无线网络认证方法、客户端及服务端无线网络认证装置

摘要

本发明提供了一种无线网络认证方法、客户端及服务端无线网络认证装置，涉及网络安全技术领域。所述方法包括步骤：根据与目标访问点相关的历史访问信息生成待验证地址；向所述目标访问点发送包括所述待验证地址的认证请求。使用本发明实施例的方法及装置，客户端设备利用历史访问信息生成待验证地址，访问点根据历史访问信息识别和验证对应的客户端设备的真实身份，进而为历史访问设备提供网络服务，且使得历史访问客户端设备即便在不知道接入密码的情况下，也能够实现快速的网络访问。

说明书

技术领域

本发明涉及无线局域网技术领域，尤其涉及一种无线网络认证方法、客户端及服务端无线网络认证装置。 

背景技术

无线局域网（Wireless Local Area Networks，WLAN）的目的是为无线用户提供网络接入服务，实现用户访问网络资源（例如互联网）的需求。目前，在许多公共场所（如商场、咖啡馆、机场、会议中心、图书馆等等）部署有无线局域网，用户在接入后能够访问本地的基础服务，或者实现更快或更廉价的互联网连接。上述场景中存在这样一类应用需求：即网络服务提供商需要快速识别用户的身份，以便提供更好的服务。例如，为上次来过的用户提供自动的网络接入，或者为经常光顾的客人提供更大的网络带宽等等。 

虽然目前客户端设备上的无线管理软件大多可以设置无线局域网访问点（Access Point，AP）配置文件，保存访问点服务集标识（Service Set Identifier，SSID）及其使用的接入密码，以便下次直接接入。但这种方法的问题在于，一旦密码修改，用户必须重新输入密码并且更新配置文件，无法实现快速的网络访问。另一个问题在于访问点无法验证移动设备的真实身份，也就是说，只要拥有接入密码的移动设备都可以修改自身的媒体访问控制（Media Access Control，MAC）地址，伪装成其他用户（比如拥有更高服务等级的用户）以获得利益。 

发明内容

本发明要解决的技术问题是：提供一种无线网络认证方法、客户端及服务端无线网络认证装置，能够识别和验证设备的真实身份，并 实现快速的网络访问。 

为解决上述技术问题，第一方面，本发明实施例提供了一种无线网络认证方法，其特征在于，所述方法包括步骤： 

根据与目标访问点相关的历史访问信息生成待验证地址； 

向所述目标访问点发送包括所述待验证地址的认证请求。 

结合第一方面，在第一种可能的实现方式中，所述方法还包括步骤： 

获取与所述目标访问点相关的历史访问信息。 

结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，在所述获取与所述目标访问点相关的历史访问信息的步骤中： 

根据访问点标识信息获取对应的历史访问信息。 

结合第一方面的第二种可能的实现方式，在第三种可能的实现方式中，所述访问点标识信息为服务集标识。 

结合第一方面，在第四种可能的实现方式中，所述根据与目标访问点相关的历史访问信息生成待验证地址的步骤包括： 

根据所述历史访问信息构建加密密钥； 

按照预设的加密算法，根据所述加密密钥生成所述待验证地址。 

结合第一方面，在第五种可能的实现方式中，所述根据与目标访问点相关的历史访问信息生成待验证地址的步骤包括： 

根据所述历史访问信息构建加密密钥； 

按照预设的加密算法，用所述加密密钥加密随机数，生成所述待验证地址。 

结合第一方面的第五种可能的实现方式，在第六种可能的实现方式中，所述待验证地址包括：随机数以及验证部分，所述验证部分为用所述加密密钥加密随机数得到的。 

结合第一方面的第六种可能的实现方式，在第七种可能的实现方式中，所述待验证地址还包括：曾通过所述目标访问点认证的时间。 

结合第一方面的第四种至第七种可能的实现方式中的任一种，在第八种可能的实现方式中，所述预设的加密算法为消息摘要算法。 

结合第一方面，在第九种可能的实现方式中，所述方法还包括步骤： 

接收所述目标访问点发送的通过认证的响应。 

结合第一方面的第九种可能的实现方式，在第十种可能的实现方式中，所述方法还包括步骤： 

在接收到所述目标访问点发送的通过认证的响应后，与所述目标访问点协商链路密钥。 

结合第一方面的第十种可能的实现方式，在第十一种可能的实现方式中，所述方法还包括步骤： 

接收所述目标访问点发送的更新的与所述目标访问点相关的历史访问信息。 

结合第一方面的第十一种可能的实现方式，在第十二种可能的实现方式中，所述方法还包括步骤： 

保存所述更新的与所述目标访问点相关的历史访问信息。 

结合第一方面或第一方面的上述任一种可能的实现方式，在第十三种可能的实现方式中，所述历史访问信息包括：所述目标访问点的标识信息、所述目标访问点的曾用密码、接入所述目标访问点对应的无线网络的次数、以及时间戳中的一个或多个。 

第二方面，本发明实施例提供了一种无线网络认证方法，所述方法包括步骤： 

接收客户端设备发送的认证请求； 

根据历史访问信息对包含待验证地址的认证请求所对应的客户端设备进行认证； 

其中，所述待验证地址由客户端设备根据与访问点相关的历史访问信息生成。 

结合第二方面，在第一种可能的实现方式中，所述根据历史访问信息对包含待验证地址的认证请求所对应的客户端设备进行认证的步骤包括： 

按照预设的解密算法解密所述待验证地址； 

将历史访问信息与解密结果匹配； 

判定存在匹配的历史访问信息的解密结果所对应的客户端设备通过认证。 

结合第二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述将历史访问信息与解密结果匹配的步骤包括： 

对所述历史访问信息以及所述解密结果进行预处理； 

匹配预处理的结果。 

结合第二方面，在第三种可能的实现方式中，所述根据历史访问信息对包含待验证地址的认证请求所对应的客户端设备进行认证的步骤包括： 

将历史访问信息与所述待验证地址匹配，当存在与所述验证地址匹配的历史访问信息时，判定所述待验证地址所对应的客户端设备通过认证。 

结合第二方面的第三种可能的实现方式，在第四种可能的实现方式中，所述将历史访问信息与所述待验证地址匹配的步骤包括： 

解析包含待验证地址的认证请求，得到随机数以及验证地址； 

按照预设的加密算法，用历史访问信息加密所述随机数，获得随机地址； 

用随机地址与所述验证地址匹配； 

当存在与所述验证地址匹配的随机地址时，判定所述验证地址对应的客户端设备通过认证。 

结合第一方面的第三或第四种可能的实现方式中，在第五种可能的实现方式中，所述预设的加密算法与对应的客户端设备加密所述随 机数的加密算法相同。 

结合第二方面的第五种可能的实现方式，在第六种可能的实现方式中，所述预设的加密算法为消息摘要算法。 

结合第二方面，在第七种可能的实现方式中，所述方法还包括步骤： 

向通过认证的客户端设备发送通过认证的响应。 

结合第二方面，在第八种可能的实现方式中，所述方法还包括步骤： 

根据通过认证的客户端设备的历史访问信息制定网络服务策略。 

结合第二方面，在第九种可能的实现方式中，所述方法还包括步骤： 

与通过认证的客户端设备协商链路密钥。 

结合第二方面，在第十种可能的实现方式中，所述方法还包括步骤： 

更新并保存通过认证的客户端设备的历史访问信息。 

结合第二方面，在第十一种可能的实现方式中，所述方法还包括步骤： 

向通过认证的客户端设备发送对应的所述更新的历史访问信息。 

结合第二方面或第二方面的上述任一种可能的实现方式，在第十二种可能的实现方式中，所述历史访问信息包括访问点的曾用密码、客户端设备接入所述访问点对应的无线网络的次数、时间戳、以及针对客户端设备的历史网络服务策略中的一个或多个。 

第三方面，本发明实施例提供了一种客户端无线网络认证装置，所述装置包括： 

地址生成模块，用于根据与目标访问点相关的历史访问信息生成待验证地址； 

发送模块，用于向所述目标访问点发送包括所述待验证地址的认 证请求。 

结合第三方面，在第一种可能的实现方式中，所述装置还包括： 

获取模块，用于获取与所述目标访问点相关的历史访问信息。 

结合第三方面的第一种可能的实现方式，在第二种可能的实现方式中，所述获取模块根据访问点标识信息获取对应的历史访问信息。 

结合第三方面，在第三种可能的实现方式中，所述地址生成模块包括： 

密钥构建单元，用于根据所述历史访问信息构建加密密钥； 

加密单元，用于按照预设的加密算法，根据所述加密密钥生成所述待验证地址。 

结合第三方面，在第四种可能的实现方式中，所述地址生成模块包括： 

密钥构建单元，用于根据所述历史访问信息构建加密密钥； 

加密单元，用于按照预设的加密算法，用所述加密密钥加密随机数，生成所述待验证地址。 

结合第三方面，在第五种可能的实现方式中，所述装置还包括： 

接收模块，用于接收所述目标访问点发送的通过认证的响应。 

结合第三方面的第五种可能的实现方式，在第六种可能的实现方式中，所述装置还包括： 

协商模块，用于在接收到所述目标访问点发送的通过认证的响应后，与所述目标访问点协商链路密钥。 

结合第三方面的第六种可能的实现方式，在第七种可能的实现方式中，所述接收模块还用于接收所述目标访问点发送的更新的与所述目标访问点相关的历史访问信息。 

结合第三方面的第七种可能的实现方式，在第八种可能的实现方式中，所述装置还包括： 

存储模块，用于保存所述更新的与所述目标访问点相关的历史访 问信息。 

第四方面，本发明实施例提供了一种服务端无线网络认证装置，所述装置包括： 

接收模块，用于接收客户端发送的认证请求； 

认证模块，用于根据历史访问信息对包含待验证地址的认证请求所对应的客户端设备进行认证； 

其中，所述待验证地址由客户端根据与访问点相关的历史访问信息生成。 

结合第四方面，在第一种可能的实现方式中，所述认证模块进一步包括： 

解密单元，用于按照预设的解密算法解密所述待验证地址； 

匹配单元，用于将历史访问信息与解密结果匹配； 

认证单元，用于判定存在匹配的历史访问信息的解密结果所对应的客户端设备通过认证。 

结合第四方面的第一种可能的实现方式，在第二种可能的实现方式中，所述匹配单元进一步包括： 

预处理子单元，用于对所述历史访问信息以及所述解密结果进行预处理； 

匹配子单元，用于匹配所述预处理子单元预处理的结果。 

结合第四方面，在第三种可能的实现方式中，所述认证模块将历史访问信息与所述待验证地址匹配，当存在与所述验证地址匹配的随机地址时，判定所述待验证地址所对应的客户端设备通过认证。 

结合第四方面的第三种可能的实现方式，在第四种可能的实现方式中，所述认证模块进一步包括： 

解析单元，用于解析包含待验证地址的认证请求，得到随机数以及验证地址； 

加密单元，用于按照预设的加密算法，用历史访问信息加密所述 随机数，获得随机地址； 

匹配单元，用于用随机地址与所述验证地址匹配； 

认证单元，用于在存在与所述验证地址匹配的随机地址时，判定所述验证地址对应的客户端设备通过认证。 

结合第四方面，在第五种可能的实现方式中，所述装置还包括： 

发送模块，用于向通过认证的客户端设备发送通过认证的响应。 

结合第四方面，在第六种可能的实现方式中，所述装置还包括： 

服务策略制定模块，用于根据通过认证的客户端设备的历史访问信息制定网络服务策略。 

结合第四方面，在第七种可能的实现方式中，所述装置还包括： 

协商模块，用于与通过认证的客户端设备协商链路密钥。 

结合第四方面，在第八种可能的实现方式中，所述装置还包括： 

存储模块，用于更新并保存通过认证的客户端设备的历史访问信息。 

结合第四方面，在第九种可能的实现方式中，所述装置还包括： 

发送模块，用于向通过认证的客户端设备发送对应的所述更新的历史访问信息。 

使用本发明实施例的方法及装置，客户端设备利用历史访问信息生成待验证地址，访问点根据历史访问信息识别和验证对应的客户端设备的真实身份，进而为历史访问设备提供网络服务，且使得历史访问客户端设备即便在不知道接入密码的情况下，也能够实现快速的网络访问；此外，在构造待验证地址的过程中使用时间戳，且每次访问时更新该时间戳，可以防止重放攻击；且使用该待验证地址，客户端设备在每次访问网络时使用的地址不同，从而可以隐藏自己的身份，防止伪装。 

附图说明

图1是在客户端实施的本发明实施例的一种无线网络认证方法的 流程图； 

图2是在客户端实施的本发明实施例的另一种无线网络认证方法的流程图； 

图3是在服务端实施的本发明实施例的一种无线网络认证方法的流程图； 

图4是在服务端实施的本发明实施例的另一种无线网络认证方法的流程图； 

图5是本发明实施例的一种客户端无线网络认证装置的结构框图； 

图6是本发明实施例的另一种客户端无线网络认证装置的结构框图； 

图7是本发明实施例的一种服务端无线网络认证装置的结构框图； 

图8是本发明实施例的另一种服务端无线网络认证装置的结构框图； 

图9是本发明实施例的又一种客户端无线网络认证装置的结构框图； 

图10是本发明实施例的又一种服务端无线网络认证装置的结构框图。 

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细说明。以下实施例用于说明本发明，但不用来限制本发明的范围。 

WLAN组网可简单地分成WLAN客户端和WLAN服务端两部分，客户端为有无线网卡的主机设备，服务端为AP设备。下面为了更好的理解本发明各实施例，简要介绍客户端设备接入到WLAN的 协商过程，该过程如下： 

1、WLAN服务发现 

AP设备发送信标（Beacon）信息，通告提供的WLAN，客户端设备根据该报文确定周围存在的WLAN；客户端设备可以指定SSID或者使用广播SSID主动探测是否有指定的网络，AP设备存在指定的WLAN服务会发送确认信息给客户端设备。 

服务发现成功后进入链路认证过程。 

2、链路认证 

这是客户端设备连入WLAN的起点，以及一种对WLAN表明身份的方式。通过鉴权（Authentication）报文实现。通常，若WLAN使能了接入认证的服务，在利用接入密码通过链路认证后，只允许有限的网络访问，只有在接入认证过程中确定用户身份后才会允许更高等级或更完整的网络访问。 

3、终端关联 

在WLAN服务发现过程中，客户端设备已经获得了当前服务的配置和参数（AP设备会在Beacon和Probe Response报文中携带，例如，接入认证算法以及加密密钥）。客户端设备在通过链路认证后，发起关联（Association）或者再关联（Re-association）请求，该请求会携带客户端设备自身的各种参数，以及根据服务配置选择的各种参数（主要包括支持的速率，支持的信道，支持的QoS的能力，以及选择的接入认证和加密算法）。 

客户端设备和AP设备成功完成链路服务协商，表明两个设备成功建立了链路。对于没有使能接入认证的服务，客户端设备已经可以访问WLAN；如果WLAN服务使能了接入认证，AP设备会发起对客户端的接入认证。 

4.接入认证 

接入认证实现了对接入的客户端设备的身份认证，为网络服务提 供了安全保护。在链路协商的过程中，可以确定客户端设备使用的接入认证算法；并且在链路协商成功后触发对客户端设备的接入认证；随后需要为该接入的客户端设备的协商密钥；之后客户端设备才可以访问WLAN。 

5.密钥协商 

密钥协商为数据安全提供有力保障，协商出来的密钥将作为数据传输过程中的加密/解密密钥。 

6.数据加密 

客户端设备身份确定无误并赋予访问权限后，网络必须保护客户端设备所传送的数据不被窥视。保护无线链路数据的私密性，是所有无线网络需要面对的挑战。数据的私密性通常是靠加密协议来达成，只允许拥有密钥并经过授权的用户访问数据，确保数据在传输过程中未遭篡改。 

本发明各实施例所涉及的认证包括上述链路认证之后的各过程，同时，所提到的密码均为AP所对应的无线网络服务的接入密码。 

如图1所示，本发明实施例提供了一种在客户端实施的无线网络认证方法，所述方法包括步骤： 

S110.根据与目标访问点相关的历史访问信息生成待验证地址。 

客户端设备在启动网络访问过程后，扫描附近的AP信息（优选地，为SSID信息），并判断是否存在与该AP信息对应的AP相关的历史访问记录，根据AP信息获取相关的历史访问信息。若不存在，则进入上述标准的接入协商过程，通过接入密码接入目标访问点对应的无线网络。若存在相关的历史访问信息，则可根据该历史访问信息生成待验证地址，通过该待验证地址寻求快速的网络访问。 

在本发明各实施例中，对于客户端设备来说，历史访问信息可包括：目标访问点标识信息、目标访问点的曾用密码、接入所述目标访问点对应的无线网络的次数、以及时间戳（优选为曾通过所述目标访 问点的认证的时间）等中的一个或多个。为了实现访问记录的查询，应将历次访问的历史信息均保存下来，具体保存方式可以为配置文件或数据库等。 

S120.向所述目标访问点发送包括在步骤S110中生成的所述待验证地址的认证请求。 

如图2所示，本发明实施例还提供了一种在服务端实施的无线网络认证方法，与图1所示的客户端实施的方法对应的，图2所示实施例的方法包括步骤： 

S210.接收客户端设备发送的认证请求； 

AP启动访问过程后执行扫描，接收来自客户端设备发送的认证请求。若该认证请求中不包含待验证地址，则进入上述标准的网络服务接入过程；否则，执行步骤S220。 

S220.根据历史访问信息对包含待验证地址的认证请求所对应的客户端设备进行认证； 

其中，所述待验证地址是由客户端设备根据与访问点相关的历史访问信息生成的。 

对于服务端，历史访问信息可包括AP的曾用密码、客户端设备接入所述访问点对应的无线网络的次数、时间戳（优选为客户端设备曾通过所述访问点的认证时间）、以及针对客户端设备的历史网络服务策略中的一个或多个。为了实现历史访问信息的查询，AP会对每个客户端设备的访问历史进行保存，具体地，可采用日志文件或数据库等形式保存。 

本发明实施例的方法，客户端设备利用历史访问信息生成待验证地址，访问点根据历史访问信息识别和验证对应的客户端设备的真实身份，进而为历史访问设备提供网络服务，且使得历史访问客户端设备即便在不知道接入密码的情况下，也能够实现快速的网络访问。 

在本发明各实施例中，客户端设备可将历史访问信息保存在本地 或外部设备，且能够从本地或外部获取其针对各AP的历史访问信息。相应地，在图1所示实施例的方法中，还包括获取与所述目标AP相关的历史访问信息的步骤。对于AP，也可将各历史访问设备的历史访问信息存在本地或外部设备。在数据量较大时，所述的外部设备可为云端服务器。 

此外，在图1所示实施例的方法中，步骤S110可进一步包括： 

S111.根据所述历史访问信息构建加密密钥。 

该加密密钥可通过对全部或部分所述历史访问信息进行一定的运算得到，例如，对目标AP的曾用密码和曾通过该目标AP的认证的时间进行简单的加法运算等等。 

S112.按照预设的加密算法，根据所述加密密钥生成所述待验证地址。 

在图1所示实施例的方法中该预设的加密算法可为任意加密算法，但为了提高安全性，优选消息摘要算法（如，MD5）。生成加密密钥后，可通过用该加密密钥对部分或全部历史访问信息、随机数等对象进行加密来生成该待验证地址。在一种优选地实施方式中，步骤S110可进一步包括： 

S111’.根据所述历史访问信息构建加密密钥：根据历史访问信息中的目标AP的曾用密码和曾通过该目标AP的认证的时间进行加法运算，获得加密密钥。 

S112’.按照预设的加密算法，用所述加密密钥加密随机数，生成所述待验证地址：按照MD5算法，用步骤S111构建的加密密钥加密一组随机数（可在本地或外部设备生成），生成包括随机数以及验证部分的待验证地址，所述验证部分即为用该加密密钥加密该随机数得到的。 

在步骤S120中，所发送的认证请求包括该待验证地址字段，可根据该字段的长度要求截取该待验证地址字段的任意长度以构成该 认证请求。需要说明点是，为了AP能够以更高的匹配效率用历史访问信息与该待验证地址做匹配，该待验证地址中还可编入客户端设备曾通过所述目标AP认证的时间。 

在本发明实施例的各方法中，优选在构造待验证地址的过程中使用时间戳，时间戳是客户端设备与AP之间的一类机密信息，每次访问时必须更新，从而可以防止重放攻击；且使用该待验证地址，客户端设备每次访问网络时使用的地址都不同，从而可以隐藏自己的身份，防止伪装。 

对应客户端设备所实施的上述过程，在一种可能的实施方式中，图2所示的服务端所实施的方法的步骤S220可进一步包括： 

S221.按照预设的解密算法解密所述待验证地址。 

其中，该预设的解密算法可根据客户端设备与AP的协商设置，或者，对于同一个AP，无需与任何客户端设备协商该预设的解密算法，各客户端设备已知某一AP的加密策略。 

S222.将历史访问信息与解密结果匹配。 

也即用历史访问信息与解密得到的历史访问信息做匹配。在图2所示实施例的方法中为了提高匹配效率，可先对历史访问信息和解密结果进行一定的预处理，再对预处理的结果进行匹配。 

S223.判定存在匹配的历史信息的解密结果所对应的客户端设备通过认证。 

在另一种可能的实施方式中，图2所示的服务端所实施的方法的步骤S220还可进一步包括： 

将历史访问信息与所述待验证地址匹配，当存在与所述验证地址匹配的历史访问信息时，判定所述待验证地址所对应的客户端设备通过认证。 

其中，对应于步骤S111’-S113’，将历史访问信息与所述待验证地址匹配的步骤包括： 

S221’解析包含待验证地址的认证请求，得到随机数以及验证地址。当该待验证地址中包含客户端设备曾通过该AP认证的时间时，解析结果还包括该时间。 

S222’按照预设的加密算法，用历史访问信息加密所述随机数，获得随机地址。该预设的加密算法与客户端设备加密该随机数的算法相同，优选地也为MD5。 

S223’用随机地址与所述验证地址匹配。 

在图2所示实施例的方法中，AP所获取的历史访问信息中可记录着其曾用过的密码所对应的时间段，若步骤S221’中解析的结果包括客户端设备曾通过该AP认证的时间，则可先根据该时间过滤掉一些历史访问信息，在该时间所落在的时间段内所对应的随机地址再去匹配，从而提高匹配效率。 

S224’当存在与所述验证地址匹配的随机地址时，判定所述验证地址对应的客户端设备通过认证。 

在图3所示实施例的方法中，当判定客户端设备通过认证后，还包括步骤： 

S230.向通过认证的客户端设备发送通过认证的响应，以通知对应的客户端设备其已经成功通过了认证，可享受对应的无线网路提供的更高级或全部网络服务。 

由于针对不同的客户端设备可提供不同的网络服务质量，例如，对于咖啡馆这样的公共场所，其可为经常光顾的客户提供区别于较少光顾的客户的网络服务，例如，提供更宽的带宽和更高的优先级。对此，如图3所示，图2所示实施例的方法还包括步骤： 

S240.根据通过认证的客户端设备的历史访问信息制定网络服务策略，该历史访问信息中可包括客户端设备接入对应的无线网络的次数以及历史网络服务策略等信息。 

在识别并验证了客户端设备的真实身份后，图2所示实施例的方 法还包括步骤： 

S250.与通过认证的客户端设备协商链路密钥。 

相应地，如图4所示，图1所示实施例的方法还包括步骤： 

S130.接收所述目标访问点发送的通过认证的响应。 

S140.在接收到所述目标访问点发送的通过认证的响应后，与所述目标访问点协商链路密钥。 

在客户端设备和AP协商好链路密钥，能够保证二者之间通信的链路的安全性后，图2所示实施例的方法还包括步骤： 

S260.更新并保存通过认证的客户端设备的历史访问信息； 

S270.使用协商好的加密策略，向通过认证的客户端设备发送更新的历史访问信息。 

相应地，图1所实施示例的方法还包括步骤： 

S150.接收所述目标访问点发送的更新的与所述目标访问点相关的历史访问信息。 

S160.保存所述更新的与所述目标访问点相关的历史访问信息。 

综上，本发明实施例的方法客户端设备利用历史访问信息生成待验证地址，访问点根据历史访问信息识别和验证对应的客户端设备的真实身份，进而为历史访问设备提供网络服务，且使得历史访问客户端设备即便在不知道接入密码的情况下，也能够实现快速的网络访问；此外，在构造待验证地址的过程中使用时间戳，且每次访问时更新该时间戳，可以防止重放攻击；且使用该待验证地址，客户端设备在每次访问网络时使用的地址不同，从而可以隐藏自己的身份，防止伪装。 

如图5所示，本发明实施例提供了一种客户端无线网络认证装置500，该装置500位于客户端，可为具有无线网卡的任意设备（例如，手机、平板电脑、车载设备、可穿戴设备等）或其一部分，所述装置500包括： 

地址生成模块510，用于根据与目标访问点相关的历史访问信息 生成待验证地址； 

客户端设备在启动网络访问过程后，扫描附近的AP信息（优选地，为SSID信息），并判断是否存在与该AP信息对应的AP相关的历史访问记录，根据AP信息获取相关的历史访问信息。若不存在，则进入上述标准的接入协商过程，通过接入密码接入目标访问点对应的无线网络。若存在相关的历史访问信息，则地址生成模块510可根据该历史访问信息生成待验证地址，通过该待验证地址寻求快速的网络访问。 

发送模块520，用于向所述目标访问点发送包括所述待验证地址的认证请求。 

如图6所示，本发明实施例还提供了一种服务端无线网络认证装置600，该装置600位于服务端，可为AP设备（例如无线路由器、网关、网桥等）或属于AP设备。如图6所示，该装置600包括： 

接收模块610，用于接收客户端设备发送的认证请求。 

认证模块620，用于根据历史访问信息对包含待验证地址的认证请求所对应的客户端设备进行认证。 

其中，所述待验证地址由客户端设备根据与访问点相关的历史访问信息生成。 

AP启动访问过程后执行扫描，接收来自客户端设备发送的认证请求。若该认证请求中不包含待验证地址，则进入上述标准的网络服务接入过程；否则，由认证模块620根据历史访问信息进行客户端设备的身份识别和验证。 

利用本发明实施例的装置，客户端设备可根据历史访问信息生成待验证地址，访问点可根据历史访问信息识别和验证对应的客户端设备的真实身份，进而为历史访问设备提供网络服务，且使得历史访问客户端设备即便在不知道接入密码的情况下，也能够实现快速的网络访问。 

在本发明各实施例中，客户端设备可将历史访问信息可保存在本地或外部设备，且能够从本地或外部获取其针对各AP的历史访问信息。相应地，在图5所示实施例的装置500中，还包括获取模块530，用于获取与所述目标AP相关的历史访问信息的步骤，该获取模块530可根据AP的SSID获取对应的历史访问信息。对于AP，也可将各历史访问设备的历史访问信息存在本地或外部设备。在数据量较大时，所述的外部设备可为云端服务器。 

此外，图5所示实施例的装置500中，地址生成模块510可进一步包括： 

密钥构建单元511，用于根据所述历史访问信息构建加密密钥； 

该加密密钥可通过对全部或部分所述历史访问信息进行一定的运算得到，例如，对目标AP的曾用密码和曾通过该目标AP的认证的时间进行简单的加法运算等等。 

加密单元512，用于按照预设的加密算法，根据所述加密密钥生成所述待验证地址。 

在图5所示实施例的装置中该预设的加密算法可为任意加密算法，但为了提高安全性，优选消息摘要算法（如，MD5）。生成加密密钥后，可通过用该加密密钥对部分或全部历史访问信息、随机数等对象进行加密来生成该待验证地址。在一种优选地实施方式中，地址生成模块510还可进一步包括： 

密钥构建单元511’，用于根据所述历史访问信息构建加密密钥:根据历史访问信息中的目标AP的曾用密码和曾通过该目标AP的认证的时间进行加法运算，获得加密密钥。 

加密单元512’，用于按照预设的加密算法，用所述加密密钥加密随机数，生成所述待验证地址：按照MD5算法，用密钥构建单元511’构建的加密密钥加密一组随机数（可在本地或外部设备生成），生成包括随机数以及验证部分的待验证地址，所述验证部分即为用该加密 密钥加密该随机数得到的。 

发送模块520所发送的认证请求包括该待验证地址字段，可根据该字段的长度要求截取该待验证地址字段的任意长度以构成该认证请求。需要说明点是，为了AP能够以更高的匹配效率用历史访问信息与该待验证地址做匹配，该待验证地址中还可编入客户端设备曾通过所述目标AP认证的时间。 

在本发明实施例的各装置中，优选在构造待验证地址的过程中使用时间戳，时间戳是客户端设备与AP之间的一类机密信息，每次访问时必须更新，从而可以防止重放攻击；且使用该待验证地址，客户端设备每次访问网络时使用的地址都不同，从而可以隐藏自己的身份，防止伪装。 

对应客户端的无线网络认证装置的构成，在一种可能的实施方式中，图6所示装置600的认证模块620可进一步包括： 

解密单元621，用于按照预设的解密算法解密所述待验证地址。其中，该预设的解密算法可根据客户端设备与AP的协商设置，或者，对于同一个AP，无需与任何客户端设备协商该预设的解密算法，各客户端设备已知某一AP的加密策略。 

匹配单元622，用于将历史访问信息与解密结果匹配。也即用历史访问信息与解密得到的历史访问信息做匹配。在图6所示实施例的装置600中为了提高匹配效率，匹配单元622可进一步包括：预处理子单元6221，用于对所述历史访问信息以及所述解密结果进行预处理；匹配子单元6222，用于匹配所述预处理子单元预处理的结果。 

认证单元623，用于判定存在匹配的历史信息的解密结果所对应的客户端设备通过认证。 

在另一种可能的实施方式中，图6所示实施例的装置600的认证模块620还可将历史访问信息与所述待验证地址匹配，当存在与所述验证地址匹配的随机地址时，判定所述待验证地址所对应的客户端设 备通过认证。具言之，该认证模块620还可包括： 

解析单元621’，用于解析包含待验证地址的认证请求，得到随机数以及验证地址。当该待验证地址中包含客户端设备曾通过该AP认证的时间时，解析结果还包括该时间。 

加密单元622’，用于按照预设的加密算法，用历史访问信息加密所述随机数，获得随机地址。该预设的加密算法与客户端设备加密该随机数的算法相同，优选地也为MD5。 

匹配单元623’，用于用随机地址与所述验证地址匹配。在图6所示实施例的装置600中，所获取的历史访问信息中可记录着AP曾用过的密码所对应的时间段，若解析单元621’解析的结果包括客户端设备曾通过该AP认证的时间，则可先根据该时间过滤掉一些历史访问信息，在该时间所落在的时间段内所对应的随机地址再去匹配，从而提高匹配效率。 

认证单元624’，用于在存在与所述验证地址匹配的随机地址时，判定所述验证地址对应的客户端设备通过认证。 

如图7所示，图6所示实施例的装置600还包括： 

发送模块630，用于向通过认证的客户端设备发送通过认证的响应，以通知对应的客户端设备其已经成功通过了认证，可享受对应的无线网络提供的更高级或全部网络服务。 

由于针对不同的客户端设备可提供不同的网络服务质量，例如，对于咖啡馆这样的公共场所，其可为经常光顾的客户提供区别于较少光顾的客户的网络服务，例如，提供更宽的带宽和更高的优先级。对此，如图7所示，图6所示实施例的装置600还包括： 

服务策略制定模块640，用于根据通过认证的客户端设备的历史访问信息制定网络服务策略，该历史访问信息中可包括客户端设备接入对应的无线网络的次数以及历史网络服务策略等信息。。 

协商模块650，用于与通过认证的客户端设备协商链路密钥。 

存储模块660，用于更新并保存通过认证的客户端设备的历史访问信息。具体保存方式可以为配置文件或数据库等。 

发送模块630还用于在客户端设备和AP协商好链路密钥，能够保证二者之间通信的链路的安全性后，使用协商好的加密策略，向通过认证的客户端设备发送对应的所述更新的历史访问信息。 

相应地，如图8所示，图5所示实施例的装置500还包括： 

接收模块530，用于接收所述目标访问点发送的通过认证的响应；接收所述目标访问点发送的更新的与所述目标访问点相关的历史访问信息。 

协商模块540，用于在接收模块530接收到所述目标访问点发送的通过认证的响应后，与所述目标访问点协商链路密钥。 

存储模块550，用于保存所述更新的与所述目标访问点相关的历史访问信息。具体保存方式可以为配置文件或数据库等。 

综上，利用本发明实施例的装置，客户端设备利用历史访问信息生成待验证地址，访问点根据历史访问信息识别和验证对应的客户端设备的真实身份，进而为历史访问设备提供网络服务，且使得历史访问客户端设备即便在不知道接入密码的情况下，也能够实现快速的网络访问；此外，在构造待验证地址的过程中使用时间戳，且每次访问时更新该时间戳，可以防止重放攻击；且使用该待验证地址，客户端设备在每次访问网络时使用的地址不同，从而可以隐藏自己的身份，防止伪装。 

如图9所示，为本发明还实施例的又一种客户端无线网络认证装置900，本发明具体实施例并不对无线网络认证装置900的具体实现做限定。如图9所示，该装置可以包括： 

处理器(processor)910、通信接口(Communications Interface)920、存储器(memory)930、以及通信总线940。其中： 

处理器910、通信接口920、以及存储器930通过通信总线940 完成相互间的通信。 

通信接口920，用于与比如客户端等的网元通信。 

处理器910，用于执行程序932，具体可以执行上述图1和图4所示的方法实施例中的相关步骤。 

具体地，程序932可以包括程序代码，所述程序代码包括计算机操作指令。 

处理器910可能是一个中央处理器CPU，或者是特定集成电路ASIC（Application Specific Integrated Circuit），或者是被配置成实施本发明实施例的一个或多个集成电路。 

存储器930，用于存放程序932。存储器930可能包含高速RAM存储器，也可能还包括非易失性存储器（non-volatile memory），例如至少一个磁盘存储器。程序932具体可以包括： 

地址生成模块，用于根据与目标访问点相关的历史访问信息生成待验证地址； 

发送模块，用于向所述目标访问点发送包括所述待验证地址的认证请求。 

程序932中各单元的具体实现可以参见图5和8所示实施例中的相应单元，在此不赘述。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的模块和模块的具体工作过程，可以参考前述方法实施例中的对应过程描述，在此不再赘述。 

如图10所示，为本发明还实施例的又一种服务端无线网络认证装置1000，本发明具体实施例并不对无线网络认证装置1000的具体实现做限定。如图10所示，该装置1000可以包括： 

处理器(processor)1100、通信接口(Communications Interface)1200、存储器(memory)1300、以及通信总线1400。其中： 

处理器1100、通信接口1200、以及存储器1300通过通信总线1400完成相互间的通信。 

通信接口1200，用于与比如客户端等的网元通信。 

处理器1100，用于执行程序1320，具体可以执行上述图2或图3所示的方法实施例中的相关步骤。 

具体地，程序1320可以包括程序代码，所述程序代码包括计算机操作指令。 

处理器1100可能是一个中央处理器CPU，或者是特定集成电路ASIC（Application Specific Integrated Circuit），或者是被配置成实施本发明实施例的一个或多个集成电路。 

存储器1300，用于存放程序1320。存储器1300可能包含高速RAM存储器，也可能还包括非易失性存储器（non-volatile memory），例如至少一个磁盘存储器。程序1320具体可以包括： 

接收模块，用于接收客户端发送的认证请求； 

认证模块，用于根据历史访问信息对包含待验证地址的认证请求所对应的客户端设备进行认证； 

其中，所述待验证地址由客户端根据与访问点相关的历史访问信息生成。 

程序1320中各单元的具体实现可以参见图6和图7所示实施例中的相应单元，在此不赘述。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的模块和模块的具体工作过程，可以参考前述方法实施例中的对应过程描述，在此不再赘述。 

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及方法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。 

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机模块（可以是个人计算机，服务器，或者网络模块等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（ROM，Read-Only Memory）、随机存取存储器（RAM，Random Access Memory）、磁碟或者光盘等各种可以存储程序代码的介质。 

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。