WO2021134344A1 - 一种控制通信接入的方法、ap及通信设备 - Google Patents

Abstract

一种控制通信接入的方法、AP及通信设备，以解决现有技术中恶意通信设备接入AP的问题。本申请中，AP接收第一通信设备的鉴权请求消息，响应该鉴权请求消息向服务器发送身份认证信息，使服务器对身份认证信息进行鉴权；若AP收到的第一响应消息指示鉴权成功，向已被授权接入AP的第二通信设备发授权请求消息，以请求第二通信设备授权第一通信设备；AP接收第二通信设备响应授权请求消息反馈的第二响应消息，并根据第二响应消息对第一通信设备进行接入控制。通过对身份认真信息的鉴权，可确保第一通信设备的真实有效。而且通过已被授权接入AP的第二通信设备确定是否授权第一通信设备，可进一步提高接入AP的通信设备的安全性。

Description

一种控制通信接入的方法、AP及通信设备 技术领域

本申请涉及通信技术领域，尤其涉及一种控制通信接入的方法、AP及通信设备。

背景技术

无线局域网(wireless local area network，WLAN)通信技术和无线保真(wireless-fidelity，WiFi)通信技术目前得到了大规模的推广和应用，随着WLAN/WiFi通信技术的广泛应用，无线网络的安全性也就显得越来越重要。

无线安全协议的发展经历了WEP–>WPA–>WPA2–>WPA3的过程，无线安全协议使得站(station，STA)与接入点(access point，AP)两者之间建立安全通信的通道。由于任何人或机构均可以建立或者设置WiFi网络，而且WiFi网络对STA是开放的，STA需要接入WiFi网络时，仅需要获取到WiFi网络的服务集标识(service set identifier，SSID)和接入密码即可。SSID是AP广播的，STA在AP附近就可以搜索到该AP广播的SSID，也就是说，STA只要获取到AP的接入密码即可接入该AP的WiFi网络。因此，可能会有一些恶意的STA通过暴力破解、攻击、空口抓包分析并伪造等方式获取到接入密码，从而通过接入密码接入该AP的WiFi网络，如此，恶意的STA可能会对接入该WiFi网络中的其它STA造成威胁。

发明内容

本申请提供一种控制通信接入的方法、AP及通信设备，用于提高接入AP的通信设备的安全性。

第一方面，本申请提供一种控制通信接入的方法，该方法包括AP接收来自第一通信设备的携带有第一通信设备的身份认证信息的鉴权请求消息，响应鉴权请求消息，向服务器发送身份认证信息，使服务器根据第一通信设备的身份认证信息对第一通信设备进行鉴权，接收来自服务器反馈的第一响应消息，若第一响应消息指示鉴权成功，则向第二通信设备发送授权请求消息，以请求第二通信设备授权第一通信设备接入AP；接收第二通信设备响应授权请求消息反馈的第二响应消息，并根据第二响应消息对第一通信设备进行接入控制；其中，第二通信设备为已被授权接入AP的通信设备。

基于该方案，通过服务器对第一通信设备的身份认证信息进行鉴权，可确定出第一通信设备的身份认证信息是否是真实有效的，从而有助于保证接入AP的通信设备的真实性。进一步，通过已被授权接入AP的第二通信设备确定是否授权第一通信设备接入，可进一步提高接入该AP的第一通信设备的安全性。即本申请中，AP是在接收到服务器反馈的第一响应消息指示鉴权成功、且收到第二通信设备授权第一通信设备接入该AP后，才允许第一通信设备接入该AP，如此，可提高接入该AP的通信设备的安全性。

在一种可能的实现方式中，身份认证信息可包括全球用户识别卡(universal subscriber identity module，USIM)的信息或第一通信设备的标识(identifier，ID)。当身份认证信息包括USIM的信息，可以通过运营商服务器鉴权第一通信设备的身份认证信息，从而可进一步提高第一通信设备的真实性。

在一种可能的实现方式中，若第一响应消息指示鉴权失败，则AP拒绝第一通信设备接入。服务器对第一通信设备的身份认真信息鉴权失败，说明第一通信设备的身份认证信息是无效的，即第一通信设备可能是伪造的通信设备，此时，AP拒绝该第一通信设备接入，从而有助于提高接入AP的通信设备的安全性。

进一步，可选地，若第二响应消息包括指示授权第一通信设备接入AP的信息，AP允许第一通信设备接入；若第二响应消息包括指示拒绝第一通信设备接入AP的信息，AP拒绝第一通信设备接入。

第二方面，本申请提供一种控制通信接入的方法，该方法包括第二通信设备接收来自AP的授权请求消息，第二通信设备响应接收到的授权请求消息，向AP发送第二响应消息，使AP根据第二响应消息对第一通信设备进行接入控制；其中，第二通信设备为已被授权接入AP的通信设备。

基于该方案，通过已被授权接入AP的第二通信设备确定是否授权第一通信设备接入AP，可提高接入该AP的通信设备的安全性。

在一种可能的实现方式中第二响应消息包括指示授权第一通信设备接入AP的信息或拒绝第一通信设备接入AP的信息。

如下，示例性地的给出了两种第二通信设备确定是否授权第一通信设备接入AP的实现方式。

实现方式一，第二通信设备可根据黑名单和/或白名单确定。

在一种可能的实现方式中，授权请求消息可包括第一通信设备的ID；若第二通信设备确定第一通信设备的ID属于预设白名单中的ID，则向AP发送包括指示授权第一通信设备接入AP的信息的第二响应消息；若第二通信设备确定第一通信设备的ID属于预设黑名单中的ID，则向AP发送包括指示拒绝第一通信设备接入AP的信息的第二响应消息。

实现方式二，第二通信设备可根据检测到的操作指令确定。

在一种可能的实现方式中，若第二通信设备检测到指示授权第一通信设备接入AP的操作指令，则向AP发送包括指示授权第一通信设备接入AP的信息的第二响应消息；若第二通信设备检测到指示拒绝第一通信设备接入AP的操作指令，则向AP发送包括指示拒绝第一通信设备接入AP的信息的第二响应消息。

第三方面，本申请提供一种控制通信接入的方法，该方法包括服务器接收来自AP响应鉴权请求发送的第一通信设备的身份认证信息，服务器根据第一通信设备的身份认证信息，对第一通信设备的身份认证信息进行鉴权，并向AP反馈第一响应消息。

基于该方案，通过服务器对第一通信设备的身份认证信息进行鉴权，可确定出第一通信设备的身份认证信息是否为真实有效的，即有助于保证接入AP的第一通信设备的真实性。

在一种可能的实现方式中，第一响应消息可指示鉴权成功或指示鉴权失败，第一通信设备为请求接入AP的通信设备。

在一种可能的实现方式中，身份认证信息可包括USIM的信息，USIM的信息可包括第一令牌token以及国际移动用户识别码(nternational mobile subscriber identification number，IMSI)，服务器接收到USIM的信息后，可确定IMSI对应的密钥，根据密钥确定第二token；若确定第二token与接收到的第一token一致，则向AP发送的第一响应消息指示鉴权成功；若确定第二token与接收到的第一token不一致，则向AP发送的第一响应 消息指示鉴权失败。

第四方面，本申请提供一种控制通信接入的方法，该方法包括第二通信设备接收来自服务器的第三响应消息，第三响应消息包括接入AP的共享密钥信息，第二通信设备确定允许第一通信设备接入AP时，向第一通信设备提供共享密钥信息，其中，第二通信设备为已被授权接入AP的通信设备。

基于该方案，可由第二通信设备确定是否允许第一通信设备接入AP，又由于第二通信设备是已被授权接入AP的通信设备，如此，有助于提高接入该AP中的通信设备的安全性。

在一种可能的实现方式中，共享密钥信息可以以口令或二维码的形式提供。如此，可以便于第一通信设备快速获取到共享密钥信息。另外，若共享密钥信息为口令，当该口令被第一通信设备使用后，即便泄露，其它的通信设备也不能再使用，如此，可进一步提高接入AP的通信设备的安全性。

如下，示例性地的示出两种第二通信设备确定允许第一通信设备接入AP的实现方式。

实现方式1

第二通信设备获取第一通信设备的标识ID，若第二通信设备确定第一通信设备的ID属于预设白名单中的ID，则向第一通信设备提供共享密钥信息。

实现方式2

若第二通信设备检测到指示授权第一通信设备接入AP的操作指令，则向第一通信设备提供共享密钥信息。

第五方面，本申请提供一种控制通信接入的方法，该方法包括第一通信设备通过AP向服务器发送获取共享密钥的请求消息，以请求服务器为第一通信设备生成接入AP的共享密钥信息，第一通信设备从第二通信设备获取该共享密钥信息，第一通信设备通过该共享密钥信息接入AP，其中，第二通信设备为已被授权接入AP的通信设备。

基于该方案，可由第二通信设备确定是否允许第一通信设备接入AP，又由于第二通信设备是已被授权接入AP的通信设备，如此，有助于提高接入该AP中的通信设备的安全性。

在一种可能的实现方式中，第一通信设备可通过扫描第二通信设备提供的二维码，获取接入AP的共享密钥信息。在另一种可能的实现方式中，第一通信设备可通过复制第二通信设备提供的口令，获取接入AP的共享密钥信息。

在一种可能的实现方式中，获取共享密钥的请求消息包括第一通信设备的ID。

第六方面，本申请提供一种控制通信接入的方法，该方法包括服务器接收来自AP的获取共享密钥的请求消息，服务器响应获取共享密钥的请求消息，生成接入AP的共享密钥信息，并向第二通信设备发送第三响应消息，第三响应消息包括接入AP的共享密钥信息，第二通信设备为已被授权接入AP的通信设备。

基于该方案，服务器将接入AP的共享密钥信息发送至第二通信设备，由第二通信设备确定是否允许第一通信设备接入AP，又由于第二通信设备是已被授权接入AP的通信设备。如此，有助于提高接入该AP中的第一通信设备的安全性。

第七方面，本申请提供一种AP，该AP具有实现上述第一方面中的AP的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。

在一种可能的实现方式中，该通信设备可以是AP，或者是可用于AP中的模块，例如芯片或芯片系统或者电路。有益效果可参见上述第一方面的描述，此处不再赘述。该通信设备可以包括：收发器和处理器。该处理器可被配置为支持该通信设备执行以上所示AP的相应功能，该收发器用于支持该通信设备与第一通信设备、第二通信设备和服务器等之间的通信。其中，收发器可以为独立的接收器、独立的发射器、集成收发功能的收发器、或者是接口电路。可选地，该通信设备还可以包括存储器，该存储器可以与处理器耦合，其保存该通信设备必要的程序指令和数据。

收发器用于接收来自第一通信设备的鉴权请求消息，鉴权请求消息携带有第一通信设备的身份认证信息，响应鉴权请求消息，向服务器发送第一通信设备的身份认证信息，使服务器根据身份认证信息对第一通信设备进行鉴权，接收来自服务器反馈的第一响应消息；若第一响应消息指示鉴权成功，则向第二通信设备发送授权请求消息，以请求第二通信设备授权第一通信设备接入AP，接收第二通信设备响应授权请求消息反馈的第二响应消息；处理器用于根据第二响应消息对第一通信设备进行接入控制，第二通信设备为已被授权接入AP的通信设备。

在一种可能的实现方式中，身份认证信息包括USIM的信息或第一通信设备的ID。

在一种可能的实现方式中，若第一响应消息指示鉴权失败，处理器还用于拒绝第一通信设备接入。

在一种可能的实现方式中，第二响应消息包括指示授权第一通信设备接入AP的信息、或指示拒绝第一通信设备接入AP的信息。若第二响应消息包括指示授权第一通信设备接入AP的信息，处理器具体用于允许第一通信设备接入；若第二响应消息包括指示拒绝第一通信设备接入AP的信息，处理器具体用于拒绝第一通信设备接入。

第八方面，本申请提供一种通信设备，该通信设备具有实现上述第二方面中的第二通信设备或第四方面中的第二通信设备或第五方面第一通信设备的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。

在一种可能的实现方式中，该通信设备可以是第二通信设备，或第一通信设备，或者是可用于第二通信设备的模块，例如芯片或芯片系统或者电路，或者是可用于第一通信设备的模块。该通信设备可以包括：收发器和处理器。该处理器可被配置为支持该通信设备执行以上所示第二通信设备或第一通信设备的相应功能，该收发器用于支持该通信设备与其它通信设备和AP等之间的通信。其中，收发器可以为独立的接收器、独立的发射器、集成收发功能的收发器、或者是接口电路。可选地，该通信设备还可以包括存储器，该存储器可以与处理器耦合，其保存该通信设备必要的程序指令和数据。

一种可能的情形下，该通信设备具有实现上述第二方面中的第二通信设备的功能，有益效果可参见上述第二方面的描述，此处不再赘述。

收发器用于接收来自接入点AP的授权请求消息，通信设备为已被授权接入AP的通信设备；处理器与收发器协作，用于响应授权请求消息，向AP发送第二响应消息，使AP根据第二响应消息对第一通信设备进行接入控制。

在一种可能的实现方式中，授权请求消息可包括第一通信设备的ID。

在一种可能的实现方式中，处理器与收发器协作，具体用于：若处理器确定第一通信设备的ID属于预设白名单中的ID，则收发器向AP发送包括指示授权第一通信设备接入 AP的信息的第二响应消息；若处理器确定第一通信设备的ID属于预设黑名单中的ID，则收发器向AP发送包括指示拒绝第一通信设备接入AP的信息的第二响应消息。

在一种可能的实现方式中，处理器与收发器协作，具体用于：若处理器检测到指示授权第一通信设备接入AP的操作指令，则收发器向AP发送包括指示授权第一通信设备接入AP的信息的第二响应消息；若处理器检测到指示拒绝第一通信设备接入AP的操作指令，则收发器向AP发送包括指示拒绝第一通信设备接入AP的信息的第二响应消息。

另一种可能的情形下，该第二通信设备具有实现上述第四方面中的第二通信设备的功能，有益效果可参见上述第四方面的描述，此处不再赘述。

收发器用于接收来自服务器的第三响应消息，第三响应消息包括接入AP的共享密钥信息，通信设备为已被授权接入AP的通信设备；处理器用于在确定允许第一通信设备接入AP时，向第一通信设备提供接入AP的共享密钥信息。

在一种可能的实现方式中，处理器具体用于根据共享密钥信息生成二维码或者口令；通信设备还包括显示器，显示器用于向第一通信设备显示二维码或者口令。

在一种可能的实现方式中，处理器具体用于获取第一通信设备的标识ID；若确定第一通信设备的ID属于预设白名单中的ID，则向第一通信设备提供共享密钥信息。

在一种可能的实现方式中，处理器具体用于若检测到指示授权第一通信设备接入AP的操作指令，则向第一通信设备提供共享密钥信息。

再一种可能的情形下，该通信设备具有实现上述第五方面中的第一通信设备的功能，有益效果可参见上述第五方面的描述，此处不再赘述。

收发器用于通过接入点AP向服务器发送获取共享密钥的请求消息，以请求服务器为通信设备生成接入AP的共享密钥信息；处理器用于从第二通信设备获取接入AP的共享密钥信息，通过接入AP的共享密钥信息接入AP，第二通信设备为已被授权接入AP的通信设备。

在一种可能的实现方式中，处理器具体用于通过扫描第二通信设备提供的二维码，获取接入AP的共享密钥信息；或者可通过复制第二通信设备提供的口令，获取接入AP的共享密钥信息。

在一种可能的实现方式中，获取共享密钥的请求消息包括通信设备的ID。

第九方面，本申请提供一种服务器，该服务器具有实现上述第三方面中的服务器或第六方面中的服务器的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。

在一种可能的实现方式中，该服务器可以包括：收发器和处理器。该处理器可被配置为支持该服务器执行以上所示服务器的相应功能，该收发器用于支持该服务器与AP等之间的通信。其中，收发器可以为独立的接收器、独立的发射器、集成收发功能的收发器、或者是接口电路。可选地，该通信设备还可以包括存储器，该存储器可以与处理器耦合，其保存该通信设备必要的程序指令和数据。

在一种情形下，该服务器具有实现上述第三方面中的服务器的功能，有益效果可参见上述第三方面的介绍，此处不再赘述。

收发器用于来自AP的第一通信设备的身份认证信息，处理器用于根据第一通信设备的身份认证信息，对第一通信设备的身份认证信息进行鉴权，收发器还用于向AP发送第一响应消息，第一响应消息指示鉴权成功或指示鉴权失败，其中，第一通信设备为请求接 入AP的通信设备。

在一种可能的实现方式中，身份认证信息包括USIM的信息，USIM的信息包括第一token以及IMSI，处理器具体用于确定IMSI对应的密钥，根据密钥确定第二token；若确定第二token与接收到的第一token一致，则通过收发器向AP发送的第一响应消息指示鉴权成功；若确定第二token与接收到的第一token不一致，则通过收发器向AP发送的第一响应消息指示鉴权失败。

在另一种情形下，服务器具有实现上述第六方面中的服务器的功能，有益效果可参见上述第六方面的介绍，此处不再赘述。

收发器用于接收来自AP的获取共享密钥的请求消息，处理器用于响应获取共享密钥的请求消息，生成接入AP的共享密钥信息，并通过收发器向第二通信设备发送第三响应消息，第三响应消息包括接入AP的共享密钥信息，第二通信设备为已被授权接入AP的通信设备。

第十方面，本申请提供一种AP，用于实现上述第一方面或第一方面中的任意一种方法包括相应的功能模块，分别用于实现以上方法中的步骤。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的实施方式中，该AP可以括处理模块和收发模块，这些模块可以执行上述方法示例中终端设备的相应功能，具体参见方法示例中的详细描述，此处不做赘述。

第十一方面，本申请提供一种通信设备，用于实现上述第二方面或第二方面中的任意一种方法，或者用于实现上述第四方面或第四方面中的任意一种方法，或者用于实现上述第五方面或第五方面中的任意一种方法，包括相应的功能模块，分别用于实现以上方法中的步骤。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的实施方式中，该通信设备可为第一通信设备或第二通信设备，该第一通信设备或第二通信设备可以括处理模块和收发模块，这些模块可以执行上述方法示例中终端设备的相应功能，具体参见方法示例中的详细描述，此处不做赘述。

第十二方面，本申请提供一种服务器，用于实现上述第三方面或第三方面中的任意一种方法，或者用于实现上述第六方面或第六方面中的任意一种方法，包括相应的功能模块，分别用于实现以上方法中的步骤。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。

第十三方面，本申请提供一种通信系统，该通信系统包括第一通信设备、第二通信设备、AP和服务器。在一种可能的实现方式中，AP可以用于执行上述第一方面或第一方面中的任意一种方法，第二通信设备可以用于执行上述第二方面或第二方面中的任意一种方法，服务器可以用于执行上述第三方面或第三方面中的任意一种方法。在另一种可能的实现方式中，第二通信设备可以用于执行上述第四方面或第四方面中的任意一种方法，第一通信设备可以用于执行上述第五方面或第五方面中的任意一种方法，服务器可以用于执行上述第六方面或第六方面中的任意一种方法。

第十四方面，本申请提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序或指令，当计算机程序或指令被AP执行时，使得该AP执行上述第一方面或第一方面的任意可能的实现方式中的方法。

第十五方面，本申请提供一种计算机可读存储介质，计算机可读存储介质中存储有计 算机程序或指令，当计算机程序或指令被通信设备执行时，使得该通信设备执行上述第二方面或第二方面的任意可能的实现方式中的方法、或者使得该通信设备执行第四方面或第四方面的任意可能的实现方式中的方法、或者使得该通信设备执行第五方面或第五方面的任意可能的实现方式中的方法。

第十六方面，本申请提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序或指令，当计算机程序或指令被服务器执行时，使得该服务器执行上述第三方面或第三方面的任意可能的实现方式中的方法、或者使得该通信设备执行第六方面或第六方面的任意可能的实现方式中的方法。

第十七方面，本申请提供一种计算机程序产品，该计算机程序产品包括计算机程序或指令，当该计算机程序或指令被AP执行时，实现上述第一方面或第一方面的任意可能的实现方式中的方法。

第十八方面，本申请提供一种计算机程序产品，该计算机程序产品包括计算机程序或指令，当该计算机程序或指令被通信设备执行时，实现上述第二方面或第二方面的任意可能的实现方式中的方法、或者使得该通信设备执行第四方面或第四方面的任意可能的实现方式中的方法、或者使得该通信设备执行第五方面或第五方面的任意可能的实现方式中的方法。

第十九方面，本申请提供一种计算机程序产品，该计算机程序产品包括计算机程序或指令，当该计算机程序或指令被服务器执行时，实现上述第三方面或第三方面的任意可能的实现方式中的方法、或者实现上述第六方面或第六方面的任意可能的实现方式中的方法。

附图说明

图1为本申请提供的一种通信系统架构示意图；

图2为本申请提供的一种控制通信接入方法的方法流程示意图；

图3为本申请提供的一种通信设备接入AP的方法流程示意图；

图4为本申请提供的另一种控制通信接入方法的方法流程示意图；

图5为本申请提供的一种AP的结构示意图；

图6为本申请提供的一种AP的结构示意图；

图7为本申请提供的一种通信设备的结构示意图；

图8为本申请提供的一种通信设备的结构示意图；

图9为本申请提供的一种终端设备的结构示意图。

具体实施方式

下面将结合附图，对本申请实施例进行详细描述。

图1是本申请的可应用的一种通信系统的架构示意图。如图1所示，该通信系统可包括接入点(access point，AP)101和至少一个站(station，STA)(图1以STA102和STA103为例)。AP101与STA102之间、AP101与STA103之间均可进行WLAN/WiFi通信。其中，STA103可以是固定位置的，也可以是可移动的。本申请对该通信系统中包括的AP和STA的数量不做限定。若AP与单个STA之间进行WLAN通信，即该通信系统可以用于单用户上下行传输；若AP与多个STA之间进行WLAN通信，即该通信系统也可以用于多用 户上下行传输。进一步，可选地，该通信系统还可包括服务器104。需要说明的是，服务器104也可以是虚拟服务器，可集成于AP内。

AP(如AP101)也称为无线接入点或热点等，是无线网和有线网之间沟通的桥梁，是组建无线局域网的核心设备。主要用于提供STA和有线局域网之间的互相访问，在AP信号覆盖范围内的STA可以通过AP进行相互通信。也就是说，AP是STA进入有线网络的接入点。AP可部署于家庭、大楼内部以及园区内部，典型覆盖半径为几十米至上百米。当然，也可以部署于户外。AP可以为基站(base station)、演进型基站(evolved NodeB，eNodeB)、发送接收点(transmission reception point，TRP)、5G通信系统中的下一代基站(next generation NodeB，gNB)、未来通信系统中的基站或无线保真WiFi系统中的接入点等；也可以是完成基站部分功能的模块或单元，例如，可以是集中式单元(central unit，CU)，也可以是分布式单元(distributed unit，DU)；也可以是路由器；也可以是交换机；也可以是网桥；也可以是无线网关；也可以是STA等。本申请对AP所采用的具体技术和具体设备形态不做限定。可选地，AP可以支持802.11ax协议；进一步可选地，AP可以支持802.11ac、802.11n、802.11g、802.11b及802.11a等多种WLAN协议。

STA(如STA102和STA103)是连接到无线网络中的通信设备，例如无线通讯芯片、终端设备等；其中，终端设备也可以称为终端、用户设备(user equipment，UE)、移动台、移动终端等。终端设备可以是手机、平板电脑、带无线收发功能的电脑、虚拟现实终端设备、增强现实终端设备、工业控制中的无线终端、无人驾驶中的无线终端、远程手术中的无线终端、智能电网中的无线终端、运输安全中的无线终端、智慧城市中的无线终端、智慧家庭中的无线终端等等。本申请对终端设备所采用的具体技术和具体设备形态不做限定。在一种可能的实现方式中，无线终端可为能够运行实体客户识别模块(subscriber identity module，SIM)卡或虚拟SIM卡的终端。可选地，STA可以支持802.11ax协议；进一步可选地，STA可支持802.11ac、802.11n、802.11g、802.11b及802.11a等多种WLAN协议。

AP与STA之间可以通过2.4千兆赫(gigahertz，GHz)的频谱进行通信，也可以通过5GHz的频谱进行通信，还可以通过60GHz的频谱进行通信。本申请对AP和STA之间所使用的频谱资源不做限定。

图1所示的通信系统可应用于智能家庭的WiFi网络。当图1所示的通信系统应用于智能家庭的WiFi网络中时，AP 101可为路由器、STA 102和STA 103可为智慧家庭中的无线终端，例如手机、平板电脑、笔记本电脑、智能冰箱、智能空调等。一种可能的情况下，有新的无线终端需要接入该智能家庭的WiFi网络，例如，客人到访，客人的手机可能需要接入智能家庭的WiFi网络。

需要说明的是，本申请所描述的系统架构以及应用场景是为了更加清楚的说明本申请的技术方案，并不构成对本申请提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本申请提供的技术方案对于类似的技术问题，同样适用。

以下，对本申请中的部分用语进行解释说明，以便于本领域技术人员理解。

1)基本服务集(basic service set，BSS)

BSS用于描述在一个802.11WLAN中的一组相互通信的移动设备。一个BSS可以包含AP(接入点)，也可以不包含AP。基本服务集有两种类型：一种是独立基本服务集 (independent BSS，IBSS)，由少数几个工作站为了特定目的而组成的暂时性网络，因为持续时间不长，规模甚小且目的特殊，有时也被称为特设BSS或特设网络，在IBSS中，工作站相互之间可以直接通信，但两者的距离必须在可以直接通信的范围内。另一种是基础结构型基本服务集(infrastructure BSS)，包含一个AP和若干个移动台。

2)服务集标识(service set identifier，SSID)

SSID可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入网络。

3)IMSI

IMSI是用于区分蜂窝网络中不同用户的、在所有蜂窝网络中不重复的识别码。手机可将IMSI存储于一个64比特的字段发送给网络。IMSI可以用来在归属位置寄存器(home location register，HLR)或拜访位置寄存器(visitor location register，VLR)中查询用户的信息。

4)USIM

USIM也称为升级SIM，USIM在安全性方向对算法进行了升级，并增加了卡对网络接入AP的功能。这种双向认证可以有效防止黑客对卡的攻击。

5)快速反应(quick response，QR)码

QR码是一种能够存储信息的二维码，可通过对文字、统一资源定位符(uniform resource locator，URL)地址和其它类型的数据加密得到的。

6)口令

根据专门的算法生成的不可预测的随机数字和/或字母的组合，每个口令只能被使用一次。

7)共享密钥

共享密钥，用于验证第二层隧道协议(layer 2 tunneling protocol，L2TP)/互联网安全协议(internet protocol security，IPSec)连接的统一码(Unicode)字符串。使用者可以输入预先配置好的相同密钥来接入网络，密钥可以是8到63个ASCII字符、或是64个16位数字(256比特)。

下面对本申请提供的用于解决背景技术中的技术问题的控制通信接入的方法进行详细说明。在下文的介绍中，AP可以是上述图1中的AP101，STA可以是上述图1中的STA102或STA103。若图1所示的通信系统应用于智能家庭的WiFi网络，第一通信设备可以是待接入智能家庭的WiFi网络的通信设备，例如，到访客人的手机；第二通信设备可以智能家庭的WiFi网络中已被授权接入AP的任一通信设备，例如，主人手机。

下面参考图2，为本申请提供的控制通信接入的方法的流程示意图。在下文介绍中，接入AP是指接入AP的网络或接入AP的BSS。例如，第一通信设备接入AP是指第一通信设备接入AP的网络或第一通信设备接入AP的BSS。再比如，第二通信设备接入AP是指第二通信设备接入AP的网络或第二通信设备接入AP的BSS。该控制通信接入的方法包括：

步骤200，第二通信设备接入AP。

该步骤200可为可选步骤。

此处，第二类通信设备可以通过多种权限接入AP。比如第二通信设备可采用证书加密的方式接入AP，基于证书加密的方式接入时，第二通信设备具有高的权限；再比如，第二通信设备可采用专用密码的方式接入AP，基于专用密码的方式接入AP时，第二通信设备具有中等级别的权限。第二通信设备通过专用密码或者证书加密等方式接入AP，一方面，可确保第二通信设备为已被授权接入AP的通信设备；另一方面，对于AP来说，第二通信设备是安全的。

步骤201，第一通信设备向AP发送鉴权请求消息。相应地，AP接收来自第一通信设备的鉴权请求消息。

此处，鉴权请求消息携带有第一通信设备的身份认证信息，该身份认证信息可以唯一的标识出第一通信设备。

在一种可能的实现方式中，第一通信设备的身份认证信息可包括第一通信设备的SIM的信息，比如USIM的信息；或者第一通信设备的身份认证信息包括第一通信设备的ID，比如，第一通信设备通过特定的应用生成的ID，再比如，基于华为系统生成的账号信息等。可以理解的是，第一通信设备选择哪种作为身份认证信息，可以是第一通信设备与服务器预先约定的，也可以是第一通信设备确定后通知服务器的，或者也可以是协议规定的，本申请对此不做限定。

步骤202，AP响应鉴权请求消息，向服务器发送第一通信设备的身份认证信息。相应地，服务器接收来自AP的第一通信设备的身份认证信息。

其中，第一通信设备的身份认证信息可用于服务器对第一通信设备身份认证信息进行鉴权。

在一种可能的实现方式中，鉴权请求消息可以仅包括第一通信设备的身份认证信息，AP响应鉴权请求消息，可直接将该鉴权请求消息转发至服务器。在另一种可能的实现方式中，鉴权请求消息可以包括第一通信设备的身份认证信息和支持的加密模式等，AP响应鉴权请求消息，可将鉴权请求消息中的第一通信设备的身份认证信息发送至服务器。

步骤203，服务器可根据身份认证信息，对第一通信设备进行鉴权。

此处，基于第一通信设备的身份认证信息，如下示例性地的给出了两种服务器对第一通信设备的进行鉴权方式。

方式一，第一通信设备的身份认证信息为第一通信设备的SIM卡的信息。

如下以SIM卡的信息为USIM的信息为例，USIM的信息可包括第一token和IMSI，其中，第一token是USIM通过预置的密钥计算得到的。

在该方式一，服务器可为电信运营商服务器。在一种可能的实现方式中，电信运营商服务器中存储有发放的USIM的IMSI与密钥的关系。

基于该方式一，服务器对第一通信设备的鉴权过程包括：服务器接收到第一通信设备的USIM的信息(即第一token和IMSI)后，确定IMSI对应的密钥，根据该密钥确定第二token，例如，可通过第一加密算法对确定出的密钥进行计算，得到第二token。若确定接收到的第一token与计算出的第二token一致，则服务器确定对该第一通信设备的鉴权成功，即该第一通信设备的身份认证信息为真实有效的。若确定接收到的第一token与计算出的第二token不一致，则服务器确定对该第一通信设备的鉴权失败。即第一通信设备的身份认证信息是不真实的。应理解，第一加密算法可以是服务器与第一通信设备约定的，也可以是服务器确定后通知第一通信设备，本申请对此不做限定。

方式二，第一通信设备的身份认证信息为第一通信设备的ID。进一步，可选地，第一通信设备的身份认证信息还可包括第一校验信息。

基于该方式二，若第一通信设备的ID是基于华为系统生成的账号信息，则服务器可为华为服务器。在一种可能的实现方式中，第一校验信息可以是第一通信设备根据第一通信设备的ID(即账号信息)确定的，例如，第一通信设备可通过第二加密算法对第一通信设备的ID(即账号信息)计算得到的第一校验信息。需要说明的是，第二加密算法可以是华为服务器和第一通信设备预先约定的，也可以是华为服务器确定第二加密算法后，通知第一通信设备，本申请对此不做限定。

基于该方式二，服务器对第一通信设备的鉴权过程包括：服务器接收到第一通信设备的ID(账号信息)后，通过第二加密算法对第一通信设备的ID进行计算，得到第二校验信息；若确定接收到的第一校验信息与计算出的第二校验信息一致，则服务器确定对该第一通信设备鉴权成功。若确定接收到的第一校验信息与计算出的第二校验信息不一致，则服务器确定对该第一通信设备鉴权失败。

基于上述方式二，若第一通信设备的ID是某类特定设备的ID，例如该类特定设备的媒体访问控制(medium access control，MAC)地址，服务器可为支持鉴权服务的服务器。若第一通信设备的ID为通过特定应用生成的ID，例如根据第一通信设备的MAC地址和时间等信息生成的ID；服务器也可为支持鉴权服务的服务器。支持鉴权服务的服务器对第一通信设备的鉴权过程可参见上述华为服务器对第一通信设备的鉴权过程，此处不再一一赘述。

需要说明的是，第一加密算法可以是哈希消息认证码(hash message authentication code，HMAC)-信息摘要(message-digest algorithm，MD)5，HMAC-安全散列算法(secure hash algorithm，SHA)1、HMAC-SHA256、HMAC-SHA512等，上述第二加密算法可以与第一加密算法相同，也可以不相同，本申请对此不做限定。

本申请中，通过服务器对第一通信设备的鉴权，可确保第一通信设备的身份认证信息是真实有效的，从而可有效防止非法的通信设备接入该AP。

步骤204，服务器向AP反馈第一响应消息。相应地，AP接收来自服务器反馈的第一响应消息。

此处，第一响应消息指示鉴权失败或指示鉴权成功。也可以理解为，若服务器基于上述步骤203对第一通信设备鉴权成功，则第一响应消息指示鉴权成功；若服务器基于上述步骤203对第一通信设备鉴权失败，则第一响应消息指示鉴权失败。

示例性地，第一响应消息可以是1个比特，例如“0”指示鉴权失败，“1”指示鉴权成功。第一响应信息还可用其它方式指示鉴权成功或鉴权失败，本申请对此不做限定。

需要说明的是，在上述步骤204之后，若第一响应消息指示鉴权成功，则执行步骤205；若第一响应消息指示鉴权失败，则执行步骤206。

步骤205，AP向第二通信设备发送授权请求消息。相应地，第二通信设备接收来自AP的授权请求消息。在步骤205后执行步骤207。

此处，授权请求消息用于请求第二通信设备授权第一通信设备接入AP。

在一种可能的实现方式中，授权请求消息可包括第一通信设备的ID，例如，第一通信设备的MAC地址，再比如，第一通信设备的身份证书信息。

步骤206，AP拒绝第一通信设备接入。

示例性地，AP接收到来自服务器的第一响应信息指示鉴权失败后，可向第一通信设备发送认证失败的消息，以通知第一通信设备鉴权失败。也就是说，AP不允许第一通信设备接入。

步骤207，第二通信设备响应授权请求消息，向AP反馈第二响应消息。相应地，AP接收来自第二通信设备反馈的第二响应消息。

此处，第二响应消息包括指示授权第一通信设备接入AP的信息、或指示拒绝第一通信设备接入AP的信息。也可以理解为，第二通信设备若授权第一通信设备接入AP，则第二响应消息包括指示授权第一通信设备接入AP的信息；第二通信设备若拒绝第一通信设备接入AP的对应的网络，则第二响应消息包括指示拒绝第一通信设备接入AP的信息。

示例性地，指示授权第一通信设备接入AP的信息可以是2个比特，例如“11”指示拒绝第一通信设备接入AP的信息可以是2个比特，例如“00”，本申请对此不做限定。

在一种可能的实现方式中，第二通信设备中可存储有预设的黑名单和白名单。授权请求消息包括第一通信设备的ID，第二通信设备若确定授权请求消息中包括的第一通信设备的标ID在白名单上，则向AP发送包括指示授权第一通信设备接入AP的信息的第二响应消息；第二通信设备若确定授权请求消息中包括的第一通信设备的ID在黑名单上，则向AP发送包括指示拒绝第一通信设备接入AP的信息的第二响应消息。

结合上述场景，若该AP为智能家庭中的WiFi网络中的路由器，则白名单可以设置家庭中的智能家居的标识，可以是智能家居的MAC地址等。如此，有助于避免智能家居每次接入智能家庭中的WiFi网络时，都需要主人逐一确定是否授权。

在另一种可能的实现方式中，第二通信设备可在界面上显示第一通信设备的ID，使用第二通信设备的用户可基于第二通信设备显示的第一通信设备的ID，在第二通信设备的所显示的界面进行操作，例如，界面上可显示“授权”和“拒绝”的提示信息按钮；若第二通信设备检测到指示授权第一通信设备接入AP的操作指令，则向AP发送包括指示授权第一通信设备接入AP的信息的第二响应消息；若第二通信设备检测到指示拒绝第一通信设备接入AP的操作指令，则向AP发送包括指示拒绝第一通信设备接入AP的信息的第二响应消息。

步骤208，AP根据第二响应消息对第一通信设备进行接入控制。

此处，若第二响应消息包括指示授权第一通信设备接入AP的信息，AP允许第一通信设备接入该AP；若第二响应消息包括指示拒绝第一通信设备接入AP的信息，AP拒绝第一通信设备接入该AP。

从上述步骤201至步骤208可以看出，通过服务器对第一通信设备的身份认证信息进行鉴权，可确定出第一通信设备的身份认证信息是否为真实有效的，即有助于保证接入AP的通信设备的真实性。进一步，通过已被授权接入AP的第二通信设备确定是否授权第一通信设备接入AP，可进一步提高接入该AP的通信设备的安全性。也就是说，AP是在接收到服务器反馈的第一响应消息指示鉴权成功、且收到第二通信设备授权第一通信设备接入该AP后，才允许第一通信设备接入该AP，如此，可提高接入该AP的通信设备的安全性。

本申请中，AP允许第一通信设备接入AP后，第一通信设备可基于四次握手的方式接入AP，参考图3，以WiFi保护访问(WiFi protected acces，WPA)/WPA2-预共享密钥 (pre-shared key，PSK)为例，为本申请提供的一种通信设备接入AP的方法流程示意图。该方法包括如下步骤：

步骤301，AP向第一通信设备发送第一随机数(ANonce)。相应地，第一通信设备接收来自AP的第一随机数(ANonce)。

此处，第一通信设备收到ANonce后，可以根据ANonce生成临时密钥(pairwise transient key，PTK)。

步骤302，第一通信设备向AP发送第二随机数(SNonce)和秘钥确认秘钥(key confirmation key，MIC)。相应地，AP接收来自第一通信设备的SNonce和MIC。

此处，AP将接收到的MIC和生成的MIC进行完整性校验。若校验失败，则握手失败；若校验成功，AP可根据SNonce生成PTK和组临时密钥(group transient key，GTK)。

步骤303，AP向第一通信设备发送GTK和MIC。

此处，由于AP和第一通信设备均已经得到了PTK，因此，AP会对GTK进行密钥加密密钥(key encryption key，KEK)加密。

步骤304，第一通信设备向AP发送确认字符(acknowledge character，ACK)进行确认。

基于上述步骤301至步骤304，四次握手完成，第一通信设备接入了AP。

需要说明的是，图3所示的通信设备接入AP的方法流程仅是示例性的说明，第一通信设备也可以通过其他的方式接入AP，本申请对此不做限定。

如图4所示，为本申请提供的另一种控制通信接入方法的方法流程示意图。该方法包括以下步骤：

步骤400，第二通信设备接入AP。

该步骤400为可选步骤，详细介绍可参见上述步骤200的介绍，此处不再一一赘述。

步骤401，第一通信设备通过AP向服务器发送获取共享密钥的请求消息。相应地，服务器接收来自AP的获取共享密钥的请求消息。

此处，获取共享密钥的请求消息用于请求服务器为第一通信设备生成接入AP的共享密钥信息。该步骤401也可理解为，第一通信设备向AP发送获取共享密钥的请求消息，AP可将该获取共享密钥的请求消息转发至服务器。

在一种可能的实现方式中，获取共享密钥的请求消息包括第一通信设备的ID，比如第一通信设备的MAC地址，再比如，第一通信设备通过特定的应用生成的ID，再比如基于华为系统生成的账号信息，或者其他可以唯一的标识第一通信设备的ID。可以理解的是，第一通信设备选择哪种作为第一通信设备的ID，可以是第一通信设备与服务器预先约定的，也可以是第一通信设备确定后通知服务器的，或者也可以是协议规定的，本申请对此不做限定。

步骤402，服务器响应获取共享密钥的请求消息，生成接入AP的共享密钥信息。

该步骤402为可选步骤。

在一种可能的实现方式中，服务器可根据获取共享密钥的请求消息中包括的第一通信设备的ID生成接入AP的共享密钥信息，共享密钥信息包括接入AP的接入密码。

示例性地，服务器可以采用密钥生成算法，如HMAC-SHA 256算法，对第一通信设备的ID进行计算，生成第一通信设备接入AP的共享密钥信息。

步骤403，服务器向第二通信设备发送第三响应消息。相应地，第二通信设备接收来 自服务器的第三响应消息。

其中，第三响应消息包括接入AP的共享密钥信息。

步骤404，第二通信设备确定允许第一通信设备接入AP时，向第一通信设备提供接入AP的共享密钥信息。

如下，示例性地的提供三种第二通信设备确定是否允许第一通信设备接入AP的实现方式。

实现方式1

第二通信设备获取第一通信设备的标识ID，若第二通信设备确定第一通信设备的ID属于预设白名单中的ID，则向第一通信设备提供共享密钥信息。

实现方式2

若第二通信设备检测到指示授权第一通信设备接入AP的操作指令，则向第一通信设备提供共享密钥信息。示例性地，第二通信设备可在界面授权或拒绝的操作，例如，界面上可显示“授权”和“拒绝”的提示信息按钮。

实现方式3

在第一通信设备和第二通信设备中预置合法的token，在一定时限内，若第二通信设备确定本地预置的token和接收来自第一通信设备的token一直，则确定允许第一通信设备接入AP。

本申请中，第二通信设备可根据接入AP的共享密钥信息，生成二维码或口令，其中，二维码可以是QR码，口令可以是字符串口令。

在一种可能的实现方式中，第二通信设备可以在第二通信设备的界面上显示二维码或者字符串口令。如此，可以便于第一通信设备快速获取到共享密钥信息。另外，若共享密钥信息为口令，当该口令被第一通信设备使用后，即便泄露，其它的通信设备也不能再使用，如此，可进一步提高接入AP的通信设备的安全性。

步骤405，第一通信设备从第二通信设备获取接入AP的共享密钥信息。

若第二通信设备显示的是二维码，第一通信设备可扫描第二通信设备显示的二维码，获得接入AP的共享密钥信息。若第二通信设备显示的是字符串口令，第一通信设备可通过复制字符串口令，获得接入AP的共享密钥信息。

步骤406，第一通信设备通过接入AP的共享密钥信息，接入AP。

此处，AP可从服务器获取到该共享密钥信息。例如，服务器确定出第一通信设备与AP之间的共享密钥信息后，向AP发送该共享密钥信息。当AP和第一通信设备均获取到该共享密钥信息后，第一通信设备可通过该共享密钥信息接入AP。需要说明的是，第一通信设备接入AP的共享密钥信息也是由服务器确定的。

通过上述步骤401至步骤406可以看出，可由第二通信设备确定是否允许第一通信设备接入AP，又由于第二通信设备是已被授权接入AP的通信设备，如此，有助于提高接入该AP中的通信设备的安全性。

需要说明的是，在上述步骤406之前，第二通信设备可向服务器发送第二通信设备所支持的认证策略，服务器可从第二通信设备所支持的认证策略中确定一个为认证策略为第一通信设备和AP之间的认证策略，便于第一通信设备接入AP。其中，认证策略包括WPA，WPA2，WPA3或者其他私有加密认证协议。当然，AP与第一通信设备在之间的认证策略也可以预先约定好的，本申请对此不做限定。

可以理解的是，为了实现上述实施例中功能，通信设备和服务器包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本申请中所公开的实施例描述的各示例的单元及方法步骤，本申请能够以硬件或硬件和计算机软件相结合的形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用场景和设计约束条件。

图5和图6为本申请的提供的可能的AP的结构示意图。这些AP可以用于实现上述方法实施例中AP，因此也能实现上述方法实施例所具备的有益效果。在本申请中，该通信设备可以是如图1所示的AP101，还可以是应用于通信设备或AP的模块(模块如芯片)。

如图5所示，该通信设备500包括处理模块501和收发模块502。通信设备500用于实现上述图2、图3或图4中所示的方法实施例中AP的功能。

当通信设备500用于实现图2所示的方法实施例的AP的功能时：收发模块502用于接收来自第一通信设备的鉴权请求消息，鉴权请求消息携带有第一通信设备的身份认证信息；响应鉴权请求消息，向服务器发送第一通信设备的身份认证信息，使服务器对第一通信设备的身份认证信息进行鉴权；接收来自服务器反馈的第一响应消息，若第一响应消息指示鉴权成功，则向第二通信设备发送授权请求消息，以请求第二通信设备授权第一通信设备接入AP，接收来自第二通信设备响应授权请求消息反馈的第二响应消息，第二通信设备为已被授权接入AP的通信设备；处理模块501用于根据第二响应消息对第一通信设备进行接入控制。

有关上述处理模块501和收发模块502更详细的描述可以参考图2所示的方法实施例中相关描述直接得到，此处不再一一赘述。

应理解，本申请实施例中的处理模块501可以由处理器或处理器相关电路组件实现，收发模块502可以由收发器或收发器相关电路组件实现。

基于上述内容和相同构思，如图6所示，本申请还提供一种AP600。该AP600可包括处理器601和收发器602。处理器601和收发器602之间相互耦合。可以理解的是，收发器602可以为接口电路或输入输出接口。可选地，通信设备600还可包括存储器603，用于存储处理器601执行的指令或存储处理器601运行指令所需要的输入数据或存储处理器601运行指令后产生的数据。

当通信设备600用于实现图2所示的方法时，处理器601用于执行上述处理模块501的功能，收发器602用于执行上述收发模块502的功能，此处不再一一赘述。

图7和图8为本申请的提供的可能的通信设备的结构示意图。这些通信设备可以用于实现上述方法实施例中第一通信设备或第二通信设备的功能，因此也能实现上述方法实施例所具备的有益效果。在本申请中，该通信设备可以是如图1所示的STA102或STA103，还可以是应用于通信设备的模块(模块如芯片)。

如图7所示，该通信设备700包括处理模块701和收发模块702。进一步，可选地，通信设备还可包括显示模块703。通信设备700用于实现上述图2、图3或图4中所示的方法实施例中第一通信设备或第二通信设备的功能。

当通信设备700用于实现图2所示的方法实施例的第二通信设备的功能时：收发模块702用于接收来自接入点AP的授权请求消息，通信设备为已被授权接入AP的通信设备；处理模块701与收发模块702协作，用于响应授权请求消息，向AP发送第二响应消息， 使AP根据第二响应消息对第一通信设备进行接入控制。

有关上述处理模块701和收发模块702更详细的描述可以参考图2所示的方法实施例中相关描述直接得到，此处不再一一赘述。

应理解，本申请实施例中的处理模块701可以由处理器或处理器相关电路组件实现，收发模块702可以由收发器或收发器相关电路组件实现。

当通信设备700用于实现图3所示的方法实施例的第二通信设备的功能时：收发模块702用于接收来自服务器的第三响应消息，第三响应消息包括接入AP的共享密钥信息，通信设备为已被授权接入AP的通信设备；处理模块701用于确定允许第一通信设备接入AP时，向第一通信设备提供接入AP的共享密钥信息。

当通信设备700用于实现图3所示的方法实施例的第一通信设备的功能时：收发模块702用于通过接入点AP向服务器发送获取共享密钥的请求消息，以请求服务器为通信设备生成接入AP的共享密钥信息；处理模块701用于从第二通信设备获取接入AP的共享密钥信息，通过接入AP的共享密钥信息接入AP，第二通信设备为AP已被授权的通信设备。

有关上述处理模块701和收发模块702更详细的描述可以参考图3所示的方法实施例中相关描述直接得到，此处不再一一赘述。

基于上述内容和相同构思，如图8所示，本申请还提供一种通信设备800。该通信设备800可包括处理器801和收发器802。处理器801和收发器802之间相互耦合。可以理解的是，收发器802可以为接口电路或输入输出接口。可选地，通信设备800还可包括存储器803，用于存储处理器801执行的指令或存储处理器801运行指令所需要的输入数据或存储处理器801运行指令后产生的数据。进一步，可选地，通信设备还可包括显示器804。

当通信设备800用于实现图2所示的方法时，处理器801用于执行上述处理模块701的功能，收发器802用于执行上述收发模块702的功能，此处不再一一赘述。

当通信设备为终端设备时，图9示出了一种简化的终端设备的结构示意图。便于理解和图示方便，图9中，终端设备以手机为例。如图9所示，终端设备900包括处理器、存储器、射频电路、天线以及输入输出装置。处理器主要用于对通信协议以及通信数据进行处理，以及对整个终端设备进行控制，执行软件程序，处理软件程序的数据，例如用于支持终端设备900执行上述任一实施例中由终端设备执行的方法。存储器主要用于存储软件程序和数据。射频电路主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏、显示屏，键盘等主要用于接收用户输入的数据以及对用户输出数据。需要说明的是，有些种类的终端设备可以不具有输入输出装置。

当终端设备开机后，处理器可以读取存储器中的软件程序，解释并执行软件程序的指令，处理软件程序的数据。当需要通过发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至射频电路，射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端设备900时，射频电路通过天线接收到射频信号，将射频信号转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。

作为一种可选的实现方式，处理器可以包括基带处理器和中央处理器，基带处理器主 要用于对通信协议以及通信数据进行处理，中央处理器主要用于对整个终端设备900进行控制，执行软件程序，处理软件程序的数据。图9中的处理器集成了基带处理器和中央处理器的功能，需要说明的是，基带处理器和中央处理器也可以是各自独立的处理器，通过总线等技术互联。另外，终端设备可以包括多个基带处理器以适应不同的网络制式，终端设备900可以包括多个中央处理器以增强其处理能力，终端设备900的各个部件可以通过各种总线连接。基带处理器也可以表述为基带处理电路或者基带处理芯片。中央处理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功能可以内置在处理器中，也可以以软件程序的形式存储在存储单元中，由处理器执行软件程序以实现基带处理功能。

本申请中，可以将具有收发功能的天线和射频电路视为终端设备的收发单元，将具有处理功能的处理器视为终端设备的处理单元。如图9所示，终端设备包括处理单元901和收发单元902。收发单元也可以称为收发器、收发机、收发装置等，处理单元也可以称为处理器，处理单板，处理单元、处理装置等。可选地，可以将收发单元中用于实现接收功能的器件视为接收单元，将收发单元中用于实现发送功能的器件视为发送单元，即收发单元包括接收单元和发送单元示例性的，接收单元也可以称为接收机、接收器、接收电路等，发送单元可以称为发射机、发射器或者发射电路等。

在下行链路上，通过天线接收网络设备发送的下行链路信号(包括数据和/或控制信息)，在上行链路上，通过天线向网络设备或其它终端设备发送上行链路信号(包括数据和/或控制信息)，在处理器中，对业务数据和信令消息进行处理，这些单元根据无线接入网采用的无线接入技术(例如，LTE、NR及其他演进系统的接入技术)来进行处理。处理器还用于对终端设备的动作进行控制管理，用于执行上述实施例中由终端设备进行的处理。处理器还用于支持终端设备执行图2中涉及的第一通信设备或第二通信设备的执行方法；或者还用于支持终端设备执行图3涉及的第一通信设备或第二通信设备的执行方法。

需要说明的是，图9仅示出了一个存储器、一个处理器和一个天线。在实际的终端设备中，终端设备可以包含任意数量的天线，存储器，处理器等。其中，存储器也可以称为存储介质或者存储设备等。另外，存储器可以是独立于处理器设置，也可以是与处理器集成在一起，本申请实施例对此不做限制。

应理解，收发单元902用于执行上述图2所示的方法实施例中第一通信设备或第二通信设备侧的发送操作和接收操作，处理单元901用于执行上述图2所示的方法实施例中第一通信设备侧或第二通信设备侧除了收发操作之外的其他操作。例如，收发单元902用于执行图2所示的实施例中的第二通信设备侧的收发步骤，例如步骤205、步骤209；或者用于执行第一通信设备侧的收发步骤，例如步骤201、步骤206。处理单元901，用于执行图2所示的实施例中的第一通信设备或第二通信设备除了收发操作之外的其他操作。

再比如，收发单元902用于执行图4所示的实施例中的第二通信设备侧的收发步骤，例如步骤404；或者用于执行第一通信设备侧的收发步骤，例如步骤405。处理单元901，用于执行图4所示的实施例中的第一通信设备或第二通信设备侧除了收发操作之外的其他操作。

当该通信设备为芯片类的装置或者电路时，该通信设备可包括收发模块和处理模块。其中，收发模块可以是输入输出电路和/或接口电路；处理模块可为该芯片上集成的处理器或者微处理器或者集成电路。

可以理解的是，本申请的实施例中的处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其它通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其它可编程逻辑器件、晶体管逻辑器件，硬件部件或者其任意组合。通用处理器可以是微处理器，也可以是任何常规的处理器。

本申请的实施例中的方法步骤可以通过硬件的方式来实现，也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于网络设备或终端设备中。当然，处理器和存储介质也可以作为分立组件存在于网络设备或终端设备中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机程序或指令。在计算机上加载和执行计算机程序或指令时，全部或部分地执行本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其它可编程装置。计算机程序或指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机程序或指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是集成一个或多个可用介质的服务器、数据中心等数据存储设备。可用介质可以是磁性介质，例如，软盘、硬盘、磁带；也可以是光介质，例如，数字视频光盘(digital video disc，DVD)；还可以是半导体介质，例如，固态硬盘(solid state drive，SSD)。

在本申请的各个实施例中，如果没有特殊说明以及逻辑冲突，不同的实施例之间的术语和/或描述具有一致性、且可以相互引用，不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。

本申请中，“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。在本申请的文字描述中，字符“/”，一般表示前后关联对象是一种“或”的关系。

可以理解的是，在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分，并不用来限制本申请的实施例的范围。上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定。术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。此外，术语“包括”和“具有”以 及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元。方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的保护范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (34)

1. 一种控制通信接入的方法，其特征在于，包括：

   接入点AP接收来自第一通信设备的鉴权请求消息，所述鉴权请求消息携带有所述第一通信设备的身份认证信息；

   所述AP响应所述鉴权请求消息，向服务器发送所述身份认证信息，使所述服务器根据所述身份认证信息对所述第一通信设备进行鉴权；

   所述AP接收所述服务器反馈的第一响应消息；

   若所述第一响应消息指示鉴权成功，则向第二通信设备发送授权请求消息，以请求所述第二通信设备授权所述第一通信设备接入所述AP，所述第二通信设备为已被授权接入所述AP的通信设备；

   所述AP接收所述第二通信设备响应所述授权请求消息反馈的第二响应消息，并根据所述第二响应消息对所述第一通信设备进行接入控制。
2. 如权利要求1所述的方法，其特征在于，所述身份认证信息包括全球用户识别卡USIM的信息或第一通信设备的标识ID。
3. 如权利要求1或2所述的方法，其特征在于，所述方法还包括：

   若所述第一响应消息指示鉴权失败，则所述AP拒绝所述第一通信设备接入。
4. 如权利要求1或2所述的方法，其特征在于，所述第二响应消息包括指示授权所述第一通信设备接入所述AP的信息、或指示拒绝所述第一通信设备接入所述AP的信息；

   所述AP根据所述第二响应消息对所述第一通信设备进行接入控制，包括：

   若所述第二响应消息包括指示授权所述第一通信设备接入所述AP的信息，所述AP允许所述第一通信设备接入；

   若所述第二响应消息包括指示拒绝所述第一通信设备接入所述AP的信息，所述AP拒绝所述第一通信设备接入。
5. 一种控制通信接入的方法，其特征在于，包括：

   第二通信设备接收来自接入点AP的授权请求消息，所述第二通信设备为已被授权接入所述AP的通信设备；

   所述第二通信设备响应所述授权请求消息，向所述AP发送第二响应消息，使所述AP根据所述第二响应消息对所述第一通信设备进行接入控制。
6. 如权利要求5所述的方法，其特征在于，所述授权请求消息包括所述第一通信设备的标识ID；

   所述第二通信设备响应所述授权请求消息，向所述AP发送第二响应消息，包括：

   若所述第二通信设备确定所述第一通信设备的ID属于预设白名单中的ID，则向所述AP发送包括指示授权所述第一通信设备接入所述AP的信息的第二响应消息；

   若所述第二通信设备确定所述第一通信设备的ID属于预设黑名单中的ID，则向所述AP发送包括指示拒绝所述第一通信设备接入所述AP的信息的第二响应消息。
7. 如权利要求5所述的方法，其特征在于，所述第二通信设备响应所述授权请求消息，向所述AP发送第二响应消息，包括：

   若所述第二通信设备检测到指示授权所述第一通信设备接入所述AP的操作指令，则向所述AP发送包括指示授权所述第一通信设备接入所述AP的信息的第二响应消息；

   若所述第二通信设备检测到指示拒绝所述第一通信设备接入所述AP的操作指令，则向所述AP发送包括指示拒绝所述第一通信设备接入所述AP的信息的第二响应消息。
8. 一种控制通信接入的方法，其特征在于，包括：

   第二通信设备接收来自服务器的第三响应消息，所述第三响应消息包括接入接入点AP的共享密钥信息，所述第二通信设备为已被授权接入所述AP的通信设备；

   所述第二通信设备确定允许第一通信设备接入所述AP时，向所述第一通信设备提供所述共享密钥信息。
9. 如权利要求8所述的方法，其特征在于，所述第二通信设备向所述第一通信设备提供所述共享密钥信息，包括：

   所述第二通信设备根据所述共享密钥信息生成二维码或者口令；

   所述第二通信设备向所述第一通信设备显示所述二维码或者所述口令。
10. 如权利要求8或9所述的方法，其特征在于，所述第二通信设备确定允许第一通信设备接入所述AP，包括：

    所述第二通信设备获取所述第一通信设备的标识ID；

    若所述第二通信设备确定所述第一通信设备的ID属于预设白名单中的ID，则向所述第一通信设备提供所述共享密钥信息。
11. 如权利要求8或9所述的方法，其特征在于，所述第二通信设备确定允许第一通信设备接入所述AP，包括：

    若所述第二通信设备检测到指示授权所述第一通信设备接入所述AP的操作指令，则向所述第一通信设备提供所述共享密钥信息。
12. 一种控制通信接入的方法，其特征在于，包括：

    第一通信设备通过接入点AP向服务器发送获取共享密钥的请求消息，以请求所述服务器为所述第一通信设备生成接入所述AP的共享密钥信息；

    所述第一通信设备从第二通信设备获取所述共享密钥信息，所述第二通信设备为已被授权接入所述AP的通信设备；

    所述第一通信设备通过所述共享密钥信息，接入所述AP。
13. 如权利要求12所述的方法，其特征在于，所述第一通信设备从第二通信设备获取共享密钥信息，包括：

    所述第一通信设备通过扫描所述第二通信设备提供的二维码，获取所述共享密钥信息；或者，

    所述第一通信设备通过复制所述第二通信设备提供的口令，获取所述共享密钥信息。
14. 如权利要求12或13所述的方法，其特征在于，所述获取共享密钥的请求消息包括所述第一通信设备的标识ID。
15. 一种接入点AP，其特征在于，包括收发模块和处理模块：

    所述收发模块，用于接收来自第一通信设备的鉴权请求消息，所述鉴权请求消息携带有所述第一通信设备的身份认证信息；响应所述鉴权请求消息，向服务器发送所述身份认证信息，使所述服务器根据所述身份认证信息对所述第一通信设备进行鉴权；接收所述服务器反馈的第一响应消息；若所述第一响应消息指示鉴权成功，则向第二通信设备发送授权请求消息，以请求所述第二通信设备授权所述第一通信设备接入所述AP，所述第二通信设备为已被授权接入所述AP的通信设备；接收来自所述第二通信设备响应所述授权请 求消息反馈的第二响应消息；

    所述处理模块，用于根据所述第二响应消息对所述第一通信设备进行接入控制。
16. 如权利要求15所述的AP，其特征在于，所述身份认证信息包括全球用户识别卡USIM的信息或第一通信设备的标识ID。
17. 如权利要求15或16所述的AP，其特征在于，若所述第一响应消息指示鉴权失败，所述处理模块还用于拒绝所述第一通信设备接入。
18. 如权利要求15或16所述的AP，其特征在于，所述第二响应消息包括指示授权所述第一通信设备接入所述AP的信息、或指示拒绝所述第一通信设备接入所述AP的信息；

    若所述第二响应消息包括指示授权所述第一通信设备接入所述AP的信息，所述处理模块，具体用于：允许所述第一通信设备接入；

    若所述第二响应消息包括指示拒绝所述第一通信设备接入所述AP的信息，所述处理模块，具体用于：拒绝所述第一通信设备接入。
19. 一种通信设备，其特征在于，包括收发模块和处理模块：

    所述收发模块，用于接收来自接入点AP的授权请求消息，所述通信设备为已被授权接入所述AP的通信设备；

    所述收发模块与所述处理模块协作，用于响应所述授权请求消息，向所述AP发送第二响应消息，使所述AP根据所述第二响应消息对所述第一通信设备进行接入控制。
20. 如权利要求19所述的通信设备，其特征在于，所述授权请求消息包括第一通信设备的标识ID；

    所述处理模块与所述收发模块协作，具体用于：

    若所述处理模块确定所述第一通信设备的ID属于预设白名单中的ID，则所述收发模块向所述AP发送包括指示授权所述第一通信设备接入所述AP的信息的第二响应消息；

    若所述处理模块确定所述第一通信设备的ID属于预设黑名单中的ID，则所述收发模块向所述AP发送包括指示拒绝所述第一通信设备接入所述AP的信息的第二响应消息。
21. 如权利要求19所述的通信设备，其特征在于，

    所述处理模块与所述收发模块协作，具体用于：

    若所述处理模块检测到指示授权所述第一通信设备接入所述AP的操作指令，则所述收发模块向所述AP发送包括指示授权所述第一通信设备接入所述AP的信息的第二响应消息；

    若所述处理模块检测到指示拒绝所述第一通信设备接入所述AP的操作指令，则所述收发模块向所述AP发送包括指示拒绝所述第一通信设备接入所述AP的信息的第二响应消息。
22. 一种通信设备，其特征在于，包括收发模块和处理模块：

    所述收发模块，用于接收来自服务器的第三响应消息，所述第三响应消息包括接入接入点AP的共享密钥信息，所述通信设备为已被授权接入所述AP的通信设备；

    所述处理模块，用于在确定允许第一通信设备接入所述AP时，向所述第一通信设备提供所述共享密钥信息。
23. 如权利要求22所述的通信设备，其特征在于，所述处理模块，具体用于：

    根据所述共享密钥信息生成二维码或者口令；

    所述通信设备还包括显示模块，所述显示模块用于：

    向所述第一通信设备显示所述二维码或者所述口令。
24. 如权利要求22或23所述的通信设备，其特征在于，所述处理模块，具体用于：

    获取所述第一通信设备的标识ID；

    若确定所述第一通信设备的ID属于预设白名单中的ID，则向所述第一通信设备提供所述共享密钥信息。
25. 如权利要求22或23所述的通信设备，其特征在于，所述处理模块，具体用于：

    若检测到指示授权所述第一通信设备接入所述AP的操作指令，则向所述第一通信设备提供所述共享密钥信息。
26. 一种通信设备，其特征在于，包括收发模块和处理模块：

    所述收发模块，用于通过接入点AP向服务器发送获取共享密钥的请求消息，以请求所述服务器为所述通信设备生成接入所述AP的共享密钥信息；

    所述处理模块，用于从第二通信设备获取所述共享密钥信息，通过所述共享密钥信息，接入所述AP，所述第二通信设备为已被授权接入所述AP的通信设备。
27. 如权利要求26所述的通信设备，其特征在于，所述处理模块，具体用于：

    通过扫描所述第二通信设备提供的二维码，获取所述共享密钥信息；或者，

    通过复制所述第二通信设备提供的口令，获取所述共享密钥信息。
28. 如权利要求26或27所述的通信设备，其特征在于，所述获取共享密钥的请求消息包括所述通信设备的标识ID。
29. 一种接入点AP，其特征在于，包括处理器和收发器，所述收发器用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述通信装置之外的其它通信装置，所述处理器通过逻辑电路或执行代码指令用于实现如权利要求1至4中任一项所述的方法。
30. 一种通信设备，其特征在于，包括处理器和收发器，所述收发器用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述通信装置之外的其它通信装置，所述处理器通过逻辑电路或执行代码指令用于实现如权利要求5至7中任一项、或8至11中任一项、或12至14中任一项所述的方法。
31. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序或指令，当所述计算机程序或指令被接入点AP执行时，实现如权利要求1至4中任一项所述的方法。
32. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序或指令，当所述计算机程序或指令被通信设备执行时，实现如权利要求5至7中任一项、或8至11中任一项、或12至14任一项所述的方法。
33. 一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机程序或指令，当所述计算机程序或指令被接入点AP执行时，实现如权利要求1至4中任一项所述的方法。
34. 一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机程序或指令，当所述计算机程序或指令被通信设备执行时，实现如权利要求5至7中任一项、或8至11中任一项、或12至14中任一项所述的方法。

Images