钥；

信息发送模块，用于向所述认证服务器发送身份认证请求，所述身份认证请求携带有认证信息和与所述无线接入点对应的第二公钥，所述认证信息和与所述无线接入点对应的第二公钥均使用与所述认证服务器对应的第一公钥进行加密，所述认证信息至少包括硬件信息和/或拥有者信息。
根据权利要求39所述的装置，其特征在于，所述认证信息是通过与所述无线接入点对应的第二私钥进行加密的信息。
根据权利要求34至40中任一所述的装置，其特征在于，所述网络连接模块，还用于与所述用户终端使用各自持有的所述主密钥，协商生成本次连接所使用的临时密钥，使用所述临时密钥与所述用户终端建立加密无线网络连接。
一种机器可读存储介质，存储有一系列机器可执行指令，其特征在于，所述指令可以使至少一个处理器执行以下操作：

接收无线接入点发送的接入请求，所述接入请求携带有试图接入所述无线接入点的用户终端的用户信息；

在接收到所述接入请求后，验证所述无线接入点是否为可信任无线接入点；

确定所述无线接入点为可信任无线接入点时，与用户终端进行第一身份认证；

在所述第一身份认证成功时，为所述用户终端生成主密钥，并向所述用户终端发送所述主密钥；

向所述无线接入点发送与所述用户信息对应的主密钥，以使所述无线接入点与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
根据权利要求42所述的存储介质，其特征在于，所述指令可以使至少一个处理器执行以下操作：

获取所述接入请求中携带的第一密文和与所述无线接入点对应的第一公钥；

验证所述第一公钥是否存在于可信任公钥集合中；若所述第一公钥存在于所述可信任公钥集合中，则将所述无线接入点验证为可信任无线接入点；

其中，所述可信任公钥集合存储有通过第二身份认证的无线接入点对应的公钥。
根据权利要求42所述的存储介质，其特征在于，所述指令可以使至少一个处理器执行以下操作：

接收所述无线接入点发送的第一信息，所述第一信息包括：所述无线接入点的硬件信息和与所述无线接入点对应的第一公钥；

接收管理终端发送的第二信息，所述第二信息包括：所述无线接入点的硬件信息和所述无线接入点的拥有者信息；

在接收到所述第二信息后，对所述硬件信息和所述拥有者信息进行身份认证，在所述身份认证通过时，将所述无线接入点添加至可信任无线接入点列表，并存储与所述无线接入点对应的第一公钥。
一种机器可读存储介质，存储有一系列机器可执行指令，其特征在于，所述指令可以使至少一个处理器执行以下操作：

接收用户终端发送的第一接入请求，所述第一接入请求携带有所述用户终端的用户信息；

向认证服务器发送第二接入请求，所述第二接入请求携带有所述用户信息；

接收所述认证服务器发送的与所述用户信息对应的主密钥，所述主密钥是所述认证服务器在接收到所述第二接入请求后，验证发送所述第二接入请求的无线接入点为可信任无线接入点时，与用户终端进行第一身份认证成功后为所述用户终端生成的密钥；

与所述用户终端根据各自持有的所述主密钥进行加密通信。
根据权利要求45所述的存储介质，其特征在于，所述指令可以使至少一个处理器执行以下操作：

接收所述认证服务器发送的第一加密后的主密钥，所述第一加密后的主密钥是所述认证服务器在确定发送所述第二接入请求的无线接入点为可信任无线接入点时，使用与所述无线接入点对应的第二公钥对所述主密钥进行加密后的主密钥。
根据权利要求45所述的存储介质，其特征在于，所述指令可以使至少一个处理器执行以下操作：

接收所述认证服务器发送的第二加密后的主密钥，所述第二加密后的主密钥是所述认证服务器在确定发送所述第二接入请求的无线接入点属于所述可信任无线接入点时，使用与所述无线接入点对应的第二公钥对所述主密钥进行第一加密，再使用与所述认证服务器对应的第一私钥对第一加密后的所述主密钥进行第二加密后的主密钥。
根据权利要求45所述的存储介质，其特征在于，所述指令可以使至少一个处理器执行以下操作：

生成第二公钥和第二私钥；

获取与所述认证服务器对应的第一公钥；

向所述认证服务器发送身份认证请求，所述身份认证请求携带有认证信息和所述第二公钥，所述认证信息和所述第二公钥均使用与所述认证服务器对应的第一公钥进行加密，所述认证信息至少包括硬件信息和/或拥有者信息。