WO2022109940A1 - 应用于WiFi的安全认证的方法和装置 - Google Patents

Abstract

本申请提供了一种应用于WiFi的安全认证的方法和装置。其中，接入点AP根据口令，基于双基密码指数密钥交换TBPEKE协议，与第一设备协商配对主密钥PMK，其中，该口令为AP与第一设备之间的共享密钥；AP根据该PMK，与第一设备进行4路握手。因此，本申请实施例中，通过执行TBPEKE流程能够生成高熵值的PMK，从而本申请实施例提供的安全认证的方法能够有助于抗离线字典攻击。并且由于TBPEKE能够很容易地实现防侧信道攻击，因此本申请实施例通过执行TBPEKE来生成PMK，能够提高AP和第一设备在WiFi的安全认证过程中的防侧信道攻击的能力，有助于AP和第一设备在安全认证时避免遭致侧信道攻击。

Description

应用于WiFi的安全认证的方法和装置 技术领域

本申请涉及通信领域，并且更具体的，涉及一种应用于无线保真(wireless fidelity，WiFi)的安全认证的方法和装置。

背景技术

WiFi是创建于IEEE 802.11标准的无线局域网技术，广泛使用于家庭、公共场合(比如商场、公司内部等)场景。安全协议是WiFi的基础，控制谁可以使用网络。具体的，WiFi安全协议使得请求者(supplicant)和接入点(access point，AP)相互认证，并生成会话密钥(sessionkey)和群播密钥(group transient key，GTK)，其中会话密钥可以用于保护后续supplicant和AP之间的单播通信，群播密钥用于保护AP的广播通信。

在WiFi安全协议中，supplicant和AP双方共享口令(pw)。Supplicant和AP双方可以基于各自的pw推导出配对主密钥(pairwise master key，PMK)，进而supplicant和AP双方可以根据PMK进行身份认证和计算配对临时密钥(pairwise transient key，PTK)，并且AP可以将群播密钥传递给supplicant。其中，PTK中包括临时密钥TK，即会话密钥。

目前，最新的WiFi安全协议为第三代WiFi保护访问(WiFiprotected access 3，WPA3)。在WPA3版本中，supplicant和AP双方可以执行同时证等(simultaneous authentication of equals，SAE)，使用共享的低熵值口令实现相互身份认证并生成高熵值的共享密钥，避免口令的暴力破解。但是，当前的WPA3版本并不能有效阻止侧信道攻击，或拒绝服务(denialofservice，DoS)攻击。

发明内容

本申请提供一种应用于WiFi的安全认证的方法和装置，能够有助于AP和第一设备在安全认证时避免遭致侧信道攻击。

第一方面，提供了一种应用于WiFi的安全认证的方法，该方法可以应用于接入点AP，例如由AP，或可配置于AP的部件(例如芯片或者电路等)执行。

在该方法中，接入点AP根据口令，基于双基密码指数密钥交换TBPEKE协议，与第一设备协商配对主密钥PMK，其中，该口令为AP与第一设备之间的共享密钥。然后，AP根据该PMK，与第一设备进行4路握手。

因此，本申请实施例中，通过执行TBPEKE流程能够生成高熵值的PMK，从而本申请实施例提供的安全认证的方法能够有助于抗离线字典攻击。并且由于TBPEKE能够很容易地实现防侧信道攻击，因此本申请实施例通过执行TBPEKE来生成PMK，能够提高AP和第一设备在WiFi的安全认证过程中的防侧信道攻击的能力，有助于AP和第一设备在安全认证时避免遭致侧信道攻击。

其中，TBPEKE也是一种PAKE协议。在一些实施例中，可以将现有的WPA3安全 协议中的SAE流程替换为TBPEKE流程，来生成高熵值的PMK。

结合第一方面，在第一方面的某些实现方式中，上述PMK包括第一PMK1和第二PMK2。

其中，所述AP根据口令，基于双基密码指数密钥交换TBPEKE协议，与第一设备协商配对主密钥PMK，具体可以通过以下方式实现：

AP从第一设备获取第一参数X，其中，第一参数X是根据哈希到曲线函数(hashtocurve)g确定的，该哈希到曲线函数g用于通过点乘运算将口令转化为椭圆曲线上的点，X＝g ^x，其中，x为随机数。然后，AP向第一设备发送第二参数Y，以指示第一设备根据第一参数X和第二参数Y计算第一PMK1，其中，第二参数Y是根据哈希到曲线函数g确定的，Y＝g ^y，y为随机数。之后，AP根据所述第一参数X、所述第二参数Y，计算第二PMK2。

因此，本申请实施例中，第一设备可以向AP发送第一参数X，AP可以向第一设备发送第二参数Y，其中，第一参数X和第二参数Y分别是根据hashtocurve函数g确定的，进而第一设备可以根据该第一参数X、第二参数Y，来计算PMK1，AP可以根据该第一参数X、第二参数Y，来计算PMK2。在本申请实施例中，AP和第一设备之间传输的第一参数X和第二参数Y是基于hashtocurve函数g和随机数生成的，并不涉及口令的计算，从而攻击者很难知道口令，进而能够提高AP和第一设备在WiFi的安全认证过程中的防侧信道攻击的能力，有助于AP和第一设备在安全认证时避免遭致侧信道攻击。

而在现有技术中，当在WPA3协议中采用SAE流程计算PMK时，需要利用共享口令进行计算，这样，通过信道测试，结合暴力破解等手段，攻击者可以获取口令，从而导致口令泄露。

结合第一方面，在第一方面的某些实现方式中，所述接入点AP根据口令，基于双基密码指数密钥交换TBPEKE协议，与第一设备协商配对主密钥PMK之前，还可以与所述第一设备进行关联商定欲使用的安全套件，其中，所述安全套件用于指示所述哈希到曲线函数g。

在第一PMK1和第二PMK2相同时，AP和第一设备可以基于PMK，进行4路握手。

结合第一方面，在第一方面的某些实现方式中，所述AP根据所述PMK，与所述第一设备进行4路握手，具体可以通过以下方式实现：

AP向第一设备发送第一消息，第一消息用于指示第一设备生成第一配对临时密钥PTK1，第一消息包括AP的一次性随机数，该第一PTK1是根据第一PMK1、AP的一次性随机数和第一设备的一次性随机数生成的，第一PTK1中包括第一密钥确认密钥KCK1、第一密钥加密密钥KEK1和第一临时密钥TK1。然后，AP从第一设备获取第二消息，第二消息采用第一KCK1来保护消息的完整性，第二消息包括第一设备的一次性随机数。AP根据第二PMK2、AP的一次性随机数和第一设备的一次性随机数生成第二PTK2，第二PTK2中包括第二KCK2、第二KEK2和第二TK2。然后，AP向第一设备发送第三消息，第三消息包括群播密钥GTK，第三消息采用所述第二KEK2来保护所述GTK的私密性，所述第二KCK2来保护消息的完整性。AP从第一设备获取第四消息，所述第四消息用于响应所述第三消息，所述第四消息采用所述第二KCK2来保护消息的完整性。

因此，AP和第一设备根据PMK，执行双方通过4路握手过程，能够进行身份认证，并生成会话密钥和群播密钥，以保护后续请求设备和AP之间的单播通信，以及AP的广 播通信。

需要说明的是，在第一PTK1与第二PTK2相同时，AP和第一设备能够成功地进行4路握手。

可选的，AP和第一设备基于PMK，进行4路握手之前，还可以进行一次关联，商定欲使用的安全套件，该安全套件例如可以用于指示在4路握手过程中使用的加密算法，以及其他相关参数。具体的，该关联以及4路握手过程可以参见现有技术中的描述，不再赘述。

在一些实施例中，请求设备可以向AP发送第一连接请求，其中包括第一参数X。对应的，AP接收该第一连接请求。响应于该第一连接请求，AP可以与第一设备执行上述安全认证的流程。

结合第一方面，在第一方面的某些实现方式中，AP根据所述第一参数X、所述第二参数Y，计算第二PMK2，具体可以为：AP根据该第一参数X、第二参数Y、第一设备的ID和AP的ID，计算第二PMK2。

作为示例，AP可以根据以下公式计算PMK2：

PMK2＝KDF(Z，id _dev||id _AP||X||Y)；

其中，对于AP而言，Z＝X ^y,id _dev表示第一设备的ID，id _AP表示AP的ID，KDF()为标准的密钥推演函数。

作为示例，第一设备的ID可以为第一设备的MAC地址，AP的ID可以为AP的MAC地址，本申请对此不作限定。

在一些可选的实施例之前，AP还可以发送广播消息，所述广播消息中包括所述AP的ID。对应的，请求设备可以接收到该广播消息，并从中获取到AP的ID。

结合第一方面，在第一方面的某些实现方式中，上述哈希到曲线函数g表示为：

g＝U·V ^pw；

其中，U、V分别为从阶数为素数p的循环群G中获取的两个独立的随机生成元，pw表示所述口令。

这里，该hashtocurve函数g即为根据TBPEKE获得的函数。

可选的，广播消息中还可以包括RSNEwithsupp.ciphers，以通知ciphers的能力。相应的，第一设备选择匹配的ciphers，即选择自己支持的密码套件，以获取到上述g，或用于获取g的相关参数(例如U，V等)。第一设备选择了密码套件之后，g，或U，V可以作为系统参数保存在第一设备侧。这里，AP广播RSNEwithsupp.ciphers，以及第一设备选择匹配的ciphers即可以为AP与第一设备进行关联商定欲使用的安全套件的一个示例。

结合第一方面，在第一方面的某些实现方式中，上述哈希到曲线函数g是预先保存在所述AP本地的。

也就是说，AP端可以保管g＝U·V ^pw，而不是口令pw。因此，本申请实施例通过AP端直接保管g＝U·V ^pw，而不是口令pw，能够避免AP在认证设备时实时计算g，从而能够减小AP端的计算量，进而有助于减少或避免在AP遭致拒绝服务(denialofservice，DoS)攻击。

结合第一方面，在第一方面的某些实现方式中，上述第二参数Y是AP根据哈希到曲线函数g生成的。也就是说，当AP接收到第一设备发送的第一参数X时，AP可以根据 预先保存的哈希到曲线函数g，生成第二参数Y，而无需根据口令pw来生成哈希到曲线函数g。

或者，在某些实现方式中，第二参数Y是AP通过重用向第二设备发送的第二参数Y来确定的。另外，由于Y＝g ^y，因此AP端重用第二参数Y，也可以等价于AP端重用随机数y，本申请对此不作限定。

因此，本申请实施例通过AP端重用第二参数Y或随机数y，能够避免AP在认证设备时实时计算第二参数Y，从而能够减小AP端的计算量，进而有助于减少或避免AP遭致DoS攻击。

结合第一方面，在第一方面的某些实现方式中，AP向第一设备发送第二参数Y之前，还可以从第一设备获取第一设备的标识ID，然后，向第一设备发送用于抗DoS服务的凭证(token)。其中，该凭证是根据第一设备的ID和密钥k确定的。然后，AP从第一设备接收该凭证和第一设备的ID，并根据第一设备的ID和密钥k，验证该凭证。

当第一设备发送的凭证验证通过时，AP对第一设备的连接请求进行处理。当该凭证没有通过验证时，AP不对第一设备的连接请求进行处理。

因此，本申请实施例中，AP可以向第一设备发送绑定于该第一设备的ID的抗DoS的token，第一设备需再次向AP发送其ID和该token，使得AP能够对接收到的第一设备的ID和对应的token进行验证，并且只在该token通过验证时才对该第一设备的连接请求进行处理，从而能够有助于避免AP对所有的连接请求都进行处理，进而有助于减少或避免AP遭致DoS攻击。

作为示例，第一设备可以向AP发送第二连接请求，其中可以包括第一参数X、第一设备的标识ID和上述凭证。对应的，AP接收该第二连接请求。

作为示例，第一设备的标识ID可以为第一设备的MAC地址。其中，该第二连接请求的数据帧格式中可以包括第一设备的MAC地址。

结合第一方面，在第一方面的某些实现方式中，所述向所述第一设备发送第二参数Y之前，还可以确定第一列表中没有包括第一设备的ID，其中，第一列表中包括至少一个连接该AP提供的网络的设备的ID。

作为示例，第一列表可以为DEVinPROC列表。

因此，本申请实施例中，通过AP在确定第一设备的ID不在第一列表中时，才会进一步处理该第一设备的连接请求，能够有助于避免AP对所有的连接请求都进行处理，有助于减小AP端的计算量，进而有助于减少或避免AP遭致DoS攻击。

结合第一方面，在第一方面的某些实现方式中，还可以在上述第一列表中增加第一设备的ID。

这样，能够实现对第一列表的更新。进一步的，当后续再接收到该包含该第一设备的ID的连接请求时，由于该ID已经包含在第一列表中，AP可以不对该连接请求进行处理，从而有助于减少或避免AP遭致DoS攻击。

第二方面，提供了一种应用于WiFi的安全认证的方法，该方法可以应用于第一设备，例如由第一设备，或可配置于第一设备的部件(例如芯片或者电路等)执行。

在该方法中，第一设备根据口令，基于于双基密码指数密钥交换TBPEKE协议，与接入点AP协商配对主密钥PMK，其中，所述口令为所述AP与所述第一设备之间的共享 密钥。然后，所述第一设备根据所述PMK，与所述AP进行4路握手。

结合第二方面，在第二方面的某些实现方式中，所述PMK包括第一PMK1和第二PMK2，上述第一设备根据口令，基于于双基密码指数密钥交换TBPEKE协议，与接入点AP协商配对主密钥PMK，具体可以通过以下方式实现：

第一设备向AP发送第一参数X，其中，第一参数X是根据哈希到曲线函数g确定的，哈希到曲线函数g用于通过点乘运算将所述口令转化为椭圆曲线上的点，X＝g ^x，其中，x为随机数；第一设备从所述AP获取第二参数Y，其中，所述第二参数Y是根据哈希到曲线函数g确定的，Y＝g ^y，y为随机数，其中，第一参数X、第二参数Y用于所述AP计算所述第二PMK2；第一设备根据第一参数X、第二参数Y，计算第一PMK1。

结合第二方面，在第二方面的某些实现方式中，所述第一设备根据口令，基于双基密码指数密钥交换TBPEKE协议，与AP协商配对主密钥PMK之前，还可以与所述AP进行关联商定欲使用的安全套件，其中，所述安全套件用于指示所述哈希到曲线函数g。

结合第二方面，在第二方面的某些实现方式中，所述第一设备根据所述PMK，与所述AP进行4路握手，具体可以通过以下方式实现：

第一设备从AP接收第一消息，第一消息包括所述AP的一次性随机数；所述第一设备根据第一PMK1、AP的一次性随机数、第一设备的一次性随机数，生成第一配对临时密钥PTK1，第一PTK1中包括第一密钥确认密钥KCK1、第一密钥加密密钥KEK1和第一临时密钥TK1。第一设备向AP发送第二消息，第二消息采用第一KCK1来保护消息的完整性，所述第二消息包括所述第一设备的一次性随机数，所述第二消息用于指示所述AP生成第二PTK2，所述第二PTK2是根据所述第二PMK2、所述AP的一次性随机数和所述第一设备的一次性随机数生成的，所述第二PTK2中包括第二KCK2、第二KEK2和第二TK2；第一设备从AP获取第三消息，第三消息包括群播密钥GTK，第三消息采用第二KEK2来保护所述GTK的私密性，采用所述第二KCK2来保护消息的完整性；第一设备向AP发送第四消息，所述第四消息用于响应所述第三消息，所述第四消息采用KCK来保护消息的完整性。

结合第二方面，在第二方面的某些实现方式中，所述哈希到曲线函数g表示为：

g＝U·V ^pw；

其中，U、V分别为从阶数为素数p的循环群G中获取的两个独立的随机生成元，pw表示所述口令。

结合第二方面，在第二方面的某些实现方式中，所述从所述AP接收第二参数Y之前，还可以向所述AP发送所述第一设备的标识ID，然后从所述AP接收用于抗拒绝服务DoS服务的凭证，所述凭证是根据密钥k和所述第一设备的ID生成的。然后，可以向所述AP发送所述凭证和所述请求设备的ID。

结合第二方面，在第二方面的某些实现方式中，所述第一设备的ID包括所述第一设备的MAC地址。

第三方面，提供了一种应用于WiFi的安全认证的装置，用于执行上述第一方面或第一方面的任意可能的实现方式中的方法，具体的，该装置包括用于执行上述第一方面或第一方面的任意可能的实现方式中的方法的单元或模块。例如，该装置包括处理单元和收发单元。

处理单元可以根据口令，基于双基密码指数密钥交换TBPEKE协议，与第一设备协商配对主密钥PMK，其中，所述口令为所述AP与所述第一设备之间的共享密钥。示例性的，处理单元可以通过收发单元与第一设备进行协商。

处理单元还可以根据所述PMK，与所述第一设备进行4路握手。示例性的，处理单元可以通过收发单元与第一设备进行4路握手。

结合第三方面，在第三方面的某些实现方式中，所述PMK包括第一PMK1和第二PMK2。

其中，收发单元用于从所述第一设备获取第一参数X，其中，所述第一参数X是根据哈希到曲线函数g确定的，所述哈希到曲线函数g用于通过点乘运算将所述口令转化为椭圆曲线上的点，X＝g ^x，其中，x为随机数。

收发单元还用于向所述第一设备发送第二参数Y，以指示所述第一设备根据所述第一参数X和第二参数Y计算所述第一PMK1，其中，所述第二参数Y是根据所述哈希到曲线函数g确定的，Y＝g ^y，y为随机数，

处理单元用于根据收发单元获取的所述第一参数X，以及所述第二参数Y，计算所述第二PMK2。

结合第三方面，在第三方面的某些实现方式中，所述处理单元还用于与所述第一设备进行关联商定欲使用的安全套件，其中，所述安全套件用于指示所述哈希到曲线函数g。

结合第三方面，在第三方面的某些实现方式中，

收发单元用于向所述第一设备发送第一消息，所述第一消息用于指示所述第一设备生成第一配对临时密钥PTK1，所述第一消息包括所述AP的一次性随机数，所述第一PTK1是根据所述第一PMK1、所述AP的一次性随机数和所述第一设备的一次性随机数生成的，所述第一PTK1中包括第一密钥确认密钥KCK1、第一密钥加密密钥KEK1和第一临时密钥TK1。

收发单元还用于从所述第一设备获取第二消息，所述第二消息采用所述第一KCK1来保护消息的完整性，所述第二消息包括所述第一设备的一次性随机数。

处理单元还用于根据所述第二PMK2、所述AP的一次性随机数和所述第一设备的一次性随机数生成所述第二PTK2，所述第二PTK2中包括第二KCK2、第二KEK2和第二TK2。

收发单元还用于向所述第一设备发送第三消息，所述第三消息包括群播密钥GTK，所述第三消息采用所述第二KEK2来保护所述GTK的私密性，采用所述第二KCK2来保护消息的完整性。

收发单元还用于从所述第一设备获取第四消息，所述第四消息用于响应所述第三消息，所述第四消息采用所述第二KCK2来保护消息的完整性。

结合第三方面，在第三方面的某些实现方式中，所述哈希到曲线函数g表示为：

g＝U·V ^pw；

其中，U、V分别为从阶数为素数p的循环群G中获取的两个独立的随机生成元，pw表示所述口令。

结合第三方面，在第三方面的某些实现方式中，所述哈希到曲线函数g是预先保存在所述AP本地的。

结合第三方面，在第三方面的某些实现方式中，所述第二参数Y是所述AP根据所述哈希到曲线函数g生成的；或者所述第二参数Y是所述AP通过重用向第二设备发送的第二参数Y来确定的。

结合第三方面，在第三方面的某些实现方式中，所述收发单元还用于从所述第一设备获取所述第一设备的标识ID，以及向所述第一设备发送用于抗DoS服务的凭证，其中，所述凭证是根据所述第一设备的标识ID和密钥k确定的。

收发单元还用于从所述第一设备获取所述凭证和所述第一设备的ID。

处理单元还用于根据所述第一设备的ID和所述密钥k，验证所述凭证。

结合第三方面，在第三方面的某些实现方式中，处理单元还用于确定第一列表中没有包括所述第一设备的ID，其中，所述第一列表中包括至少一个连接所述AP提供的网络的设备的ID。

结合第三方面，在第三方面的某些实现方式中，处理单元还用于在所述第一列表中增加所述第一设备的ID。

结合第三方面，在第三方面的某些实现方式中，所述第一设备的ID包括所述第一设备的MAC地址。

第四方面，提供了一种应用于WiFi的安全认证的装置，用于执行上述第二方面或第二方面的任意可能的实现方式中的方法，具体的，该装置包括用于执行上述第二方面或第二方面的任意可能的实现方式中的方法的单元或模块。例如，该装置包括处理单元和收发单元。

处理单元可以根据口令，基于于双基密码指数密钥交换TBPEKE协议，与接入点AP协商配对主密钥PMK，其中，所述口令为所述AP与所述第一设备之间的共享密钥。示例性的，处理单元可以通过收发单元与AP进行协商。

处理单元还可以根据所述PMK，与所述AP进行4路握手。示例性的，处理单元可以通过收发单元与第一设备进行4路握手。

结合第四方面，在第四方面的某些实现方式中，所述PMK包括第一PMK1和第二PMK2。

其中，收发单元用于向所述AP发送第一参数X，其中，所述第一参数X是根据哈希到曲线函数g确定的，所述哈希到曲线函数g用于通过点乘运算将所述口令转化为椭圆曲线上的点，X＝g ^x，其中，x为随机数。

收发单元还用于从所述AP获取第二参数Y，其中，所述第二参数Y是根据所述哈希到曲线函数g确定的，Y＝g ^y，y为随机数，其中，所述第一参数X、所述第二参数Y用于所述AP计算所述第二PMK2。

处理单元用于根据所述第一参数X、所述第二参数Y，计算第一PMK1。

结合第四方面，在第四方面的某些实现方式中，所述处理单元还用于与所述AP进行关联商定欲使用的安全套件，其中，所述安全套件用于指示所述哈希到曲线函数g。

结合第四方面，在第四方面的某些实现方式中，

收发单元还用于从所述AP接收第一消息，所述第一消息包括所述AP的一次性随机数。

处理单元还用于所述第一设备根据所述第一PMK1、所述AP的一次性随机数、所述 第一设备的一次性随机数，生成第一配对临时密钥PTK1，所述第一PTK1中包括第一密钥确认密钥KCK1、第一密钥加密密钥KEK1和第一临时密钥TK1。

收发单元还用于向所述AP发送第二消息，所述第二消息采用所述第一KCK1来保护消息的完整性，所述第二消息包括所述第一设备的一次性随机数，所述第二消息用于指示所述AP生成第二PTK2，所述第二PTK2是根据所述第二PMK2、所述AP的一次性随机数和所述第一设备的一次性随机数生成的，所述第二PTK2中包括第二KCK2、第二KEK2和第二TK2。

收发单元还用于从所述AP获取第三消息，所述第三消息包括群播密钥GTK，所述第三消息采用所述第二KEK2来保护所述GTK的私密性，采用所述第二KCK2来保护消息的完整性。

收发单元还用于向所述AP发送第四消息，所述第四消息用于响应所述第三消息，所述第四消息采用KCK来保护消息的完整性。

结合第四方面，在第四方面的某些实现方式中，所述哈希到曲线函数g表示为：

g＝U·V ^pw；

其中，U、V分别为从阶数为素数p的循环群G中获取的两个独立的随机生成元，pw表示所述口令。

结合第四方面，在第四方面的某些实现方式中，收发单元还用于向所述AP发送所述第一设备的标识ID。

收发单元还用于从所述AP接收用于抗拒绝服务DoS服务的凭证，所述凭证是根据密钥k和所述第一设备的ID生成的；

收发单元还用于向所述AP发送所述凭证和所述请求设备的ID。

结合第四方面，在第四方面的某些实现方式中，所述第一设备的ID包括所述第一设备的MAC地址。

第五方面，提供了一种应用于WiFi的安全认证的装置，包括：处理器和收发器。可选的，还可以包括存储器。其中，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，并且当该处理器执行该存储器存储的指令时，该执行使得该处理器执行上述第一方面或第一方面的任意可能的实现方式中的方法。

所述处理器，耦合至所述收发器，用于根据口令，基于双基密码指数密钥交换TBPEKE协议，与第一设备协商配对主密钥PMK，其中，所述口令为AP与所述第一设备之间的共享密钥，以及根据所述PMK，与所述第一设备进行4路握手。

结合第五方面，在第五方面的某些实现方式中，所述PMK包括第一PMK1和第二PMK2，其中，所述处理器具体用于指示所述收发器从所述第一设备获取第一参数X，其中，所述第一参数X是根据哈希到曲线函数g确定的，所述哈希到曲线函数g用于通过点乘运算将所述口令转化为椭圆曲线上的点，X＝g ^x，其中，x为随机数；以及指示所述收发器向所述第一设备发送第二参数Y，以指示所述第一设备根据所述第一参数X和第二参数Y计算所述第一PMK1，其中，所述第二参数Y是根据所述哈希到曲线函数g确定的，Y＝g ^y，y为随机数；以及根据所述第一参数X、所述第二参数Y，计算所述第二PMK2。

结合第五方面，在第五方面的某些实现方式中，所述处理器还用于与所述第一设备进行关联商定欲使用的安全套件，其中，所述安全套件用于指示所述哈希到曲线函数g。

结合第五方面，在第五方面的某些实现方式中，处理器还用于指示所述收发器向所述第一设备发送第一消息，所述第一消息用于指示所述第一设备生成第一配对临时密钥PTK1，所述第一消息包括所述AP的一次性随机数，所述第一PTK1是根据所述第一PMK1、所述AP的一次性随机数和所述第一设备的一次性随机数生成的，所述第一PTK1中包括第一密钥确认密钥KCK1、第一密钥加密密钥KEK1和第一临时密钥TK1。

处理器还用于指示所述收发器从所述第一设备获取第二消息，所述第二消息采用所述第一KCK1来保护消息的完整性，所述第二消息包括所述第一设备的一次性随机数；根据所述第二PMK2、所述AP的一次性随机数和所述第一设备的一次性随机数生成所述第二PTK2，所述第二PTK2中包括第二KCK2、第二KEK2和第二TK2。

处理器还用于指示所述收发器向所述第一设备发送第三消息，所述第三消息包括群播密钥GTK，所述第三消息采用所述第二KEK2来保护所述GTK的私密性，采用所述第二KCK2来保护消息的完整性。

处理器还用于指示所述收发器从所述第一设备获取第四消息，所述第四消息用于响应所述第三消息，所述第四消息采用所述第二KCK2来保护消息的完整性。

结合第五方面，在第五方面的某些实现方式中，所述哈希到曲线函数g表示为：

g＝U·V ^pw；

其中，U、V分别为从阶数为素数p的循环群G中获取的两个独立的随机生成元，pw表示所述口令。

结合第五方面，在第五方面的某些实现方式中，所述哈希到曲线函数g是预先保存在所述AP本地的。

结合第五方面，在第五方面的某些实现方式中，所述第二参数Y是所述AP根据所述哈希到曲线函数g生成的；或者所述第二参数Y是所述AP通过重用向第二设备发送的第二参数Y来确定的。

结合第五方面，在第五方面的某些实现方式中，所述处理器还用于指示所述收发器从所述第一设备获取所述第一设备的标识ID，以及指示所述收发器向所述第一设备发送用于抗DoS服务的凭证，其中，所述凭证是根据所述第一设备的标识ID和密钥k确定的。

处理器还用于指示所述收发器从所述第一设备获取所述凭证和所述第一设备的ID，并根据所述第一设备的ID和所述密钥k，验证所述凭证。

结合第五方面，在第五方面的某些实现方式中，所述处理器还用于确定第一列表中没有包括所述第一设备的ID，其中，所述第一列表中包括至少一个连接所述AP提供的网络的设备的ID。

结合第五方面，在第五方面的某些实现方式中，所述处理器还用于在所述第一列表中增加所述第一设备的ID。

结合第五方面，在第五方面的某些实现方式中，所述第一设备的ID包括所述第一设备的MAC地址。

第六方面，提供了一种应用于WiFi的安全认证的装置，包括：处理器和收发器。可选的，还可以包括存储器。其中，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，并且当该处理器执行该存储器存储的指令时，该执行使得该处理器执行上述第二方面或第二方面的任意可能的实现方式中的方法。

所述处理器，耦合至所述收发器，用于根据口令，基于于双基密码指数密钥交换TBPEKE协议，与接入点AP协商配对主密钥PMK，其中，所述口令为所述AP与所述第一设备之间的共享密钥；以及根据所述PMK，与所述AP进行4路握手。

结合第六方面，在第六方面的某些实现方式中，所述PMK包括第一PMK1和第二PMK2。

其中，所述处理器具体用于指示所述收发器向所述AP发送第一参数X，其中，所述第一参数X是根据哈希到曲线函数g确定的，所述哈希到曲线函数g用于通过点乘运算将所述口令转化为椭圆曲线上的点，X＝g ^x，其中，x为随机数。

处理器还用于指示所述收发器从所述AP获取第二参数Y，其中，所述第二参数Y是根据所述哈希到曲线函数g确定的，Y＝g ^y，y为随机数，其中，所述第一参数X、所述第二参数Y用于所述AP计算所述第二PMK2。

处理器还用于根据所述第一参数X、所述第二参数Y，计算第一PMK1。

结合第六方面，在第六方面的某些实现方式中，所述处理器还用于与所述AP进行关联商定欲使用的安全套件，其中，所述安全套件用于指示所述哈希到曲线函数g。

结合第六方面，在第六方面的某些实现方式中，处理器还用于指示所述收发器从所述AP接收第一消息，所述第一消息包括所述AP的一次性随机数；根据所述第一PMK1、所述AP的一次性随机数、所述第一设备的一次性随机数，生成第一配对临时密钥PTK1，所述第一PTK1中包括第一密钥确认密钥KCK1、第一密钥加密密钥KEK1和第一临时密钥TK1。

处理器还用于指示所述收发器向所述AP发送第二消息，所述第二消息采用所述第一KCK1来保护消息的完整性，所述第二消息包括所述第一设备的一次性随机数，所述第二消息用于指示所述AP生成第二PTK2，所述第二PTK2是根据所述第二PMK2、所述AP的一次性随机数和所述第一设备的一次性随机数生成的，所述第二PTK2中包括第二KCK2、第二KEK2和第二TK2。

处理器还用于指示所述收发器从所述AP获取第三消息，所述第三消息包括群播密钥GTK，所述第三消息采用所述第二KEK2来保护所述GTK的私密性，采用所述第二KCK2来保护消息的完整性。

处理器还用于指示所述收发器向所述AP发送第四消息，所述第四消息用于响应所述第三消息，所述第四消息采用KCK来保护消息的完整性。

结合第六方面，在第六方面的某些实现方式中，所述哈希到曲线函数g表示为：

g＝U·V ^pw；

其中，U、V分别为从阶数为素数p的循环群G中获取的两个独立的随机生成元，pw表示所述口令。

结合第六方面，在第六方面的某些实现方式中，所述处理器还用于指示所述收发器向所述AP发送所述第一设备的标识ID。

处理器还用于指示所述收发器从所述AP接收用于抗拒绝服务DoS服务的凭证，所述凭证是根据密钥k和所述第一设备的ID生成的。

处理器还用于指示所述收发器向所述AP发送所述凭证和所述请求设备的ID。

结合第六方面，在第六方面的某些实现方式中，所述第一设备的ID包括所述第一设 备的MAC地址。

第七方面，提供了一种应用于WiFi的安全认证的芯片，包括处理器和通信接口，所述处理器用于从所述通信接口调用并运行指令，当所述处理器执行所述指令时，实现上述第一方面至第二方面中任一方面或任一方面的任意可能的实现方式中的方法。

可选地，该芯片还可以包括存储器，该存储器中存储有指令，处理器用于执行存储器中存储的指令或源于其他的指令。当该指令被执行时，处理器用于实现上述第一方面至第二方面中任一方面或任一方面的任意可能的实现方式中的方法。

第八方面，提供了一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第一方面至第二方面中任一方面或任一方面的任意可能的实现方式中的方法的指令。

第九方面，本申请实施例还提供一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得该计算机执行第一方面至第二方面中任一方面或任一方面的任意可能的实现方式中的方法。

第十方面，提供了一种通信系统，该通信系统包括具有实现上述第一方面的各方法及各种可能设计的功能的装置，以及上述具有实现上述第二方面的各方法及各种可能设计的功能的装置。

应理解，本申请的第二至第十方面及对应的实现方式所取得的有益效果参见本申请的第一方面及对应的实现方式所取得的有益效果，不再赘述。

附图说明

图1是一种基于WiFi的安全认证的方法的示意性流程图；

图2是一种基于WPA3的安全认证的方法的示意性流程图；

图3是应用本申请实施例的应用场景的一个示意图；

图4是本申请实施例提供的一种应用于WiFi的安全认证的方法的示意性流程图；

图5是TBPEKE的流程的一个示例；

图6是本申请实施例提供的一种应用于WiFi的安全认证的方法的示意性流程图；

图7是本申请实施例提供的另一种应用于WiFi的安全认证的方法的示意性流程图；

图8是本申请实施例提供的另一种应用于WiFi的安全认证的方法的示意性流程图；

图9是本申请实施例提供的另一种应用于WiFi的安全认证的方法的示意性流程图；

图10为本申请实施例提供的应用于WiFi的安全认证的装置的示意图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

图1示出了一种基于WiFi的安全认证的方法100的示意性流程图。在图1中，WiFi安全协议可以为第二代WiFi保护访问(WiFiprotected access 2，WPA2)版本，或WPA2之前的版本，例如有线等效保密(wired equivalent privacy，WEP)、第二代WEP(WEP2)、WPA等，不作限定。

图1中所示的流程也可以称为安全协议流程。如图1所示，方法100由请求设备(也可以替换为请求者，supplicant)和AP执行。其中，AP可以基于WiFi协议提供网络，请 求设备即请求使用AP提供的网络的终端设备。AP和请求设备双方共享口令pw。参见图1，方法100可以包括步骤101至109。其中，步骤104至109可以称为4路握手过程(4wayhandshake)。

101，请求设备和AP关联。这里，请求设备和AP通过关联(association)可以欲商定使用的安全套件。示例性的，安全套件可以指示请求设备与AP之间使用的相关的加密算法，以及其他相关参数。

102，请求设备生成PMK。示例性的，请求设备可以基于请求设备和AP双方共享的pw推导出PMK。可选的，请求设备还可以基于请求设备和AP双方的媒体访问控制(media access control，MAC)地址得到PMK，本申请对此不作限定。

103，AP生成PMK。示例性的，AP可以基于请求设备和AP双方共享的pw推导出PMK。可选的，AP还可以基于请求设备和AP双方的MAC地址得到PMK，本申请对此不作限定。

在一些实施例中，在请求设备生成的PMK和AP生成的PMK相同时，AP和第一设备可以基于PMK，进行4路握手。

104，AP向请求设备发送Msg1(r，anonce)。对应的，请求设备接收该Msg1(r，anonce)。这里，Msg1表示消息1(message1)，anonce表示AP的一次性随机数，r表示计数器的计数。

105，请求设备派生(derive)PTK。

示例性的，请求设备可以选择一次性随机数(表示为snonce)，并根据PMK、anonce、snonce生成PTK。可选的，请求设备还可以根据PMK、anonce、snonce，以及请求设备和AP双方的MAC地址，生成PTK，本申请对此不作限定。

示例性的，PTK包括三部分，分别为密钥确认密钥(key confirmation key，KCK)、密钥加密密钥(key encryption key，KEK)和临时密钥(transient key，TK)。其中，KCK用于在4路握手过程中保护消息的私密性，KEK用于在4路握手过程中保护消息的完整性，TK为真正的会话密钥，用于保护后续请求设备和AP之间的通信。

106，请求设备向AP发送Msg2({r，snonce} _KCK)。对应的，AP接收该Msg2({r，snonce} _KCK)。这里，Msg2表示消息2(message 2)，其中，该Msg2采用KCK来保护消息的完整性。

107，AP derivePTK。

示例性的，AP可以根据PMK、anonce、snonce生成PTK。可选的，AP还可以根据PMK、anonce、snonce，以及请求设备和AP双方的MAC地址，生成PTK，本申请对此不作限定。

在一些实施例中，请求设备生成的PTK与AP生成的PTK相同。在请求设备生成的PTK与AP生成的PTK相同时，执行以下的流程。

108，AP向请求设备发送Msg3({r+1,anonce,{GTK} _KEK} _KCK)。对应的，AP接收该Msg3({r+1,anonce,{GTK} _KEK} _KCK)。这里，Msg3表示消息3(message 3)，GTK为群播密钥。其中，该Msg3采用KEK保护GTK的私密性，采用KCK来保护Msg3整条消息的完整性。

108，请求设备向AP发送Msg4({r+1} _KCK)。对应的，AP接收该Msg4({r+1} _KCK)。 这里，Msg4表示消息4(message 4)。其中，该Msg4采用KCK来保护消息的完整性。

具体的，该步骤101至108可以参见现有技术中的描述，不再赘述。

由上述描述可知，AP和请求设备双方通过4路握手过程，能够进行身份认证，并生成会话密钥和群播密钥，以保护后续请求设备和AP之间的单播通信，以及AP的广播通信。

在上述方法100中，PMK是由口令pw(或以及双方的MAC地址)计算得到的，而口令pw的一个显著特点是其长度较小，即具有较低的熵值。因此，如果攻击者截取到了生成密钥的过程中的4路握手的消息，那么攻击者就可能通过暴力破解的方式得到口令，从而威胁网络安全。

为了解决WPA2以及以前的WiFi安全协议版本中的攻击者可能对口令pw进行暴力破解的隐患，WPA3版本在传统的安全协议流程(例如association和4路握手流程)之前，执行SAE流程来生成高熵值的PMK，从而有利于避免口令的暴力破解。其中，SAE为一种基于口令的密码认证和密钥交换(password authenticated key exchange，PAKE)协议。

图2示出了一种基于WPA3的安全认证的方法200的示意性流程图。方法200可以包括请求设备和AP双方生成PMK、关联以及4路握手过程。与方法100不同的是，在图2中通过执行SAE流程来生成高熵值的PMK(即步骤210)，其中，SAE实现于椭圆曲线上。作为示例，在图2中以Alice(例如为一个客户端)和Bob(例如为一个AP)双方执行SAE流程为例描述。如图2所示，步骤210包括步骤211至220。

211，Alice选取(pick)随机数(random)r _A和m _A，计算s _A＝(r _A+m _A)modq，E _A＝-m _A·P。

212，Bob选取(pick)随机数(random)r _B和m _B，计算s _B＝(r _B+m _B)modq，E _B＝-m _B·P。

其中，P是相应椭圆曲线上的一个点，可以由口令pw，以及supplicant和AP的MAC地址推衍生成P。这里，由口令pw生成P的计算过程可以称为哈希到曲线(hash-to-curve)函数。

213，Alice向Bob验证提交(auth-commit)(s _A，E _A)。

214，Bob向Alice验证提交(auth-commit)(s _B，E _B)。

215，Alice校验(verify)s _B和E _B，计算K＝r _A(s _B·P+E _B)，κ＝hash(K)，tr＝(s _A,E _A,s _B,E _B)，c _A＝HMAC(κ,tr)。其中，κ＝hash(K)可以作为PMK。

216，Bob校验(verify)s _A和E _A，计算K＝r _B(s _A·P+E _A)，κ＝hash(K)，tr＝(s _B,E _B,s _A,E _A)，c _B＝HMAC(κ,tr)。其中，κ＝hash(K)可以作为PMK。

217，Alice向Bob验证提交c _A。

218，Bob向Alice验证提交c _B。

219，Alice校验c _B。

220，Bob校验c _A。

当步骤219和220中c _B和c _A都通过校验后，Alice和Bob双方可以采用各自计算的κ值作为PMK。

但是，上述SAE流程中，由于在计算P的过程中需要利用共享口令pw进行计算，因此通过信道测试，结合暴力破解等手段，攻击者可以获取pw，从而导致口令泄露。有鉴于此，本申请实施例提供了一种通信方案，其中，AP和第一设备(例如请求设备)根据口令，基于双基密码指数密钥交换TBPEKE协议，协商配对主密钥PMK，并根据该PMK， 进行4路握手。由于TBPEKE能够很容易地实现防侧信道攻击，因此本申请实施例通过执行TBPEKE来生成PMK，能够提高AP和第一设备在WiFi的安全认证过程中的防侧信道攻击的能力，从而有助于AP和第一设备在安全认证时避免遭致侧信道攻击。

图3示出了应用本申请实施例的应用场景的一个示意图。如图3所示，多个请求设备(例如请求设备1、请求设备2和请求设备3)可以安全连接到AP，并通过AP使用WiFi网络资源。其中，每个请求设备与AP执行安全协议，进行相互认证并协商保护二者之间通信信道的密钥。这里，不同的请求设备可以使用相同的口令与AP执行安全协议。这里，请求设备例如可以为第一设备。

应理解，图3示出了应用于本申请实施例的系统的一个示例，但本申请并不限于此。例如，还可以是一个、两个、四个或者更多的请求设备与AP连接，这些都在本申请实施例的保护范围之内。

下面将结合附图详细说明本申请提供的应用于WiFi的安全认证的方法和装置。

本申请的技术方案可以应用于WiFi通信系统中，例如，图3中所示的通信系统。处于WiFi通信系统中的装置之间可具有无线通信连接关系。该装置中的一个装置例如可以为AP，或者配置于该AP中的芯片，另一个装置例如可以为第一设备，或者配置于第一设备中的芯片。本申请实施例对此不做限定。

以下，将以AP、第一设备的安全认证过程为例详细说明本申请实施例。可以理解，配置于AP的芯片、配置于第一设备的芯片均可以基于相同的方法进行安全认证。本申请对此不做限定。

图4示出了本申请实施例提供的一种应用于WiFi的安全认证的方法400的示意性流程图。方法400可以包括步骤410至430。

410，AP和第一设备可以根据口令，基于双基础密码加密密钥交换(twin base password encrypted key exchange，TBPEKE)协议来协商PMK(即生成PMK)。其中，该口令为AP与第一设备之间的共享密钥。示例性的，在图4中，可以采用TBPEKE协议来代替WPA3中的SAE协议。

420，AP与第一设备根据PMK，进行关联。

430，AP与第一设备进行4路握手。

这里，步骤420和430可以参见图1中的描述，不再赘述。

因此，本申请实施例中，通过执行TBPEKE流程能够生成高熵值的PMK，从而本申请实施例提供的安全认证的方法能够有助于抗离线字典攻击。并且由于TBPEKE能够很容易地实现防侧信道攻击，因此本申请实施例通过执行TBPEKE来生成PMK，能够提高AP和第一设备在WiFi的安全认证过程中的防侧信道攻击的能力，有助于AP和第一设备在安全认证时避免遭致侧信道攻击。

其中，TBPEKE也是一种PAKE协议。图5示出了TBPEKE的流程的一个示例。如图5所示，TBPEKE中通信双方A和B的公共参数包括：阶数为素数p的循环群G(Gofprimeorderp)，群中两个独立的随机生成元U和V(表示为U，

)，以及输出{0,1} ^l的哈希函数H(ahashfunctiononto{0,1} ^l，表示为H：{0,1}*→{0,1} ^l)。其中，H：{0,1}*→{0,1}为安全杂凑函数，比如可以为SHA256。

在TBPEKE中，A和B共享口令pw。A可以基于公共参数和口令pw，计算：

g←U·V ^pw，

X←g ^x

然后，A向B发送A||X。

B也可以基于公共参数和口令pw，计算：

g←U·V ^pw，

Y←g ^y

然后，B向A发送Y。

A在接收到Y之后，可以计算：Z←Y ^x。

B在接收到A||X之后，可以计算：Z←X ^y。

然后，A和B分别可以根据A、B、g、X、Y、Z计算密钥sk。示例性的，sk可以根据如下公式进行计算：

sk←H(A||B||g||X||Y||Z)。

需要说明的是，当G表示一个椭圆曲线群时，那么g＝U·V ^pw可以看做是将口令pw转化为椭圆曲线上的一个点的hashtocurve函数。在该hashtocurve函数g中，对于pw而言涉及点乘运算。其中，点乘运算能够有效地实现抗侧信道攻击。

在本申请实施例中，AP和第一设备之间传输的第一参数X和第二参数Y是基于hashtocurve函数g和随机数生成的，并不涉及口令pw的计算，从而攻击者很难知道口令pw，进而能够提高AP和第一设备在WiFi的安全认证过程中的防侧信道攻击的能力。

而在现有技术中，当在WPA3协议中采用SAE流程计算PMK时，需要利用共享口令进行计算，这样，通过信道测试，结合暴力破解等手段，攻击者可以获取口令，从而导致口令泄露。

可选的，在上述步骤410执行的过程中，可以根据需要对上述图5中所示的TBPEKE流程进行一些修改。例如，当B作为AP时，B可以保管g＝U·V ^pw，而不是pw。又例如，对于多个A需要进行身份认证时，B可以重用Y和y，而无需对每个A都使用不同的Y和y。

图6示出了本申请实施例提供的一种应用于WiFi的安全认证的方法600的示意性流程图。作为示例，方法600可由第一设备和AP执行。在方法600中，第一设备和AP双方共享口令pw，并双基密码指数密钥交换TBPEKE协议，协商配对主密钥PMK，并根据该PMK，进行4路握手。如图6所示，方法600包括步骤610至650。

610，第一设备向接入点AP发送X。对应的，AP从第一设备接收X。其中，第一参数X是根据哈希到曲线函数(hashtocurve)g确定的。

在一些实施例中，第一设备可以根据哈希到曲线(hashtocurve)函数g，确定第一参数X。其中，该hashtocurve函数g用于通过点乘运算将口令pw转化为椭圆曲线上的点，X＝g ^x，其中，x为随机数。作为示例，x为从

中选择的随机数，即

在一些实施例中，第一设备还可以向接入点AP发送第一设备的ID，第一设备的ID用于唯一地标识该第一设备。示例性的，第一设备可以向AP发送连接请求，该连接请求中可以包括第一参数X和第一设备的ID，本申请对此不作限定。

作为示例，第一设备的ID可以为第一设备的MAC地址，本申请对此不作限定。此时，第一设备向AP发送的消息(例如连接请求)的帧格式中可以包括该MAC地址，本申请对此不作限定。

作为示例，根据上文中的TBPEKE协议，g可表示为如下公式：

g＝U·V ^pw，

其中，U、V分别为从阶数为素数p的循环群G中获取的两个独立的随机生成元。

在一些可选的实施例之前，AP还可以发送广播消息，广播消息中还可以包括RSNEwithsupp.ciphers，以通知ciphers的能力。相应的，第一设备选择匹配的ciphers，即选择自己支持的密码套件，以获取到上述g，或用于获取g的相关参数(例如上述U，V)。这里，AP广播RSNEwithsupp.ciphers，以及第一设备选择匹配的ciphers即可以为AP与第一设备进行关联商定欲使用的安全套件的一个示例。作为示例，第一设备选择了密码套件之后，g，或U，V可以作为系统参数保存在第一设备侧。

作为示例，该广播消息可以为信标(beacons)帧，该信标帧可以在步骤610之前发送，本申请对此不作限定。

在一些实施例中，第一设备在执行步骤610，即向AP发送第一参数X之前，可以根据系统参数U和V，以及口令pw，确定hashtocurve函数g。

在一些实施例中，所述广播消息中还可以包括AP的ID。对应的，请求设备可以接收到该广播消息，并从中获取到AP的ID。作为示例，AP的ID可以为AP的MAC地址。

620，AP向所述第一设备发送Y。

在一些实施例中，AP可以确定第二参数Y。其中，第二参数Y是根据hashtocurve函数g确定的，Y＝g ^y，y为随机数。作为示例，y为从

中选择的随机数，即

这里，hashtocurve函数g可以参见步骤610中的描述，不再赘述。

作为一种可能的实现方式，AP端可以保管g＝U·V ^pw，而不是口令pw。也就是说，g＝U·V ^pw可以预先保存在AP本地，而口令pw不需要预先保存在AP本地。这样，当AP在接收到第一设备发送的第一参数和该第一设备的MAC地址时，可以直接选择随机数y，并根据随机数y和预先保管的g，计算Y，而不需要根据pw来计算g。

需要说明的是，在步骤610中，第一设备侧确定的g与AP侧保管的g是相同的，例如可以通过在第一设备和AP中分别预置代码实现，本申请对此不作限定。

因此，本申请实施例通过AP端直接保管g＝U·V ^pw，而不是口令pw，能够避免AP在认证设备时实时计算g，从而能够减小AP端的计算量，进而有助于减少或避免AP遭致拒绝服务(denialofservice，DoS)攻击。

作为另一种可能的实现方式，AP端可以重用第二参数Y。作为示例，当AP端与多个第一设备进行设备认证，且这些第一设备可以使用相同的口令pw与AP执行安全协议时，AP可以重用第二参数Y。例如，在AP向第二第一设备发送第二参数Y之后，AP接收到了第一设备发送的第一参数X和该第一设备的ID，那么AP可以不需要再根据Y＝g ^y来计算一个新的第二参数，而是可以直接将之前发送给第二第一设备的该第二参数发送给第一设备。

可以理解的是，由于Y＝g ^y，因此AP端重用第二参数Y，也可以等价于AP端重用随机数y，本申请对此不作限定。

因此，本申请实施例通过AP端重用第二参数Y或随机数y，能够避免AP在认证设备时实时计算第二参数Y，从而能够减小AP端的计算量，进而有助于减少或避免AP遭致DoS攻击。

在其他可能的实现方式中，AP端可以将上述两个独立的随机生成元U和V，作为系 统参数保存，并根据U和V，以及口令pw，确定hashtocurve函数g，并进一步选取随机数y，根据Y＝g ^y，来确定第二参数Y，本申请对此不作限定。

在一些实施例中，在步骤620中，AP可以向第一设备发送对应于连接请求的响应消息，其中可以包括Y，本申请对此不作限定。

630，第一设备确定PMK1。

具体的，第一设备可以根据上述第一参数X、第二参数Y，确定配对主密钥PMK1。

示例性的，第一设备可以根据该第一参数X、第二参数Y、第一设备的ID和AP的ID，计算PMK1。作为示例，第一设备可以根据以下公式计算PMK1：

PMK1＝KDF(Z，id _dev||id _AP||X||Y)，

其中，Z＝Y ^x，id _dev表示第一设备的ID，id _AP表示AP的ID，KDF()为标准的密钥推演函数。

640，AP确定PMK2。

示例性的，AP可以根据上述第一参数X、第二参数Y，确定配对主密钥PMK2。

示例性的，AP可以根据该第一参数X、第二参数Y、第一设备的ID和AP的ID，计算PMK2。作为示例，AP可以根据以下公式计算PMK2：

PMK2＝KDF(Z，id _dev||id _AP||X||Y)，

其中，Z＝X ^y，id _dev表示第一设备的ID，id _AP表示AP的ID，KDF()为标准的密钥推演函数。

650，第一设备和AP进行关联和4路握手。

这里，通过关联和4路握手过程，AP和第一设备双方可以进行相互身份认证，并生成会话密钥和群播密钥，以保护后续请求设备和AP之间的单播通信，以及AP的广播通信。示例性的，在后续的关联和4路握手的过程中，第一设备和AP可以遵照WPA3的规范。作为示例，可以参见图1中的描述，不再赘述。

因此，本申请实施例中，第一设备可以向AP发送第一参数X，AP可以向第一设备发送第二参数Y，其中，第一参数X和第二参数Y分别是根据hashtocurve函数g确定的，进而第一设备可以根据该第一参数X、第二参数Y，来计算PMK1，AP可以根据该第一参数X、第二参数Y，来计算PMK2。在本申请实施例中，AP和第一设备之间传输的第一参数X和第二参数Y是基于hashtocurve函数g和随机数生成的，并不涉及口令的计算，从而攻击者很难知道口令，进而能够提高AP和第一设备在WiFi的安全认证过程中的防侧信道攻击的能力，有助于AP和第一设备在安全认证时避免遭致侧信道攻击。

而在现有技术中，当在WPA3协议中采用SAE流程计算PMK时，需要利用共享口令进行计算，这样，通过信道测试，结合暴力破解等手段，攻击者可以获取口令，从而导致口令泄露。

图7示出了本申请实施例提供的一种应用于WiFi的安全认证的方法700的示意性流程图。作为示例，方法700可由第一设备和AP执行。在方法700中，第一设备和AP双方共享口令pw，并且AP端保管g＝U·V ^pw。具体的，第一设备或AP可以参见上文中的描述。

应理解，图7示出了示出了应用于WiFi的安全认证的方法的步骤或操作，但这些步骤或操作仅是示例，本申请实施例还可以执行其他操作或者图7中的各个操作的变形。此 外，图7中的各个步骤可以按照与图7中呈现的不同的顺序来执行，并且有可能并非要执行图7中的全部操作。

如图7所示，方法700包括步骤701至708。

701，AP广播信标帧。其中，该信标帧中可以包括AP的MAC地址(可表示为MAC _AP)。可选的，信标帧中还可以包括RSNEwithsupp.ciphers(robust security network element with supported ciphers)，以通知ciphers的能力，本申请对此不作限定。

相应的，在AP的WiFi网络的覆盖范围内的终端设备可以接收到该信标帧，并获取该信标帧中的信息。作为示例，图7中所示的第一设备可以接收到该信标帧，并确定需要连接该AP提供的WiFi网络。

702，第一设备选择密码(selectcipher)，选择随机数

确定X＝(U·V ^pw) ^x。

示例性的，第一设备选择密码，可以指第一设备选择自己支持的密码套件，以获取到hashtocurve函数g，或用于获取g的相关参数(例如U，V等)，本申请对此不作限定。第一设备选择了密码套件之后，g，或U，V可以作为系统参数保存在第一设备侧。

作为示例，第一设备选择随机数

确定X＝(U·V ^pw) ^x，具体U和V为从阶数为素数p的循环群G中获取两个独立的随机生成元，可以作为系统参数保存在第一设备侧，第一设备可以根据系统参数元U和V，以及口令pw，确定hashtocurve函数g＝U·V ^pw。这里，hashtocurve函数g点乘运算将口令pw转化为椭圆曲线上的点。然后，第一设备可以选择随机数

并根据hashtocurve函数g和该随机数x，确定第一参数X＝(U·V ^pw)x。具体的，确定第一参数X的过程可以参见图6中步骤610的描述，这里不再赘述。

703，第一设备向AP发送X和MAC _dev。

示例性的，第一设备可以向AP发送连接请求，其中包括上述第一参数X和第一设备的MAC地址MAC _dev，本申请对此不作限定。

需要说明的是，本申请实施例以第一设备的标识为第一设备的MAC地址，AP的标识为AP的MAC地址为例进行描述，但本申请实施例并不限于此。例如，在另一些实施例中，第一设备还可以向AP发送其他唯一用于标识第一设备的标识，本申请对此不作限定。

704，AP选择随机数

Y＝(U·V ^pw) ^y。

这里，作为一种实现方式，AP端可以保管g＝U·V ^pw，而不是口令pw，因此AP端可以在接收到第一参数X和MAC _dev之后，选择随机数y，并根据预先存储的hashtocurve函数g＝U·V ^pw和随机数y，确定第二参数Y＝(U·V ^pw) ^y。

需要说明的是，在步骤702中，第一设备侧确定的g与AP侧保管的g是相同的，例如可以通过在第一设备和AP中分别预置代码实现，本申请对此不作限定。

因此，本申请实施例通过AP端直接保管g＝U·V ^pw，而不是口令pw，能够避免AP在认证设备时实时计算g，从而能够减小AP端的计算量，进而有助于减少或避免遭致DoS攻击。

在一些可选的实施例中，当AP端接收多个(即两个或两个以上)第一设备发送的连接请求时，AP端可以重用y和Y。这样，能够避免AP在认证设备时实时计算第二参数Y，从而能够减小AP端的计算量，进而有助于减少或避免遭致DoS攻击。

705，AP向第一设备发送Y。

706，第一设备计算Z＝Y ^x，PMK＝KDF(Z,MAC _dev||MAC _AP||X||Y)。

707，AP计算Z＝X ^y，PMK＝KDF(Z,MAC _dev||MAC _AP||X||Y)。

具体的，步骤706和707可以参见图6中步骤630和640的描述，不再赘述。

708，第一设备和AP进行关联和4路握手。

这里，通过关联和4路握手过程，AP和第一设备双方可以进行相互身份认证，并生成会话密钥和群播密钥，以保护后续请求设备和AP之间的单播通信，以及AP的广播通信。示例性的，关联和4路握手过程可以参见图1中的描述，不再赘述。

因此，本申请实施例中，第一设备可以向AP发送第一参数X，AP可以向第一设备发送第二参数Y，其中，第一参数X和第二参数Y分别是根据hashtocurve函数g确定的，进而第一设备可以根据该第一参数X、第二参数Y，来计算PMK1，AP可以根据该第一参数X、第二参数Y，来计算PMK2。在本申请实施例中，AP和第一设备之间传输的第一参数X和第二参数Y是基于hashtocurve函数g和随机数生成的，并不涉及口令的计算，从而攻击者很难知道口令，进而能够提高AP和第一设备在WiFi的安全认证过程中的防侧信道攻击的能力，有助于AP和第一设备在安全认证时避免遭致侧信道攻击。

而在现有技术中，当在WPA3协议中采用SAE流程计算PMK时，需要利用共享口令进行计算，这样，通过信道测试，结合暴力破解等手段，攻击者可以获取口令，从而导致口令泄露。

图8示出了本申请实施例提供的一种应用于WiFi的安全认证的方法800的示意性流程图。方法800中，AP可以向第一设备发送抗DoS的凭证token，并对第一设备再次发送的token进行验证，以进一步增强抗DoS攻击的能力。在方法800中，第一设备和AP双方共享口令pw，并且AP端保管g＝U·V ^pw，并额外设置密钥k，密钥k用于生成抗DoS的凭证token。

应理解，图8示出了示出了应用于WiFi的安全认证的方法的步骤或操作，但这些步骤或操作仅是示例，本申请实施例还可以执行其他操作或者图8中的各个操作的变形。此外，图8中的各个步骤可以按照与图8中呈现的不同的顺序来执行，并且有可能并非要执行图8中的全部操作。

如图8所示，方法800包括步骤801至812。

可选的，本申请实施例中，可以设置是否启用(enable)反DoS(anti-DoS)机制。作为示例，可以预先设置标签(label)，当启用反DoS机制，可以将标签值设为1，反之可以将标签至设为0。当启用反DoS机制时，可以验证第一设备发送的token，和/或重用Y和y，本申请对此不作限定。

801，AP广播信标帧。相应的，第一设备可以接收到该信标帧，并确定需要连接该AP提供的WiFi网络。

802，第一设备选择密码，选择随机数

确定X＝(U·V ^pw) ^x。

803，第一设备向AP发送X和MAC _dev。对应的，AP接收X和MAC _dev。

具体的，步骤801至和803可以参见图7中步骤701至703中的描述，这里不再赘述。

804，AP计算token＝h(k,MAC _dev)。

作为示例，AP在接收到第一设备发送的连接请求时，可以根据保管的密钥k和连接请求中的该第一设备的MAC地址MAC _dev，生成绑定于MAC _dev地址的token。其中，h() 为安全杂凑函数。

805，AP向第一设备发送token。即，AP在生成绑定于上述MAC _dev地址的token之后，向第一设备返回该token。对应的，第一设备接收该token。

806，第一设备向AP发送token、X和MAC _dev。对应的，AP接收token、X和MAC _dev。

作为示例，第一设备再次向AP提交连接请求以及token。示例性的，token可以携带在该连接请求中，本申请对此不作限定。例如，token也可以与连接请求一起封装在一条消息中发送给AP。

示例性的，步骤803中，第一设备可以向AP发送第一连接请求，其中可以包括X和MAC _dev；在步骤806中，第一设备可以向AP发送第二连接请求，其中可以包括token、X和MAC _dev。

807，AP检查(check)token？＝h(k,MAC _dev)。即，AP检查在步骤806中接收的token是否等于其在步骤804中计算的token。

当token＝h(k,MAC _dev)，即AP在步骤806中接收的token等于其在步骤804中计算的token时，则该token通过验证，此时AP可以进一步处理该第一设备的连接请求。

当token≠h(k,MACdev)，即AP在步骤806中接收的token不等于其在步骤804中计算的token时，则该token没有通过验证，此时AP可以不对该第一设备的连接请求进行处理。

可以理解的是，当token没有通过验证时，则表示该token与绑定于该token的MAC地址并不匹配，因此此时该第一设备可能使用了虚假的MAC地址对AP进行恶意攻击，该第一设备可能为攻击者。因此AP可以不对该第一设备的连接请求进行处理，以减少或避免遭致DoS攻击。

在一些可选的实施例中，当设置的label的值为1时，可以执行以上步骤804至807，当设置的label的值为0时，可以不执行以上步骤804至807，本申请对此不作限定。

在另一些可选的实施例中，当没有设置label值，并且AP支持计算并验证上述token时，AP可以在接收到连接请求，即步骤803之后，始终执行步骤804至807，本申请对此不作限定。

808，AP选择随机数

Y＝(U·V ^pw) ^y。

具体的，步骤808可以参见图7中步骤704的描述，这里不再赘述。

在一些可选的实施例中，当设置的label的值为1，并且AP接收到多个连接请求时，AP可以重用Y和y。当设置的label的值为0时，当AP接收到多个连接请求时，AP不重用Y和y，即分别对不同的第一设备选择y，并计算Y。

在另一些可选的实施例中，当没有设置label值时，AP可以在接收到多个连接请求时，始终重用Y和y，本申请对此不作限定。

809，AP向第一设备发送Y。

810，第一设备计算Z＝Y ^x，PMK＝KDF(Z,MAC _dev||MAC _AP||X||Y)。

811，AP计算Z＝X ^y，PMK＝KDF(Z,MAC _dev||MAC _AP||X||Y)。

812，第一设备和AP进行关联和4路握手。

具体的，步骤809至812可以参见图7中步骤705至708的描述，这里不再赘述。

因此，本申请实施例中，AP可以根据第一设备的MAC地址和AP端保存的密钥，生 成绑定于该第一设备的MAC地址的抗DoS的token，并向第一设备返回该token，第一设备需再次向AP发送其MAC地址和token，使得AP能够对其MAC地址和对应的token进行验证，并且只在该token通过验证时才对该第一设备的连接请求进行处理，从而能够有助于避免AP对所有的连接请求都进行处理，进而有助于减少或避免AP遭致DoS攻击。

图9示出了本申请实施例提供的一种应用于WiFi的安全认证的方法900的示意性流程图。方法900中，AP可以维护一个在连设备(deviceinprocessing，DEVinPROC)的列表，当第一设备不在该在连设备的列表中时，AP才会进一步处理该第一设备的连接请求。在方法900中，第一设备和AP双方共享口令pw，并且AP端可以保管g＝U·V ^pw，并额外设置密钥k。

应理解，图9示出了示出了应用于WiFi的安全认证的方法的步骤或操作，但这些步骤或操作仅是示例，本申请实施例还可以执行其他操作或者图9中的各个操作的变形。此外，图9中的各个步骤可以按照与图9中呈现的不同的顺序来执行，并且有可能并非要执行图9中的全部操作。

如图9所示，方法900包括步骤901至914。

可选的，本申请实施例中，可以设置是否标签(label)，当启用反DoS机制，可以将标签值设为1，反之可以将标签至设为0。具体的，可以参见图8中的描述，不再赘述。

901，AP广播信标帧。相应的，第一设备可以接收到该信标帧，并确定需要连接该AP提供的WiFi网络。

902，第一设备选择密码，选择随机数

确定X＝(U·V ^pw) ^x。

903，第一设备向AP发送X和MAC _dev。对应的，AP接收X和MAC _dev。

具体的，步骤901至903可以参见图8中步骤801至803中的描述，这里不再赘述。

904，AP检查

计算token＝h(k,MAC _dev)。

具体的，AP在

时，计算token＝h(k,MAC _dev)，在MAC _dev∈DEVinPROC时，不计算token＝h(k,MAC _dev)。

作为示例，AP端维护的在连设备的列表(可以表示为DEVinPROC)中可以包括至少一个连接该AP提供的网络的终端设备(即在连设备)的MAC地址。当第一设备的MAC地址不在DEVinPROC中(即

)时，AP会进一步处理该第一设备的连接请求，即根据该第一设备的MAC地址和AP端保管的密钥，为该第一设备计算token＝h(k,MAC _dev)。而当第一设备的MAC地址在DEVinPROC中(MAC _dev∈DEVinPROC)时，表示该第一设备已经能够连接到该AP提供的网络了，那么可以推测该第一设备使用了虚假的MAC地址对AP进行恶意攻击，该第一设备可能为攻击者。此时，因此AP可以不对该第一设备的连接请求进行处理，即不会为该第一设备计算token，以减少或避免AP遭致DoS攻击。

905，AP向第一设备发送token。即，AP在生成绑定于上述MAC _dev地址的token之后，向第一设备返回该token。对应的，第一设备接收该token。

906，第一设备向AP发送token、X和MAC _dev。

作为示例，第一设备再次向AP提交连接请求以及token。示例性的，token可以携带在该连接请求中，本申请对此不作限定。例如，token也可以与连接请求一起封装在一条消息中发送给AP。

对应的，AP接收token、X和MAC _dev。

907，AP检查

检查token？＝h(k,MAC _dev)。即，AP检查在步骤906中接收的MAC _dev是否在DEVinPROC列表中，以及检查token是否等于其在步骤904中计算的token。

作为示例，AP可以在MAC _dev不在DEVinPROC列表中，即

之后，进一步检查token是否等于其在步骤904中计算的token。

当

且token＝h(k,MAC _dev)，即该第一设备不是在连设备，且AP在步骤906中接收的token等于其在步骤904中计算的token时，AP可以进一步处理该第一设备的连接请求。

当

且token≠h(k,MAC _dev)，即该第一设备不是在连设备，但AP在步骤906中接收的token不等于其在步骤904中计算的token时，AP可以不对该第一设备的连接请求进行处理。

当MAC _dev∈DEVinPROC时，AP可以不对token进行验证，即可不对该第一设备的连接请求进行处理。

908，DEVinPROC＝DEVinPROCv{MAC _dev}。

具体而言，DEVinPROC＝DEVinPROCv{MAC _dev}表示可以在现有的DEVinPROC列表中增加上述第一设备的MAC地址，实现对DEVinPROC的更新。这样，当后续再接收到该包含该MAC _dev的连接请求时，由于该MAC _dev已经包含在DEVinPROC中，AP可以不对该连接请求进行处理，从而有助于减少或避免AP遭致DoS攻击。

909，选择随机数

Y＝(U·V ^pw) ^y。

910，AP向第一设备发送Y。

911，第一设备计算Z＝Y ^x，PMK＝KDF(Z,MAC _dev||MAC _AP||X||Y)。

912，AP计算Z＝X ^y，PMK＝KDF(Z,MAC _dev||MAC _AP||X||Y)。

913，第一设备和AP进行关联和4路握手。

具体的，步骤909至913可以参见图8中步骤808至812的描述，这里不再赘述。

914，如果失败，则DEVinPROC＝DEVinPROC-{MAC _dev}。

具体而言，如果第一设备与AP之间进行身份认证或生成密钥失败，即此时该第一设备并不是该AP的在连设备，那么可以在当前的DEVinPROC列表中删除该第一设备的MAC地址。这样，后续该第一设备仍然可以向AP发送连接请求，并且由于该第一设备的MAC地址没有在DEVinPROC中，因此AP可以对该第一设备的连接请求进行相应的处理。

因此，本申请实施例中，通过AP在确定第一设备的MAC地址不在其DEVinPROC的列表中时，才会进一步处理该第一设备的连接请求，能够有助于避免AP对所有的连接请求都进行处理，有助于减小AP端的计算量，进而有助于减少或避免AP遭致DoS攻击。

可以理解的是，本申请上述各个实施例中，由AP实现的方法也可以由可用于AP的部件(例如芯片或者电路)实现，由第一设备实现的方法也可以由可用于第一设备的部件(例如芯片或者电路)实现。

根据前述方法，图10为本申请实施例提供的应用于WiFi的安全认证的装置1000的示意图。

一些实施例中，该装置1000可以为AP，也可以为芯片或电路，比如可设置于AP的芯片或电路。一些实施例中，该装置1000可以为第一设备，也可以为芯片或电路，比如可设置于第一设备的芯片或电路。

该装置1000可以包括处理单元1010(即，处理器的一例)和收发单元1030。

可选的，收发单元1030可以通过收发器或者收发器相关电路或者接口电路实现。

可选的，该装置还可以包括存储单元1020。一种可能的方式中，该存储单元1020用于存储指令。可选的，该存储单元也可以用于存储数据或者信息。存储单元1020可以通过存储器实现。

一种可能的设计中，该处理单元1010可以用于执行该存储单元1020存储的指令，以使装置1000实现如上述方法中AP执行的步骤。

进一步的，该处理单元1010、存储单元1020、收发单元1030可以通过内部连接通路互相通信，传递控制和/或数据信号。例如，该存储单元1020用于存储计算机程序，该处理单元1010可以用于从该存储单元1020中调用并运行该计算计程序，以控制收发单元1030接收信号和/或发送信号，完成上述方法中AP的步骤。

示例性的，当处理器单元1010为处理器，收发单元1030为收发器时，该处理器可以耦合至收发器，例如向收发器发送指令，以指示(或控制)收发单元接收信号和/或发送信号，完成上述方法中AP的步骤。

一种可能的设计中，该处理单元1010可以用于执行该存储单元1020存储的指令，以使装置1000实现如上述方法中第一设备执行的步骤。

进一步的，该处理单元1010、存储单元1020、收发单元1030可以通过内部连接通路互相通信，传递控制和/或数据信号。例如，该存储单元1020用于存储计算机程序，该处理单元1010可以用于从该存储单元1020中调用并运行该计算计程序，以控制收发单元1030接收信号和/或发送信号，完成上述方法中第一设备的步骤。

示例性的，当处理器单元1010为处理器，收发单元1030为收发器时，该处理器可以耦合至收发器，例如向收发器发送指令，以指示(或控制)收发单元接收信号和/或发送信号，完成上述方法中第一设备的步骤。

存储单元1020可以集成在处理单元1010中，也可以与处理单元1010分开设置。收发单元1030可以集成在处理单元1010中，也可以与处理单元1010分开设置。

可选地，若该装置1000为通信设备，该收发单元1030可以包括接收器和发送器。其中，接收器和发送器可以为相同或者不同的物理实体。为相同的物理实体时，可以统称为收发器。

可选地，若该装置1000为芯片或电路，该收发单元1030可以包括输入接口和输出接口。

作为一种实现方式，收发单元1030的功能可以考虑通过收发电路或者收发的专用芯片实现。处理单元1010可以考虑通过专用处理芯片、处理电路、处理单元或者通用芯片实现。

作为另一种实现方式，可以考虑使用通用计算机的方式来实现本申请实施例提供的通信设备(例如，AP或第一设备)。即将实现处理单元1010、收发单元1030功能的程序代码存储在存储单元1020中，通用处理单元通过执行存储单元1020中的代码来实现处理 单元1010、收发单元1030的功能。

在一些实施方式中，当装置1000是AP或设置于AP中的芯片或电路时，

处理单元1010可以根据口令，基于双基密码指数密钥交换TBPEKE协议，与第一设备协商配对主密钥PMK，其中，所述口令为所述AP与所述第一设备之间的共享密钥。示例性的，处理单元1010可以通过收发单元1030与第一设备进行协商。

处理单元1010还可以根据所述PMK，与所述第一设备进行4路握手。示例性的，处理单元1010可以通过收发单元1030与第一设备进行4路握手。

示例性的，处理单元1010可以通过收发单元1030与第一设备进行协商，处理单元1010可以通过收发单元1030与第一设备进行4路握手。

在一些可能的实现方式中，所述PMK包括第一PMK1和第二PMK2。

其中，收发单元1030用于从所述第一设备获取第一参数X，其中，所述第一参数X是根据哈希到曲线函数g确定的，所述哈希到曲线函数g用于通过点乘运算将所述口令转化为椭圆曲线上的点，X＝g ^x，其中，x为随机数。

收发单元1030还用于向所述第一设备发送第二参数Y，以指示所述第一设备根据所述第一参数X和第二参数Y计算所述第一PMK1，其中，所述第二参数Y是根据所述哈希到曲线函数g确定的，Y＝g ^y，y为随机数，

处理单元1030还用于根据收发单元获取的所述第一参数X，以及所述第二参数Y，计算所述第二PMK2。

在一些可能的实现方式中，处理单元1010还用于与所述第一设备进行关联商定欲使用的安全套件，其中，所述安全套件用于指示所述哈希到曲线函数g。

在一些可能的实现方式中，收发单元1030用于向所述第一设备发送第一消息，所述第一消息用于指示所述第一设备生成第一配对临时密钥PTK1，所述第一消息包括所述AP的一次性随机数，所述第一PTK1是根据所述第一PMK1、所述AP的一次性随机数和所述第一设备的一次性随机数生成的，所述第一PTK1中包括第一密钥确认密钥KCK1、第一密钥加密密钥KEK1和第一临时密钥TK1。

收发单元1030还用于从所述第一设备获取第二消息，所述第二消息采用所述第一KCK1来保护消息的完整性，所述第二消息包括所述第一设备的一次性随机数。

处理单元1010还用于根据所述第二PMK2、所述AP的一次性随机数和所述第一设备的一次性随机数生成所述第二PTK2，所述第二PTK2中包括第二KCK2、第二KEK2和第二TK2。

收发单元1010还用于向所述第一设备发送第三消息，所述第三消息包括群播密钥GTK，所述第三消息采用所述第二KEK2来保护所述GTK的私密性，采用所述第二KCK2来保护消息的完整性。

收发单元1030还用于从所述第一设备获取第四消息，所述第四消息用于响应所述第三消息，所述第四消息采用所述第二KCK2来保护消息的完整性。

在一些可能的实现方式中，所述哈希到曲线函数g表示为：

g＝U·V ^pw；

其中，U、V分别为从阶数为素数p的循环群G中获取的两个独立的随机生成元，pw表示所述口令。

在一些可能的实现方式中，所述哈希到曲线函数g是预先保存在所述AP本地的。

在一些可能的实现方式中，所述第二参数Y是所述AP根据所述哈希到曲线函数g生成的；或者所述第二参数Y是所述AP通过重用向第二设备发送的第二参数Y来确定的。

在一些可能的实现方式中，所述收发单元1030还用于从所述第一设备获取所述第一设备的标识ID，以及向所述第一设备发送用于抗DoS服务的凭证，其中，所述凭证是根据所述第一设备的标识ID和密钥k确定的。

收发单元1030还用于从所述第一设备获取所述凭证和所述第一设备的ID。

处理单元1010还用于根据所述第一设备的ID和所述密钥k，验证所述凭证。

在一些可能的实现方式中，处理单元1010还用于确定第一列表中没有包括所述第一设备的ID，其中，所述第一列表中包括至少一个连接所述AP提供的网络的设备的ID。

在一些可能的实现方式中，处理单元1010还用于在所述第一列表中增加所述第一设备的ID。

在一些可能的实现方式中，所述第一设备的ID包括所述第一设备的MAC地址。

在一些实施方式中，当装置1000是第一设备或设置于第一设备中的芯片或电路时，

处理单元1010可以根据口令，基于于双基密码指数密钥交换TBPEKE协议，与接入点AP协商配对主密钥PMK，其中，所述口令为所述AP与所述第一设备之间的共享密钥。示例性的，处理单元可以通过收发单元与AP进行协商。

处理单元1010还可以根据所述PMK，与所述AP进行4路握手。示例性的，处理单元可以通过收发单元与第一设备进行4路握手。

示例性的，处理单元1010可以通过收发单元1030与Ap进行协商，处理单元1010可以通过收发单元1030与AP进行4路握手。

在一些可能的实现方式中，所述PMK包括第一PMK1和第二PMK2。

其中，收发单元1030用于向所述AP发送第一参数X，其中，所述第一参数X是根据哈希到曲线函数g确定的，所述哈希到曲线函数g用于通过点乘运算将所述口令转化为椭圆曲线上的点，X＝g ^x，其中，x为随机数。

收发单元1030还用于从所述AP获取第二参数Y，其中，所述第二参数Y是根据所述哈希到曲线函数g确定的，Y＝g ^y，y为随机数，其中，所述第一参数X、所述第二参数Y用于所述AP计算所述第二PMK2。

处理单元1010用于根据所述第一参数X、所述第二参数Y，计算第一PMK1。

一些可能的实现方式中，处理单元1010还用于与所述AP进行关联商定欲使用的安全套件，其中，所述安全套件用于指示所述哈希到曲线函数g。

在一些可能的实现方式中，收发单元1030还用于从所述AP接收第一消息，所述第一消息包括所述AP的一次性随机数。

处理单元1010还用于所述第一设备根据所述第一PMK1、所述AP的一次性随机数、所述第一设备的一次性随机数，生成第一配对临时密钥PTK1，所述第一PTK1中包括第一密钥确认密钥KCK1、第一密钥加密密钥KEK1和第一临时密钥TK1。

收发单元1030还用于向所述AP发送第二消息，所述第二消息采用所述第一KCK1来保护消息的完整性，所述第二消息包括所述第一设备的一次性随机数，所述第二消息用于指示所述AP生成第二PTK2，所述第二PTK2是根据所述第二PMK2、所述AP的一次 性随机数和所述第一设备的一次性随机数生成的，所述第二PTK2中包括第二KCK2、第二KEK2和第二TK2。

收发单元1030还用于从所述AP获取第三消息，所述第三消息包括群播密钥GTK，所述第三消息采用所述第二KEK2来保护所述GTK的私密性，采用所述第二KCK2来保护消息的完整性。

收发单元1030还用于向所述AP发送第四消息，所述第四消息用于响应所述第三消息，所述第四消息采用KCK来保护消息的完整性。

在一些可能的实现方式中，所述哈希到曲线函数g表示为：

g＝U·V ^pw；

其中，U、V分别为从阶数为素数p的循环群G中获取的两个独立的随机生成元，pw表示所述口令。

在一些可能的实现方式中，收发单元1030还用于向所述AP发送所述第一设备的标识ID。收发单元1030还用于从所述AP接收用于抗拒绝服务DoS服务的凭证，所述凭证是根据密钥k和所述第一设备的ID生成的。收发单元1030还用于向所述AP发送所述凭证和所述请求设备的ID。

在一些可能的实现方式中，所述第一设备的ID包括所述第一设备的MAC地址。

上述实施例中的各个单元也可以称为模块或者电路或者部件。

其中，以上列举的装置1000中各模块或单元的功能和动作仅为示例性说明。当该装置1000配置在或本身即为AP时，装置1000中各模块或单元可以用于执行上述方法实施例中AP所执行的各动作或处理过程。当该装置1000配置在或本身即为第一设备时，装置1000中各模块或单元可以用于执行上述方法实施例中第一设备所执行的各动作或处理过程。

该装置1000所涉及的与本申请实施例提供的技术方案相关的概念，解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述，此处不做赘述。

根据本申请实施例提供的方法，本申请实施例还提供一种通信系统，其包括前述的AP和第一设备。

应理解，本申请实施例中，处理器可以为中央处理单元(central processing unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器(random access memory，RAM)可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、 双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

上述实施例，可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质。半导体介质可以是固态硬盘。

本申请实施例还提供了一种计算机可读介质，其上存储有计算机程序，该计算机程序被计算机执行时实现上述任一实施例中的AP执行的步骤，或者第一设备执行的步骤。

本申请实施例还提供了一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一实施例中的AP执行的步骤，或者第一设备执行的步骤。

本申请实施例还提供了一种系统芯片，该系统芯片包括：通信单元和处理单元。该处理单元，例如可以是处理器。该通信单元例如可以是输入/输出接口、管脚或电路等。该处理单元可执行计算机指令，以使该通信装置内的芯片执行上述本申请实施例提供的AP执行的步骤，或者第一设备执行的步骤。

可选地，该计算机指令被存储在存储单元中。

另外，本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如，计算机可读介质可以包括，但不限于:磁存储器件(例如，硬盘、软盘或磁带等)，光盘(例如，压缩盘(compact disc，CD)、数字通用盘(digital versatile disc，DVD)等)，智能卡和闪存器件(例如，可擦写可编程只读存储器(erasable programmable read-only memory，EPROM)、卡、棒或钥匙驱动器等)。另外，本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于，无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

需要说明的是，在本申请提供的各个实施例中，各个步骤之间没有时间限制关系，并且各个步骤可以作为一个方案，也可以和其他一个或多个步骤组合构成一个方案，本申请对此不作限定。

本申请中的各个实施例可以独立的使用，也可以进行联合的使用，例如各不同实施例中的任何一个或多个步骤可以进行组合，单独构成实施例，这里不做限定。

应理解，在上文示出的实施例中，第一、第二仅为便于区分不同的对象，而不应对本 申请构成任何限定。

还应理解，在本申请的实施例中，上述过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

还应理解，“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“至少一个”是指一个或一个以上；“A和B中的至少一个”，类似于“A和/或B”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和B中的至少一个，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (41)

1. 一种应用于无线保真WiFi的安全认证的方法，其特征在于，包括：

   接入点AP根据口令，基于双基密码指数密钥交换TBPEKE协议，与第一设备协商配对主密钥PMK，其中，所述口令为所述AP与所述第一设备之间的共享密钥；

   所述AP根据所述PMK，与所述第一设备进行4路握手。
2. 根据权利要求1所述的方法，其特征在于，所述PMK包括第一PMK1和第二PMK2，其中，所述接入点AP根据口令，基于双基密码指数密钥交换TBPEKE协议，与第一设备协商配对主密钥PMK，包括：

   所述AP从所述第一设备获取第一参数X，其中，所述第一参数X是根据哈希到曲线函数g确定的，所述哈希到曲线函数g用于通过点乘运算将所述口令转化为椭圆曲线上的点，X＝g ^x，其中，x为随机数；

   所述AP向所述第一设备发送第二参数Y，以指示所述第一设备根据所述第一参数X和第二参数Y计算所述第一PMK1，其中，所述第二参数Y是根据所述哈希到曲线函数g确定的，Y＝g ^y，y为随机数；

   所述AP根据所述第一参数X、所述第二参数Y，计算所述第二PMK2。
3. 根据权利要求2所述的方法，其特征在于，所述接入点AP根据口令，基于双基密码指数密钥交换TBPEKE协议，与第一设备协商配对主密钥PMK之前，还包括：

   所述AP与所述第一设备进行关联商定欲使用的安全套件，其中，所述安全套件用于指示所述哈希到曲线函数g。
4. 根据权利要求2或3所述的方法，其特征在于，所述AP根据所述PMK，与所述第一设备进行4路握手，包括：

   所述AP向所述第一设备发送第一消息，所述第一消息用于指示所述第一设备生成第一配对临时密钥PTK1，所述第一消息包括所述AP的一次性随机数，所述第一PTK1是根据所述第一PMK1、所述AP的一次性随机数和所述第一设备的一次性随机数生成的，所述第一PTK1中包括第一密钥确认密钥KCK1、第一密钥加密密钥KEK1和第一临时密钥TK1；

   从所述第一设备获取第二消息，所述第二消息采用所述第一KCK1来保护消息的完整性，所述第二消息包括所述第一设备的一次性随机数；

   所述AP根据所述第二PMK2、所述AP的一次性随机数和所述第一设备的一次性随机数生成所述第二PTK2，所述第二PTK2中包括第二KCK2、第二KEK2和第二TK2；

   所述AP向所述第一设备发送第三消息，所述第三消息包括群播密钥GTK，所述第三消息采用所述第二KEK2来保护所述GTK的私密性，采用所述第二KCK2来保护消息的完整性；

   从所述第一设备获取第四消息，所述第四消息用于响应所述第三消息，所述第四消息采用所述第二KCK2来保护消息的完整性。
5. 根据权利要求2-4任一项所述的方法，其特征在于，所述哈希到曲线函数g表示为：

   g＝U·V ^pw；

   其中，U、V分别为从阶数为素数p的循环群G中获取的两个独立的随机生成元，pw表示所述口令。
6. 根据权利要求2-5任一项所述的方法，其特征在于，所述哈希到曲线函数g是预先保存在所述AP本地的。
7. 根据权利要求2-6任一项所述的方法，其特征在于，所述第二参数Y是所述AP根据所述哈希到曲线函数g生成的；或者

   所述第二参数Y是所述AP通过重用向第二设备发送的第二参数Y来确定的。
8. 根据权利要求2-7任一项所述的方法，其特征在于，所述AP向所述第一设备发送第二参数Y之前，还包括：

   从所述第一设备获取所述第一设备的标识ID；

   向所述第一设备发送用于抗DoS服务的凭证，其中，所述凭证是根据所述第一设备的标识ID和密钥k确定的；

   从所述第一设备获取所述凭证和所述第一设备的ID；

   根据所述第一设备的ID和所述密钥k，验证所述凭证。
9. 根据权利要求2-8任一项所述的方法，其特征在于，向所述第一设备发送第二参数Y之前，还包括：

   确定第一列表中没有包括所述第一设备的ID，其中，所述第一列表中包括至少一个连接所述AP提供的网络的设备的ID。
10. 根据权利要求9所述的方法，其特征在于，还包括：

    在所述第一列表中增加所述第一设备的ID。
11. 根据权利要求8-11任一项所述的方法，其特征在于，所述第一设备的ID包括所述第一设备的MAC地址。
12. 一种应用于无线保真WiFi的安全认证的方法，其特征在于，包括：

    第一设备根据口令，基于于双基密码指数密钥交换TBPEKE协议，与接入点AP协商配对主密钥PMK，其中，所述口令为所述AP与所述第一设备之间的共享密钥；

    所述第一设备根据所述PMK，与所述AP进行4路握手。
13. 根据权利要求12所述的方法，其特征在于，所述PMK包括第一PMK1和第二PMK2，所述第一设备根据口令，基于于双基密码指数密钥交换TBPEKE协议，与接入点AP协商配对主密钥PMK，包括：

    所述第一设备向所述AP发送第一参数X，其中，所述第一参数X是根据哈希到曲线函数g确定的，所述哈希到曲线函数g用于通过点乘运算将所述口令转化为椭圆曲线上的点，X＝g ^x，其中，x为随机数；

    所述第一设备从所述AP获取第二参数Y，其中，所述第二参数Y是根据所述哈希到曲线函数g确定的，Y＝g ^y，y为随机数，其中，所述第一参数X、所述第二参数Y用于所述AP计算所述第二PMK2；

    所述第一设备根据所述第一参数X、所述第二参数Y，计算所述第一PMK1。
14. 根据权利要求13所述的方法，其特征在于，所述第一设备根据口令，基于双基密码指数密钥交换TBPEKE协议，与AP协商配对主密钥PMK之前，还包括：

    所述第一设备与所述AP进行关联商定欲使用的安全套件，其中，所述安全套件用于指示所述哈希到曲线函数g。
15. 根据权利要求13或14所述的方法，其特征在于，所述第一设备根据所述PMK，与所述AP进行4路握手，包括：

    所述第一设备从所述AP接收第一消息，所述第一消息包括所述AP的一次性随机数；

    所述第一设备根据所述第一PMK1、所述AP的一次性随机数、所述第一设备的一次性随机数，生成第一配对临时密钥PTK1，所述第一PTK1中包括第一密钥确认密钥KCK1、第一密钥加密密钥KEK1和第一临时密钥TK1；

    向所述AP发送第二消息，所述第二消息采用所述第一KCK1来保护消息的完整性，所述第二消息包括所述第一设备的一次性随机数，所述第二消息用于指示所述AP生成第二PTK2，所述第二PTK2是根据所述第二PMK2、所述AP的一次性随机数和所述第一设备的一次性随机数生成的，所述第二PTK2中包括第二KCK2、第二KEK2和第二TK2；

    从所述AP获取第三消息，所述第三消息包括群播密钥GTK，所述第三消息采用所述第二KEK2来保护所述GTK的私密性，采用所述第二KCK2来保护消息的完整性；

    向所述AP发送第四消息，所述第四消息用于响应所述第三消息，所述第四消息采用KCK来保护消息的完整性。
16. 根据权利要求13-15任一项所述的方法，其特征在于，所述哈希到曲线函数g表示为：

    g＝U·V ^pw；

    其中，U、V分别为从阶数为素数p的循环群G中获取的两个独立的随机生成元，pw表示所述口令。
17. 根据权利要求13-16任一项所述的方法，其特征在于，所述从所述AP接收第二参数Y之前，还包括：

    向所述AP发送所述第一设备的标识ID；

    从所述AP接收用于抗拒绝服务DoS服务的凭证，所述凭证是根据密钥k和所述第一设备的ID生成的；

    向所述AP发送所述凭证和所述请求设备的ID。
18. 根据权利要求17所述的方法，其特征在于，所述第一设备的ID包括所述第一设备的MAC地址。
19. 一种应用于无线保真WiFi的安全认证的装置，其特征在于，包括：处理器和收发器，

    所述处理器，耦合至所述收发器，用于根据口令，基于双基密码指数密钥交换TBPEKE协议，与第一设备协商配对主密钥PMK，其中，所述口令为AP与所述第一设备之间的共享密钥；

    根据所述PMK，与所述第一设备进行4路握手。
20. 根据权利要求19所述的装置，其特征在于，所述PMK包括第一PMK1和第二PMK2，其中，所述处理器具体用于：

    指示所述收发器从所述第一设备获取第一参数X，其中，所述第一参数X是根据哈希到曲线函数g确定的，所述哈希到曲线函数g用于通过点乘运算将所述口令转化为椭圆曲 线上的点，X＝g ^x，其中，x为随机数；

    指示所述收发器向所述第一设备发送第二参数Y，以指示所述第一设备根据所述第一参数X和第二参数Y计算所述第一PMK1，其中，所述第二参数Y是根据所述哈希到曲线函数g确定的，Y＝g ^y，y为随机数；

    根据所述第一参数X、所述第二参数Y，计算所述第二PMK2。
21. 根据权利要求20所述的装置，其特征在于，所述处理器还用于：与所述第一设备进行关联商定欲使用的安全套件，其中，所述安全套件用于指示所述哈希到曲线函数g。
22. 根据权利要求20或21所述的装置，其特征在于，所述处理器具体用于：

    指示所述收发器向所述第一设备发送第一消息，所述第一消息用于指示所述第一设备生成第一配对临时密钥PTK1，所述第一消息包括所述AP的一次性随机数，所述第一PTK1是根据所述第一PMK1、所述AP的一次性随机数和所述第一设备的一次性随机数生成的，所述第一PTK1中包括第一密钥确认密钥KCK1、第一密钥加密密钥KEK1和第一临时密钥TK1；

    指示所述收发器从所述第一设备获取第二消息，所述第二消息采用所述第一KCK1来保护消息的完整性，所述第二消息包括所述第一设备的一次性随机数；

    根据所述第二PMK2、所述AP的一次性随机数和所述第一设备的一次性随机数生成所述第二PTK2，所述第二PTK2中包括第二KCK2、第二KEK2和第二TK2；

    指示所述收发器向所述第一设备发送第三消息，所述第三消息包括群播密钥GTK，所述第三消息采用所述第二KEK2来保护所述GTK的私密性，采用所述第二KCK2来保护消息的完整性；

    指示所述收发器从所述第一设备获取第四消息，所述第四消息用于响应所述第三消息，所述第四消息采用所述第二KCK2来保护消息的完整性。
23. 根据权利要求20-22任一项所述的装置，其特征在于，所述哈希到曲线函数g表示为：

    g＝U·V ^pw；

    其中，U、V分别为从阶数为素数p的循环群G中获取的两个独立的随机生成元，pw表示所述口令。
24. 根据权利要求20-23任一项所述的装置，其特征在于，所述哈希到曲线函数g是预先保存在所述AP本地的。
25. 根据权利要求20-24任一项所述的装置，其特征在于，所述第二参数Y是所述AP根据所述哈希到曲线函数g生成的；或者

    所述第二参数Y是所述AP通过重用向第二设备发送的第二参数Y来确定的。
26. 根据权利要求20-25任一项所述的装置，其特征在于，所述处理器还用于：

    指示所述收发器从所述第一设备获取所述第一设备的标识ID；

    指示所述收发器向所述第一设备发送用于抗DoS服务的凭证，其中，所述凭证是根据所述第一设备的标识ID和密钥k确定的；

    指示所述收发器从所述第一设备获取所述凭证和所述第一设备的ID；

    根据所述第一设备的ID和所述密钥k，验证所述凭证。
27. 根据权利要求20-26任一项所述的装置，其特征在于，所述处理器还用于：

    确定第一列表中没有包括所述第一设备的ID，其中，所述第一列表中包括至少一个连接所述AP提供的网络的设备的ID。
28. 根据权利要求27所述的装置，其特征在于，所述处理器还用于：

    在所述第一列表中增加所述第一设备的ID。
29. 根据权利要求26-28任一项所述的装置，其特征在于，所述第一设备的ID包括所述第一设备的MAC地址。
30. 一种应用于无线保真WiFi的安全认证的装置，其特征在于，包括：处理器和收发器，

    所述处理器，耦合至所述收发器，用于根据口令，基于于双基密码指数密钥交换TBPEKE协议，与接入点AP协商配对主密钥PMK，其中，所述口令为所述AP与所述第一设备之间的共享密钥；

    根据所述PMK，与所述AP进行4路握手。
31. 根据权利要求30所述的装置，其特征在于，所述PMK包括第一PMK1和第二PMK2，所述处理器具体用于：

    指示所述收发器向所述AP发送第一参数X，其中，所述第一参数X是根据哈希到曲线函数g确定的，所述哈希到曲线函数g用于通过点乘运算将所述口令转化为椭圆曲线上的点，X＝g ^x，其中，x为随机数；

    指示所述收发器从所述AP获取第二参数Y，其中，所述第二参数Y是根据所述哈希到曲线函数g确定的，Y＝g ^y，y为随机数，其中，所述第一参数X、所述第二参数Y用于所述AP计算所述第二PMK2；

    根据所述第一参数X、所述第二参数Y，计算所述第一PMK1。
32. 根据权利要求31所述的装置，其特征在于，所述处理器还用于：

    与所述AP进行关联商定欲使用的安全套件，其中，所述安全套件用于指示所述哈希到曲线函数g。
33. 根据权利要求31或32所述的装置，其特征在于，所述处理器具体用于：

    指示所述收发器从所述AP接收第一消息，所述第一消息包括所述AP的一次性随机数；

    根据所述第一PMK1、所述AP的一次性随机数、所述第一设备的一次性随机数，生成第一配对临时密钥PTK1，所述第一PTK1中包括第一密钥确认密钥KCK1、第一密钥加密密钥KEK1和第一临时密钥TK1；

    指示所述收发器向所述AP发送第二消息，所述第二消息采用所述第一KCK1来保护消息的完整性，所述第二消息包括所述第一设备的一次性随机数，所述第二消息用于指示所述AP生成第二PTK2，所述第二PTK2是根据所述第二PMK2、所述AP的一次性随机数和所述第一设备的一次性随机数生成的，所述第二PTK2中包括第二KCK2、第二KEK2和第二TK2；

    指示所述收发器从所述AP获取第三消息，所述第三消息包括群播密钥GTK，所述第三消息采用所述第二KEK2来保护所述GTK的私密性，采用所述第二KCK2来保护消息的完整性；

    指示所述收发器向所述AP发送第四消息，所述第四消息用于响应所述第三消息，所 述第四消息采用KCK来保护消息的完整性。
34. 根据权利要求31-33任一项所述的装置，其特征在于，所述哈希到曲线函数g表示为：

    g＝U·V ^pw；

    其中，U、V分别为从阶数为素数p的循环群G中获取的两个独立的随机生成元，pw表示所述口令。
35. 根据权利要求31-34任一项所述的装置，其特征在于，所述处理器还用于：

    指示所述收发器向所述AP发送所述第一设备的标识ID；

    指示所述收发器从所述AP接收用于抗拒绝服务DoS服务的凭证，所述凭证是根据密钥k和所述第一设备的ID生成的；

    指示所述收发器向所述AP发送所述凭证和所述请求设备的ID。
36. 根据权利要求35所述的装置，其特征在于，所述第一设备的ID包括所述第一设备的MAC地址。
37. 一种应用于无线保真WiFi的安全认证的装置，其特征在于，包括：

    用于执行权利要求1-11任一项所述的方法的单元。
38. 一种应用于无线保真WiFi的安全认证的装置，其特征在于，包括：

    用于执行权利要求12-18任一项所述的方法的单元。
39. 一种通信芯片，其特征在于，所述芯片包括：

    处理器和通信接口，所述处理器用于从所述通信接口调用并运行指令，当所述处理器执行所述指令时，实现如权利要求1-11中任一项所述的方法。
40. 一种通信芯片，其特征在于，所述芯片包括：

    处理器和通信接口，所述处理器用于从所述通信接口调用并运行指令，当所述处理器执行所述指令时，实现如权利要求12-18中任一项所述的方法。
41. 一种通信系统，其特征在于，包括：

    如权利要求19-29任一项所述的装置，以及如权利要求30-36任一项所述的装置。

Images