一种无线接入认证方法及装置与流程

本发明涉及通信技术领域，尤其涉及一种无线接入认证方法及装置。

背景技术：

随着无线局域网技术的不断发展，多种无线认证协议如WIFI(Wireless-Fidelity，无线保真)、ZigBee(紫蜂)、蓝牙等已广泛应用于人们的生活。目前越来越多的终端设备已集成了多种无线认证协议，例如智能手机、智能平板电脑、智能手环、复合型智能网关等等，可以同时通过多种无线认证协议来接入不同的无线局域网。

然而在现有的单一认证模式下，当用户接入多个不同的无线局域网时，用户需要根据每个中继设备所支持的无线认证协议逐一进行无线接入认证(如输入密码)，因此接入认证的过程就会相当繁琐。这不仅会增加用户的操作量，也会使智能网关上产生与该用户相关的大量认证信息，从而增加智能网关的管理难度。

技术实现要素：

有鉴于此，本发明提供一种无线接入认证方法及装置可以解决认证过程繁琐、用户操作量大，以及智能网关管理困难的问题。

具体地，本发明是通过如下技术方案实现的：

一种无线接入认证方法，所述方法应用于智能网关，所述智能网关预先在云服务器上与用户的账户信息进行绑定，所述方法包括：

接收接入认证报文，所述接入认证报文中包括终端设备的认证标识；

构造身份验证报文，所述身份验证报文包括所述终端设备的认证标识和所述智能网关预先绑定的账户信息；

发送所述身份验证报文至云服务器；

当收到所述云服务器返回的验证成功报文时，允许该验证成功报文中所述认证标识对应的所述终端设备通过接入认证。

进一步的，所述智能网关预先在云服务器上与用户的账户信息进行绑定，包括：

获取用户注册的账户信息；

将所述账户信息发送至所述云服务器，以使所述云服务器建立所述账户信息与所述智能网关的对应关系。

进一步的，所述智能网关预先在云服务器上与用户的账户信息进行绑定，还包括：

获取所述云服务器返回的安全码；

所述构造身份验证报文，包括：

根据所述终端设备的认证标识、所述智能网关预先绑定的账户信息及所述安全码构造身份验证报文。

进一步的，所述接收接入认证报文，包括：

接收终端设备或者预先在所述智能网关上注册的中继设备发送的接入认证报文。

进一步的，所述接收预先在所述智能网关上注册的中继设备发送的接入认证报文，包括：

接收预先在所述智能网关上注册的中继设备发送的接入认证报文，所述接入认证报文中的预设字段中包括请求接入该中继设备的终端设备的认证标识；

所述允许该验证成功报文中所述认证标识对应的所述终端设备通过接入认证，包括：

向所述中继设备反馈该验证成功报文，以使所述中继设备允许该验证成 功报文中所述认证标识对应的所述终端设备接入该中继设备所管理的无线局域网。

进一步的，所述终端设备的认证标识，包括：MAC地址，蓝牙地址、ZigBee地址、电子标签中的一个或多个。

进一步的，所述方法还包括：

检查所述接入认证报文的固定位置是否包括特殊字段；

若是，则该终端设备的认证标识中包括该终端设备的MAC地址，蓝牙地址、ZigBee地址及电子标签；

若否，则该终端设备的认证标识中包括该终端设备的MAC地址。

基于相同的构思，本发明还提供一种无线接入认证方法，所述方法应用于云服务器，所述云服务器预先绑定智能网关与用户的账户信息，所述方法包括：

接收所述智能网关发送的身份验证报文，所述身份验证报文包括终端设备的认证标识和所述智能网关预先绑定的账户信息；

根据所述账户信息在预存的信任账户中查找是否存在所述认证标识；

当所述信任账户中存在所述认证标识时，向所述智能网关返回验证成功报文，所述验证成功报文包括所述终端设备的认证标识。

进一步的，所述云服务器预先绑定智能网关与用户的账户信息，包括：

接收所述智能网关发送的所述智能网关预先绑定的账户信息；

建立所述账户信息与所述智能网关的对应关系。

进一步的，所述云服务器预先绑定智能网关与用户的账户信息，还包括：

向所述智能网关发送安全码。

基于相同的构思，本发明还提供一种无线接入认证装置，所述装置应用于智能网关，所述装置包括：

账户绑定单元，用于预先在云服务器上与用户的账户信息进行绑定；

报文接收单元，用于接收接入认证报文，所述接入认证报文中包括终端设备的认证标识；

报文构造单元，用于构造身份验证报文，所述身份验证报文包括所述终端设备的认证标识和所述智能网关预先绑定的账户信息；

报文发送单元，用于发送所述身份验证报文至云服务器；

接入认证单元，用于在收到所述云服务器返回的验证成功报文时，允许该验证成功报文中所述认证标识对应的所述终端设备通过接入认证。

进一步的，所述账户绑定单元，具体用于获取用户注册的账户信息，将所述账户信息发送至所述云服务器，以使所述云服务器建立所述账户信息与所述智能网关的对应关系。

进一步的，所述账户绑定单元，还用于获取所述云服务器返回的安全码；

所述报文构造单元，具体用于根据所述终端设备的认证标识、所述智能网关预先绑定的账户信息及所述安全码构造所述身份验证报文。

进一步的，所述报文接收单元，具体用于接收终端设备或者预先在智能网关上注册的中继设备发送的接入认证报文。

进一步的，所述报文接收单元，还用于接收预先在智能网关上注册的中继设备发送的接入认证报文，所述接入认证报文中的预设字段中包括请求接入该中继设备的终端设备的认证标识；

所述接入认证单元，具体用于向所述中继设备反馈该验证成功报文，以使所述中继设备允许该验证成功报文中所述认证标识对应的所述终端设备接入该中继设备所管理的无线局域网。

进一步的，所述终端设备的认证标识，包括：MAC地址，蓝牙地址、ZigBee地址、电子标签中的一个或多个。

进一步的，所述装置还包括：

字段检查单元，用于检查所述接入认证报文的固定位置是否包括特殊字段；若是，则该终端设备的认证标识中包括该终端设备的MAC地址，蓝牙地址、ZigBee地址及电子标签；若否，则该终端设备的认证标识中包括该终端设备的MAC地址。

基于相同的构思，本发明还提供一种无线接入认证装置，所述装置应用 于云服务器，所述装置包括：

账户绑定单元，用于预先绑定智能网关与用户的账户信息，

报文接收单元，用于接收所述智能网关发送的身份验证报文，所述身份验证报文包括终端设备的认证标识和所述智能网关预先绑定的账户信息；

账户认证单元，用于根据所述账户信息在预存的信任账户中查找是否存在所述认证标识；

报文发送单元，用于在所述信任账户中存在所述认证标识时，向所述智能网关返回验证成功报文，所述验证成功报文包括所述终端设备的认证标识。

进一步的，所述账户绑定单元，具体用于接收所述智能网关发送的所述智能网关预先绑定的账户信息，建立所述账户信息与所述智能网关的对应关系。

进一步的，所述账户绑定单元，还用于向所述智能网关发送安全码。

由此可见，本发明的无线接入认证方法可使智能网关预先在云服务器上与用户的账户信息进行绑定，从而在智能网关接收接入认证报文时，利用终端设备的认证标识和预先绑定的账户信息构造身份验证报文，并发送至云服务器，当确认该终端设备可信时，允许该终端设备通过接入认证。因此在终端设备接入多个不同的无线局域网时，可通过该方法进行统一认证，无需逐一进行安全验证和确认，从而减少用户和管理员的操作量，并在认证过程中产生较少的认证信息，便于智能网关的管理。

附图说明

图1是本发明一种示例性实施方式中的组网架构图；

图2是本发明一种示例性实施方式中的一种无线接入认证方法的处理流程图；

图3是本发明一种示例性实施方式中的另一种无线接入认证方法的处理流程图；

图4a是本发明实施例一中的一种无线接入认证方法的交互流程图；

图4b是本发明实施例一中的另一种无线接入认证方法的交互流程图；

图5a是本发明实施例二中的一种无线接入认证方法的交互流程图；

图5b是本发明实施例二中的另一种无线接入认证方法的交互流程图；

图6a是本发明一种示例性实施方式中无线接入认证装置所在的智能网关的硬件结构图；

图6b是本发明一种示例性实施方式中的一种无线接入认证装置的逻辑结构图；

图7a是本发明一种示例性实施方式中无线接入认证装置所在的云服务器的硬件结构图；

图7b是本发明一种示例性实施方式中的另一种无线接入认证装置的逻辑结构图。

具体实施方式

请参见图1，是本发明一种示例性实施方式中的组网架构图，其中云服务器分别与多个位于不同地区的智能网关建立连接。本实施例中示例性的表示云服务器分别与智能网关A、智能网关B相连接。中继设备1和2可通过智能网关A接入网络，中继设备3和4可通过智能网关B接入网络。由于终端设备可以集成多种无线认证协议，因此在传统的单一认证模式下，当用户控制终端设备接入多个不同的无线局域网时，需要根据每个无线接入点所支持的无线认证协议逐一进行无线接入认证，导致接入认证的过程相当繁琐。例如，当用户使用手机分别接入中继设备1至中继设备4时，假设每个中继设备是基于不同的认证协议，那么用户就需要用手机逐一按照各自的认证协议来输入认证密码、或是执行预定的认证动作来完成接入认证。这不仅会增加用户的操作量，也会使智能网关上产生与该用户相关的大量认证信息，从而增加智能网关的管理负担。

为了解决上述问题，本发明的无线接入认证方法可使智能网关预先在云服务器上与用户的账户信息进行绑定，从而在智能网关接收接入认证报文时， 利用终端设备的认证标识和预先绑定的账户信息构造身份验证报文，并发送至云服务器，当确认该终端设备可信时，允许该终端设备通过接入认证。因此在终端设备接入多个不同的无线局域网时，可通过该方法进行统一认证，无需逐一进行安全验证和确认，从而减少用户和管理员的操作量，并在认证过程中产生较少的认证信息，便于智能网关的管理。

请参考图2，是本发明一种示例性实施方式中的一种无线接入认证方法的处理流程图，该方法应用于智能网关，该智能网关预先在云服务器上与用户的账户信息进行绑定，所述方法包括：

步骤201、接收接入认证报文，所述接入认证报文中包括终端设备的认证标识；

在本实施例中，当用户的终端设备请求接入无线局域网络时，智能网关可以收到终端设备发送的接入认证报文，该接入认证报文中包括该终端设备的认证标识。其中，该认证标识通常为该终端设备的硬件地址，例如该终端设备的MAC(Media Access Control，媒体访问控制)地址，蓝牙地址、ZigBee地址、电子标签等等。

步骤202、构造身份验证报文，所述身份验证报文包括所述终端设备的认证标识和所述智能网关预先绑定的账户信息；

智能网关获取到该接入认证报文携带的终端设备对应的认证标识后，可以根据该认证标识以及预先绑定的账户信息构造身份验证报文。

需要说明的是，用户在初始设置智能网关时，可以在该智能网关上注册自己的账户信息，例如用户可通过登录智能网关的客户端注册自己的用户名、密码及可信任设备地址等信息。该智能网关获取用户注册的账户信息后，可以进一步将该账户信息发送到云服务器，以使云服务器建立该账户信息与智能网关的对应关系，从而在云服务器端完成注册。进一步的，云服务器可以将该智能网关的地址信息、认证时的时间戳(例如年月日、当前时刻等信息)和安全码使用有效周期等信息，通过预置算法计算后得到的一个固定长度的字符串，以该字符串作为安全码下发给智能网关，作为临时认证凭证。因此 智能网关构造身份验证报文时，会将预先从云服务器处获取的安全码添加到身份验证报文中。

步骤203、发送身份验证报文至云服务器；

由于智能网关之间保存的终端设备地址信息无法相互共享，因此当用户与多个智能网关绑定后，会导致每个智能网关中都保存了该用户的部分可信任客户端的信息，从而无法通过某一个智能网关来验证该终端设备的身份是否可信。本发明中，用户绑定的智能网关可预先将用户绑定的账户信息和可信任客户端等信息在云服务器中注册，使云服务器汇总同一账户信息对应的所有可信任客户端。之后，当智能网关收到接入认证报文时，可将携带认证标识和账户信息的身份验证报文发送至云服务器，通过云服务器验证终端设备是否为可信任客户端。当终端设备可信时，云服务器可向该智能网关返回验证成功报文，其中该验证成功报文中携带该终端设备的认证标识，从而可以使智能网关确认该认证标识对应的终端设备可信。

步骤204、当收到所述云服务器返回的验证成功报文时，允许该验证成功报文中所述认证标识对应的所述终端设备通过接入认证。

当智能网关收到云服务器返回的验证成功报文时，可知该验证成功报文中的认证标识对应的终端设备可信，因此智能网关允许该终端设备通过接入认证。

相对于现有技术，本发明的无线接入认证方法可使智能网关预先在云服务器上与用户的账户信息进行绑定，从而在智能网关接收接入认证报文时，利用终端设备的认证标识和预先绑定的账户信息构造身份验证报文，并发送至云服务器，当确认该终端设备可信时，允许该终端设备通过接入认证。因此在终端设备接入多个不同的无线局域网时，可通过该方法进行统一认证，无需逐一进行安全验证和确认，从而减少用户和管理员的操作量，并在认证过程中产生较少的认证信息，便于智能网关的管理。

在可选的实施例中，智能网关还可以接收来自于支持本方案的中继设备发送的接入认证报文，其中该中继设备可以预先在智能网关上进行注册。举 例来说，当用户的终端设备请求接入中继设备所管理的无线局域网时，会向该中继设备发送接入认证报文，该接入认证报文中携带该终端设备的认证标识。中继设备收到该接入认证报文后，为了确保智能网关能够获取到该终端设备的认证标识，中继设备可以根据接入认证报文中的认证标识重新构建一个新的接入认证报文发送到智能网关，需要说明的是，由于终端设备可能使用自己的硬件地址作为认证标识进行接入认证，而中继设备重构的接入认证报文的源地址是该中继设备的地址，而非终端设备的地址。因此为了使智能网关可以成功获取到终端设备的地址来进行接入认证，该中继设备会在接入认证报文的预设字段中添加该终端设备的认证标识。当智能网关接收到中继设备重构的接入认证报文时，可以提取预设字段中的该终端设备的认证标识，并与预先绑定的账户信息构造身份验证报文发送给云服务器。当云服务器根据该身份验证报文携带的账户信息，在本地查找到与所述认证标识相匹配的记录时，可以认为该终端设备可信，从而可向智能网关返回携带该认证标识的验证成功报文。当该智能网关收到验证成功报文后，可通知该中继设备允许验证成功报文中的认证标识对应的终端设备接入该中继设备所管理的无线局域网。若云服务器根据该身份验证报文携带的账户信息在本地未查找到该认证标识相匹配的记录时，则可认为该认证标识不可信，从而可向该智能网关发送携带该认证标识的验证失败报文。当智能网关收到验证失败报文后，可通知该中继设备要求该终端设备进行手动认证，并在该终端设备通过手动认证后，允许该终端设备接入该中继设备所管理的无线局域网。中继设备可以在该终端设备认证通过后，将该终端设备的认证标识通过该智能网关同步到云服务器，以使云服务器将该终端设备的认证标识与该用户预先注册的账户信息建立新的对应关系。因此在该终端设备后续进行无线接入认证时，可以根据该对应关系证明该终端设备的身份可信，从而无需再次进行手动认证，进而可以减少用户的操作量，提高认证效率。

进一步的，当终端设备支持多种无线接入协议时，该终端设备的认证标识中会相应具有多个硬件地址，例如MAC地址、蓝牙地址、ZigBee地址、 电子标签等，为了使智能网关快速获取终端设备的所有硬件地址，对于支持本方案的终端设备在发送接入认证报文时，可以在该接入认证报文的固定位置添加特殊字段，特殊字段中包括该终端设备的所有硬件地址。因此当智能网关收到终端设备发送的接入认证报文时，可以通过解析固定位置的特殊字段快速获取该终端设备的认证标识中携带的全部硬件地址，从而可以提高接入认证处理效率。

另外，中继设备在根据该接入认证报文重构新的接入认证报文时，也会将特殊字段中的认证标识添加到新的接入认证报文的固定位置中，并设置与智能网关约定好的新的特殊字段，以使智能网关快速获取该终端设备的所有硬件地址。

请参见图3，是本发明一种示例性实施方式中的另一种无线接入认证方法的处理流程图，该方法应用于云服务器，所述云服务器预先绑定智能网关与用户的账户信息，所述方法包括：

步骤301、接收所述智能网关发送的身份验证报文，所述身份验证报文包括终端设备的认证标识和所述智能网关预先绑定的账户信息；

当云服务器收到智能网关发送的身份验证报文时，可以获取该身份验证报文中携带的终端设备的认证标识以及智能网关预先绑定的账户信息。其中该认证标识包括该终端设备的MAC地址、蓝牙地址、ZigBee地址、电子标签等等。

步骤302、根据所述账户信息在预存的信任账户中查找是否存在所述认证标识；

云服务器可根据该身份验证报文中账户信息，在本地保存的信任账户中查找与该账户信息具有对应关系的认证标识，并在这些认证标识中查找是否存在与该终端设备认证标识相匹配的记录。

步骤303、当所述信任账户中存在所述认证标识时，向所述智能网关返回验证成功报文，所述验证成功报文包括所述终端设备的认证标识。

当云服务器的信任账户中存在该终端设备的认证标识时，云服务器可以 认为该终端设备的身份可信，因此可以向发送身份验证报文的智能网关返回携带该认证标识的验证成功报文，所述验证成功报文包括所述终端设备的认证标识。反之，若不存在，则可以认为该终端设备的身份不可信，因此可以向该智能网关返回携带该认证标识的验证失败报文，所述验证失败报文包括所述终端设备的认证标识。

在发明可选的实施例中，云服务器可以接收智能网关发送的用户预先通过客户端在智能网关上注册的账户信息，建立账户信息与该智能网关的对应关系。此外，云服务器可以将该智能网关的地址信息、认证时的时间戳(例如年月日、当前时刻等信息)和安全码使用有效周期等信息，通过预置算法计算后得到的一个固定长度的字符串，以该字符串作为安全码下发给智能网关，作为临时认证凭证，因此云服务器在后续对终端设备进行身份认证时，首先要检查该智能网关的安全码，若智能网关发送的身份认证报文中未携带安全码或智能网关的安全码失效，则需要该智能网关先完成上述注册过程重新获取安全码，再进行终端设备的身份验证。因此，本发明可以保证智能网关上的账户信息与云服务器同步更新，进而提高网络安全性。

进一步的，为防止出现恶意攻击，云服务器还可以通过判断智能网关的MAC地址或者IP地址的方式来限制单个节点重复多次身份验证。例如在单个节点认证失败多次(例如为3次)后，应在一段时间内限制该节点再次认证，从而提高接入认证过程的安全性。

为使本发明的目的、技术方案及优点更加清楚明白，以下基于图1的组网架构，对本发明所述方案作进一步地详细说明。

假设用户在A市和B市的住所中分别使用复合型智能网关A和复合型智能网关B作为家庭的数据处理中枢。用户可以使用可信任客户端，例如个人的笔记本电脑分别登陆智能网关A的客户端界面，并在该界面注册统一的账户信息N，其中账户信息N可包含用户名、密码和可信任客户端信息三部分，可信任客户端信息包含该客户端设备的MAC地址、蓝牙地址、ZigBee地址、电子标签等信息。用户注册成功后，智能网关A需要将用户注册的账 户信息N封装成注册请求Register REQ报文发送到云服务器。具体的，智能网关可以在Register REQ报文指定位置填入按照特定算法加密后的可信任客户端(如上述笔记本电脑)的MAC地址、蓝牙地址、ZigBee地址、电子标签等信息，并在指定位置填入按照特定算法加密后的用户名和密码等信息，并在封装中携带自身的MAC地址MACA，以MACA作为智能网关A的身份标识。智能网关B的处理方式相同，此处不做赘述。

云服务器收到智能网关A和B分别发送的Register REQ报文后，可进一步验证该Register REQ报文中的用户名和密码的正确性，验证成功后可将智能网关A和B的MAC地址MACA、MACB与该用户的账户信息N进行绑定，并分别向智能网关A和B应答注册成功Register ACK报文及临时安全码M1、M2；若验证失败，则云服务器分别向智能网关A、B应答注册失败Register NAK报文，要求该智能网关重新注册。如果智能网关收到云服务器返回的Register ACK报文，则认为在云服务器上注册成功，并定期重复注册步骤来更新临时安全码。注册成功后，智能网关A、B还可以在本地根据已绑定的用户名和密码建立允许获得无线局域网访问权限的合法用户数据库，从而禁止其他用户在该智能网关上进行接入认证。上述配置完成后，下面通过两个具体实施例介绍如何使用账户信息N来实现本发明的无线接入认证。

实施例一：

假设用户新购买了1只iPhone手机(不支持本发明方案)，即图1中的终端设备，当用户的手机在A市家中第一次使用WIFI方式请求接入智能网关A所管理的无线局域网络时，手机、智能网关A及云服务器的交互过程如图4a所示。其中包括步骤：

智能网关A通常按照Beacon Interval(信标间隔时槽)发送Beacon帧，其中认证方式为不加密，手机开启无线功能后，在ISM频段(Industrial Scientific Medical，工业、科学、医学使用的目前为2.4G和5G)内持续监听，当手机收到智能网关A发送的Beacon帧时，就会将智能网关A的SSID(Service Set Identifier，服务集标识)加入手机的无线信道列表。手机通过 WIFI方式连接智能网关A，既可以由用户根据SSID名称决定，也可以由支持本发明方案的软件进行自动选择，例如软件可根据RSSI(Received Signal Strength Indication，接收信号强度指示)值，选择信号最强的SSID进行自动连接，该实现具体内容不属于本发明方案所述范畴，不详细描述。假设手机选择请求接入智能网关A所管理的无线网络SSID，那么手机可构建无线接入认证Probe Request报文，并发送到智能网关A。其中该Probe Request报文的源MAC地址是手机的MAC地址MAC0。由于该手机不支持本发明方案，因此该Probe Request报文的固定位置中未添加特殊字段，因此该手机发送的Probe Request报文的认证标识为MAC0

智能网关A收到用户手机发出的Probe Request报文后，检查该Probe Request报文的固定位置是否具有特殊字段，经检查该Probe Request报文中没有特殊字段，表明该手机不支持本发明方案，因此可将该Probe Request报文的认证标识MAC0、以及自身已绑定的账户信息N、安全码M1经过约定的加密算法加密后，添加到源MAC地址为MACA的身份验证Account REQ报文中发送给云服务器。

云服务器收到该Account REQ报文按照约定的加密算法进行解密后，在MACA对应的账户信息N的可信任客户端中检查是否存在该MAC0。由于该手机并未在云服务器上进行过注册，因此云服务器检查后确认MAC0所属的手机并非账户信息N内的可信任客户端，并向智能网关A返回验证失败报文。

智能网关A收到该验证失败报文后，确认该手机并非账户信息N内的可信任客户端，因此可通知该手机通过HTTP报文重定向，将手机浏览器转向到本地认证页面。当用户在手机中输入该用户注册过的用户名和密码后，方可获取智能网关A所管理无线网络的所有访问权限，同时智能网关A还可将手机MAC地址MAC0与自身绑定的账户信息N同步到云服务器，以使云服务器将该手机的MAC地址MAC0添加到该账户信息N对应的可信任客户端中。

假设随后用户抵达B市的家中，第一次使用该手机通过WIFI方式接入 智能网关B所管理的无线局域网络时，手机、智能网关B及云服务器的交互过程如图4b所示。其中包括步骤：

智能网关B通常按照Beacon Interval发送Beacon帧，其中认证方式为不加密。手机开启无线功能后，在ISM频段内持续监听，当手机收到智能网关B发送的Beacon帧时，就会将智能网关B的SSID加入手机的无线信道列表。手机可向该智能网关B发送Probe Request报文，该Probe Request报文的源MAC地址是手机的MAC地址MAC0，且该Probe Request报文的固定位置未添加特殊字段，因此该手机发送的Probe Request报文中的认证标识为MAC0。

智能网关B收到用户手机发出的Probe Request报文后，经检查该报文的固定位置中没有特殊字段，说明该手机不支持本发明方案，因此可将手机发出的Probe Request报文中的认证标识MAC0、以及自身已绑定的账户信息N、及安全码M2添加到源MAC地址为MACB的Account REQ报文中发送给云服务器。

云服务器收到该Account REQ报文按照约定的加密算法进行解密后，在MACB对应的账户信息N的可信任客户端中检查是否存在该MAC0。由于该手机在A市的家中已经进行过注册，因此云服务器检查后确认MAC0是账户信息N内的可信任客户端，并向智能网关B返回验证成功报文。

智能网关B收到该验证成功报文后，可以允许该手机获取智能网关B所管理无线网络的所有访问权限，无需重新输入用户名和密码进行接入认证。

实施例二：

假设用户在A市家中购买了1个蓝牙音箱，即图1中的中继设备1，并设置认证服务器为智能网关A；在B市家中购买了1个智能灯泡(使用ZigBee方式连接)即图1中的中继设备3，并设置认证服务器为智能网关B。已知蓝牙音箱和智能灯泡都支持本方案，并且分别在智能网关A、B上完成注册。

假设用户新购买了1只手环(支持本发明方案)，当用户在A市家中第一次使用蓝牙方式接入智能网关A所管理的无线局域网时，手环、智能网关 A及云服务器的交互过程如5a所示。其中包括步骤：

手环构建并发送蓝牙认证报文，由于该手环支持本发明方案，因此在蓝牙认证报文的固定位置中添加特殊字段，例如该手环的MAC地址、蓝牙地址及ZigBee地址，因此该蓝牙认证报文的认证标识包括手环的MAC地址、蓝牙地址及ZigBee地址。

智能网关A收到手环发送的蓝牙认证报文后，检查该蓝牙认证报文的固定位置是否包含特殊字段，确认该蓝牙认证报文中包括特殊字段后，则认为该手环支持本发明方案。然后智能网关A将蓝牙认证报文固定位置中特殊字段的认证标识中的MAC地址、蓝牙地址、ZigBee地址取出后，与智能网关A所绑定的账户信息N，智能网关A注册时所得到临时安全码M1，经过约定算法加密后添加到源MAC地址为MACA的Account REQ报文中发送给云服务器。

云服务器收到该Account REQ报文按照约定的加密算法进行解密后，在MACA对应的账户信息N的可信任客户端中，检查是否存在与该手环的MAC地址、蓝牙地址、ZigBee地址相匹配的记录。由于该手机并未在云服务器上进行过注册，因此云服务器检查后确认手环并非账户信息N内的可信任客户端，并向智能网关A返回验证失败报文。

智能网关A收到该验证失败报文后，确认该手环并非账户信息N内的可信任客户端，因此可通知用户手动输入与手环匹配的PIN码，而后智能网关A与手环建立蓝牙连接。此时手环获取了智能网关A所管理无线网络的所有访问权限，同时智能网关A可将手环的MAC地址、蓝牙地址、ZigBee地址与自身绑定的账户信息N同步到云服务器，以使云服务器将该手环的MAC地址、蓝牙地址、ZigBee地址添加到该账户信息N对应的可信任客户端中。

之后，用户尝试使用手环连接蓝牙音箱时，手环、蓝牙音箱、智能网关A及云服务器的交互过程如5b所示。其中包括步骤：

手环向该蓝牙音箱发送携带蓝牙认证标识的蓝牙认证报文，并且该蓝牙认证报文固定位置的特殊字段中还包括手环的MAC地址、蓝牙地址、ZigBee 地址，因此该蓝牙认证报文的认证标识包括手环的MAC地址、蓝牙地址及ZigBee地址。蓝牙音箱根据该蓝牙认证报文重构一个新的蓝牙认证报文，报文中携带手环的蓝牙认证标识，并且在固定位置的特殊字段中携带手环认证标识，然后发送到智能网关A。智能网关A发现蓝牙音箱发出的蓝牙认证报文中手环的蓝牙认证标识及认证标识后，提取该蓝牙认证报文固定位置的认证标识中的MAC地址、蓝牙地址、ZigBee地址，与智能网关A所绑定的账户信息N、智能网关A注册时所得到临时安全码M1，经过约定算法加密后添加到源MAC地址为MACA的Account REQ报文中发送给云服务器。云服务器收到该Account REQ报文按照约定的加密算法进行解密后，在MACA对应的账户信息N的可信任客户端中，检查是否存在与该手环的MAC地址、蓝牙地址、ZigBee地址相匹配的记录。由于该手环已在云服务器上进行过注册，因此云服务器检查后确认手环为可信任客户端，并向智能网关A返回验证成功报文。智能网关A将验证成功报文反馈给蓝牙音箱。由于智能网关A可将用户之前手动输入的PIN码作为蓝牙音箱的本地PIN码，因此无需用户输入PIN码就可以与蓝牙音箱建立蓝牙连接。

同理，当用户抵达B市的家中，由于手环已经是云服务器的可信任客户端，该手环可以直接连接智能网关B和智能灯泡，而无需进行传统的接入认证操作。

由此可见，当用户的终端设备被认证为可信任客户端时，可以通过任何协议下的无线接入认证，而无需手动完成认证操作，因此极大的简化了用户操作，并减少了智能网关的管理负担。

基于相同的构思，本发明还提供一种无线接入认证装置，所述装置可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，本发明的无线接入认证装置作为一个逻辑意义上的装置，是通过其所在设备的CPU读取存储器中对应的计算机程序指令后运行而成。

请参考图6a及图6b，是本发明一种示例性实施方式中的一种无线接入认证装置600，所述装置应用于智能网关，所述装置基本运行环境包括CPU， 存储器以及其他硬件，从逻辑层面上来看，所述装置600包括：

账户绑定单元601，用于预先在云服务器上与用户的账户信息进行绑定；

报文接收单元602，用于接收接入认证报文，所述接入认证报文中包括终端设备的认证标识；

报文构造单元603，用于构造身份验证报文，所述身份验证报文包括所述终端设备的认证标识和所述智能网关预先绑定的账户信息；

报文发送单元604，用于发送所述身份验证报文至云服务器；

接入认证单元605，用于在收到所述云服务器返回的验证成功报文时，允许该验证成功报文中所述认证标识对应的所述终端设备通过接入认证。

可选的，所述账户绑定单元601，具体用于获取用户注册的账户信息，将所述账户信息发送至所述云服务器，以使所述云服务器建立所述账户信息与所述智能网关的对应关系。

可选的，所述账户绑定单元601，还用于获取云服务器返回的安全码；

所述报文构造单元603，具体用于根据所述终端设备的认证标识、所述智能网关预先绑定的账户信息及所述安全码构造身份验证报文。

可选的，所述报文接收单元602，具体用于接收终端设备或者预先在智能网关上注册的中继设备发送的接入认证报文。

可选的，所述报文接收单元602，还用于接收预先在智能网关上注册的中继设备发送的接入认证报文，所述接入认证报文中的预设字段中包括请求接入该中继设备的终端设备的认证标识；

所述接入认证单元605，具体用于向所述中继设备反馈该验证成功报文，以使所述中继设备允许该验证成功报文中所述认证标识对应的所述终端设备接入该中继设备所管理的无线局域网。

可选的，所述终端设备的认证标识，包括：MAC地址，蓝牙地址、ZigBee地址、电子标签中的一个或多个。

可选的，所述装置还包括：

字段检查单元606(图6b中未示出)，用于检查所述接入认证报文的固 定位置是否包括特殊字段；若是，则该终端设备的认证标识中包括该终端设备的MAC地址，蓝牙地址、ZigBee地址及电子标签；若否，则该终端设备的认证标识中包括该终端设备的MAC地址。

请参考图7a及图7b，是本发明一种示例性实施方式中的另一种无线接入认证装置700，所述装置应用于云服务器，所述装置基本运行环境包括CPU，存储器以及其他硬件，从逻辑层面上来看，所述装置700包括：

账户绑定单元701，用于预先绑定智能网关与用户的账户信息，

报文接收单元702，用于接收所述智能网关发送的身份验证报文，所述身份验证报文包括终端设备的认证标识和所述智能网关预先绑定的账户信息；

账户认证单元703，用于根据所述账户信息在预存的信任账户中查找是否存在所述认证标识；

报文发送单元704，用于在所述信任账户中存在所述认证标识时，向所述智能网关返回验证成功报文，所述验证成功报文包括所述终端设备的认证标识。

可选的，所述账户绑定单元701，具体用于接收所述智能网关发送的所述智能网关预先绑定的账户信息，建立所述账户信息与所述智能网关的对应关系。

可选的，所述账户绑定单元701，还用于向智能网关发送安全码。

由此可见，本发明的无线接入认证方法可使智能网关预先在云服务器上与用户的账户信息进行绑定，从而在智能网关接收接入认证报文时，利用终端设备的认证标识和预先绑定的账户信息构造身份验证报文，并发送至云服务器，当确认该终端设备可信时，允许该终端设备通过接入认证。因此在终端设备接入多个不同的无线局域网时，可通过该方法进行统一认证，无需逐一进行安全验证和确认，从而减少用户和管理员的操作量，并在认证过程中产生较少的认证信息，便于智能网关的管理。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在 本发明保护的范围之内。