网络接入管控方法及装置与流程

本申请涉及网络连接管控技术领域，具体而言，涉及一种网络接入管控方法及装置。

背景技术

随着科学技术的不断发展，为确保网络连接安全及网络连接独立性，部署在通信网络下的ap(无线接入点，accesspoint)在用户终端接入该通信网络时，通常会针对该用户终端进行单向认证，以确认该用户终端是否具有接入访问该ap对应的通信网络的访问权限。但这种认证方式只是通信网络对用户终端的认证，不具备用户终端针对通信网络的确认认证功能，整体的网络连接安全性不是很强。

技术实现要素：

为了克服现有技术中的上述不足，本申请的目的在于提供一种网络接入管控方法及装置，所述网络接入管控方法能够在通信网络与用户终端之间进行双向认证，以提高整体的网络连接安全性。

就方法而言，本申请实施例提供一种网络接入管控方法，用于对用户终端接入通信网络的接入状况进行管控，其中所述通信网络下部署有至少一个无线接入点ap，所述方法包括：

所述用户终端在存储的所有ap的密钥中查找被选定的目标ap的目标密钥，当查找到时以所述目标密钥对网络接入请求及所述用户终端的第一密钥进行加密得到第一加密文件，并将所述第一加密文件发送给所述目标ap；

所述目标ap以自身对应的所述目标密钥对所述第一加密文件进行解密，得到所述网络接入请求及所述第一密钥；

所述目标ap响应所述网络接入请求，生成与所述网络接入请求匹配的接入许可报文，并根据所述第一密钥、所述目标密钥及自身对应的密钥生成策略生成对应的许可密钥；

所述目标ap以生成的所述许可密钥对所述接入许可报文进行加密得到第二加密文件，并将所述第二加密文件发送给所述用户终端；

所述用户终端在存储的各ap对应的密钥生成策略中查找所述目标ap对应的密钥生成策略，并在查找到时根据所述第一密钥、所述目标密钥及查找到的所述密钥生成策略生成第二密钥；

所述用户终端以所述第二密钥对接收到的所述第二加密文件进行解密，并在成功解密时基于所述第二加密文件中的所述接入许可报文接入访问所述目标ap对应的通信网络。

就方法而言，本申请实施例还提供一种网络接入管控方法，应用于用户终端，用于对所述用户终端接入通信网络的接入状况进行管控，其中所述通信网络下部署有至少一个无线接入点ap，所述方法包括：

在存储的所有ap的密钥中查找被选定的目标ap的目标密钥，当查找到时以所述目标密钥对网络接入请求及所述用户终端的第一密钥进行加密得到第一加密文件，并将所述第一加密文件发送给所述目标ap，以使所述目标ap根据所述第一加密文件反馈包括有接入许可报文的第二加密文件；

在存储的各ap对应的密钥生成策略中查找所述目标ap对应的密钥生成策略，并在查找到时根据所述第一密钥、所述目标密钥及查找到的所述密钥生成策略生成第二密钥；

以所述第二密钥对接收到的所述第二加密文件进行解密，并在成功解密时基于所述第二加密文件中的所述接入许可报文接入访问所述目标ap对应的通信网络。

就方法而言，本申请实施例还提供一种网络接入管控方法，应用于部署在同一通信网络下的每个无线接入点ap，用于对用户终端接入所述通信网络的接入状况进行管控，所述方法包括：

接收来自所述用户终端的第一加密文件，并以自身对应的密钥对所述第一加密文件进行解密，得到网络接入请求及所述用户终端的第一密钥；

响应所述网络接入请求，生成与所述网络接入请求匹配的接入许可报文，并根据所述第一密钥、所述自身对应的密钥及自身对应的密钥生成策略生成对应的许可密钥；

以生成的所述许可密钥对所述接入许可报文进行加密得到第二加密文件，并将所述第二加密文件发送给所述用户终端，以使所述用户终端对所述第二加密文件进行解密，并在成功解密时基于所述第二加密文件中的所述接入许可报文接入访问所述通信网络。

就装置而言，本申请实施例提供一种网络接入管控装置，应用于用户终端，用于对所述用户终端接入通信网络的接入状况进行管控，其中所述通信网络下部署有至少一个无线接入点ap，所述装置包括：

查找加密模块，用于在存储的所有ap的密钥中查找被选定的目标ap的目标密钥，当查找到时以所述目标密钥对网络接入请求及所述用户终端的第一密钥进行加密得到第一加密文件，并将所述第一加密文件发送给所述目标ap，以使所述目标ap根据所述第一加密文件反馈包括有接入许可报文的第二加密文件；

密钥生成模块，用于在存储的各ap对应的密钥生成策略中查找所述目标ap对应的密钥生成策略，并在查找到时根据所述第一密钥、所述目标密钥及查找到的所述密钥生成策略生成第二密钥；

密钥解密模块，用于以所述第二密钥对接收到的所述第二加密文件进行解密，并在成功解密时基于所述第二加密文件中的所述接入许可报文接入访问所述目标ap对应的通信网络。

就装置而言，本申请实施例还提供一种网络接入管控装置，应用于部署在同一通信网络下的每个无线接入点ap，用于对用户终端接入所述通信网络的接入状况进行管控，所述装置包括：

文件解密模块，用于接收来自所述用户终端的第一加密文件，并以自身对应的密钥对所述第一加密文件进行解密，得到网络接入请求及所述用户终端的第一密钥；

响应生成模块，用于响应所述网络接入请求，生成与所述网络接入请求匹配的接入许可报文，并根据所述第一密钥、所述自身对应的密钥及自身对应的密钥和密钥生成策略生成对应的许可密钥；

加密发送模块，用于以生成的所述许可密钥对所述接入许可报文进行加密得到第二加密文件，并将所述第二加密文件发送给所述用户终端，以使所述用户终端对所述第二加密文件进行解密，并在成功解密时基于所述第二加密文件中的所述接入许可报文接入访问所述通信网络。

相对于现有技术而言，本申请实施例提供的网络接入管控方法及装置具有以下有益效果：所述网络接入管控方法能够在通信网络与用户终端之间进行双向认证，以提高整体的网络连接安全性。所述方法用于对用户终端接入通信网络的接入状况进行管控，其中所述通信网络下部署有至少一个ap。首先，所述用户终端在存储的所有ap的密钥中查找被选定的目标ap的目标密钥，当查找到时以所述目标密钥对网络接入请求及所述用户终端的第一密钥进行加密得到第一加密文件，并将所述第一加密文件发送给所述目标ap。其次，所述目标ap以自身对应的所述目标密钥对所述第一加密文件进行解密，得到所述网络接入请求及所述第一密钥。接着，所述目标ap响应所述网络接入请求，生成与所述网络接入请求匹配的接入许可报文，并根据所述第一密钥、所述目标密钥及自身对应的密钥生成策略生成对应的许可密钥。然后，所述目标ap以生成的所述许可密钥对所述接入许可报文进行加密得到第二加密文件，并将所述第二加密文件发送给所述用户终端。再然后，所述用户终端在存储的各ap对应的密钥生成策略中查找所述目标ap对应的密钥生成策略，并在查找到时根据所述第一密钥、所述目标密钥及查找到的所述密钥生成策略生成第二密钥。最后，所述用户终端以所述第二密钥对接收到的所述第二加密文件进行解密，并在成功解密时基于所述第二加密文件中的所述接入许可报文接入访问所述目标ap对应的通信网络，从而在通信网络与用户终端之间进行双向认证，并提高整体的网络连接安全性。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举本申请较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对本申请权利要求保护范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的用户终端与无线接入点ap之间的交互示意图。

图2为本申请实施例提供的第一种网络接入管控方法的流程示意图之一。

图3为本申请实施例提供的第一种网络接入管控方法的流程示意图之二。

图4为本申请实施例提供的第二种网络接入管控方法的流程示意图之一。

图5为本申请实施例提供的第二种网络接入管控方法的流程示意图之二。

图6为本申请实施例提供的第三种网络接入管控方法的流程示意图。

图7为本申请实施例提供的图1中所示的第一网络接入管控装置的方框示意图之一。

图8为本申请实施例提供的图1中所示的第一网络接入管控装置的方框示意图之二。

图9为本申请实施例提供的图1中所示的第二网络接入管控装置的方框示意图。

图标：10-用户终端；20-ap；30-通信网络；100-第一网络接入管控装置；200-第二网络接入管控装置；110-查找加密模块；120-密钥生成模块；130-密钥解密模块；140-通信探测模块；150-信息生成模块；210-文件解密模块；220-响应生成模块；230-加密发送模块。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

在本申请的描述中，需要说明的是，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。下面结合附图，对本申请的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

请结合参照图1及图2，其中图1是本申请实施例提供的用户终端10与无线接入点ap20之间的交互示意图，图2是本申请实施例提供的第一种网络接入管控方法的流程示意图之一。在本申请实施例中，图2所示的网络接入管控方法应用于相互通信的用户终端10及ap20，用于对所述用户终端10接入通信网络30的接入状况进行管控，其中所述通信网络30下部署有至少一个ap20，所述用户终端10通过与所述通信网络30下部署有至少一个ap20中任意一个建立网络通信的方式，接入访问所述ap20对应的通信网络30。其中所述网络接入管控方法通过在所述通信网络30与用户终端10之间进行双向认证的方式，提高网络连接安全性。下面对图2所示的网络接入管控方法的具体流程和步骤进行详细阐述。

步骤s310，用户终端10在存储的所有ap20的密钥中查找被选定的目标ap20的目标密钥，当查找到时以所述目标密钥对网络接入请求及所述用户终端10的第一密钥进行加密得到第一加密文件，并将所述第一加密文件发送给所述目标ap20。

在本实施例中，所述用户终端10想要接入某个通信网络30时，需要在所述通信网络30下部署的至少一个ap20中选定一个ap20，作为该用户终端10的网络接入点，此时被选定的所述ap20即为该用户终端10针对该通信网络30的目标ap20。所述网络接入请求用于向对应ap20指示所述用户终端10想要接入访问所述ap20所对应的通信网络30。

在本实施例中，所述用户终端10中存储有该用户终端10能够建立网络通信的所有ap20各自对应的密钥，所述用户终端10通过在自身的数据存储区域中存储的所有ap20的密钥中查找被选定的目标ap20的目标密钥的方式，判断自身是否具有访问所述目标ap20所对应通信网络30的权限。当所述用户终端10查找到所述目标ap20的目标密钥时，表明就用户终端10来说其具有访问所述目标ap20所对应通信网络30的权限，此时所述用户终端10将以查找到的所述目标密钥对所述用户终端10生成的所述网络接入请求及自身对应的第一密钥进行加密，得到包括所述网络接入请求及所述第一密钥的第一加密文件，而后将所述第一加密文件发送给所述目标ap20。

步骤s320，所述目标ap20以自身对应的所述目标密钥对所述第一加密文件进行解密，得到所述网络接入请求及所述第一密钥。

在本实施例中，所述目标ap20在接收到来自任何一个用户终端10的第一加密文件后，会通过以自身对应的目标密钥对该第一加密文件进行解密的方式，对所述第一加密文件所对应的用户终端10是否具有访问该目标ap20所对应通信网络30的权限。当解密成功时，表明所述第一加密文件所对应的用户终端10确实具有该目标ap20的密钥，该用户终端10具有访问所述目标ap20所对应通信网络30的权限，此时所述目标ap20将从所述第一加密文件中得到对应的所述网络接入请求，及所述用户终端10的所述第一密钥。

步骤s330，所述目标ap20响应所述网络接入请求，生成与所述网络接入请求匹配的接入许可报文，并根据所述第一密钥、所述目标密钥及自身对应的密钥生成策略生成对应的许可密钥。

在本实施例中，同一通信网络30下部署的每个ap20各自对应的用于生成许可密钥的密钥生成策略，与其他ap20的密钥生成策略之间可以相同，也可以不同。当所述目标ap20从所述第一加密文件中得到所述网络接入请求及所述第一密钥时，所述目标ap20响应所述网络接入请求生成与所述网络接入请求匹配的用于许可所述用户终端10接入所述目标ap20所对应的通信网络30的接入许可报文，并在自身的数据存储区域中查找自身对应的密钥生成策略，而后通过所述密钥生成策略结合所述用户终端10的第一密钥及所述目标ap20自身对应的目标密钥生成对应的许可密钥。

步骤s340，所述目标ap20以生成的所述许可密钥对所述接入许可报文进行加密得到第二加密文件，并将所述第二加密文件发送给所述用户终端10。

在本实施例中，所述目标ap20将以所述许可密钥对所述接入许可报文加密得到的所述第二加密文件发送给所述用户终端10，以使所述用户终端10对所述第二加密文件进行解密，由所述用户终端10针对所述目标ap20认证该目标ap20所对应的通信网络30是否为所述用户终端10所想要接入的网络。

步骤s350，所述用户终端10在存储的各ap20对应的密钥生成策略中查找所述目标ap20对应的密钥生成策略，并在查找到时根据所述第一密钥、所述目标密钥及查找到的所述密钥生成策略生成第二密钥。

在本实施例中，所述用户终端10中存储各ap20对应的密钥生成策略。所述用户终端10在接收到来自所述目标ap20反馈的所述第二加密文件后，会在存储的所有ap20各自对应的密钥生成策略中查找所述目标ap20对应的密钥生成策略，并在查找到时根据所述第一密钥、所述目标密钥及查找到的所述密钥生成策略生成第二密钥，用以通过所述第二密钥对所述第二加密文件进行加密的方式，对所述目标ap20所对应的通信网络30是否为所述用户终端10所想要接入的网络进行认证。

步骤s360，所述用户终端10以所述第二密钥对接收到的所述第二加密文件进行解密，并在成功解密时基于所述第二加密文件中的所述接入许可报文接入访问所述目标ap20对应的通信网络30。

在本实施例中，当所述用户终端10以生成的所述第二密钥对接收到的所述第二加密文件进行解密并解密成功时，表明所述第二密钥与所述许可密钥相同，所述用户终端10处所查找到的密钥生成策略与所述目标ap20所对应的密钥生成策略是相同的，所述第二加密文件确实是来自所述目标ap20，且所述目标ap20所对应的通信网络30是所述用户终端10所想要接入的网络，此时所述用户终端10针对所述通信网络30的认证成功，所述用户终端10将从所述第二加密文件中得到所述接入许可报文，而后所述用户终端10将根据所述接入许可报文与所述目标ap20建立网络通信，从而通过所述目标ap20接入访问所述目标ap20所对应的通信网络30，完成在所述用户终端10与所述通信网络30之间的双向认证，提高了网络连接安全性。

请参照图3，是本申请实施例提供的第一种网络接入管控方法的流程示意图之二。在本申请实施例中，所述网络接入管控方法还包括步骤s308及步骤s309。

步骤s308，所述用户终端10对与所述通信网络30下的每个ap20之间的信号强度进行探测，并根据探测结果从所述通信网络30下的各ap20中选定所述目标ap20。

在本实施例中，所述用户终端10通过向所述通信网络30下的所有ap20广播发送信号探测报文，并接收来自各ap20的反馈报文的方式，对所述用户终端10与所述通信网络30下的每个ap20之间的信号强度进行探测，并得到对应的探测结果，以通过所述探测结果从所述通信网络30下的各ap20中选定目标ap20。在本实施例的一种实施方式中，所述用户终端10选取探测结果中最大信号强度所对应的ap20，作为所述用户终端10在所述通信网络30下的所述目标ap20。

步骤s309，所述用户终端10在选定所述目标ap20后生成与所述通信网络30对应的网络接入请求，并随机生成所述第一密钥。

在本实施例中，各ap20的密钥在设定好之后通常就不会发生变化，而用户终端10的第一密钥可由所述用户终端10根据需求随机产生。

请参照图4，是本申请实施例提供的第二种网络接入管控方法的流程示意图之一。在本申请实施例中，所述用户终端10中包括有第一网络接入管控装置100，所述第一网络接入管控装置100用于执行图4所示的网络接入管控方法，所述网络接入管控方法应用于所述用户终端10，用于对所述用户终端10接入通信网络30的接入状况进行管控。下面对图4所示的网络接入管控方法的具体流程和步骤进行详细阐述。

步骤s410，在存储的所有ap20的密钥中查找被选定的目标ap20的目标密钥，当查找到时以所述目标密钥对网络接入请求及所述用户终端10的第一密钥进行加密得到第一加密文件，并将所述第一加密文件发送给所述目标ap20，以使所述目标ap20根据所述第一加密文件反馈包括有接入许可报文的第二加密文件。

步骤s420，在存储的各ap20对应的密钥生成策略中查找所述目标ap20对应的密钥生成策略，并在查找到时根据所述第一密钥、所述目标密钥及查找到的所述密钥生成策略生成第二密钥。

步骤s430，以所述第二密钥对接收到的所述第二加密文件进行解密，并在成功解密时基于所述第二加密文件中的所述接入许可报文接入访问所述目标ap20对应的通信网络30。

在本实施例中，所述步骤s410、所述步骤s420及所述步骤s430各自的执行过程，分别参照上文中对所述步骤s310、所述步骤s350及所述步骤s360的详细描述，在此就不再赘述了。

请参照图5，是本申请实施例提供的第二种网络接入管控方法的流程示意图之二。在本申请实施例中，所述网络接入管控方法还包括步骤s408及步骤s409。

步骤s408，对与所述通信网络30下的每个ap20之间的信号强度进行探测，并根据探测结果从所述通信网络30下的各ap20中选定所述目标ap20。

步骤s409，在选定所述目标ap20后生成与所述通信网络30对应的网络接入请求，并随机生成所述第一密钥。

请参照图6，是本申请实施例提供的第三种网络接入管控方法的流程示意图。在本申请实施例中，部署在同一通信网络30下的每个ap20中均包括有第二网络接入管控装置200，所述第二网络接入管控装置200用于执行图6所示的网络接入管控方法，所述网络接入管控方法应用于部署在同一通信网络30下的每个ap20，用于对用户终端10接入所述通信网络30的接入状况进行管控。下面对图6所示的网络接入管控方法的具体流程和步骤进行详细阐述。

步骤s510，接收来自所述用户终端10的第一加密文件，并以自身对应的密钥对所述第一加密文件进行解密，得到网络接入请求及所述用户终端10的第一密钥。

步骤s520，响应所述网络接入请求，生成与所述网络接入请求匹配的接入许可报文，并根据所述第一密钥、所述自身对应的密钥及自身对应的密钥生成策略生成对应的许可密钥。

步骤s530，以生成的所述许可密钥对所述接入许可报文进行加密得到第二加密文件，并将所述第二加密文件发送给所述用户终端10，以使所述用户终端10对所述第二加密文件进行解密，并在成功解密时基于所述第二加密文件中的所述接入许可报文接入访问所述通信网络30。

在本实施例中，所述步骤s510、所述步骤s520及所述步骤s530各自的执行过程，分别参照上文中对所述步骤s320、所述步骤s330及所述步骤s340的详细描述，在此就不再赘述了。

请参照图7，是本申请实施例提供的图1中所示的第一网络接入管控装置100的方框示意图之一。在本申请实施例中，所述第一网络接入管控装置100包括查找加密模块110、密钥生成模块120及密钥解密模块130。

所述查找加密模块110，用于在存储的所有ap20的密钥中查找被选定的目标ap20的目标密钥，当查找到时以所述目标密钥对网络接入请求及所述用户终端10的第一密钥进行加密得到第一加密文件，并将所述第一加密文件发送给所述目标ap20，以使所述目标ap20根据所述第一加密文件反馈包括有接入许可报文的第二加密文件。

所述密钥生成模块120，用于在存储的各ap20对应的密钥生成策略中查找所述目标ap20对应的密钥生成策略，并在查找到时根据所述第一密钥、所述目标密钥及查找到的所述密钥生成策略生成第二密钥。

所述密钥解密模块130，用于以所述第二密钥对接收到的所述第二加密文件进行解密，并在成功解密时基于所述第二加密文件中的所述接入许可报文接入访问所述目标ap20对应的通信网络30。

请参照图8，是本申请实施例提供的图1中所示的第一网络接入管控装置100的方框示意图之二。在本申请实施例中，所述第一网络接入管控装置100还包括通信探测模块140及信息生成模块150。

所述通信探测模块140，用于对与所述通信网络30下的每个ap20之间的信号强度进行探测，并根据探测结果从所述通信网络30下的各ap20中选定所述目标ap20。

所述信息生成模块150，用于在选定所述目标ap20后生成与所述通信网络30对应的网络接入请求，并随机生成所述第一密钥。

请参照图9，是本申请实施例提供的图1中所示的第二网络接入管控装置200的方框示意图。在本申请实施例中，所述第二网络接入管控装置200包括文件解密模块210、响应生成模块220及加密发送模块230。

所述文件解密模块210，用于接收来自所述用户终端10的第一加密文件，并以自身对应的密钥对所述第一加密文件进行解密，得到网络接入请求及所述用户终端10的第一密钥。

所述响应生成模块220，用于响应所述网络接入请求，生成与所述网络接入请求匹配的接入许可报文，并根据所述第一密钥、所述自身对应的密钥及自身对应的密钥生成策略生成对应的许可密钥。

所述加密发送模块230，用于以生成的所述许可密钥对所述接入许可报文进行加密得到第二加密文件，并将所述第二加密文件发送给所述用户终端10，以使所述用户终端10对所述第二加密文件进行解密，并在成功解密时基于所述第二加密文件中的所述接入许可报文接入访问所述通信网络30。

综上所述，在本申请实施例提供的网络接入管控方法及装置中，所述网络接入管控方法能够在通信网络与用户终端之间进行双向认证，以提高整体的网络连接安全性。所述方法用于对用户终端接入通信网络的接入状况进行管控，其中所述通信网络下部署有至少一个ap。首先，所述用户终端在存储的所有ap的密钥中查找被选定的目标ap的目标密钥，当查找到时以所述目标密钥对网络接入请求及所述用户终端的第一密钥进行加密得到第一加密文件，并将所述第一加密文件发送给所述目标ap。其次，所述目标ap以自身对应的所述目标密钥对所述第一加密文件进行解密，得到所述网络接入请求及所述第一密钥。接着，所述目标ap响应所述网络接入请求，生成与所述网络接入请求匹配的接入许可报文，并根据所述第一密钥、所述目标密钥及自身对应的密钥生成策略生成对应的许可密钥。然后，所述目标ap以生成的所述许可密钥对所述接入许可报文进行加密得到第二加密文件，并将所述第二加密文件发送给所述用户终端。再然后，所述用户终端在存储的各ap对应的密钥生成策略中查找所述目标ap对应的密钥生成策略，并在查找到时根据所述第一密钥、所述目标密钥及查找到的所述密钥生成策略生成第二密钥。最后，所述用户终端以所述第二密钥对接收到的所述第二加密文件进行解密，并在成功解密时基于所述第二加密文件中的所述接入许可报文接入访问所述目标ap对应的通信网络，从而在通信网络与用户终端之间进行双向认证，并提高整体的网络连接安全性。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。