一种认证方法及其装置、设备和存储介质与流程

本申请涉及互联网技术领域，涉及但不限于一种认证方法及其装置、设备和存储介质。

背景技术：

随着通信技术以及智能终端的发展，人们的工作、生活以及娱乐也发生了翻天覆地的变化。人们几乎可以随时随地接入到无线网络中，处理工作实务，或者观看视频以放松娱乐。

当前终端连接wi-fi(wirelessfidelity，无线保真)热点时，往往需要通过密码进行校验登录，并在密码通过后即可连接网络。当前主流传统路由器采用的wep(wiredequivalentprivacy，有线等效保密)、wpa(wi-fiprotectedaccess，wi-fi网络保护访问)、wpa2等密码认证方法无法有效防止因密码被非授权分享而导致的蹭网行为。

当前部分智能路由器/商业路由器，通常采用防火墙技术和802.1x认证技术来防止非法蹭网。但利用防火墙技术来防止非法蹭网增加了终端接入互联网的流程复杂度；而利用802.1x认证技术来防止非法蹭网是从wpa、wpa2的单校验密码升级为同时校验用户名和密码，但是仍然无法避免终端使用的用户名和密码被非授权分享，密码有效期设置也仅仅是降低了风险，并未能有效解决非法蹭网问题。

技术实现要素：

有鉴于此，本申请实施例期望提供一种认证方法及其装置、设备和存储介质，解决了现有技术中不能有效防止非法蹭网的技术问题，通过在终端想要连接无线网络时，在认证阶段对终端的标识和待认证信息都进行相应的匹配和认证，不仅能够提高无线网络的安全性，还能够有效识别并防止蹭网

本申请实施例的技术方案是这样实现的：

本申请实施例提供一种认证方法，所述方法包括：接收待认证终端发送的用于连接无线网络的认证请求，所述认证请求中携带有待认证信息；基于第一对应关系表，对获取到的待认证终端的标识进行匹配，对所述待认证信息进行认证，所述第一对应关系表用于表征授权密码与终端标识之间的映射关系；

如果对待认证终端的标识匹配成功且对所述待认证信息认证通过，向所述待认证终端发送认证成功消息。

本申请实施例提供一种认证方法，所述方法包括：基于获取连接密码的操作指令，向服务器发送获取连接密码的请求消息，其中，所述请求消息中携带有路由器标识；基于接收到的响应消息，获取连接密码；根据所述连接密码、路由器标识、待认证终端的标识和ssid生成待认证信息；将携带有所述待认证信息的认证请求发送给所述无线网络对应的路由器。

本申请实施例提供一种认证装置，所述认证装置至少包括：第一接收模块、第一认证模块和第一发送模块，其中：所述第一接收模块，用于接收待认证终端发送的用于连接无线网络的认证请求，所述认证请求中携带有待认证信息；所述第一认证模块，用于基于第一对应关系表，对获取到的待认证终端的标识进行匹配，对所述待认证信息进行认证，所述第一对应关系表用于表征授权密码与终端标识之间的映射关系；所述第一发送模块，用于如果对待认证终端的标识匹配成功且对所述待认证信息认证通过，向所述待认证终端发送认证成功消息。

本申请实施例提供一种认证装置，所述认证装置至少包括：第二发送模块、第一获取模块、第一生成模块和第三发送模块，其中：所述第二发送模块，用于基于获取连接密码的操作指令，向服务器发送获取连接密码的请求消息，其中，所述请求消息中携带有路由器标识；所述第一获取模块，用于基于接收到的响应消息，获取连接密码；所述第一生成模块，用于根据所述连接密码、路由器标识、待认证终端的标识和ssid生成待认证信息；所述第三发送模块，用于将携带有所述待认证信息的认证请求发送给所述无线网络对应的路由器。

本申请实施例提供一种认证设备，所述认证设备至少包括：存储器、通信总线和处理器，其中：所述存储器，用于存储认证程序；所述通信总线，用于实现处理器和存储器之间的连接通信；所述处理器，用于执行存储器中存储的认证程序，以实现本申请实施例提供的认证方法中的步骤。

本申请实施例提供一种存储介质，所述存储介质上存储有认证程序，所述认证程序被处理器执行时实现如上所述的认证方法的步骤。

本申请实施例提供一种认证方法及其装置、设备和存储介质，其中，首先接收待认证终端发送的用于连接无线网络的认证请求，所述认证请求中携带有待认证信息；然后基于第一对应关系表，对获取到的待认证终端的标识进行匹配，对所述待认证信息进行认证，所述第一对应关系表用于表征授权密码与终端标识之间的映射关系；如果对待认证终端的标识匹配成功且对所述待认证信息认证通过，向所述待认证终端发送认证成功消息；如此，通过在终端想要连接无线网络时，在认证阶段对终端的标识和待认证信息都进行相应的匹配和认证，不仅能够提高无线网络的安全性，还能够有效识别并防止蹭网。

附图说明

图1a为当前终端连接wi-fi热点的网络拓扑图；

图1b为采用防火墙技术终端连接wi-fi热点的流程示意图；

图1c为802.1x认证技术的网络拓扑图；

图1d为wpa-psk的四步握手认证流程示意图；

图1e为路由器对校验终端发送的mic的处理流程示意图；

图2a为本申请实施例认证方法的应用场景示意图；

图2b为本申请实施例认证方法的又一应用场景示意图；

图3为本申请实施例认证方法的实现流程示意图；

图4为本申请实施例认证方法的又一实现流程示意图；

图5a为本申请实施例终端获取连接密码的界面示意图；

图5b为本申请实施例，终端获取到连接密码后自动添加的界面示意图；

图6为本申请实施例认证方法的再一实现流程示意图；

图7为本申请实施例authenticationframe中读取终端mac地址的示意图；

图8a为本申请实施例认证方法的再一实现流程示意图；

图8b本申请实施例云服务器为用户分配连接密码的实现流程示意图；

图8c为本申请实施例云服务器对终端mac和sa-mic进行校验的实现流程示意图；

图9为本申请实施例认证装置的组成结构示意图；

图10为本申请实施例认证设备的组成结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对发明的具体技术方案做进一步详细描述。以下实施例用于说明本申请，但不用来限制本申请的范围。

除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的，不是旨在限制本申请。

在以下的描述中，涉及到“一些实施例”，其描述了所有可能实施例的子集，但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集，并且可以在不冲突的情况下相互结合。

需要指出，本申请实施例所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序，以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。

对本申请实施例进行进一步详细说明之前，对本申请实施例相关技术中认证方法的实现流程，以及本申请实施例涉及的算法和术语进行说明。

sn(serialnumber，产品序列号)：一个设备具有唯一的sn号来标识其身份。

snonce：在wpa-psk(wi-fiprotectedaccess-presharedkey，wi-fi网络保护访问-预共享密钥)/wpa2-psk认证过程中，终端产生的用于生成ptk(pairwisetransientkey，校验密钥)的随机数。

anonce：在wpa-psk/wpa2-psk认证过程中，路由器产生的用于生成校验密钥ptk的随机数。

ap-mac(accesspoint-mediaaccesscontroladdress，访问接入点-媒体访问控制地址)：路由器(ap)的mac地址。

sta(station，终端)-mac：终端的mac地址。

sta-ptk：终端生成的ptk。

ap-ptk：路由器生成的ptk。

sta-mic(messageintegritycode，消息完整性代码)：终端生成的mic。

ap-mic：路由器生成的mic。

图1a为当前终端连接wi-fi热点的网络拓扑图，如图1a所示，终端101想要连接wi-fi热点时，需要向路由器102发起连接请求，而连接请求中包括连接密码，也就是说需要进行密码校验登录，在密码校验通过后即可连接wi-fi热点。而当前主流传统路由器采用的wep(wiredequivalentprivacy，有线等效保密)、wpa、wpa2等密码认证方法无法有效防止因密码被非授权分享而导致的蹭网行为。

当前部分智能路由器/商业路由器，通常采用防火墙技术和802.1x认证技术来防止非法蹭网。图1b为采用防火墙技术终端连接wi-fi热点的流程示意图，如图1b所示，该流程包括：

步骤s111，终端连接wi-fi热点。这里，终端在连接wi-fi热点时，终端和路由器使用的是传统密码分发、连接和校验方式，在该步骤中并不能防止密码被非授权分享。

步骤s112，终端获取防火墙授权。

步骤s113，终端访问互联网。

防火墙技术方案的核心思想是在wi-fi密码校验(“第一道门”)的后端，叠加一道“防火墙授权”(“第二道门”)的校验机制。其本质没有加强wi-fi密码校验(“第一道门”)的安全性，但是却增加了终端接入互联网的流程复杂度：为保证用户能正常上网，还需要设计用户请求授权、主人授权、设备授权等流程。

图1c为802.1x认证技术的网络拓扑图，如图1c所示，每个终端121使用用户名和密码通过路由器122接入wi-fi热点，同时使用云端radius服务进行鉴权。该方案的核心思想在于：增加了wi-fi接入的密码维度——从wpa、wpa2的单校验密码升级为同时校验用户名和密码；利用radius云端鉴权服务，可以控制用户名和密码的有效期，从而提高安全性。但该方案仍然无法避免终端使用的用户名和密码被非授权分享，密码有效期设置也仅仅是降低了风险，并未能有效解决非法蹭网问题。

为了更好地理解本申请实施例，这里对wi-fi认证基础流程进行相关说明。

wi-fi系列协议(802.11协议族)规定的终端连接wi-fi热点的认证方式有两种，wpa和wpa2，其中wpa-psk(共享密钥)和wpa2-psk是家庭和小型商业路由所常用的密码型认证协议，图1d为wpa-psk的四步握手认证流程示意图，如图1d所示，在路由器和终端开始四步握手认证前，会分别在本地使用pdkdf2_sha1函数按照公式(1-1)预先生成psk：

psk＝pmk＝pdkdf2_sha1(passphrase，ssid，ssid_length，4096)(1-1)；

其中，passphrase为连接wi-fi所需要的密码，ssid(servicesetidentifier，服务集标识)是终端和路由器进行空口传输时使用的服务集标识，ssid_length为ssid的长度。

步骤s130，终端和路由器生成psk。

步骤s131，路由器生成随机种子anonce，并发送给终端。

步骤s132，终端生成随机种子snonce，根据anonce、snonce、路由器mac、终端mac和psk计算得到ptk和eapol(eapoverlan，基于局域网的扩展认证协议)-keymic。

步骤s133，终端将snonce和mic发送给路由器。

步骤s134，路由器接收到snonce，同样计算得到ptk和eaplo-keymic，并和终端发送的mic进行匹配校验。

步骤s135，校验成功后，路由器发送该eaplo-keymic给终端。

步骤s136，终端再次校验路由器发送的eapol-keymic，校验通过后，终端安装步骤2中的ptk。

步骤s137，终端发送ack和snonce给路由器。

步骤s138，路由器接收到终端的确认消息，安装步骤3生成的ptk，完成整个校验过程。在标准的路由器中，对于产生psk以及之后路由器计算ptk和mic，校验终端发送的mic的处理流程如图1e所示，包括：

步骤s1341，路由器收到终端发送的snonce和sat-mic。

步骤s1342，路由器使用预先生成的psk等信息生成ptk。

步骤s1343，路由器通过ptk生成ap-mic。

步骤s1344，路由器根据ap-mic对sta-mic进行校验。

步骤s1345，路由器判断是否匹配成功。这里，如果匹配成功，进入步骤s1326；如果匹配不成功，进入步骤s1327。

步骤s1346，路由器返回认证成功，并进入步骤s133。

步骤s1347，路由器返回认证失败，并结束流程。

wpa2-psk方式的终端交互认证流程和wpa-psk一致，只是使用了更安全的ccmp(countercbc-macprotocol，计数器模式密码块链消息完整码协议)加密方法代替了tkip(temporalkeyintegrityprotocol，暂时密钥集成协议)，来生成ptk密钥。wi-fi认证的密钥在路由器本地存储。密钥必须在协议之外的线上或线下场景中，告知终端；然后终端使用该密钥进行登录。由于校验过程仅仅只匹配密钥，而密钥在线上线下传播过程中极易被终端操作系统、终端上的应用程序采集上报并非授权分享，路由器并不能区分这个提供了正确密钥的终端是否经过合法授权；所以会造成较大的安全隐患，容易造成wi-fi热点被蹭。

图2a为本申请实施例认证方法的应用场景示意图，如图2a所示，在该应用场景中，包括：终端201和路由器202，其中当终端201请求连接路由器202所在的无线网络时，会向路由器发送待认证信息，而路由器在对待认证信息认证时，还会对在第一次握手中获取到的终端mac进行认证，当终端mac和待认证信息都认证通过后，才能允许终端接入网络，这样就完成了对终端mac和密钥的双重认证，能够提高无线网络的安全性。

图2b为本申请实施例认证方法的又一应用场景示意图，如图2b所示，在该应用场景中，包括：终端211、路由器212和服务器213。其中，当终端211请求连接路由器212所在的无线网络时，会向路由器发送待认证信息，而路由器对将包括待认证信息、终端mac、路由器mac等信息都发送给服务器，由服务器对终端进行认证，同样地，当终端mac和待认证信息都认证通过后，才能允许终端接入网络，这样也就完成了对终端mac和密钥的双重认证，能够提高无线网络的安全性。

结合图2a和图2b所示的应用场景示意图，以下对认证方法及认证装置、设备的各实施例进行说明。

本申请实施例提供一种认证方法，图3为本申请实施例认证方法的实现流程示意图，如图3所示，所述方法包括以下步骤：

步骤s301，接收待认证终端发送的用于连接无线网络的认证请求。

这里，所述步骤s301可以是由认证设备实现的，其中，所述认证设备可以是路由器，所述待认证终端例如可以是移动电话(手机)、平板电脑、笔记本电脑等具有无线通信能力的移动终端，还可以是不便移动的具有计算功能的台式计算机、桌面电脑等。所述认证请求中携带有待认证信息，所述待认证信息可以是待认证终端在连接无线网络的认证阶段生成的sta-mic。

该步骤对应终端请求连接无线网络中四次握手的第二次握手过程。在其他实施例中，在该步骤之前，待认证终端会预先在本地生成psk，并在第一握手过程中，接收路由器发送的anonce，进而再根据自身随机生成的snonce、anonce、路由器mac、待认证终端mac和psk计算得到ptk和sta-mic。这里，sta-mic即为本申请实施例中的待认证信息。

步骤s302，基于第一对应关系表，对获取到的待认证终端的标识进行匹配，对所述待认证信息进行认证。

这里，步骤s302可以是由认证设备实现的，在该步骤中，认证设备可以是路由器，也可以是服务器。在本实施例中，服务器可以是指一台服务器，也可以是由多台服务器构成的服务器集群、云计算中心等等，在此不加以限定。

所述第一对应关系表用于表征授权密码与终端标识之间的映射关系。所述待认证终端的标识可以是待认证终端的mac地址。待认证终端的标识可以从标准802.11协议头部读取。如果该步骤为路由器实现的，那么在实际实现过程中，路由器首先将所述待认证终端的标识与所述第一对应关系表中的终端标识进行匹配；如果匹配成功，说明待认证终端的标识存在于第一对应关系表中，也即待认证终端为授权终端，此时，路由器再根据所述待认证终端的标识对应的授权密码对所述待认证信息进行认证，如果认证通过，说明所述待认证信息对应的密码是正确的，也即用户输入了正确的连接密码，此时进入步骤s303。

如果该步骤为服务器实现的，在该步骤之前，路由器在接收到认证请求之后，会将待认证信息、待认证终端的标识、路由器标识、ssid等信息发送给服务器，由服务器对待认证信息和待认证终端的标识进行认证。

由于服务器中会存储有多个路由器的第一对应关系表，那么在实际实现过程中，服务器在接收到路由器发送的消息之后，首先会确定路由器标识对应的第一关系表，然后基于第一对应关系表中的n个授权密码、路由器标识、终端标识和ssid，生成对应的n个ap-mic；再将基于n个ap-mic对所述待认证信息进行认证；如果认证通过，说明用户输入的密码是正确的，那么再进一步获取所述第一对应关系表中与目标授权密码对应的终端标识，其中，目标授权密码对应的第三验证信息与所述待认证信息匹配成功；最后根据所述终端标识，对所述待认证终端的标识进行匹配，如果匹配成功，说明该待认证终端为授权终端，且输入的密码正确，此时服务器会给路由器发送认证通过的通知消息，然后再进入步骤s303。

需要说明的是，在本实施例中，如果步骤s302是路由器实现的，在进行认证时，是先对待认证终端的标识进行匹配，如果匹配成功再对待认证信息进行认证；如果步骤s302是由服务器实现的，在进行认证时，是先对待认证信息进行认证，然后再对待认证终端的标识进行匹配。在其他实施例中，如果步骤s302是由路由器实现的，也可以是是先对待认证信息进行认证，然后再对待认证终端的标识进行匹配；如果步骤s302是由服务器实现的，也可以是先对待认证终端的标识进行匹配，如果匹配成功再对待认证信息进行认证。

步骤s303，如果对待认证终端的标识匹配成功且对所述待认证信息认证通过，向所述待认证终端发送认证成功消息。

这里，步骤s303可以是由认证设备实现的，在该步骤中，认证设备为路由器。在实际实现过程中，所述认证成功消息中，还携带有路由器的ap-mic。

在其他实施例中，待认证终端在接收到认证成功消息后，会根据自身的sta-mic对ap-mic进行校验，如果校验通过，则待认证终端安装在第一次握手过程中生成的ptk，以对传输给路由器的数据进行加密。并且，待认证终端在对ap-mic校验通过后，会给路由器发送一确认消息，而路由器在接收到该确认消息之后，也会安装自身生成的ptk，以对传输给待认证终端的数据进行加密。

在本申请实施例提供的认证方法中，通过在终端想要连接无线网络时，在认证阶段对终端的标识和待认证信息都进行相应的匹配和认证，不仅能够提高无线网络的安全性，还能够有效识别并防止蹭网。

本申请实施例再提供一种认证方法，应用于至少由待认证终端、路由器和管理设备组成的认证系统，图4为本申请实施例认证方法的又一实现流程示意图，如图4所示，所述方法包括以下步骤：

步骤s401，待认证终端按照预设算法预先生成第三共享密钥。

这里，步骤s401在实现时，可以是根据公式(1-1)来生成第三共享密钥。第三共享密钥，即为其他实施例终端sta-psk。

步骤s402，待认证终端接收路由器广播的第一消息。

这里，第一消息中携带有路由器生成的随机种子anonce，以及路由器标识。待认证终端接收到第一消息后，会根据anonce、snonce、路由器标识、待认证终端的标识计算生成第三传输密钥，也就是sta-ptk，以及sta-mic，也就是待认证信息。在本实施例中，路由器标识可以为路由器mac，待认证终端的标识可以为待认证终端mac。

步骤s403，待认证终端向路由器发送连接无线网络的认证请求。

这里，所述认证请求中至少包括待认证终端的标识和待认证信息。在其他实施例中，所述认证请求中还携带有snonce。

步骤s404，路由器基于接收到的认证请求，将所述待认证终端的标识与第一对应关系表中的终端标识进行匹配。

这里，第一对应关系表用于表征授权密码与终端标识之间的映射关系。将待认证终端的标识与第一对应关系表中的终端标识进行匹配，以确定待认证终端的标识是否存在于第一关系表中。

步骤s405，路由器判断是否匹配成功。

这里，如果匹配成功，说明待认证终端的标识存在于第一关系表中，也就表明待认证终端为授权过的终端。此时进入步骤s406；如果匹配失败，说明待认证终端的标识不存在于第一关系表中，也就表明待认证终端为未授权过的终端，此时进入步骤s414。

步骤s406，路由器根据所述待认证终端的标识对应的授权密码对所述待认证信息进行认证。

这里，在实际实现过程中，步骤s406可以通过以下步骤实现：

步骤s4061，根据所述授权密码和ssid生成第一共享密钥；

这里，步骤s4061在实现时可以是通过公式(1-1)来生成第一共享密钥。

步骤s4062，根据路由器标识、待认证终端的标识和第一共享密钥生成第一传输密钥。

步骤s4063，根据第一传输密钥生成第一验证信息。这里，第一验证信息可以是根据第一传输密钥ptk1生成的ap-mic1。

步骤s4064，根据第一验证信息对所述待认证信息进行认证。这里，步骤s4064在实现时，可以是根据ap-mic1对待认证信息sta-mic进行认证。

步骤s407，路由器判断待认证信息是否认证通过。

这里，判断待认证信息是否认证通过在实现时，可以是判断ap-mic1与sta-mic是否匹配成功，如果两者匹配成功，则认为待认证信息认证通过，也表明用户输入的密码是正确的，此时进入步骤s408；如果两者匹配不成功，则认为待认证信息认证不通过，也表明用户输入的密码是错误的，此时进入步骤s409。

步骤s408，路由器向所述待认证终端发送认证成功消息。

这里，在其他实施例中，待认证终端在接收到认证成功消息后，会根据自身的sta-mic对ap-mic进行校验，如果校验通过，则待认证终端安装在第一次握手过程中生成的ptk，以对传输给路由器的数据进行加密。并且，待认证终端在对ap-mic校验通过后，会给路由器发送一确认消息，而路由器在接收到该确认消息之后，也会安装自身生成的ptk，以对传输给待认证终端的数据进行加密。

步骤s409，路由器向所述待认证终端发送认证失败消息。

步骤s410，路由器向管理设备发送更新授权密码的第一请求消息。

这里，所述第一请求消息中携带有所述待认证终端的标识，以用于通知管理设备，该待认证终端是授权终端，但是由于输入密码错误，需要更新授权密码。

在其他实施例中，在步骤409之后，还可以是提示用户再次输入连接密码，并在用户输入错误，也即待认证信息认证不通过的次数达到一定阈值时，再进入步骤s410，向管理设备发送更新授权密码的第一请求消息。

步骤s411，路由器接收所述管理设备发送的第一响应消息。

这里，第一响应消息中携带有更新密码。

步骤s412，路由器基于所述更新密码和所述待认证终端的标识，对所述第一对应关系表进行更新。

这里，路由器将第一对应关系表中，待认证终端的标识对应的授权密码替换为更新密码。

步骤s413，路由器将所述更新密码发送给所述待认证终端。

这里，在更新第一对应关系表后，路由器会将更新密码发送给待认证终端，以通知待认证终端在连接该无线网络时，使用该更新密码。

步骤s414，路由器生成预设密码对应的第二验证信息。

这里，步骤s414在实现时，可以是首先根据预设密码和ssid生成第二共享密钥；然后根据路由器标识、待认证终端的标识和第二共享密钥生成第二传输密钥；最后根据第二传输密钥生成第二验证信息。

步骤s415，路由器根据第二验证信息对所述待认证信息进行认证。

步骤s416，路由器判断是否认证通过。

这里，如果认证通过，说明用户输入的密码为预设密码，此时进入步骤s417；如果认证不通过，说明用户输入的密码不为预设密码，则进入步骤s418。

步骤s417，路由器向管理设备发送携带所述待认证终端的标识的通知消息，以通知所述管理设备密码被非法分享。

这里，在其他实施例中，在向管理设备发送了密码被非法分享的通知消息后，还会判断是否接收到管理设备发送的指示授权消息，如果接收到指示授权消息，将所述终端标识和预设密码存储至所述第一对应关系表；如果没有接收到指示授权消息，则不将所述终端标识和预设密码存储至所述第一对应关系表。

步骤s418，路由器向所述待认证终端发送认证失败消息。

在本实施例提供的认证方法中，首先待认证终端按照预设算法预先生成第三共享密钥，并且在接收路由器广播的第一消息后，向路由器发送连接无线网络的认证请求；路由器基于接收到的认证请求，将所述待认证终端的标识与所述第一对应关系表中的终端标识进行匹配；如果匹配成功再根据所述待认证终端的标识对应的授权密码对所述待认证信息进行认证；如果认证通过路由器向所述待认证终端发送认证成功消息，这样，在终端想要连接无线网络时，能够在认证阶段对终端的标识和待认证信息都进行相应的匹配和认证，进而提高无线网络的安全性，有效防止蹭网。

如果待认证终端的标识匹配成功，但待认证消息匹配失败，说明待认证终端为授权终端，但是用户输入的密码是错误的，那么路由器向所述待认证终端发送认证失败消息，并向管理设备发送更新授权密码的第一请求消息，在接收到管理设备发送的第一响应消息后，基于更新密码和所述待认证终端的标识，对所述第一对应关系表进行更新；并将所述更新密码发送给所述待认证终端，这样能够保证授权过的终端能够及时更新连接密码，以能够连接无线网络。

如果对待认证终端的标识匹配失败，说明待认证终端为非授权终端，此时路由器向所述待认证终端发送认证失败消息，并生成预设密码对应的第二验证信息，进而根据第二验证信息对所述待认证信息进行认证，如果根据第二验证信息对所述待认证信息认证通过，向管理设备发送携带所述待认证终端的标识的通知消息，以通知所述管理设备密码被非法分享，这样就能够及时通知管理设备连接密码被非法分享，而管理人员可以根据自身的需求或者根据待认证终端的标识来确定是否更换密码，或者是否为待认证终端进行授权，从而提高无线网络的安全性。

本申请实施例再提供一种认证方法，应用于至少由待认证终端、路由器和云服务器组成的认证系统。所述方法包括：

步骤51，待认证终端基于用户获取连接密码的操作指令，向服务器发送获取连接密码的请求消息。

这里，在实际应用过程中，待认证终端中可以安装有连接无线网络的应用程序，如图5a所示，当该应用程序运行过程中，会在待认证终端的显示界面上显示各个可连接的无线网络的名称，以及信号强度，用户可以根据实际情况去获取一个可连接的无线网络的连接密码，或者直接请求连接一个无线网络。

在本实施例中，获取连接密码的操作指令，可以是用户点击了目标无线网络对应的获取连接密码所在屏幕区域501触发的，还可以是发出连接目标无线网络的用户名的语音触发的，在接收到该操作指令后，待认证终端向服务器发送获取连接密码的请求消息。所述请求消息中携带有请求连接的无线网络对应的路由器标识和用户标识。在本实施例中，用户标识可以是登录该应用程序的用户名，还可以是根据用户名生成的一个标识信息。

需要说明的是，如果用户不是第一次连接某一无线网络，也就是用户已经获取过连接密码，那么待认证终端会将连接密码存储在本地，那么在打开无线连接小程序时，该无线网络直接显示的是推荐连接按钮控件。如图5a所示，名称为“w2”的无线网络用户之前已经获取过连接密码，此时显示的是推荐连接按钮控件502。

在本实施例中，小程序是可以运行在已安装的应用程序中的网页程序，也就是说，小程序是一种不用下载就能使用的应用程序。

步骤52，服务器基于接收到的请求消息，确定所述路由器标识对应的第二对应关系表。

这里，服务器中存储有多个路由器对应的第二对应关系表，因此服务器在接收到请求消息后，会根据路由器标识确定对应的第二对应关系表。

步骤53，服务器基于所述第二对应关系表，判断是否存在与所述用户标识对应的连接密码。

这里，如果存在与用户标识对应的连接密码，说明该用户标识不是第一次请求连接该无线网络，此时进入步骤54；如果不存在与用户标识对应的连接密码，说明该用户标识是第一次请求连接该无线网络，此时进入步骤55。

步骤54，服务器将携带有所述连接密码的响应消息发送给所述待认证终端。

步骤55，服务器按照预设算法，生成新连接密码。

步骤56，服务器将所述新连接密码发送给所述待认证终端。

步骤57，服务器将所述新连接密码和所述用户标识增加到所述第二对应关系表中。

步骤58，待认证终端基于接收到的连接密码，按照预设算法预先生成第四共享密钥。

这里，终端在接收到连接密码后，会将该连接密码自动填充为无线网络的连接密码，并如图5b所示，当终端获取并填充了该无线网络的连接密码后，会将该无线网络显示为推荐连接的网络，此时获取密码的连接控件会变更为推荐连接的按钮控件511，当在推荐连接的按钮控件511所在的屏幕区域检测到触控或点击操作时，待认证终端会向路由器发送连接无线网络的认证请求。

步骤58在实现时，可以是根据公式(1-1)来生成第四共享密钥。第四共享密钥，即为其他实施例终端的sta-psk。

步骤59，待认证终端接收路由器广播的第一消息。

这里，第一消息中携带有路由器生成的随机种子anonce，以及路由器标识。

步骤60，待认证终端向路由器发送连接无线网络的认证请求。

这里，步骤60在实现时，待认证终端接收到第一消息后，根据所述连接密码、路由器标识、待认证终端的标识和ssid生成待认证信息，然后再将携带有所述待认证信息和自身标识的认证请求发送给所述无线网络对应的路由器。根据所述连接密码、路由器标识、待认证终端的标识和ssid生成待认证信息实现时，首先根据连接密码，按照预设算法预先生成第四共享密钥，然后再根据anonce、snonce、路由器标识、待认证终端的标识、第四共享密钥计算生成第四传输密钥，也就是sta-ptk，以及sta-mic，也就是本实施例中的待认证信息。

在其他实施例中，所述认证请求中还携带有snonce。

步骤61，路由器在接收到认证请求后，将待认证信息、待认证终端的标识、路由器标识、ssid等信息发送给服务器。

步骤62，服务器基于路由器标识，确定第一对应关系表。

步骤63，服务器基于第一对应关系表中的n个授权密码、路由器标识、终端标识和ssid，生成对应的n个第三验证信息。

这里，步骤63在实现时，服务器首先根据n个授权密码和ssid生成n个共享密钥；然后再根据路由器标识、待认证终端的标识和n个共享密钥生成n个传输密钥；进而根据n个传输密钥生成n个第三验证信息，其中，n为大于0的整数。

步骤64，服务器将所述待认证信息与所述n个第三验证信息进行认证。

步骤65，服务器判断是否认证通过。

这里，如果所述待认证信息认证通过，说明n个第三验证信息中存在与待认证信息相同或者相匹配的第三验证信息，此时进入步骤66；如果待认证信息认证不通过，说明n个第三验证信息中不存在与待认证信息相同或者相匹配的第三验证信息，此时进入步骤72。

步骤66，服务器判断所述第一对应关系表中是否存在与目标授权密码对应的终端标识。

这里，目标授权密码对应的第三验证信息与所述待认证信息匹配成功。如果第一对应关系表中存在与目标授权密码对应的终端标识，进入步骤67；如果第一对应关系表中不存在与目标授权密码对应的终端标识，说明用户可能换了一个终端登录了应用程序，也即是在一个没有授权的新终端上首次连接该无线网络，此时进入步骤69。

步骤67，服务器根据所述终端标识，对所述待认证终端的标识进行匹配。

步骤68，服务器判断是否匹配成功。

这里，如果待认证终端的标识匹配成功，说明待认证终端为授权终端，此时进入步骤70；如果待认证终端的标识匹配失败，说明连接密码被非法分享，此时进入步骤72。

步骤69，服务器将所述待认证终端的标识确定为所述第一对应关系表中与所述目标授权密码对应的终端标识。

步骤70，服务器向路由器发送认证通过的通知消息。

步骤71，路由器向待认证终端发送认证成功消息。

步骤72，服务器向路由器发送认证未通过的通知消息。

这里，服务器在向路由器发送认证未通过的通知消息时，还可以携带有认证未通过原因，或者认证未通过原因对应的错误码，例如，当是由步骤65，进入到步骤72时，通知消息中可以携带有错误码-1，当是由步骤68进入到步骤72时，通知消息中可以携带有错误码-2。

在其他实施例中，当是有步骤68进入到步骤72时，在步骤72之后，服务器还可以向管理设备发送携带所述待认证终端的标识的通知消息，以通知所述管理设备密码被非法分享。在向管理设备发送了密码被非法分享的通知消息后，服务器还会判断是否接收到管理设备发送的指示授权消息，如果接收到指示授权消息，将所述终端标识和预设密码存储至所述第一对应关系表；如果没有接收到指示授权消息，则不将所述终端标识和预设密码存储至所述第一对应关系表。

步骤73，路由器向待认证终端发送认证失败消息。

在本实施例提供的认证方法中，在待认证终端想要连接无线网络时，需要向服务器获取连接密码，并且待认证终端的连接密码是跟登录应用程序所用的用户标识是具有对应关系的，也就是说为不同的用户标识分配有不同的连接密码，这样即便经过授权的终端将连接密码分享给其他用户之后，也会在验证节点由于终端标识不能匹配而不能通过认证，从而能够提高无线网络的安全性，有效防止蹭网。

在待认证终端接收到服务器发送的连接密码后，基于该连接密码生成待认证信息，并将携带有待认证终端的标识和认证信息的认证请求发送给路由器，而路由器再将相关信息发送给服务器，由服务器对待认证信息和待认证终端的标识进行认证，相当于是对待认证终端进行密钥和mac地址对的双因子匹配校验。不仅实现了终端信息和wi-fi密钥的一对一绑定，并且通过终端mac地址匹配确定该终端已被授权，通过密钥校验确认用户获得正确的密钥，进一步保证了无线网络的完全性。另外由于对待认证信息和待认证终端的标识的认证，是在连接阶段，终端在未被授权时连接无线网络，会由标准协议返回密码认证失败，这样可以保证终端用户能够快速感知认证失败，甚至自动切换到其他无线网络。

本申请实施例提供一种认证方法，图6为本申请实施例认证方法的再一实现流程示意图，如图6所示，所述方法包括：

步骤s601，终端预先在本地生成psk。

步骤s602，路由器发送anonce给终端。

步骤s603，终端计算ptk和mic。这里，mic可以为上述的待认证信息。

步骤s604，终端发送snonce、mic给路由器。

步骤s605，路由器对mic和获取到的终端mac进行校验。

步骤s606，如果校验通过，路由器发送eaplo-keymic给终端。这里，如果mic和终端mac都校验通过，路由器才发送eaplo-keymic给终端。

步骤s607，终端校验该eaplo-keymic，如果校验通过，安装ptk。

步骤s608，终端发送ack和snonce给路由器。

步骤s609，路由器接收到ack后，安装ptk。

如图6所示，在本实施例中，步骤s605可以通过以下步骤实现：

步骤s6051，路由器获取终端mac。

这里，图7为本申请实施例authenticationframe中读取终端mac地址的示意图，在本申请实施例中，在第一步握手时，路由器可以从标准802.11协议头部701获取到终端mac。

步骤s6052，路由器将终端mac与本地存储的mac-密钥库进行匹配。

这里，需要说明的是在本实施例中mac-密钥库中存储的是mac地址和连接密码的对应关系。

步骤s6053，路由器判断是否匹配成功。

这里，如果终端mac匹配成功，说明该终端为授权终端，则进入步骤s6054，进一步判断用户输入的连接密码是否正确；如果终端mac匹配失败，则进入步骤s60510。

步骤s6054，路由器获取与终端mac对应的密钥，生成psk。

步骤s6055，路由器接收终端发送的snonce和mic。

步骤s6056，路由器使用psk等信息生成ptk，并生成mic。

步骤s6057，路由器判断终端发送的mic是否匹配成功。

这里，如果终端发送的mic匹配成功，说明用户输入的连接密码也是正确的，此时进入步骤s6058；如果终端发送的mic匹配失败，说明用户输入的连接密码不正确，但由于该终端是授权终端，可能是因为用户遗忘了正确的密码，此时进入步骤s6059，通知热点主更新密钥。

步骤s6058，路由器给终端返回认证成功。

步骤s6059，路由器通知热点主更新密钥。

步骤s60510，路由器使用默认密钥生成psk。

步骤s60511，路由器接收终端发送的snonce和mic。

步骤s60512，路由器使用步骤s60510得到的psk等信息生成ptk，并生成mic。

步骤s60513，路由器判断终端发送的mic是否匹配成功。

这里，如果终端发送的mic匹配成功，说明用户输入的是正确的密码，由于终端为未授权终端，那么也就表明默认密钥可能被非法分享，此时进入步骤s60514；如果终端发送的mic匹配失败，说明用户输入的是不正确的密码，此时进入步骤s60515。

步骤s60514，路由器提示热点主，默认密钥可能被非法分享。

步骤s60515，路由器返回认证失败。

在本实施例提供的认证方法中，路由器将终端mac和本地密钥mac库进行匹配，实现对终端mac的校验，如果没有匹配到mac对应密钥，则认为该终端是未授权终端，使用默认密钥生成psk，并在第二步握手校验时使用该psk生成ptk，进行mic校验：如校验成功，则表示默认密钥可能被该未授权设备非法使用，或有新增使用默认密钥的设备，需要提示热点主修改默认密码，或授权新增设备。此次校验返回认证失败。如校验失败，则表示为非法蹭网设备，返回认证失败。

如果匹配到该mac对应的密钥，则使用该密钥生成psk，并在第二步握手时，路由器对本地生成的mic和终端发送的mic进行匹配校验，实现对终端的密钥进行间接校验：如校验成功，则说明该终端为授权设备，且授权信息有效。对已授权的终端，先进行mac匹配校验，再间接进行密钥匹配校验，实现密钥和mac地址对的双因子匹配校验。从而实现了终端信息和wi-fi密钥的一对一绑定：通过终端mac地址匹配确定该终端已被授权，通过密钥校验确认用户获得正确的密钥。并返回认证成功。如匹配失败，说明该终端此前曾被授权，但是授权信息失效，或输入了错误的密钥。此时需要提醒热点主改设备授权信息错误，需要更新授权密钥信息，且本次返回认证失败。

在利用本申请实施例提供的认证方法对请求连接的终端进行认证时，如果wi-fi热点密钥被非授权分享到其他终端上，由于该终端mac地址此前未在路由器上授权入库，在wi-fi连接认证过程中即会被路由器后台识别出来，并默认阻止其认证联网。由于mac地址的授权入库在路由器后台实现，非授权终端无法得知该密钥所绑定的终端mac地址是多少，也就无法实现伪造。这在wi-fi连接认证阶段就提高了wi-fi热点的安全性，可以有效识别并防止wi-fi热点被蹭，保护了热点主人的权益。

并且，本申请实施例所提供的wi-fi接入认证过程全在wi-fi连接阶段，终端在未被授权时连接热点，会由标准协议返回密码认证失败。终端用户可以快速感知甚至自动切换到其他wi-fi热点或4g网络。而防火墙技术方案在这种情况下，通常用户是无法有效快速感知到未授权上网：因为此时终端已处于wi-fi已认证通过已连接状态。防火墙技术方案对此问题的补救方案通常是截获http请求，进行portal页面弹出提示。但其他类型的请求，如https/ftp不能被有效拦截并获得提示。且不同终端对portal页面弹出存在兼容性问题，体验糟糕。

本申请实施例提供一种认证方法，在用户的首次连接无线网络时需要以小程序为媒介，来获取云端分配的一对一密钥，首次使用小程序连接成功后，用户可以在系统页里面使用预存的密码直接连接。图8a为本申请实施例认证方法的再一实现流程示意图，如图8a所示，所述方法包括：

步骤s801，小程序拉取系统wi-fi列表，并发送给云服务器识别其中的可控热点。

步骤s802，云服务器识别到可控热点后，定位到该可控热点对应的密码库，判断该密码库中是否有该用户分配过的rk(randomkey，随机密码)。

这里，密码库中如果有该用户分配过的rk，则下发对应的密码，如果没有，则生成一个新密码，下发到小程序，并新增一条用户标识(identification，id)-rk到匹配库中。

这里，用户id可以是用户在注册小程序时使用的账号，并且不同用户需要对应不同的用户id。当然，用户id还可以是根据用户账号生成的与用户一一对应的标识信息。

步骤s803，小程序获取到识别结果和rk后，缓存到本地，显示该热点为推荐连接热点。

步骤s804，用户点击热点进行连接，小程序自动填充rk为路由器密码发送给终端，进行连接认证。

步骤s805，终端根据路由器密码生成psk。

步骤s806，路由器生成随机种子anonce，并发送给终端。

步骤s807，终端生成随机种子snonce，根据anonce、snonce、路由器mac(ap-mac)、终端mac(sta-mac)和psk计算得到终端ptk(sta-ptk)和终端mic(sta-mic)。

步骤s808，终端将sn和sta-mic发送给路由器进行认证。

步骤s809，路由器将anonce、snonce、ap-mac、sta-mac、sta-mic和ssid发送给云服务器。

步骤s810，云服务器根据ap-mac定位到该热点的密码库，依次遍历库中密码，生成对应psk、ap-ptk和ap-mic，与sta-mic进行校验。

这里，若校验成功，说明该条ap-mic对应的密码与终端输入的密码匹配，发送该ap-ptk和ap-mic给路由器，携带错误码0，并将sta-mac加入到该条密码信息中，形成sta-mac—用户id—rk的绑定密码信息；如果没有密码校验成功，则说明该终端输入密码并未在库中，返回错误码-1。

步骤s811，路由器接收云服务器的校验结果。

这里，校验结果中至少包括错误码、ap-ptk和ap-mic。

步骤s812，若错误码非0，路由器直接返回认证失败；若错误码为0，则路由器发送ap-mic发送给终端进行认证。

步骤s813，终端对ap-mic进行校验，若校验成功，则安装sta-ptk。

步骤s814，终端返回ack给路由器。

步骤s815，路由器接收到终端发送的ack后，安装ap-ptk。

步骤s816，终端返回认证结果给小程序。

在本实施例中，终端mac地址可从标准802.11协议头部读取。

在本实施例中，如图8b所示，步骤s802可以通过以下步骤实现：

步骤s8021，云服务器获取用户的用户id、路由器mac和ssid等信息。

步骤s8022，云服务器判断用户id是否在该路由器密码库中。

这里，如果用户id在该路由器的密码库中，进入步骤s8023；如果用户id不在该路由器的密码库中，进入步骤s8024。

步骤s8023，云服务器给终端返回该用户id对应的密码rk。

步骤s8024，云服务器生成并返回密码rk，添加一条用户id到rk的对应关系用户id-rk到密码库中。

在使用小程序完成初次连接时，首先由小程序端从云服务器端获取用于该可控热点的一个密钥rk，在用户首次连接该热点时，rk是随机生成的，并会在云端数据库该热点的密码库中，形成一条用户id-rk的密码匹配条目，作为分配该该用户的专属密码，在以后的连接中自动分发给用户。

在步骤s809和步骤s810中，路由器接收到终端发送的sta-mic和snonce后，此时也获取了所有用于生成ptk的要素，在本实施例中，路由器将所有生成psk和ptk的要素(sn，an，sta-mac，ap-mac，ssid)和终端认证信息sta-mic发送给云服务器，由云服务器进行认证。如图8c所示，步骤s810可以通过以下步骤实现：

步骤s8101，云服务器获取sta-mic等信息。

步骤s8102，云服务器根据ap-mac定位到该路由器的密码库，并遍历所有库中的密码，生成对应的psk、ap-ptk和ap-mic，并将ap-mic和sta-mic进行对比。

步骤s8103，云服务器判断是否有ap-mic与sta-mic匹配成功。

这里，如果有ap-mic与sta-mic匹配成功，说明该密码与用户输入的密码相同，此时进入步骤s8104；如果没有ap-mic与sta-mic匹配成功密码与用户输入的密码错误，此时进入步骤s81010。

步骤s8104，终端输入的密码在库中，云服务器对终端mac进行匹配。

步骤s8105，云服务器判断该密码条目中的mac是否为空。

这里，如果该密码条目中的mac为空，进入步骤s8106；如果该密码条目中的mac不为空，进入步骤s8108。

步骤s8106，如果该密码条目mac为空，则表明该设备是通过小程序连接的新进设备，添加sta-mac到该条记录中。

步骤s8107，该终端的授权信息有效，云端校验成功，返回对应ap-ptk和ap-mic，以及错误码0。

路由器在接收到云服务器发送的校验成功消息后，会发送该ap-mic给终端进行后续校验，并在本地校验成功后安装ap-ptk用于后续加密传输。

步骤s8108，如果该密码条目中的mac不为空，则云服务器将该密码条目中的mac与sta-mac进行匹配，判断是否匹配。

这里，如果该密码条目中的mac与sta-mac一致，则说明终端是有效的授权设备，云端校验成功，进入步骤s8107，返回对应ap-ptk和ap-mic，以及错误码0，用于后续认证和密钥安装。

步骤s8109，如果该密码条目中的mac与sta-mac不一致，则该密码可能被别的终端非法分享，返回错误码-2。路由器返回认证失败。

步骤s81010，如果匹配失败，则说明用户输入的密码不在云端库中。

步骤s81011，该终端的授权信息无效，云端校验失败。云服务器返回错误码-1，路由器发送认证失败给终端。

通过以上流程，实现对已授权的终端，进行密钥和mac地址对的双因子匹配校验。从而实现了终端信息和wi-fi密钥的一对一绑定：通过终端mac地址匹配确定该终端已被授权，通过密钥校验确认用户获得正确的密钥。

利用本申请实施例提供的认证方法，如果wi-fi热点密钥被非授权分享到其他终端上，由于该终端mac地址此前未在云端上授权入库，在wi-fi连接认证过程中即会被云端识别出来，并默认阻止其认证联网。由于mac地址的授权入库在云端后台实现，非授权终端无法得知该密钥所绑定的终端mac地址是多少，也就无法实现伪造。这在wi-fi连接认证阶段就提高了wi-fi热点的安全性，可以有效识别并防止wi-fi热点被蹭，保护了热点主人的权益。

并且通过小程序连接热点的方案，为新进用户自动的分配一个外部不可见的、与用户id和终端mac绑定的密钥，由于整个分配密钥的流程是在小程序中完成，无需用户记忆复杂繁多的密码，大大提高了用户的体验。分配的过程完全在小程序中实现，传输过程完全加密。密码保存在云端库中，且认证的过程中也不会传递密钥，而是加密结果ptk和mic，降低了密码在传输过程中被非法获取的几率。

本申请实施例提供的认证过程全在wi-fi连接阶段，终端在未被授权时连接热点，会由标准协议返回密码认证失败。终端用户可以快速感知认证失败，甚至自动切换到其他wi-fi热点或4g网络。

而防火墙技术方案在这种情况下，通常用户是无法有效快速感知到未授权上网：因为此时终端已处于wi-fi已认证通过已连接状态。防火墙技术方案对此问题的补救方案通常是截获http请求，进行portal页面弹出提示。但其他类型的请求，如https/ftp不能被有效拦截并获得提示。且不同终端对portal页面弹出存在兼容性问题，体验糟糕。

基于前述的实施例，本申请实施例提供一种认证装置，该装置包括所包括的各单元、以及各单元所包括的各模块，可以通过认证设备中的处理器来实现；当然也可通过具体的逻辑电路实现；在实施的过程中，处理器可以为中央处理器(cpu)、微处理器(mpu)、数字信号处理器(dsp)或现场可编程门阵列(fpga)等。

图9为本申请实施例认证装置的组成结构示意图，如图9所示，所述装置900包括：第一接收模块901、第一认证模块902和第一发送模块903，其中：

所述第一接收模块901，用于接收待认证终端发送的用于连接无线网络的认证请求，所述认证请求中携带有待认证信息；

所述第一认证模块902，用于基于第一对应关系表，对获取到的待认证终端的标识进行匹配，对所述待认证信息进行认证，所述第一对应关系表用于表征授权密码与终端标识之间的映射关系；

所述第一发送模块903，用于如果对待认证终端的标识匹配成功且对所述待认证信息认证通过，向所述待认证终端发送认证成功消息。

在其他实施例中，所述第一认证模块902包括：第一匹配单元，用于将所述待认证终端的标识与所述第一对应关系表中的终端标识进行匹配；第一认证单元，用于如果匹配成功，根据所述待认证终端的标识对应的授权密码对所述待认证信息进行认证。

在其他实施例中，所述第一认证单元，包括：第一生成子单元，用于根据所述授权密码和ssid生成第一共享密钥；第二生成子单元，用于根据路由器标识、待认证终端的标识和第一共享密钥生成第一传输密钥；第三生成子单元，用于根据第一传输密钥生成第一验证信息；第一认证子单元，用于根据第一验证信息对所述待认证信息进行认证。

在其他实施例中，所述装置还包括：第四发送模块，用于如果对待认证终端的标识匹配成功且对所述待认证信息认证不通过，向所述待认证终端发送认证失败消息；第五发送模块，用于向管理设备发送更新授权密码的第一请求消息，其中，所述第一请求消息中携带有所述待认证终端的标识。

在其他实施例中，所述装置还包括：第二接收模块，用于接收所述管理设备发送的第一响应消息，所述第一响应消息中携带有更新密码；第一更新模块，用于基于所述更新密码和所述待认证终端的标识，对所述第一对应关系表进行更新；第六发送模块，用于将所述更新密码发送给所述待认证终端。

在其他实施例中，所述装置还包括：第七发送模块，用于如果对待认证终端的标识匹配失败，向所述待认证终端发送认证失败消息；第一生成模块，用于根据预设密码和ssid生成第二共享密钥；第二生成模块，用于根据路由器标识、待认证终端的标识和第二共享密钥生成第二传输密钥；第三生成模块，用于根据第二传输密钥生成第二验证信息；第二认证模块，用于根据第二验证信息对所述待认证信息进行认证。

在其他实施例中，所述装置还包括：第八发送模块，用于如果根据第二验证信息对所述待认证信息认证通过，向管理设备发送携带所述待认证终端的标识的通知消息，以通知所述管理设备密码被非法分享；第一存储模块，用于如果接收到管理设备发送的指示授权消息，将所述终端标识和预设密码存储至所述第一对应关系表。

在其他实施例中，所述第一认证模块，包括：第一生成单元，用于基于所述第一对应关系表中的n个授权密码、路由器标识、终端标识和ssid，生成对应的n个第三验证信息；第二认证单元，用于将所述待认证信息与所述n个第三验证信息进行认证；第一获取单元，用于如果认证通过，获取所述第一对应关系表中与目标授权密码对应的终端标识，其中，目标授权密码对应的第三验证信息与所述待认证信息匹配成功；第二匹配单元，用于根据所述终端标识，对所述待认证终端的标识进行匹配。

在其他实施例中，所述装置还包括：第一确定模块，用于如果所述待认证信息认证通过，所述第一对应关系表中不存在与所述认证信息对应的终端标识，将所述待认证终端的标识确定为所述第一对应关系表中与所述目标授权密码对应的终端标识；第九发送模块，用于向所述待认证终端发送认证成功消息。

在其他实施例中，所述装置还包括：第三接收模块，用于接收所述待认证终端发送的获取连接密码的请求消息，其中，所述请求消息中携带有请求连接的无线网络对应的路由器标识和用户标识；第二确定模块，用于确定所述路由器标识对应的第二对应关系表；第三确定模块，用于基于所述第二对应关系表，确定所述用户标识对应的连接密码；第十发送模块，用于将携带有所述连接密码的响应消息发送给所述待认证终端。

需要说明的是，以上装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。

本申请实施例再提供一种认证装置，所述认证装置至少包括：第二发送模块、第一获取模块、第一生成模块和第三发送模块，其中：

所述第二发送模块，用于基于获取连接密码的操作指令，向服务器发送获取连接密码的请求消息，其中，所述请求消息中携带有路由器标识；

所述第一获取模块，用于基于接收到的响应消息，获取连接密码；

所述第一生成模块，用于根据所述连接密码、路由器标识、待认证终端的标识和ssid生成待认证信息；

所述第三发送模块，用于将携带有所述待认证信息的认证请求发送给所述无线网络对应的路由器

需要说明的是，以上装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。

需要说明的是，本申请实施例中，如果以软件功能模块的形式实现上述的认证方法，并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：u盘、移动硬盘、只读存储器(readonlymemory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本申请实施例不限制于任何特定的硬件和软件结合。

对应地，本申请实施例再提供一种可读存储介质，所述可读存储介质上存储有认证程序，所述认证程序被处理器执行时实现上述的认证方法的步骤。

对应地，本申请实施例提供一种认证设备，图10为本申请实施例认证设备的组成结构示意图，如图10所示，所述设备1000包括：至少一个处理器1001、至少一个通信总线1002、用户接口1003、至少一个外部通信接口1004和存储器1005。其中：

认证设备1000中的各个组件通过通信总线1002耦合在一起。可理解，通信总线1002用于实现这些组件之间的连接通信。通信总线1002除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图10中将各种总线都标为通信总线1002。

用户接口1003可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。

外部通信接口1004可以包括标准的有线接口和无线接口。

存储器1005可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(rom，readonlymemory)、可编程只读存储器(prom，programmableread-onlymemory)、可擦除可编程只读存储器(eprom，erasableprogrammableread-onlymemory)、闪存(flashmemory)等。易失性存储器可以是随机存取存储器(ram，randomaccessmemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(sram，staticrandomaccessmemory)、同步静态随机存取存储器(ssram，synchronousstaticrandomaccessmemory)。本申请实施例描述的存储器1005旨在包括这些和任意其它适合类型的存储器。

作为本申请实施例提供的方法采用软硬件结合实施的示例，本申请实施例所提供的方法可以直接体现为由处理器1001执行的软件模块组合，软件模块可以位于存储介质中，存储介质位于存储器1005，处理器1001读取存储器1005中软件模块包括的可执行指令，结合必要的硬件(例如，包括处理器1001以及连接到通信总线1002的其他组件)以实现上述实施例中提供的认证方法。

作为示例，处理器1001可以是一种集成电路芯片，具有信号的处理能力，例如通用处理器、数字信号处理器(dsp，digitalsignalprocessor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，其中，通用处理器可以是微处理器或者任何常规的处理器等。

以上认证设备和存储介质实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请认证设备和存储介质实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。

应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(readonlymemory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。