:对所述第一密文进行解密处理得到所述临时密钥,并将所述临时密钥通过散列函数进行处理得到所述第二处理数值。
[0144]为了 AP后续用临时密钥生成通信数据明文的加密密钥,因此本发明实施例的用户接入WLAN的密钥协商方法中,若所述目标设备为密钥协商服务器时,相应的,步骤404之后,还包括:所述密钥协商服务器向所述AP发送所述WLAN终端确认过的临时密钥。
[0145]根据收到的确认信息后,将临时密钥发送给AP,这样AP后续用临时密钥生成通信数据明文的加密密钥,实现了 WLAN终端与WLAN接入的目标设备之间的通信数据进行加密。
[0146]如图5所示,本发明实施例的临时密钥由WLAN客户端与AP密钥协商交互过程举例如下。
[0147]密钥协商过程封装在认证Authenticat1n巾贞,在接入流程中处于探测Probe交互之后,且需用到探测响应Probe Response巾贞中包含的时间戳(Timestamp)字段值。协商时采用公钥机制对临时密钥进行保护,需要在WLAN接入设备AP中配置一对公钥/私钥,临时密钥由WLAN客户端生成。
[0148]步骤501, WLAN终端UE发送探测请求Probe Request给AP进行认证;
[0149]步骤502, WLAN终端UE获取到所述AP返回的探测响应Probe Response同意接入;
[0150]步骤503,WLAN终端UE向WLAN接入设备AP发送协商请求;
[0151]步骤504,AP接收协商情求并响应,且在响应消息中包含WLAN接入设备AP的公钥;
[0152]步骤505,WLAN终端UE生成随机值作为临时密钥;
[0153]步骤506,将临时密钥使用AP公钥进行加密后得到第一密文和Probe Response帧中的时间戳连接,发送第一密文给AP ;
[0154]步骤507,AP对密文进行解密,得到临时密钥,并使用散列方法(如SHA1)计算散列值发送给UE ;
[0155]步骤508,UE对临时密钥采用同样的散列方法计算散列值,并与AP发过来的散列值进行比较;
[0156]步骤509,如比较匹配相同时,则向AP发送协商成功的确认信息。
[0157]如图6所示,本发明实施例的临时密钥由WLAN客户端与密钥协商服务器密钥协商的交互过程举例如下。
[0158]步骤601, WLAN终端UE发送探测请求Probe Request给AP进行认证;
[0159]步骤602, WLAN终端UE获取到所述AP返回的探测响应Probe Response同意接入;
[0160]步骤603,WLAN终端UE向WLAN接入设备AP发送协商请求;
[0161]步骤604,WLAN接入设备AP转发发送协商请求给密钥协商服务器;
[0162]步骤605,WLAN终端UE接收来自AP透传密钥协商服务器发送的携带有WLAN接入设备的公钥的响应消息;
[0163]步骤606,WLAN终端UE根据公钥加密随机生成临时密钥得到第一密文并发送,是通过所述AP透传发送给密钥协商服务器。
[0164]步骤607,密钥协商服务器对密文进行解密,得到临时密钥,并使用散列方法(如SHA1)计算散列值通过AP透传给WLAN终端UE ;
[0165]步骤608,密钥协商服务器发送处理数值;
[0166]步骤609,在第一预设时间内获取所述WLAN终端确认过所述处理数值的协商密钥成功的确认信息;
[0167]步骤610,密钥协商服务器向AP发送WLAN终端确认过的临时密钥。
[0168]相应的,为了解决上述技术问题,如图7所示,本发明实施例的用户接入WLAN的密钥协商装置,应用于WLAN终端,所述密钥协商装置包括:
[0169]启动模块701,用于向WLAN接入的目标设备发送密钥协商请求,其中所述目标设备为无线访问节点AP或者与AP连接的密钥协商服务器;
[0170]响应模块702,用于获取到来自所述目标设备响应所述密钥协商请求的响应消息,其中所述响应消息中携带有WLAN接入的目标设备的公钥;
[0171]第一处理模块703,用于在收到所述响应消息后,随机生成临时密钥,将所述临时密钥利用所述公钥进行加密处理生成第一密文,并将所述第一密文发送至所述目标设备,其中所述临时密钥用于所述WLAN终端接入WLAN环境的密码;
[0172]第二处理模块704,用于根据所述临时密钥处理得到第一处理数值;
[0173]第一获取模块705,用于获取来自所述目标设备的第二处理数值,其中所述第二处理数值是所述目标设备根据所述第一密文中的临时密钥处理得到的数值;
[0174]第三处理模块706,用于若所述第一处理数值与获取到的所述第二处理数值相匹配时,向所述目标设备发送协商密钥成功的确认信息。
[0175]通过启动模块701向WLAN接入的目标设备发送密钥协商请求,然后根据响应模块702的响应消息中的公钥将第一处理模块703的WLAN终端随机生成临时密钥进行加密为第一密文发送给目标设备,再然后WLAN终端通过第一获取模块705获取来自目标设备的第二处理数值,与第二处理模块704的WLAN终端处理过临时密钥的第一处理数值判断进行匹配,最后第三处理模块706若在第一处理数值与第二处理数值相匹配时,向目标设备发送协商密钥成功的确认信息,从而确认临时密钥正确,则整个协商密钥成功。这样通过WLAN终端自动分配临时密钥并与目标设备确认该临时密钥,来完成用户无感知WLAN终端的自动输入密码并接入WLAN环境,不仅减少了用户不用输入密码的操作,而且提高了用户体验效果。
[0176]本发明的又一实施例的用户接入WLAN的密钥协商装置中,所述启动模块701包括:
[0177]第一启动子模块,用于接收到探测响应Probe Response之后,向WLAN接入的目标设备发送密钥协商请求。
[0178]本发明的又一实施例的用户接入WLAN的密钥协商装置中,所述第一处理模块703包括:
[0179]第四获取模块,用于获取所述Probe Response中的时间戳;
[0180]第五处理模块,用于将所述临时密钥利用所述公钥进行加密处理生成第一密文,并将所述时间戳和所述第一密文给所述目标设备,其中所述时间戳用于所述目标设备对接收到的所述第一密文进行过滤处理。
[0181]本发明的又一实施例的用户接入WLAN的密钥协商装置中,还包括:
[0182]生成模块,用于根据所述临时密钥生成对所述WLAN终端与AP之间的通信数据进行加密/解密的加密密钥。
[0183]本发明的又一实施例的用户接入WLAN的密钥协商装置中,若所述目标设备为与AP连接的密钥协商服务器时,所述启动模块701为:第二启动子模块,用于向与所述密钥协商服务器连接的AP发送密钥协商请求,通过所述AP将所述密钥协商请求转发给所述密钥协商服务器。
[0184]本发明的又一实施例的用户接入WLAN的密钥协商装置中,所述第二处理模块704为:第一处理子模块,用于通过散列函数对所述临时密钥进行处理得到所述第一处理数值。
[0185]相应的,为了解决上述技术问题,如图8所示,本发明实施例还提供一种用户接入WLAN的密钥协商装置,应用于密钥协商服务器或者无线访问节点AP,所述密钥协商装置包括:
[0186]信息交互模块801,用于接收来自WLAN终端的密钥协商请求后,向所述WLAN终端发送携带有WLAN接入的目标设备的公钥的响应消息;
[0187]第二获取模块802,用于获取所述WLAN终端发送的第一密文,其中所述第一密文是所述WLAN终端利用所述公钥对所述WLAN终端随机生成的临时密钥进行加密得到的,所述临时密钥用于所述WLAN终端接入WLAN环境的密码;
[0188]第四处理模块803,用于对所述第一密文中的临时密钥进行处理得到的第二处理数值;
[0189]第一发送模块804,用于将所述第二处理数值发送给所述WLAN终端,由所述WLAN终端对本地根据所述临时密钥生成的第一处理数值和接收的所述第二处理数值进行匹配处理,若所述第一处理数值与获取到的所述第二处理数值相匹配时,向WLAN终端生成并会发送协商密钥成功的确认信息;
[0190]第三获取模块805,用于获取所述WLAN终端发送的确认信息。
[0191]通过信息交互模块801接收到WLAN终端的密钥协商请求后,并发送响应消息给WLAN终端,让WLAN终端根据响应消息中的公钥对临时密钥进行加密,然后第二获取模块802获取到利用公钥加密过的第一密文,再通过第一发送模块804将第四处理模块803对第一密文进行处理得到第二处理数值发送给WLAN终端,最后第三获取模块805接收协商密钥成功的确认信息,从而确认临时密钥正确,协商密钥成功。这样通过WLAN终端自动分配临时密钥,并与目标设备确认临时密钥,用户就无感知接入WLAN终端,不仅减少用户不用输入密码的操作,而且提高了用户体验,同时无需用户输入预共享密钥,免除了用户申请、索取接入密码的过程,也省掉了 WLAN服务提供者发布预共享密钥的工作,有利于公共WLAN业务的推广,同时也易于实现。
[0192]本发明的又一实施例的用户接入WLAN的密钥协商装置中,若所述目标设备为密钥协商服务器时,相应的,所述信息交互模块801包括:
[0193]接收子模块,用于接收通过与所述密钥协商服务器连接的AP转发的来自所述WLAN终端