一种安全接入方法、设备及系统技术方案

本发明专利技术提供了一种安全接入方法、设备及系统，访客使用的终端和访客欲接入的AP上均被配置了一种密钥协商的协议，以便双方在通过对方发送的满足预设条件的管理帧确定对方为自身允许接入的合法设备后，进行密钥的协商得到共享密钥，之后再以该共享密钥为基础生成预共享密钥使得终端以该共享密钥为基础与该AP进行身份验证，从而在终端不需要提前获知预共享密钥的基础上快速、便捷的接入网络，不仅保障了网络的安全，同时也提升了合法用户的网络接入体验。

A secure access method, equipment and system

【技术实现步骤摘要】
一种安全接入方法、设备及系统
本专利技术涉及数据通信
,尤其涉及一种安全接入方法、设备及系统。
技术介绍
随着无线网络技术的发展，无线局域网络(英文名：WirelessLocalAreaNetwork，简称：WLAN)的使用已经遍布于家庭、办公、商场等场所，得益于其高吞吐量、稳定性、安全性和无线媒介等特性，为我们的生活、娱乐和工作带来了诸多便捷。由于WLAN在这种开放环境中提供着网络服务，因此所带来的网络安全问题也是个经久不息的研究课题，为了阻止非法用户(即未经授权的用户或者对网络安全造成威胁的破坏者)侵入和使用WLAN，保护合法用户的数据通信不被破坏和窃听，无线接入点(英文名：AccessPoint，简称：AP)都会采取认证接入和数据加密等方式来确保WLAN的安全，比如企业级的801.1x认证和普通家用无线路由器常用的保护无线网络安全接入系统(英文名：Wi-FiProtectedAccess，简称：WPA，其有WPA和WPA2两代标准)的预共享密钥(英文名：Pre-SharedKey,简称：PSK)身份验证等方式，例如，在家用无线网络中，为保障网络的安全，避免非法用户的侵入，主人通常都会设置WPA/WPA2-PSK进行身份验证，当访客取得主人预先设置好的预共享密钥后便可进行身份认证从而接入该无线网络。然而，专利技术人经过研究发现，在利用WPA/WPA2-PSK进行用户的身份验证的实际使用中存在着这样一些问题，例如，当家里有访客到来时，大家都会想要使用该无线网络，这就会增加预共享密钥被分享出去的概率，甚至假设访客所使用的终端安装有非法软件的话，也会导致预共享密钥更大程度的被公开和泄露。针对上述问题，现有技术中，人们通常会将WLAN划分为访客所使用的无线网络和自身所使用的无线网络，并且被划分的无线网络所对应配置的预共享密钥有所不同，为保证网络的安全，用户需要时不时手动更新访客所使用的预共享密钥或者设置AP进行自动更新该预共享密钥，这样，对于之前来过的访客想要接入该用户家里的无线网络就需要获取新的预共享密钥进行重新验证，同时，对于用户自身而言，也需要和访客一样重复上述操作，以致于整个过程的操作过于繁琐。综上所述，如何保障网络的安全，同时又能提升合法用户的网络接入体验是个亟待解决的问题。
技术实现思路
本专利技术实施例提供了一种安全接入方法、设备及系统，访客使用的终端和访客欲接入的AP上均被配置了一种密钥协商的协议，以便双方在通过对方发送的满足预设条件的管理帧确定对方为自身允许接入的合法设备后，进行密钥的协商得到共享密钥，之后再以该共享密钥为基础生成预共享密钥使得终端以该共享密钥为基础与该AP进行身份验证，从而在终端不需要提前获知预共享密钥的基础上快速、便捷的接入网络，不仅保障了网络的安全，同时也提升了合法用户的网络接入体验。第一方面，本专利技术实施例提供了一种安全接入方法,应用于终端，包括：配置密钥协商的预设规则；根据所述预设规则和至少一个无线接入点AP发送的管理帧确定目标AP；向所述目标AP发送包括用于密钥协商的公开参数的鉴权请求帧；接收所述目标AP发送的鉴权成功响应帧，所述鉴权成功响应帧中包括目标公开参数，所述目标公开参数为所述目标AP接收所述鉴权请求帧后，根据所述鉴权请求帧确定所述终端为合法终端后，并基于所述鉴权成功响应帧中的公开参数所确定的用于生成共享密钥的参数；根据所述目标公开参数生成第一临时值；向所述目标AP发送包括所述第一临时值的关联请求帧，以便所述目标AP根据所述第一临时值生成所述共享密钥；接收所述目标AP发送的关联成功响应帧，所述关联成功响应帧中包括所述目标AP根据所述目标公开参数所生成的第二临时值；根据所述第二临时值生成所述共享密钥，以便利用所述共享密钥进行身份认证接入所述目标AP。进一步的，所述根据所述预设规则和至少一个无线接入点AP发送的管理帧确定目标AP，包括：当所述终端获取到的任一AP发送的管理帧中存在支持所述预设规则的标识，且所述支持所述预设规则的标识的管理帧的信号强度大于预设阈值，则确定所述任一AP为目标AP。进一步的，所述根据所述目标公开参数生成第一临时值，包括：所述终端利用自身随机生成的私有参数和所述目标公开参数通过所述预设规则生成一个临时值；所述根据所述第二临时值生成所述共享密钥，包括：所述终端利用所述私有参数和所述第二临时值通过所述预设规则生成所述共享密钥。本专利技术实施例提供了一种安全接入方法，应用于终端，包括：配置密钥协商的预设规则，根据所述预设规则和至少一个无线接入点AP发送的管理帧确定目标AP,然后向所述目标AP发送包括用于密钥协商的公开参数的鉴权请求帧，再接收所述目标AP发送的鉴权成功响应帧，并根据所述鉴权成功响应帧中的目标公开参数生成第一临时值，之后向所述目标AP发送包括所述第一临时值的关联请求帧，以便所述目标AP根据所述第一临时值生成所述共享密钥，再接收所述目标AP发送的关联成功响应帧，所述关联成功响应帧中包括所述目标AP根据所述目标公开参数所生成的第二临时值，最后根据所述第二临时值生成所述共享密钥，以便利用所述共享密钥进行身份认证接入所述目标AP，通过在终端上配置和AP相同的规则，使得双方在建立一种安全机制的基础上完成密钥的协商，整个交互过程不仅保障了网络的安全，同时也提升了合法用户的网络接入体验。第二方面，本专利技术实施例还提供了另一种安全接入方法,应用于无线接入点AP，包括：配置密钥协商的预设规则；根据所述预设规则和至少一个终端发送的鉴权请求帧确定合法终端，所述合法终端的鉴权请求帧中包括用于密钥协商的公开参数；基于所述公开参数确定用于生成共享密钥的目标公开参数；向所述合法终端发送鉴权成功响应帧，所述鉴权成功响应帧中包括所述目标公开参数，以便所述合法终端根据所述鉴权成功响应帧中的目标公开参数生成第一临时值；根据所述目标公开参数生成第二临时值；接收所述合法终端发送的包括所述第一临时值的关联请求帧；向所述合法终端发送关联成功响应帧，所述关联成功响应帧中包括所述第二临时值，以便所述合法终端根据所述第二临时值生成所述共享密钥；根据所述第一临时值生成所述共享密钥，以便利用所述共享密钥对所述合法终端进行身份认证使得所述合法终端接入自身。进一步的，所述根据所述预设规则和至少一个终端发送的鉴权请求帧确定合法终端，包括：当所述AP获取到的任一终端发送的鉴权请求帧中存在支持所述预设规则的标识，且所述支持所述预设规则的标识的鉴权请求帧的信号强度大于预设阈值，则确定所述任一终端为合法终端。进一步的，所述基于所述公开参数确定用于生成共享密钥的目标公开参数，包括：判断所述合法终端的鉴权请求帧中的公开参数与自身推荐的公开参数是否一致，若是，则以所述合法终端的鉴权请求帧中的公开参数作为所述目标公开参数，若否，则以所述自身推荐的公开参数作为所述目标公开参数。进一步的，所述根据所述目标公开参数生成第二本文档来自技高网...

【技术保护点】
1.一种安全接入方法，其特征在于，应用于终端，所述方法包括：/n配置密钥协商的预设规则；/n根据所述预设规则和至少一个无线接入点AP发送的管理帧确定目标AP；/n向所述目标AP发送包括用于密钥协商的公开参数的鉴权请求帧；/n接收所述目标AP发送的鉴权成功响应帧，所述鉴权成功响应帧中包括目标公开参数，所述目标公开参数为所述目标AP接收所述鉴权请求帧后，根据所述鉴权请求帧确定所述终端为合法终端后，并基于所述鉴权成功响应帧中的公开参数所确定的用于生成共享密钥的参数；/n根据所述目标公开参数生成第一临时值；/n向所述目标AP发送包括第一临时值的关联请求帧，以便所述目标AP根据所述第一临时值生成所述共享密钥；/n接收所述目标AP发送的关联成功响应帧，所述关联成功响应帧中包括所述目标AP根据所述目标公开参数所生成的第二临时值；/n根据所述第二临时值生成所述共享密钥，以便利用所述共享密钥进行身份认证接入所述目标AP。/n

【技术特征摘要】
1.一种安全接入方法，其特征在于，应用于终端，所述方法包括：
配置密钥协商的预设规则；
根据所述预设规则和至少一个无线接入点AP发送的管理帧确定目标AP；
向所述目标AP发送包括用于密钥协商的公开参数的鉴权请求帧；
接收所述目标AP发送的鉴权成功响应帧，所述鉴权成功响应帧中包括目标公开参数，所述目标公开参数为所述目标AP接收所述鉴权请求帧后，根据所述鉴权请求帧确定所述终端为合法终端后，并基于所述鉴权成功响应帧中的公开参数所确定的用于生成共享密钥的参数；
根据所述目标公开参数生成第一临时值；
向所述目标AP发送包括第一临时值的关联请求帧，以便所述目标AP根据所述第一临时值生成所述共享密钥；
接收所述目标AP发送的关联成功响应帧，所述关联成功响应帧中包括所述目标AP根据所述目标公开参数所生成的第二临时值；
根据所述第二临时值生成所述共享密钥，以便利用所述共享密钥进行身份认证接入所述目标AP。


2.如权利要求1所述的安全接入方法，其特征在于，所述根据所述预设规则和至少一个无线接入点AP发送的管理帧确定目标AP，包括：当所述终端获取到的任一AP发送的管理帧中存在支持所述预设规则的标识，且所述支持所述预设规则的标识的管理帧的信号强度大于预设阈值，则确定所述任一AP为目标AP。


3.如权利要求1或2所述的安全接入方法，其特征在于，所述根据所述目标公开参数生成第一临时值，包括：所述终端利用自身随机生成的私有参数和所述目标公开参数通过所述预设规则生成一个临时值；
所述根据所述第二临时值生成所述共享密钥，包括：所述终端利用所述私有参数和所述第二临时值通过所述预设规则生成所述共享密钥。


4.一种安全接入方法，其特征在于，应用于无线接入点AP，所述方法包括：
配置密钥协商的预设规则；
根据所述预设规则和至少一个终端发送的鉴权请求帧确定合法终端，所述合法终端的鉴权请求帧中包括用于密钥协商的公开参数；
基于所述公开参数确定用于生成共享密钥的目标公开参数；
向所述合法终端发送鉴权成功响应帧，所述鉴权成功响应帧中包括所述目标公开参数，以便所述合法终端根据所述鉴权成功响应帧中的目标公开参数生成第一临时值；
根据所述目标公开参数生成第二临时值；
接收所述合法终端发送的包括所述第一临时值的关联请求帧；
向所述合法终端发送关联成功响应帧，所述关联成功响应帧中包括所述第二临时值，以便所述合法终端根据所述第二临时值生成所述共享密钥；
根据所述第一临时值生成所述共享密钥，以便利用所述共享密钥对所述合法终端进行身份认证使得所述合法终端接入自身。


5.如权利要求4所述的安全接入方法，其特征在于，所述根据所述预设规则和至少一个终端发送的鉴权请求帧确定合法终端，包括：当所述AP获取到的任一终端发送的鉴权请求帧中存在支持所述预设规则的标识，且所述支持所述预设规则的标识的鉴权请求帧的信号强度大于预设阈值，则确定所述任一终端为合法终端。


6.如权利要求4或5所述的安全接入方法，其特征在于，所述基于所述公开参数确定用于生成共享密钥的目标公开参数，包括：判断所述合法终端的鉴权请求帧中的公开参数与自身推荐的公开参数是否一致，若是，则以所述合法终端的鉴权请求帧中的公开参数作为所述目标公开参数，若否，则以所述自身推荐的公开参数作为所述目标公开参数。


7.如权利要求6所述的安全接入方法，其特征在于，所述根据所述目标公开参数生成第二临时值，包括：所述AP利用自身随机生成的私有参数和所述目标公开参数通过所述预设规则生成一个临时值；
所述根据所述第一临时值生成所述共享密钥，包括：所述AP利用所述私有参数和所述第一临时值通过所述预设规则生成所述共享密钥。


8.一种终端，其特征在于，包括：
配置模块，用于配置密钥协商的预设规则；
获取模块，用于获取至少一个无...

【专利技术属性】
技术研发人员：赵磊，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：四川;51