本發(fā)明涉及無(wú)線網(wǎng)絡(luò)技術(shù)領(lǐng)域，特別是涉及一種接入無(wú)線網(wǎng)絡(luò)的方法及裝置。

背景技術(shù)：

隨著通信技術(shù)的發(fā)展，無(wú)線網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛。具體地，該無(wú)線網(wǎng)絡(luò)可以是由無(wú)線接入設(shè)備提供的。當(dāng)持有終端的用戶想要接入無(wú)線網(wǎng)絡(luò)時(shí)，該用戶需要通過(guò)自身持有的終端向無(wú)線接入設(shè)備發(fā)送接入請(qǐng)求。接下來(lái)，無(wú)線接入設(shè)備會(huì)與終端進(jìn)行通信密鑰協(xié)商。需要說(shuō)明的是，整個(gè)通信密鑰協(xié)商過(guò)程中需要利用到終端內(nèi)存儲(chǔ)的公有密鑰和無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰，只有在終端和無(wú)線接入設(shè)備兩者內(nèi)存儲(chǔ)的公有密鑰相同的情況下，通信密鑰協(xié)商才會(huì)成功，終端才能接入無(wú)線網(wǎng)絡(luò)。

需要說(shuō)明的是，為了保證無(wú)線網(wǎng)絡(luò)的使用安全性，無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰常常會(huì)被修改。這樣，對(duì)于無(wú)線網(wǎng)絡(luò)對(duì)應(yīng)的可信任用戶而言，其需要頻繁地在自身持有的終端上重新輸入修改后的密鑰，以使得自身存儲(chǔ)的公有密鑰修改至與無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰相一致，其持有的終端才能成功接入無(wú)線網(wǎng)絡(luò)，這樣會(huì)給可信任用戶帶來(lái)非常不好的上網(wǎng)體驗(yàn)。

因此，在無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰頻繁發(fā)生變化的情況下，如何保證可信任用戶無(wú)需在自身持有的終端上頻繁地輸入修改后的密鑰即可成功接入無(wú)線網(wǎng)絡(luò)是一個(gè)亟待解決的問(wèn)題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例的目的在于提供一種接入無(wú)線網(wǎng)絡(luò)的方法及裝置，以在無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的密鑰頻繁發(fā)生變化的情況下，保證可信任用戶無(wú)需在自身持有的終端上頻繁地輸入修改后的密鑰即可成功接入無(wú)線網(wǎng)絡(luò)。

本發(fā)明實(shí)施例提供了一種接入無(wú)線網(wǎng)絡(luò)的方法，應(yīng)用于無(wú)線接入設(shè)備，所述方法包括：

獲得終端發(fā)送的第一密鑰協(xié)商報(bào)文，其中，所述第一密鑰協(xié)商報(bào)文中包括所述終端的MAC地址；

判斷所述終端的MAC地址是否存在于本地存儲(chǔ)的目標(biāo)信息表中，所述目標(biāo)信息表中存儲(chǔ)有可信任終端的MAC地址與私有密鑰之間的對(duì)應(yīng)關(guān)系；

如果判斷結(jié)果為是，確定所述終端的MAC地址所對(duì)應(yīng)的私有密鑰；

利用所確定的私有密鑰與所述終端進(jìn)行通信密鑰協(xié)商，以使得所述終端在通信密鑰協(xié)商成功后，接入所述無(wú)線接入設(shè)備提供的無(wú)線網(wǎng)絡(luò)。

可選地，所述第一密鑰協(xié)商報(bào)文中還包括第一校驗(yàn)數(shù)據(jù)和第二隨機(jī)數(shù)；

在所述獲得終端發(fā)送的第一密鑰協(xié)商報(bào)文之前，所述方法還包括：

在自身與所述終端關(guān)聯(lián)之后，向所述終端發(fā)送攜帶有所述無(wú)線接入設(shè)備的MAC地址以及第一隨機(jī)數(shù)的第二密鑰協(xié)商報(bào)文，以使得所述終端在接收到所述第二密鑰協(xié)商報(bào)文后，生成第二隨機(jī)數(shù)，并確定第一協(xié)商密鑰和第一校驗(yàn)數(shù)據(jù)，其中，所述第一協(xié)商密鑰為所述終端基于所述無(wú)線接入設(shè)備的MAC地址、自身的MAC地址、所述第一隨機(jī)數(shù)、所述第二隨機(jī)數(shù)和自身當(dāng)前存儲(chǔ)的私有密鑰確定的，所述第一校驗(yàn)數(shù)據(jù)為所述終端基于所述第一協(xié)商密鑰和預(yù)設(shè)的校驗(yàn)數(shù)據(jù)生成算法確定的；

所述利用所確定的私有密鑰與所述終端進(jìn)行通信密鑰協(xié)商，包括：

基于自身的MAC地址、所述終端的MAC地址、所述第一隨機(jī)數(shù)、所述第二隨機(jī)數(shù)和所確定的私有密鑰，確定第二協(xié)商密鑰；

基于所述第二協(xié)商密鑰和預(yù)設(shè)的校驗(yàn)數(shù)據(jù)生成算法，確定第二校驗(yàn)數(shù)據(jù)；

將所述第一校驗(yàn)數(shù)據(jù)和所述第二校驗(yàn)數(shù)據(jù)進(jìn)行比對(duì)，并根據(jù)比對(duì)結(jié)果，確定通信密鑰協(xié)商是否成功。

可選地，所述判斷所述終端的MAC地址是否存在于本地存儲(chǔ)的目標(biāo)信息表中后，所述方法還包括：

如果判斷結(jié)果為否，利用自身存儲(chǔ)的公有密鑰與所述終端進(jìn)行通信密鑰協(xié)商，以使得所述終端在通信密鑰協(xié)商成功后，接入所述無(wú)線網(wǎng)絡(luò)。

可選地，所述利用所確定的私有密鑰與所述終端進(jìn)行通信密鑰協(xié)商后，所述方法還包括：

若密鑰協(xié)商失敗，利用自身存儲(chǔ)的公有密鑰與所述終端進(jìn)行通信密鑰協(xié)商，以使得所述終端在通信密鑰協(xié)商成功后，接入所述無(wú)線網(wǎng)絡(luò)。

本發(fā)明實(shí)施例提供了一種接入無(wú)線網(wǎng)絡(luò)的裝置，應(yīng)用于無(wú)線接入設(shè)備，所述裝置包括：

密鑰協(xié)商報(bào)文獲得模塊，用于獲得終端發(fā)送的第一密鑰協(xié)商報(bào)文，其中，所述第一密鑰協(xié)商報(bào)文中包括所述終端的MAC地址；

MAC地址判斷模塊，用于判斷所述終端的MAC地址是否存在于本地存儲(chǔ)的目標(biāo)信息表中，所述目標(biāo)信息表中存儲(chǔ)有可信任終端的MAC地址與私有密鑰之間的對(duì)應(yīng)關(guān)系；

私有密鑰確定模塊，用于在所述MAC地址判斷模塊的判斷結(jié)果為是的情況下，確定所述終端的MAC地址所對(duì)應(yīng)的私有密鑰；

第一密鑰協(xié)商模塊，用于利用所確定的私有密鑰與所述終端進(jìn)行通信密鑰協(xié)商，以使得所述終端在通信密鑰協(xié)商成功后，接入所述無(wú)線接入設(shè)備提供的無(wú)線網(wǎng)絡(luò)。

可選地，所述密鑰協(xié)商報(bào)文獲得模塊獲得的第一密鑰協(xié)商報(bào)文中還包括第一校驗(yàn)數(shù)據(jù)和第二隨機(jī)數(shù)；

所述裝置還包括：

密鑰協(xié)商報(bào)文發(fā)送模塊，用于在獲得終端發(fā)送的第一密鑰協(xié)商報(bào)文之前，在自身與所述終端關(guān)聯(lián)之后，向所述終端發(fā)送攜帶有所述無(wú)線接入設(shè)備的MAC地址以及第一隨機(jī)數(shù)的第二密鑰協(xié)商報(bào)文，以使得所述終端在接收到所述第二密鑰協(xié)商報(bào)文后，生成第二隨機(jī)數(shù)，并確定第一協(xié)商密鑰和第一校驗(yàn)數(shù)據(jù)，其中，所述第一協(xié)商密鑰為所述終端基于所述無(wú)線接入設(shè)備的MAC地址、自身的MAC地址、所述第一隨機(jī)數(shù)、所述第二隨機(jī)數(shù)和自身當(dāng)前存儲(chǔ)的私有密鑰確定的，所述第一校驗(yàn)數(shù)據(jù)為所述終端基于所述第一協(xié)商密鑰和預(yù)設(shè)的校驗(yàn)數(shù)據(jù)生成算法確定的；

所述第一密鑰協(xié)商模塊，包括：

協(xié)商密鑰確定子模塊，用于基于自身的MAC地址、所述終端的MAC地址、所述第一隨機(jī)數(shù)、所述第二隨機(jī)數(shù)和所確定的私有密鑰，確定第二協(xié)商密鑰；

校驗(yàn)數(shù)據(jù)確定子模塊，用于基于所述第二協(xié)商密鑰和預(yù)設(shè)的校驗(yàn)數(shù)據(jù)生成算法，確定第二校驗(yàn)數(shù)據(jù)；

協(xié)商結(jié)果確定子模塊，用于將所述第一校驗(yàn)數(shù)據(jù)和所述第二校驗(yàn)數(shù)據(jù)進(jìn)行比對(duì)，并根據(jù)比對(duì)結(jié)果，確定通信密鑰協(xié)商是否成功。

可選地，所述裝置還包括：

第二密鑰協(xié)商模塊，用于在所述MAC地址判斷模塊的判斷結(jié)果為否的情況下，利用自身存儲(chǔ)的公有密鑰與所述終端進(jìn)行通信密鑰協(xié)商，以使得所述終端在通信密鑰協(xié)商成功后，接入所述無(wú)線網(wǎng)絡(luò)。

可選地，所述裝置還包括：

第三密鑰協(xié)商模塊，用于在利用所確定的私有密鑰與所述終端進(jìn)行通信密鑰協(xié)商后，且通信密鑰協(xié)商失敗的情況下，利用自身存儲(chǔ)的公有密鑰與所述終端進(jìn)行通信密鑰協(xié)商，以使得所述終端在通信密鑰協(xié)商成功后，接入所述無(wú)線網(wǎng)絡(luò)。

在本方案中，當(dāng)獲得終端發(fā)送的第一密鑰協(xié)商報(bào)文后，無(wú)線接入設(shè)備不會(huì)直接利用自身存儲(chǔ)的公有密鑰與終端進(jìn)行通信密鑰協(xié)商，無(wú)線接入設(shè)備會(huì)先去確定該終端的MAC地址是否存在于目標(biāo)信息表中，在存在的情況下，無(wú)線接入設(shè)備會(huì)根據(jù)目標(biāo)信息表中存儲(chǔ)的對(duì)應(yīng)關(guān)系，確定該終端的MAC地址對(duì)應(yīng)的私有密鑰，并利用所確定的私有密鑰與該終端進(jìn)行通信密鑰協(xié)商。容易理解的是，由于無(wú)線接入設(shè)備是利用所確定的私有密鑰與該終端進(jìn)行通信密鑰協(xié)商的，無(wú)線接入設(shè)備與該終端的通信密鑰協(xié)商過(guò)程并未利用無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰，故無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰是否發(fā)生變化并不會(huì)對(duì)無(wú)線接入設(shè)備和終端的通信密鑰協(xié)商過(guò)程以及通信密鑰協(xié)商結(jié)果造成任何影響。因此，只要目標(biāo)信息表中存儲(chǔ)有該終端的MAC地址對(duì)應(yīng)的私有密鑰，無(wú)論無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰變化得多么頻繁，該終端內(nèi)存儲(chǔ)的密鑰均無(wú)需發(fā)生修改。容易看出，本方案中，在無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰頻繁發(fā)生變化的情況下，可信任用戶無(wú)需在自身持有的終端上頻繁地輸入修改后的公有密鑰即可成功接入無(wú)線網(wǎng)絡(luò)，這樣可以給可信任用戶帶來(lái)較好的上網(wǎng)體驗(yàn)。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例所提供的一種接入無(wú)線網(wǎng)絡(luò)的方法的流程圖；

圖2為本發(fā)明實(shí)施例所提供的一種接入無(wú)線網(wǎng)絡(luò)的裝置的結(jié)構(gòu)框圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

為了解決現(xiàn)有技術(shù)存在的問(wèn)題，本發(fā)明實(shí)施例提供了一種接入無(wú)線網(wǎng)絡(luò)的方法和裝置。

下面首先對(duì)本發(fā)明實(shí)施例所提供的一種接入無(wú)線網(wǎng)絡(luò)的方法進(jìn)行說(shuō)明。

需要說(shuō)明的是，本發(fā)明實(shí)施例所提供的一種接入無(wú)線網(wǎng)絡(luò)的方法可以應(yīng)用于無(wú)線接入設(shè)備。具體地，該無(wú)線接入設(shè)備可以為無(wú)線接入點(diǎn)(AP)，當(dāng)然，該無(wú)線接入設(shè)備的類型并不局限于AP，只需保證其能夠?yàn)槟骋惶囟▍^(qū)域內(nèi)覆蓋無(wú)線網(wǎng)絡(luò)即可，本實(shí)施例對(duì)該無(wú)線接入設(shè)備的具體類型不做任何限定。

參見(jiàn)圖1，圖中示出了本發(fā)明實(shí)施例所提供的一種接入無(wú)線網(wǎng)絡(luò)的方法的流程圖。如圖1所示，該方法可以包括：

S101，獲得終端發(fā)送的第一密鑰協(xié)商報(bào)文，其中，第一密鑰協(xié)商報(bào)文中包括該終端的MAC地址。

其中，該終端可以為手機(jī)、平板電腦等移動(dòng)終端，當(dāng)然，該終端也可以為固定終端，這都是可能的。

本領(lǐng)域技術(shù)人員可以理解的是，若持有終端的用戶想要通過(guò)該終端接入AP等無(wú)線接入設(shè)備提供的無(wú)線網(wǎng)絡(luò)，該用戶可以通過(guò)終端向無(wú)線接入設(shè)備發(fā)送接入請(qǐng)求，在后續(xù)終端與無(wú)線接入設(shè)備成功關(guān)聯(lián)后，無(wú)線接入設(shè)備和終端兩者會(huì)進(jìn)行通信密鑰協(xié)商，在通信密鑰協(xié)商成功后，終端就能夠成功接入無(wú)線接入設(shè)備提供的無(wú)線網(wǎng)絡(luò)了。

在進(jìn)行通信密鑰協(xié)商時(shí)，終端會(huì)向無(wú)線接入設(shè)備發(fā)送第一密鑰協(xié)商報(bào)文。在現(xiàn)有技術(shù)中，當(dāng)無(wú)線接入設(shè)備獲得該第一密鑰協(xié)商報(bào)文后，無(wú)線接入設(shè)備會(huì)直接利用自身存儲(chǔ)的公有密鑰，與終端進(jìn)行通信密鑰協(xié)商。在通信密鑰協(xié)商過(guò)程中，終端需要利用到自身存儲(chǔ)的公有密鑰，并且，只有在終端內(nèi)存儲(chǔ)的公有密鑰與無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰一致的情況下，終端和無(wú)線接入設(shè)備兩者間的通信密鑰協(xié)商操作才能成功，終端才能成功接入無(wú)線接入設(shè)備提供的無(wú)線網(wǎng)絡(luò)。

為了保證無(wú)線網(wǎng)絡(luò)的安全性，以防止非信任用戶蹭網(wǎng)，進(jìn)而占用無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)帶寬，無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰常常會(huì)被修改。因此，在現(xiàn)有技術(shù)中，在公有密鑰發(fā)生變化的情況下，當(dāng)可信任用戶需要通過(guò)自身持有的終端接入無(wú)線網(wǎng)絡(luò)時(shí)，可信任用戶需要在自身持有的終端上輸入的是修改后的公有密鑰。容易理解的是，由于公有密鑰常常被修改，故可信任用戶需要頻繁地在自身持有的終端上輸入修改后的公有密鑰，這樣會(huì)給可信任用戶帶來(lái)非常不好的上網(wǎng)體驗(yàn)。

為了避免出現(xiàn)上述問(wèn)題，在本方案中，當(dāng)無(wú)線接入設(shè)備獲得終端發(fā)送的第一密鑰協(xié)商報(bào)文后，無(wú)線接入設(shè)備不會(huì)立即利用自身存儲(chǔ)的公有密鑰與終端進(jìn)行通信密鑰協(xié)商，而是先執(zhí)行后續(xù)的S102。

S102，判斷終端的MAC地址是否存在于本地存儲(chǔ)的目標(biāo)信息表中，目標(biāo)信息表中存儲(chǔ)有可信任終端的MAC地址與私有密鑰之間的對(duì)應(yīng)關(guān)系；如果判斷結(jié)果為是，執(zhí)行S103。

需要說(shuō)明的是，可信任終端為可信任用戶所持有的終端。

可以理解的是，無(wú)線接入設(shè)備內(nèi)可以預(yù)先存儲(chǔ)有一目標(biāo)信息表，該目標(biāo)信息表中可以預(yù)先存儲(chǔ)有可信任終端的MAC地址與私有密鑰之間的對(duì)應(yīng)關(guān)系。其中，任一可信任終端的MAC地址對(duì)應(yīng)的私有密鑰為：該可信任終端內(nèi)存儲(chǔ)的密鑰，該可信任用戶每次進(jìn)行通信密鑰協(xié)商時(shí)利用的是該密鑰。

具體地，可信任終端的MAC地址與私有密鑰之間可以為一一對(duì)應(yīng)的關(guān)系。

對(duì)于無(wú)線接入設(shè)備而言，在獲得終端發(fā)送的第一密鑰協(xié)商報(bào)文后，其可以采用遍歷的方式，將該第一密鑰協(xié)商報(bào)文中攜帶的該終端的MAC地址與目標(biāo)信息表中的各可信任終端的MAC地址進(jìn)行比對(duì)，以確定該終端的MAC地址是否與任一可信任終端的MAC地址相同。如果經(jīng)過(guò)比對(duì)，無(wú)線接入設(shè)備在目標(biāo)信息表中查找到了一相同的MAC地址，這表明該終端的MAC地址存在于本地存儲(chǔ)的目標(biāo)信息表中，此時(shí)，無(wú)線接入設(shè)備就會(huì)執(zhí)行后續(xù)的S103。

S103，確定該終端的MAC地址所對(duì)應(yīng)的私有密鑰。

S104，利用所確定的私有密鑰與終端進(jìn)行通信密鑰協(xié)商，以使得終端在通信密鑰協(xié)商成功后，接入無(wú)線接入設(shè)備提供的無(wú)線網(wǎng)絡(luò)。

在本方案中，當(dāng)無(wú)線接入設(shè)備獲得終端發(fā)送的第一密鑰協(xié)商報(bào)文后，無(wú)線接入設(shè)備不會(huì)直接利用自身存儲(chǔ)的公有密鑰與終端進(jìn)行通信密鑰協(xié)商，而是先確定該終端的MAC地址是否存在于目標(biāo)信息表中，在存在的情況下，無(wú)線接入設(shè)備會(huì)根據(jù)目標(biāo)信息表中存儲(chǔ)的對(duì)應(yīng)關(guān)系，確定該終端的MAC地址對(duì)應(yīng)的私有密鑰，并利用所確定的私有密鑰與該終端進(jìn)行通信密鑰協(xié)商。

容易理解的是，由于無(wú)線接入設(shè)備是利用所確定的私有密鑰與該終端進(jìn)行通信密鑰協(xié)商的，無(wú)線接入設(shè)備與該終端的通信密鑰協(xié)商過(guò)程并未利用自身存儲(chǔ)的公有密鑰，故無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰是否發(fā)生變化并不會(huì)對(duì)無(wú)線接入設(shè)備和終端的通信密鑰協(xié)商過(guò)程以及通信密鑰協(xié)商結(jié)果造成任何影響。因此，只要目標(biāo)信息表中存儲(chǔ)有該終端的MAC地址對(duì)應(yīng)的私有密鑰，無(wú)論無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰變化得多么頻繁，該終端內(nèi)存儲(chǔ)的密鑰均無(wú)需發(fā)生修改。

容易看出，本方案中，在無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰頻繁發(fā)生變化的情況下，可信任用戶無(wú)需在自身持有的終端上頻繁地輸入修改后的公有密鑰即可成功接入無(wú)線網(wǎng)絡(luò)，這樣可以給可信任用戶帶來(lái)較好的上網(wǎng)體驗(yàn)。

在本發(fā)明實(shí)施例的一種具體實(shí)施方式中，獲得終端發(fā)送的第一密鑰協(xié)商報(bào)文之前，該方法還可以包括：

在自身與終端關(guān)聯(lián)之后，向終端發(fā)送攜帶有無(wú)線接入設(shè)備的MAC地址以及第一隨機(jī)數(shù)的第二密鑰協(xié)商報(bào)文，以使得終端在接收到第二密鑰協(xié)商報(bào)文后，生成第二隨機(jī)數(shù)，并確定第一協(xié)商密鑰和第一校驗(yàn)數(shù)據(jù)，其中，第一協(xié)商密鑰為終端基于無(wú)線接入設(shè)備的MAC地址、自身的MAC地址、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和自身當(dāng)前存儲(chǔ)的私有密鑰確定的，第一校驗(yàn)數(shù)據(jù)為終端基于第一協(xié)商密鑰和預(yù)設(shè)的校驗(yàn)數(shù)據(jù)生成算法確定的；

相應(yīng)地，第一密鑰協(xié)商報(bào)文中還可以包括第一校驗(yàn)數(shù)據(jù)和第二隨機(jī)數(shù)；

利用所確定的私有密鑰與終端進(jìn)行通信密鑰協(xié)商，可以包括：

基于自身的MAC地址、終端的MAC地址、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和所確定的私有密鑰，確定第二協(xié)商密鑰；

基于第二協(xié)商密鑰和預(yù)設(shè)的校驗(yàn)數(shù)據(jù)生成算法，確定第二校驗(yàn)數(shù)據(jù)；

將第一校驗(yàn)數(shù)據(jù)和第二校驗(yàn)數(shù)據(jù)進(jìn)行比對(duì)，并根據(jù)比對(duì)結(jié)果，確定通信密鑰協(xié)商是否成功。

下面以無(wú)線接入設(shè)備為AP，終端為移動(dòng)終端的情況為例，對(duì)無(wú)線接入設(shè)備和終端間的通信密鑰協(xié)商過(guò)程進(jìn)行介紹。

首先，AP和移動(dòng)終端兩者需要進(jìn)行關(guān)聯(lián)。其中，AP和移動(dòng)終端兩者進(jìn)行關(guān)聯(lián)的具體過(guò)程為本領(lǐng)域技術(shù)人員所公知，在此不再贅述。

在AP和移動(dòng)終端成功關(guān)聯(lián)之后，AP會(huì)生成隨機(jī)數(shù)Anonce(即上文中的第一隨機(jī)數(shù))，接下來(lái)，AP會(huì)向移動(dòng)終端發(fā)送Message1(即上文中的第二密鑰協(xié)商報(bào)文)，該Message1為包括AP的MAC地址和隨機(jī)數(shù)Anonce的EAPOL-Key報(bào)文。

當(dāng)移動(dòng)終端接收到AP發(fā)送的Message1后，移動(dòng)終端會(huì)生成隨機(jī)數(shù)Snonce(即上文中的第二隨機(jī)數(shù))，并采用預(yù)設(shè)的密鑰生成算法，對(duì)AP的MAC地址、自身的MAC地址、Anonce、Snonce以及自身當(dāng)前存儲(chǔ)的密鑰這五個(gè)數(shù)據(jù)進(jìn)行運(yùn)算，以得到PTK1(即上文中的第一協(xié)商密鑰)。一般而言，PTK1中存在著三種類型的數(shù)據(jù)，分別是密鑰確認(rèn)密鑰KCK1、密鑰加密密鑰KEK1和臨時(shí)密鑰TK1。接下來(lái)，移動(dòng)終端會(huì)采用預(yù)設(shè)的校驗(yàn)數(shù)據(jù)生成算法，對(duì)KCK1進(jìn)行運(yùn)算，以得到信息完整性校驗(yàn)值MIC1(即上文中的第一校驗(yàn)數(shù)據(jù))。接下來(lái)，移動(dòng)終端會(huì)向AP發(fā)送Message2(即上文中的第一密鑰協(xié)商報(bào)文)，該Message2為包括移動(dòng)終端的MAC地址、MIC1和Snonce的EAPOL-Key報(bào)文。

當(dāng)AP接收到Message2后，AP會(huì)判斷Message2中的移動(dòng)終端的MAC地址是否存在于目標(biāo)信息表中；如果存在，這說(shuō)明該移動(dòng)終端為可信任移動(dòng)終端，此時(shí)，AP會(huì)根據(jù)目標(biāo)信息表中的對(duì)應(yīng)關(guān)系，確定該移動(dòng)終端的MAC地址所對(duì)應(yīng)的私有密鑰。之后，AP會(huì)采用預(yù)設(shè)的密鑰生成算法，對(duì)自身的MAC地址、該移動(dòng)終端的MAC地址、Anonce、Snonce以及自身所確定的私有密鑰這五個(gè)數(shù)據(jù)進(jìn)行運(yùn)算，以得到PTK2(即上文中的第二協(xié)商密鑰)。一般而言，PTK2中也存在著三種類型的數(shù)據(jù)，分別是密鑰確認(rèn)密鑰KCK2、密鑰加密密鑰KEK2和臨時(shí)密鑰TK2。接下來(lái)，AP會(huì)采用預(yù)設(shè)的校驗(yàn)數(shù)據(jù)生成算法，對(duì)KCK2進(jìn)行運(yùn)算，以得到信息完整性校驗(yàn)值MIC2(即上文中的第二校驗(yàn)數(shù)據(jù))。在得到MIC2之后，AP會(huì)將MIC2和MIC1兩者進(jìn)行比對(duì)，此時(shí)存在著兩種可能的比對(duì)結(jié)果，其中一種比對(duì)結(jié)果是MIC2和MIC1相同，另一種比對(duì)結(jié)果是MIC2和MIC1不同，如果比對(duì)結(jié)果是前者，AP和移動(dòng)終端兩者的通信密鑰協(xié)商操作就會(huì)成功。這時(shí)，AP會(huì)向移動(dòng)終端發(fā)送Message3，以通知移動(dòng)終端通信密鑰協(xié)商成功。具體地，該Message3可以為包括MIC2的EAPOL-Key報(bào)文。

當(dāng)移動(dòng)終端接收到Message3后，移動(dòng)終端會(huì)先判斷Message3中的MIC2與自身的MIC1是否相同，如果相同，移動(dòng)終端會(huì)將TK1確定為單播通信密鑰。接下來(lái)，移動(dòng)終端會(huì)向AP發(fā)送Message4，該Message4可以為包括MIC1的EAPOL-Key報(bào)文。

當(dāng)AP接收到Message4后，AP會(huì)先判斷Message4中的MIC1與自身的MIC2是否相同，如果相同，AP會(huì)將TK2確定為單播通信密鑰。至此，AP和移動(dòng)終端之間的單播通信密鑰協(xié)商操作就完成了。在單播通信密鑰協(xié)商完成后，AP和移動(dòng)終端還會(huì)進(jìn)行組播通信密鑰的協(xié)商。在進(jìn)行組播通信密鑰的協(xié)商時(shí)，AP會(huì)生成隨機(jī)數(shù)GMK，并采用預(yù)設(shè)的密鑰生成算法，對(duì)AP的MAC地址和GMK進(jìn)行運(yùn)算，以得到第三協(xié)商密鑰GTK。一般而言，GTK中也存在著三種類型的數(shù)據(jù)，分別是密鑰確認(rèn)密鑰KCK3、密鑰加密密鑰KEK3和臨時(shí)密鑰TK3。接下來(lái)，AP會(huì)向移動(dòng)終端發(fā)送Group Message1，Group Message1為包括MIC2和GTK的EAPOL-Key報(bào)文。

當(dāng)移動(dòng)終端接收到Group Message1后，移動(dòng)終端會(huì)判斷Group Message1中的MIC2與自身的MIC1是否相同，如果相同，移動(dòng)終端就會(huì)將GTK中的TK3確定為組播通信密鑰。接下來(lái)，移動(dòng)終端會(huì)向AP發(fā)送Group Message2，Group Message2為包括MIC1的EAPOL-Key報(bào)文。

當(dāng)AP接收到Group Message2后，AP會(huì)去判斷Group Message2中的MIC1與自身的MIC2是否相同，如果相同，AP也會(huì)將GTK中的TK3確定為組播通信密鑰。至此，AP和移動(dòng)終端之間的組播通信密鑰協(xié)商操作就完成了。

可以看出，本實(shí)施例中，通信密鑰協(xié)商過(guò)程中利用的是根據(jù)目標(biāo)信息表確定出的私有密鑰，故可信任用戶無(wú)需在自身持有的終端上頻繁地輸入修改好的公有密鑰即可成功接入無(wú)線網(wǎng)絡(luò)。

在本發(fā)明實(shí)施例的一種具體實(shí)施方式中，判斷終端的MAC地址是否存在于本地存儲(chǔ)的目標(biāo)信息表中后，該方法還可以包括：

如果判斷結(jié)果為否，利用自身存儲(chǔ)的公有密鑰與終端進(jìn)行通信密鑰協(xié)商，以使得終端在通信密鑰協(xié)商成功后，接入無(wú)線網(wǎng)絡(luò)。

容易理解的是，目標(biāo)信息表中存儲(chǔ)的對(duì)應(yīng)關(guān)系可能并不完整，一部分可信任用戶的終端的MAC地址可能并未記錄在該目標(biāo)信息表中。這種情況下，無(wú)線接入設(shè)備可以利用自身存儲(chǔ)的公有密鑰來(lái)與這部分可信任用戶持有的終端進(jìn)行通信密鑰協(xié)商，以使得這部分可信任用戶持有的終端與無(wú)線接入設(shè)備之間的通信密鑰協(xié)商操作能夠成功，進(jìn)而保證這部分可信任用戶能夠通過(guò)自身持有的終端成功接入無(wú)線網(wǎng)絡(luò)。

可以看出，本實(shí)施例可以有效地保證可信任用戶能夠通過(guò)自身持有的終端成功接入無(wú)線網(wǎng)絡(luò)。

在本發(fā)明實(shí)施例的一種具體實(shí)施方式中，利用所確定的私有密鑰與終端進(jìn)行通信密鑰協(xié)商后，該方法還可以包括：

若通信密鑰協(xié)商失敗，利用自身存儲(chǔ)的公有密鑰與終端進(jìn)行通信密鑰協(xié)商，以使得終端在通信密鑰協(xié)商成功后，接入無(wú)線網(wǎng)絡(luò)。

需要說(shuō)明的是，對(duì)于任一可信任用戶而言，在無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰發(fā)生變化的情況下，若該可信任用戶及時(shí)獲知了該情況，該可信任用戶可能會(huì)在自身持有的終端上重新輸入修改后的公有密鑰，在該可信任用戶的MAC地址存在于目標(biāo)信息表中的情況下，若無(wú)線接入設(shè)備利用目標(biāo)信息表中存儲(chǔ)的該MAC地址對(duì)應(yīng)的私有密鑰來(lái)與該終端進(jìn)行通信密鑰協(xié)商，由于無(wú)線接入設(shè)備和該終端采用的密鑰是不同的，故通信密鑰協(xié)商操作肯定會(huì)失敗。接下來(lái)，無(wú)線接入設(shè)備可以繼續(xù)利用自身存儲(chǔ)的公有密鑰與該終端進(jìn)行通信密鑰協(xié)商，以保證該終端在通信密鑰協(xié)商操作成功后能夠接入無(wú)線網(wǎng)絡(luò)。

可以看出，本實(shí)施例也可以有效地保證可信任用戶能夠通過(guò)自身持有的終端成功接入無(wú)線網(wǎng)絡(luò)。

綜上，本實(shí)施例中，在無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰頻繁發(fā)生變化的情況下，可信任用戶無(wú)需在自身持有的終端上頻繁地輸入修改后的公有密鑰即可成功接入無(wú)線網(wǎng)絡(luò)，這樣可以給可信任用戶帶來(lái)較好的上網(wǎng)體驗(yàn)。

下面對(duì)本發(fā)明實(shí)施例所提供的一種接入無(wú)線網(wǎng)絡(luò)的裝置進(jìn)行說(shuō)明。

參見(jiàn)圖2，圖中示出了本發(fā)明實(shí)施例所提供的一種接入無(wú)線網(wǎng)絡(luò)的裝置的結(jié)構(gòu)框圖。如圖2所示，該裝置可以應(yīng)用于無(wú)線接入設(shè)備，該裝置可以包括：

密鑰協(xié)商報(bào)文獲得模塊21，用于獲得終端發(fā)送的第一密鑰協(xié)商報(bào)文，其中，第一密鑰協(xié)商報(bào)文中包括終端的MAC地址；

MAC地址判斷模塊22，用于判斷終端的MAC地址是否存在于本地存儲(chǔ)的目標(biāo)信息表中，目標(biāo)信息表中存儲(chǔ)有可信任終端的MAC地址與私有密鑰之間的對(duì)應(yīng)關(guān)系；

私有密鑰確定模塊23，用于在MAC地址判斷模塊32的判斷結(jié)果為是的情況下，確定終端的MAC地址所對(duì)應(yīng)的私有密鑰；

第一密鑰協(xié)商模塊24，用于利用所確定的私有密鑰與終端進(jìn)行通信密鑰協(xié)商，以使得終端在通信密鑰協(xié)商成功后，接入無(wú)線接入設(shè)備提供的無(wú)線網(wǎng)絡(luò)。

在本方案中，當(dāng)無(wú)線接入設(shè)備獲得終端發(fā)送的第一密鑰協(xié)商報(bào)文后，無(wú)線接入設(shè)備不會(huì)直接利用自身存儲(chǔ)的公有密鑰與終端進(jìn)行通信密鑰協(xié)商，無(wú)線接入設(shè)備會(huì)先去確定該終端的MAC地址是否存在于目標(biāo)信息表中，在存在的情況下，無(wú)線接入設(shè)備會(huì)根據(jù)目標(biāo)信息表中存儲(chǔ)的對(duì)應(yīng)關(guān)系，確定該終端的MAC地址對(duì)應(yīng)的私有密鑰，并利用所確定的私有密鑰與該終端進(jìn)行通信密鑰協(xié)商。

容易理解的是，由于無(wú)線接入設(shè)備是利用所確定的私有密鑰與該終端進(jìn)行通信密鑰協(xié)商的，無(wú)線接入設(shè)備與該終端的通信密鑰協(xié)商過(guò)程并未利用自身存儲(chǔ)的公有密鑰，故無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰是否發(fā)生變化并不會(huì)對(duì)無(wú)線接入設(shè)備和終端的通信密鑰協(xié)商過(guò)程以及通信密鑰協(xié)商結(jié)果造成任何影響。因此，只要目標(biāo)信息表中存儲(chǔ)有該終端的MAC地址對(duì)應(yīng)的私有密鑰，無(wú)論無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰變化得多么頻繁，該終端內(nèi)存儲(chǔ)的密鑰均無(wú)需發(fā)生修改。

容易看出，本方案中，在無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰頻繁發(fā)生變化的情況下，可信任用戶無(wú)需在自身持有的終端上頻繁地輸入修改后的公有密鑰即可成功接入無(wú)線網(wǎng)絡(luò)，這樣可以給可信任用戶帶來(lái)較好的上網(wǎng)體驗(yàn)。

在本發(fā)明實(shí)施例的一種具體實(shí)施方式中，該裝置還可以包括：

密鑰協(xié)商報(bào)文發(fā)送模塊，用于在獲得終端發(fā)送的第一密鑰協(xié)商報(bào)文之前，在自身與終端關(guān)聯(lián)之后，向終端發(fā)送攜帶有無(wú)線接入設(shè)備的MAC地址以及第一隨機(jī)數(shù)的第二密鑰協(xié)商報(bào)文，以使得終端在接收到第二密鑰協(xié)商報(bào)文后，生成第二隨機(jī)數(shù)，并確定第一協(xié)商密鑰和第一校驗(yàn)數(shù)據(jù)，其中，第一協(xié)商密鑰為終端基于無(wú)線接入設(shè)備的MAC地址、自身的MAC地址、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和自身當(dāng)前存儲(chǔ)的私有密鑰確定的，第一校驗(yàn)數(shù)據(jù)為終端基于第一協(xié)商密鑰和預(yù)設(shè)的校驗(yàn)數(shù)據(jù)生成算法確定的；

相應(yīng)地，第一密鑰協(xié)商報(bào)文中還可以包括第一校驗(yàn)數(shù)據(jù)和第二隨機(jī)數(shù)；

第一密鑰協(xié)商模塊，可以包括：

協(xié)商密鑰確定子模塊，用于基于自身的MAC地址、終端的MAC地址、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和所確定的私有密鑰，確定第二協(xié)商密鑰；

校驗(yàn)數(shù)據(jù)確定子模塊，用于基于第二協(xié)商密鑰和預(yù)設(shè)的校驗(yàn)數(shù)據(jù)生成算法，確定第二校驗(yàn)數(shù)據(jù)；

協(xié)商結(jié)果確定子模塊，用于將第一校驗(yàn)數(shù)據(jù)和第二校驗(yàn)數(shù)據(jù)進(jìn)行比對(duì)，并根據(jù)比對(duì)結(jié)果，確定通信密鑰協(xié)商是否成功。

在本發(fā)明實(shí)施例的一種具體實(shí)施方式中，該裝置還可以包括：

第二密鑰協(xié)商模塊，用于在MAC地址判斷模塊的判斷結(jié)果為否的情況下，利用自身存儲(chǔ)的公有密鑰與終端進(jìn)行通信密鑰協(xié)商，以使得終端在通信密鑰協(xié)商成功后，接入無(wú)線網(wǎng)絡(luò)。

在本發(fā)明實(shí)施例的一種具體實(shí)施方式中，該裝置還可以包括：

第三密鑰協(xié)商模塊，用于在利用所確定的私有密鑰與終端進(jìn)行通信密鑰協(xié)商后，且通信密鑰協(xié)商失敗的情況下，利用自身存儲(chǔ)的公有密鑰與終端進(jìn)行通信密鑰協(xié)商，以使得終端在通信密鑰協(xié)商成功后，接入無(wú)線網(wǎng)絡(luò)。

綜上，本實(shí)施例中，在無(wú)線接入設(shè)備內(nèi)存儲(chǔ)的公有密鑰頻繁發(fā)生變化的情況下，可信任用戶無(wú)需在自身持有的終端上頻繁地輸入修改后的公有密鑰即可成功接入無(wú)線網(wǎng)絡(luò)，這樣可以給可信任用戶帶來(lái)較好的上網(wǎng)體驗(yàn)。

需要說(shuō)明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語(yǔ)僅僅用來(lái)將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開(kāi)來(lái)，而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且，術(shù)語(yǔ)“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過(guò)程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒(méi)有明確列出的其他要素，或者是還包括為這種過(guò)程、方法、物品或者設(shè)備所固有的要素。在沒(méi)有更多限制的情況下，由語(yǔ)句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過(guò)程、方法、物品或者設(shè)備中還存在另外的相同要素。

本說(shuō)明書(shū)中的各個(gè)實(shí)施例均采用相關(guān)的方式描述，各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可，每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。尤其，對(duì)于系統(tǒng)實(shí)施例而言，由于其基本相似于方法實(shí)施例，所以描述的比較簡(jiǎn)單，相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進(jìn)等，均包含在本發(fā)明的保護(hù)范圍內(nèi)。