网络接入设备接入无线网络接入点的方法、装置和系统

摘要

本发明涉及一种网络接入设备接入无线网络接入点的方法、装置和系统。所述方法包括以下步骤：在网络接入设备未认证时，获取认证参数，采用无线接入密钥加密认证参数，通过认证服务器将认证请求发送给应用程序服务器；所述应用程序服务器采用无线接入密钥对所述认证请求进行解密，采用无线接入密钥生成加密签名；所述认证服务器生成用户认证结果确认地址，将所述用户认证结果确认地址及加密签名返回给所述网络接入设备；所述网络接入设备解密所述加密签名，校验签名，接收所述认证服务器返回的放行结果，根据所述放行结果接入所述无线网络接入点进行联网。对网络接入设备及应用程序服务器都进行验证，提高了安全性。

说明书

技术领域

本发明涉及网络通信领域，特别是涉及一种网络接入设备接入无线网络接 入点的方法、装置和系统。

背景技术

随着网络技术的发展，网络已成为人们生活的一部分，给人们的生活带来 了巨大的便利。为了满足人们使用网络的需求，许多地方提供了无线网络(如 wifi)接入点，方便用户接入wifi接入点，进而访问因特网。

用户通过网络接入设备接入wifi接入点后，运行某应用程序，通过该应用 程序向wifi接入点发送上网请求，并且在请求上带有token(令牌)参数，wifi 接入点可以向该应用程序服务器发送请求，并附上token参数，应用程序服务器 验证token参数，得到认证结果，并将认证结果同步返回给wifi接入点，wifi 接入点根据认证结果，确定是否放行。虽然采用了token参数校验访问终端的应 用程序的身份，但token参数传输过程中存在安全隐患，其安全性较低。

发明内容

基于此，有必要针对传统的网络接入设备接入wifi接入点后应用程序上网 认证中传输验证参数安全性低的问题，提供一种网络接入设备接入无线网络接 入点的方法，能提高上网认证的安全性。

此外，还有必要提供一种网络接入设备接入无线网络接入点的装置和系统， 能提高上网认证的安全性。

一种网络接入设备接入无线网络接入点的方法，包括以下步骤：

无线网络接入点检测到发起访问请求的网络接入设备未认证时，重定向所 述访问请求到认证门户，所述访问请求中携带有认证服务器地址；

网络接入设备上的应用程序客户端在得到用户在认证门户的认证授权后， 获取认证参数，采用无线接入密钥加密认证参数，根据所述认证服务器地址向 认证服务器发起携带有加密后的认证参数的认证请求；

所述认证服务器将携带有加密后的认证参数的认证请求发送给应用程序服 务器；

所述应用程序服务器接收到认证请求后，采用无线接入密钥对所述认证请 求进行解密，得到认证参数，对认证参数进行认证得到认证结果，采用无线接 入密钥生成加密签名，将所述认证参数、认证结果和加密签名返回给所述认证 服务器；

所述认证服务器接收认证参数、认证结果和加密签名，生成用户认证结果 确认地址，将所述用户认证结果确认地址及加密签名返回给所述网络接入设备 上的应用程序客户端；

所述网络接入设备上的应用程序客户端接收到加密签名及用户认证结果地 址后，解密所述加密签名，并对解密后的签名进行校验，校验通过后，访问所 述用户认证结果地址，并接收所述认证服务器根据访问所述用户认证结果地址 返回的放行结果，根据所述放行结果接入所述无线网络接入点进行联网。

一种网络接入设备接入无线网络接入点的方法，包括以下步骤：

在无线网络接入点检测到网络接入设备未认证后，获取认证参数；

采用无线接入密钥加密认证参数；

根据网络接入设备未认证时重定向访问请求中的认证服务器地址向认证服 务器发起携带有无线接入密钥加密的认证参数的认证请求；

接收所述认证服务器返回的加密签名及用户认证结果地址；

解密所述加密签名；

对解密后的签名进行校验，校验通过后，访问所述用户认证结果地址；

接收所述认证服务器根据访问所述用户认证结果地址返回的放行结果，根 据所述放行结果接入无线网络接入点进行联网；

其中，所述加密签名为应用程序服务器对携带有加密后的认证参数的认证 请求进行解密得到认证参数后，采用无线接入密钥生成的；所述用户认证结果 地址为认证服务器接收到应用程序服务器发送的认证参数、认证结果和加密签 名后生成的。

一种网络接入设备接入无线网络接入点的方法，包括以下步骤：

接收认证服务器发起的携带有无线接入密钥加密的认证参数的认证请求， 所述认证请求为网络接入设备在未被认证时发送给认证服务器的；

接收到认证请求后，采用无线接入密钥对所述认证请求进行解密，得到认 证参数，对所述认证参数进行认证得到认证结果，采用无线接入密钥生成加密 签名，将所述认证参数、认证结果和加密签名返回给所述认证服务器，以使所 述认证服务器生成用户认证结果确认地址，将所述用户认证结果确认地址及加 密签名返回给网络接入设备上的应用程序客户端，以及所述网络接入设备上的 应用程序客户端接收到加密签名及用户认证结果地址后，解密所述加密签名， 并对解密后的签名进行校验，校验通过后，访问所述用户认证结果地址，并接 收所述认证服务器根据访问所述用户认证结果地址返回的放行结果，根据所述 放行结果接入所述无线网络接入点进行联网。

一种网络接入设备接入无线网络接入点的系统，包括网络接入设备、无线 网络接入点、认证服务器和应用程序服务器；

所述无线网络接入点用于检测到发起访问请求的网络接入设备未认证时， 重定向所述访问请求到认证门户，所述访问请求中携带有认证服务器地址；

所述网络接入设备用于在得到用户在认证门户的认证授权后，通过应用程 序客户端获取认证参数，采用无线接入密钥加密认证参数，根据所述认证服务 器地址向认证服务器发起携带有加密后的认证参数的认证请求；

所述认证服务器用于将携带有加密后的认证参数的认证请求发送给应用程 序服务器；

所述应用程序服务器用于接收到认证请求后，采用无线接入密钥对所述认 证请求进行解密，得到认证参数，对认证参数进行认证得到认证结果，采用无 线接入密钥生成加密签名，将所述认证参数、认证结果和加密签名返回给所述 认证服务器；

所述认证服务器还用于接收认证参数、认证结果和加密签名，生成用户认 证结果确认地址，将所述用户认证结果确认地址及加密签名返回给所述网络接 入设备上的应用程序客户端；

所述网络接入设备还用于接收到加密签名及用户认证结果地址后，通过应 用程序客户端解密所述加密签名，并对解密后的签名进行校验，校验通过后， 访问所述用户认证结果地址，并接收所述认证服务器根据访问所述用户认证结 果地址返回的放行结果，根据所述放行结果接入所述无线网络接入点进行联网。

一种网络接入设备接入无线网络接入点的装置，包括：

获取模块，用于在无线网络接入点检测到网络接入设备未认证后，获取认 证参数；

认证加密模块，用于采用无线接入密钥加密认证参数；

请求发起模块，用于根据网络接入设备未认证时重定向访问请求中的认证 服务器地址向认证服务器发起携带有无线接入密钥加密的认证参数的认证请 求；

接收模块，用于接收所述认证服务器返回的加密签名及用户认证结果地址；

签名解密模块，用于解密所述加密签名；

校验模块，用于对解密后的签名进行校验；

访问模块，用于在校验通过后，访问所述用户认证结果地址；

所述接收模块还用于接收所述认证服务器根据访问所述用户认证结果地址 返回的放行结果；

联网模块，用于根据所述放行结果接入无线网络接入点进行联网；

其中，所述加密签名为应用程序服务器对携带有加密后的认证参数的认证 请求进行解密得到认证参数后，采用无线接入密钥生成的；所述用户认证结果 地址为认证服务器接收到应用程序服务器发送的认证参数、认证结果和加密签 名后生成的。

一种网络接入设备接入无线网络接入点的装置，包括：

请求接收模块，用于接收认证服务器发起的携带有无线接入密钥加密的认 证参数的认证请求，所述认证请求为网络接入设备在未被认证时发送给认证服 务器的；

认证请求解密模块，用于接收到认证请求后，采用无线接入密钥对所述认 证请求进行解密，得到认证参数；

认证模块，用于对所述认证参数进行认证得到认证结果；

生成模块，用于采用无线接入密钥生成加密签名；

返回模块，用于将所述认证参数、认证结果和加密签名返回给所述认证服 务器，以使所述认证服务器生成用户认证结果确认地址，将所述用户认证结果 确认地址及加密签名返回给网络接入设备上的应用程序客户端，以及所述网络 接入设备上的应用程序客户端接收到加密签名及用户认证结果地址后，解密所 述加密签名，并对解密后的签名进行校验，校验通过后，访问所述用户认证结 果地址，并接收所述认证服务器根据访问所述用户认证结果地址返回的放行结 果，根据所述放行结果接入所述无线网络接入点进行联网。

上述网络接入设备接入无线网络接入点的方法、装置和系统，网络接入设 备未认证时，网络接入设备对认证参数采用无线接入密钥加密后向认证服务器 发起认证请求，认证服务器再将携带有加密后的认证参数的认证请求发送给应 用程序服务器，应用程序服务器进行解密得到认证参数，认证参数在传输过程 中采用的是密文形式，提高了数据传输的安全性，应用程序服务器采用无线接 入密钥生成加密签名，并将加密签名和对认证参数的认证结果返回给认证服务 器，认证服务器将加密签名及认证结果生成的用户认证结果确认地址发送给网 络接入设备，网络接入设备对加密签名进行校验，校验通过，表示应用程序服 务器通过认证，然后访问用户认证结果确认地址，对应用程序客户端及应用程 序服务器分别进行校验，提高了安全性。应用程序客户端访问用户认证结果确 认地址，认证服务器进一步认证应用程序客户端，如此，采用三重验证提供了 安全性。

附图说明

图1为一个实施例中网络接入设备接入无线网络接入点的方法的应用环境 示意图；

图2为一个实施例中网络接入设备的内部结构示意图；

图3为一个实施例中应用程序服务器的内部结构示意图；

图4为一个实施例中网络接入设备接入无线网络接入点的方法的流程图；

图5为一个实施例中认证门户上确认授权的界面示意图；

图6为一个实施例中应用程序服务器定期更新无线接入密钥，并将更新的 无线接入密钥发送给网络接入设备上的应用程序客户端，更新该网络接入设备 上的应用程序客户端上的无线接入密钥的具体流程图；

图7为另一个实施例中网络接入设备接入无线网络接入点的方法的流程图；

图8为另一个实施例中网络接入设备接入无线网络接入点的方法的流程图；

图9为一个实施例中网络接入设备接入无线网络接入点的系统的结构框图；

图10为一个实施例中网络接入设备接入无线网络接入点的装置的结构框 图；

图11为另一个实施例中网络接入设备接入无线网络接入点的装置的结构框 图；

图12为另一个实施例中网络接入设备接入无线网络接入点的装置的结构框 图；

图13为另一个实施例中网络接入设备接入无线网络接入点的装置的结构框 图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实 施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅 仅用以解释本发明，并不用于限定本发明。

图1为一个实施例中网络接入设备接入无线网络接入点的方法的应用环境 示意图。如图1所示，该应用环境包括网络接入设备110、无线网络接入点120、 认证服务器130和应用程序服务器140。

网络接入设备110上安装有应用程序客户端，用户通过网络接入设备110 上的应用程序客户端接入无线网络接入点120后联网访问应用程序服务器140。 其中，应用程序客户端可为即时通信客户端、支付功能客户端、电子邮件客户 端等。

网络接入设备110接入无线网络接入点120时，发起对任意网站的访问请 求，无线网络接入点120检测网络接入设备110是否经过了认证，若没有，则 将访问请求重定向到wifiportal(认证门户)，在网络接入设备110上显示认证门 户，网络接入设备110获取到用户在认证门户上同意授权认证后，呼起应用程 序客户端，应用程序客户端采用无线接入密钥加密认证参数，向认证服务器130 发起携带有加密认证参数的认证请求。wifiportal是提供给wifi服务的场所，在 用户接入wifi时推送的登录门户。

无线网络接入点120可为无线AP(AccessPoint，无线访问节点，会话点或 存取桥接器)、无线路由器、无线控制器(WirelessAccessPointController，AC)。 无线AP是可包含单纯性无线网络接入点，也可为无线路由器等设备。无线控制 器是一种网络设备，用来集中化控制无线AP，是一个无线网络的核心，负责管 理无线网络中的所有无线AP，对AP管理包括：下发配置、修改配置参数、射 频智能管理、接入安全控制等。

认证服务器130将携带有加密认证参数的认证请求采用HTTPS(HyperText TransferProtocoloverSecureSocketLayer，安全套接字层超级文本传输协议)方 式发送给应用程序服务器140。HTTPS是以安全为目标的HTTP通道。认证服 务器130可为商场、指定地点等提供上网服务的服务器。

应用程序服务器140接收到认证请求后进行解密得到认证参数，验证了认 证请求的合法性，对解密得到的认证参数进行认证，认证参数包括硬件参数信 息和用户身份标识，对认证参数认证后得到认证结果，采用的无线接入密钥生 成加密签名，将认证参数、认证结果和加密签名返回给认证服务器130。

认证服务器130记录认证参数，并根据认证结果同步的返回一个用户认证 结果地址和加密签名给网络接入设备110。认证服务器130可为认证门户的服务 器。认证服务器130还可根据认证的硬件信息确认无线网络接入点120的合法 性，以及记录认证参数，供网监等机构查询。

网络接入设备110上的应用程序客户端接收到加密签名后，对加密签名进 行解密，校验该签名，校验通过，则确认返回的合法性，访问用户认证结果地 址，接收到认证服务器120根据访问用户认证结果地址返回的放行结果，并根 据放行结果接入无线网络接入点120进行联网。

图2为一个实施例中网络接入设备的内部结构示意图。如图2所示，该网络 接入设备110包括通过系统总线连接的处理器、存储介质、内存和网络接口。其 中，网络接入设备110的存储介质存储有操作系统，还包括一种网络接入设备接 入无线网络接入点的装置，该网络接入设备接入无线网络接入点的装置用于实 现一种网络接入设备接入无线网络接入点的方法。该处理器用于提供计算和控 制能力，支撑整个网络接入设备的运行。网络接入设备110中的内存为存储介质 中的网络接入设备接入无线网络接入点的装置的运行提供环境，网络接口用于 与无线网络接入点120、认证服务器130和应用程序服务器140进行网络通信，如 发送认证请求至认证服务器130，接收认证服务器130返回的认证结果、放行结 果和放行时间等。该网络接入设备110可以是智能手机、笔记本电脑、平板电脑 或者个人数字助理等。本领域技术人员可以理解，图2中示出的结构，仅仅是与 本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的终 端的限定，具体的终端可以包括比图中所示更多或更少的部件，或者组合某些 部件，或者具有不同的部件布置。

图3为一个实施例中应用程序服务器的内部结构示意图。如图3所示，该应 用程序服务器140包括通过系统总线连接的处理器、存储介质、内存和网络接口。 其中，该应用程序服务器140的存储介质存储有操作系统、数据库和网络接入设 备接入无线网络接入点的装置，数据库中存储有认证参数和无线接入密钥，该 网络接入设备接入无线网络接入点的装置用于实现适用于应用程序服务器140 的一种网络接入设备接入无线网络接入点的方法。该应用程序服务器140的处理 器用于提供计算和控制能力，支撑整个应用程序服务器的运行。该应用程序服 务器的内存为存储介质中的网络接入设备接入无线网络接入点的装置的运行提 供环境。该应用程序服务器140的网络接口用于据以与外部的认证服务器130、 网络接入设备110通过网络连接通信，比如接收认证服务器130传送的网络接入 设备110发送的认证请求以及向返回认证结果、认证参数及加密签名给认证服务 器130等。应用程序服务器可以用独立的服务器或者是多个服务器组成的服务器 集群来实现。本领域技术人员可以理解，图3中示出的结构，仅仅是与本申请方 案相关的部分结构的框图，并不构成对本申请方案所应用于其上的服务器的限 定，具体的服务器可以包括比图中所示更多或更少的部件，或者组合某些部件， 或者具有不同的部件布置。

此外，认证服务器130也可包括通过系统总线连接的处理器、存储介质、内 存和网络接口。

图4为一个实施例中网络接入设备接入无线网络接入点的方法的流程图。 如图4所示，一种网络接入设备接入无线网络接入点的方法，运行于图1的应 用环境中，包括以下步骤：

步骤402，无线网络接入点检测到发起访问请求的网络接入设备未认证时， 重定向该访问请求到认证门户，该访问请求中携带有认证服务器地址。

具体地，网络接入设备连接无线网络接入点后，任意访问一个网站，无线 网络接入点检测网络接入设备是否被认证，若是，则网络接入设备可以访问网 站，若未认证，则无线网络接入点将访问请求重定向到认证门户，该访问请求 中携带有认证服务器地址。

在无线网络接入点内维护一个表，其中包括已认证过的网络接入设备的 MAC(MediaAccessControl，硬件地址)地址和其映射的剩余放行时间等信息， 当有一个网络接入设备连接无线网络接入点(如wifi热点)时，无线网络接入 点首先从表中查询，若该网络接入设备的MAC地址在表中，且放行时间未过期， 则认为该网络接入设备已认证，直接放行，让其访问网络，否则，认为该网络 接入设备未认证。放行时间是指无线网络接入点允许网络接入设备使用上网的 时间。

重定向访问请求是指可通过http302重定向到portal门户，并且把硬件参数 和认证服务器地址带在portal的链接上，供应用程序客户端获取。硬件参数信息 包括网络接入设备的设备标识和无线网络接入点的设备标识。设备标识可为 MAC地址或表示设备唯一性的标识号码等。

步骤404，网络接入设备上的应用程序客户端在得到用户在认证门户的认证 授权后，获取认证参数，采用无线接入密钥加密认证参数，根据该认证服务器 地址向认证服务器发起携带有加密后的认证参数的认证请求。

具体地，重定向访问请求到认证门户后，切换进入认证门户，在认证门户 上出现提示界面以供用户同意认证授权，或者在认证门户直接自动呼起应用程 序的过程中跳转到是否同意继续授权认证的页面。如图5所示，切换进入认证 门户，在认证门户上出现提示界面，在提示界面显示是否同意继续授权认证， 并提供确认授权控件和取消授权控件。

认证参数可包括硬件参数信息和用户身份标识。硬件参数信息包括网络接 入设备的设备标识和无线网络接入点的设备标识。用户身份标识是用于唯一标 识应用程序的用户身份的特征值，可为即时通信账号、电子邮件账号等，不限 于此。

步骤406，认证服务器将携带有加密后的认证参数的认证请求发送给应用程 序服务器。

具体地，认证服务器接收到加密后的认证参数，然后将加密后的认证参数 发送给应用程序服务器。

认证服务器用于将携带有加密后的认证参数的认证请求发送给应用程序服 务器。

具体地，认证服务器将携带有加密后的认证参数的认证请求采用HTTPS方 式发送给该应用程序服务器。HTTPS传输信息安全，不容易被恶意截获泄漏。

步骤408，应用程序服务器接收到认证请求后，采用无线接入密钥对该认证 请求进行解密，得到认证参数，对认证参数进行认证得到认证结果，采用无线 接入密钥生成加密签名，将该认证参数、认证结果和加密签名返回给该认证服 务器。

具体地，无线接入密钥是指应用程序服务器与应用程序客户端约定的密钥 或者应用程序服务器生成的密钥，并发送给应用程序客户端。

对认证请求进行解密得到认证参数，表示认证请求来自合法的应用程序客 户端。认证参数包括硬件参数信息和用户身份标识。对用户身份标识进行认证， 即将用户身份标识与应用程序服务器上存储的用户身份标识进行比较，若相同， 则认证通过，若不同，则认证失败。对硬件参数信息进行认证，即将硬件参数 信息与应用程序服务器上存储的硬件参数信息进行比较，若相同，则认证通过， 若不同，则认证失败。也可只对用户身份标识进行认证。

本实施例中，采用无线接入密钥和用户身份标识生成加密签名，或者采用 无线接入密钥、用户身份标识及时间戳生成加密签名。

具体地，无线接入密钥生成的加密签名可由应用程序服务器和应用程序客 户端约定的签名算法生成。例如，应用程序服务器用wifikey(无线接入密钥) 和用户身份标识计算一个md5值(即一个加密签名)返回给网络接入设备上的 应用程序客户端，应用程序客户端使用自己的wifikey和用户身份标识也计算一 个md5值(即一个加密签名)，若应用程序服务器生成的md5与应用程序客户 端生成的md5值一致，则表示签名合法，表示对应用程序服务器进行了认证。 或者，应用程序服务器使用时间戳、用户身份标识、wifikey采用sha1算法计算 一个签名，把时间戳和签名同时返回给网络接入设备上的应用程序客户端，应 用程序客户端使用自己的wifikey和用户身份标识，再和返回的时间戳采用sha1 算法计算一个签名，将应用程序客户端计算的签名与返回的签名比较，若一致， 则签名合法，表示对应用程序服务器进行了认证。

应用程序服务器将认证参数、认证结果及加密签名通过HTTPS方式发送给 认证服务器。

此外，应用程序服务器根据用户身份标识查询到用户身份详细信息，并将 用户身份详细信息返回给认证服务器。

步骤410，认证服务器接收认证参数、认证结果和加密签名，生成用户认证 结果确认地址，将该用户认证结果确认地址及加密签名返回给该网络接入设备 上的应用程序客户端。

具体地，认证服务器接收到认证参数后，可对认证参数中的硬件参数信息 进行认证，将无线网络接入点的设备标识与认证服务器上存储的无线网络接入 点的设备标识进行比较，若相同，则无线网络接入点认证通过，若否，则无线 网络接入点认证失败。

认证服务器接收到认证结果后，同步生成一个用户认证结果确认地址(login 地址)。通过用户认证结果确认地址确认认证服务器收到的认证请求来自一个合 法的应用程序客户端，并且该用户认证结果地址是一次性有效的，确保不会被 恶意截获使用。

步骤412，网络接入设备上的应用程序客户端接收到加密签名及用户认证结 果地址后，解密该加密签名，并对解密后的签名进行校验，校验通过后，访问 该用户认证结果地址，并接收认证服务器根据访问该用户认证结果地址返回的 放行结果，根据该放行结果接入该无线网络接入点进行联网。

具体地，应用程序客户端接收到加密签名后，对加密签名解密后得到签名。 签名可为无线接入密钥和用户身份标识生成加密签名，或者采用无线接入密钥、 用户身份标识及时间戳生成加密签名。可采用如前所述的方式，例如应用程序 客户端将无线接入密钥和用户身份标识生成md5值，与应用程序服务器返回的 根据无线接入密钥和用户身份标识生成的md5值比较，若相同，则签名校验通 过。

放行结果是指是否放行成功，若放行成功，则允许网络接入设备接入无线 网络接入点进行正常的互联网访问。

此外，该认证服务器接收到网络接入设备访问该用户认证结果地址后，返 回放行时间到该无线网络接入设备。放行时间是指运行网络接入设备接入无线 网络接入点使用上网的时间。如此，可以限制在同一时间内上网的人数，合理 分配上网流量。

上述网络接入设备接入无线网络接入点的方法，网络接入设备未认证时， 网络接入设备对认证参数采用无线接入密钥加密后向认证服务器发起认证请 求，认证服务器再将携带有加密后的认证参数的认证请求发送给应用程序服务 器，应用程序服务器进行解密得到认证参数，认证参数在传输过程中采用的是 密文形式，提高了数据传输的安全性，应用程序服务器采用无线接入密钥生成 加密签名，并将加密签名和对认证参数的认证结果返回给认证服务器，认证服 务器将加密签名及认证结果生成的用户认证结果确认地址发送给网络接入设 备，网络接入设备对加密签名进行校验，校验通过，表示应用程序服务器通过 认证，然后访问用户认证结果确认地址，对应用程序客户端及应用程序服务器 分别进行校验，提高了安全性。应用程序客户端访问用户认证结果确认地址， 认证服务器进一步认证应用程序客户端，如此，采用三重验证提供了安全性。

在一个实施例中，上述网络接入设备接入无线网络接入点的方法还包括： 应用程序服务器定期更新无线接入密钥，并将更新的无线接入密钥发送给网络 接入设备上的应用程序客户端，更新该网络接入设备上的应用程序客户端上的 无线接入密钥。

图6为一个实施例中应用程序服务器定期更新无线接入密钥，并将更新的 无线接入密钥发送给网络接入设备上的应用程序客户端，更新该网络接入设备 上的应用程序客户端上的无线接入密钥的具体流程图。如图6所示，应用程序 服务器定期更新无线接入密钥，并将更新的无线接入密钥发送给网络接入设备 上的应用程序客户端，更新该网络接入设备上的应用程序客户端上的无线接入 密钥包括：

步骤602，该应用程序服务器定期更新生成新的无线接入密钥，并备份旧的 无线接入密钥。

步骤604，该应用程序服务器采用旧的无线接入密钥加密新的无线接入密 钥，并将包含加密后的新的无线接入密钥的更新请求发送给网络接入设备上的 应用程序客户端。

步骤606，该网络接入设备上的应用程序客户端接收到更新请求后，采用旧 的无线接入密钥解密更新请求，得到新的无线接入密钥，并将新的无线接入密 钥替换就的无线接入密钥。

此外，应用程序服务器在更新没有全部完成时，保证兼容新旧无线接入密 钥可以同时使用，保证服务正常。

定期更新无线接入密钥，防止无线接入密钥泄漏，可提高安全性。

图7为另一个实施例中网络接入设备接入无线网络接入点的方法的流程图。 图7中的网络接入设备接入无线网络接入点的方法，以网络接入设备角度描述， 描述不详尽之处请参照图4中的网络接入设备接入无线网络接入点的方法中描 述。如图7所示，一种网络接入设备接入无线网络接入点的方法，包括以下步 骤：

步骤702，在无线网络接入点检测到网络接入设备未认证后，获取认证参数。

具体地，网络接入设备链接无线网络接入点后，任意访问一个网站，无线 网络接入点检测网络接入设备是否被认证，若是，则网络接入设备可以访问网 站，若未认证，则无线网络接入点将访问请求重定向到认证门户，该访问请求 中携带有认证服务器地址。

在无线网络接入点内维护一个表，其中包括已认证过的网络接入设备的 MAC地址和其映射的剩余放行时间等信息，当有一个网络接入设备连接无线网 络接入点(如wifi热点)时，无线网络接入点首先从表中查询，若该网络接入 设备的MAC地址在表中，且放行时间未过期，则认为该网络接入设备已认证， 直接放行，让其访问网络，否则，认为该网络接入设备未认证。放行时间是指 无线网络接入点允许网络接入设备使用上网的时间。

在无线网络接入点检测到网络接入设备未认证后，重定向网络接入设备的 访问请求到认证门户，切换进入认证门户，在认证门户上出现提示界面以供用 户同意认证授权，或者在认证门户直接自动呼起应用程序的过程中跳转到是否 同意继续授权认证的页面。获取到用户在认证门户的认证授权后，获取认证参 数。

认证参数可包括硬件参数信息和用户身份标识。硬件参数信息包括网络接 入设备的设备标识和无线网络接入点的设备标识等。用户身份标识是用于唯一 标识应用程序的用户身份的特征值，可为即时通信账号、电子邮件账号等，不 限于此。

步骤704，采用无线接入密钥加密认证参数。

步骤706，根据网络接入设备未认证时重定向访问请求中的认证服务器地址 向认证服务器发起携带有无线接入密钥加密的认证参数的认证请求。

步骤708，接收认证服务器返回的加密签名及用户认证结果地址，其中，该 加密签名为应用程序服务器对携带有加密后的认证参数的认证请求进行解密得 到认证参数后，采用无线接入密钥生成的；该用户认证结果地址为认证服务器 接收到应用程序服务器发送的认证参数、认证结果和加密签名后生成的。

该加密签名可为采用无线接入密钥和用户身份标识生成加密签名，或者采 用无线接入密钥、用户身份标识及时间戳生成加密签名。

步骤710，解密该加密签名。

具体地，网络接入设备解密加密签名得到签名。

步骤712，对解密后的签名进行校验，校验通过后，访问该用户认证结果地 址。

本实施例中，采用无线接入密钥和用户身份标识生成加密签名，或者采用 无线接入密钥、用户身份标识及时间戳生成加密签名。

具体地，无线接入密钥生成的加密签名可由应用程序服务器和应用程序客 户端约定的签名算法生成。例如，应用程序服务器用wifikey(无线接入密钥) 和用户身份标识计算一个md5值(即一个加密签名)返回给网络接入设备上的 应用程序客户端，应用程序客户端使用自己的wifikey和用户身份标识也计算一 个md5值(即一个加密签名)，若应用程序服务器生成的md5与应用程序客户 端生成的md5值一致，则表示签名合法，表示对应用程序服务器进行了认证。 或者，应用程序服务器使用时间戳、用户身份标识、wifikey采用sha1算法计算 一个签名，把时间戳和签名同时返回给网络接入设备上的应用程序客户端，应 用程序客户端使用自己的wifikey和用户身份标识，再和返回的时间戳采用sha1 算法计算一个签名，将应用程序客户端计算的签名与返回的签名比较，若一致， 则签名合法，表示对应用程序服务器进行了认证。

步骤714，接收该认证服务器根据访问该用户认证结果地址返回的放行结 果，根据该放行结果接入无线网络接入点进行联网。

放行结果是指是否放行成功，若放行成功，则允许网络接入设备接入无线 网络接入点进行正常的互联网访问。

此外，接收认证服务器接收到访问该用户认证结果地址后返回的放行时间。 放行时间是指运行网络接入设备接入无线网络接入点使用上网的时间。如此， 可以限制在同一时间内上网的人数，合理分配上网流量。

上述网络接入设备接入无线网络接入点的方法，网络接入设备未认证时， 网络接入设备对认证参数采用无线接入密钥加密后向认证服务器发起认证请 求，认证服务器再将携带有加密后的认证参数的认证请求发送给应用程序服务 器，应用程序服务器进行解密得到认证参数，认证参数在传输过程中采用的是 密文形式，提高了数据传输的安全性，应用程序服务器采用无线接入密钥生成 加密签名，并将加密签名和对认证参数的认证结果返回给认证服务器，认证服 务器将加密签名及认证结果生成的用户认证结果确认地址发送给网络接入设 备，网络接入设备对加密签名进行校验，校验通过，表示应用程序服务器通过 认证，然后访问用户认证结果确认地址，对应用程序客户端及应用程序服务器 分别进行校验，提高了安全性。应用程序客户端访问用户认证结果确认地址， 认证服务器进一步认证应用程序客户端，如此，采用三重验证提供了安全性。

在一个实施例中，上述网络接入设备接入无线网络接入点的方法还包括接 收应用程序服务器更新后的无线接入密钥。

进一步的，该接收应用程序服务器更新后的无线接入密钥的步骤包括：接 收应用程序服务器发送的包含加密的新的无线接入密钥的更新请求；其中，新 的无线密钥采用旧的无线密钥进行加密；根据该更新请求，采用旧的无线接入 密钥解密更新请求，得到新的无线接入密钥，并将新的无线接入密钥替换就的 无线接入密钥。

此外，应用程序服务器在更新没有全部完成时，保证兼容新旧无线接入密 钥可以同时使用，保证服务正常。

定期更新无线接入密钥，防止无线接入密钥泄漏，可提高安全性。

图8为另一个实施例中网络接入设备接入无线网络接入点的方法的流程图。 如图8所示，一种网络接入设备接入无线网络接入点的方法，以应用程序服务 器角度描述，描述不详尽之处请参照图4中的网络接入设备接入无线网络接入 点的方法中描述，包括以下步骤：

步骤802，接收认证服务器发起的携带有无线接入密钥加密的认证参数的认 证请求，该认证请求为网络接入设备在未被认证时发送给认证服务器的。

步骤804，接收到认证请求后，采用无线接入密钥对该认证请求进行解密， 得到认证参数，对该认证参数进行认证得到认证结果，采用无线接入密钥生成 加密签名，将该认证参数、认证结果和加密签名返回给该认证服务器，以使该 认证服务器生成用户认证结果确认地址，将该用户认证结果确认地址及加密签 名返回给网络接入设备上的应用程序客户端，以及该网络接入设备上的应用程 序客户端接收到加密签名及用户认证结果地址后，解密该加密签名，并对解密 后的签名进行校验，校验通过后，访问该用户认证结果地址，并接收该认证服 务器根据访问该用户认证结果地址返回的放行结果，根据该放行结果接入该无 线网络接入点进行联网。

该认证参数包括硬件参数信息和用户身份标识；该硬件参数信息包括网络 接入设备的设备标识及无线网络接入点的设备标识。

该采用无线接入密钥生成加密签名的步骤包括：

采用无线接入密钥和用户身份标识生成加密签名，或者采用无线接入密钥、 用户身份标识及时间戳生成加密签名。

上述网络接入设备接入无线网络接入点的方法，网络接入设备未认证时， 网络接入设备对认证参数采用无线接入密钥加密后向认证服务器发起认证请 求，认证服务器再将携带有加密后的认证参数的认证请求发送给应用程序服务 器，应用程序服务器进行解密得到认证参数，认证参数在传输过程中采用的是 密文形式，提高了数据传输的安全性，应用程序服务器采用无线接入密钥生成 加密签名，并将加密签名和对认证参数的认证结果返回给认证服务器，认证服 务器将加密签名及认证结果生成的用户认证结果确认地址发送给网络接入设 备，网络接入设备对加密签名进行校验，校验通过，表示应用程序服务器通过 认证，然后访问用户认证结果确认地址，对应用程序客户端及应用程序服务器 分别进行校验，提高了安全性。应用程序客户端访问用户认证结果确认地址， 认证服务器进一步认证应用程序客户端，如此，采用三重验证提供了安全性。

在一个实施例中，上述网络接入设备接入无线网络接入点，还包括：定期 更新无线接入密钥，并将更新的无线接入密钥发送给网络接入设备上的应用程 序客户端。

进一步的，该定期更新无线接入密钥，并将更新的无线接入密钥发送给网 络接入设备上的应用程序客户端的步骤包括：定期更新生成新的无线接入密钥， 并备份旧的无线接入密钥；采用旧的无线接入密钥加密新的无线接入密钥，并 将包含加密后的新的无线接入密钥的更新请求发送给网络接入设备上的应用程 序客户端。

此外，应用程序服务器在更新没有全部完成时，保证兼容新旧无线接入密 钥可以同时使用，保证服务正常。

定期更新无线接入密钥，防止无线接入密钥泄漏，可提高安全性。

图9为一个实施例中网络接入设备接入无线网络接入点的系统的结构框图。 如图9所示，一种网络接入设备接入无线网络接入点的系统，包括网络接入设 备910、无线网络接入点920、认证服务器930和应用程序服务器940。

无线网络接入点920用于检测到发起访问请求的网络接入设备910未认证 时，重定向该访问请求到认证门户，该访问请求中携带有认证服务器地址。

具体地，网络接入设备910连接无线网络接入点后，任意访问一个网站， 无线网络接入点检测网络接入设备是否被认证，若是，则网络接入设备可以访 问网站，若未认证，则无线网络接入点将访问请求重定向到认证门户，该访问 请求中携带有认证服务器地址。

在无线网络接入点内维护一个表，其中包括已认证过的网络接入设备的 MAC地址和其映射的剩余放行时间等信息，当有一个网络接入设备连接无线网 络接入点(如wifi热点)时，无线网络接入点首先从表中查询，若该网络接入 设备的MAC地址在表中，且放行时间未过期，则认为该网络接入设备已认证， 直接放行，让其访问网络，否则，认为该网络接入设备未认证。放行时间是指 无线网络接入点允许网络接入设备使用上网的时间。

重定向访问请求是指可通过http302重定向到portal门户，并且把硬件参数 和认证服务器地址带在portal的链接上，供应用程序客户端获取。硬件参数信息 包括网络接入设备的设备标识和无线网络接入点的设备标识。设备标识可为 MAC地址或表示设备唯一性的标识号码等。

网络接入设备910用于在得到用户在认证门户的认证授权后，通过应用程 序客户端获取认证参数，采用无线接入密钥加密认证参数，根据该认证服务器 地址向认证服务器发起携带有加密后的认证参数的认证请求。

具体地，重定向访问请求到认证门户后，切换进入认证门户，在认证门户 上出现提示界面以供用户同意认证授权，或者在认证门户直接自动呼起应用程 序的过程中跳转到是否同意继续授权认证的页面。如图5所示，切换进入认证 门户，在认证门户上出现提示界面，在提示界面显示是否同意继续授权认证， 并提供确认授权控件和取消授权控件。

认证参数可包括硬件参数信息和用户身份标识。硬件参数信息包括网络接 入设备的设备标识和无线网络接入点的设备标识。用户身份标识是用于唯一标 识应用程序的用户身份的特征值，可为即时通信账号、电子邮件账号等，不限 于此。

认证服务器930用于将携带有加密后的认证参数的认证请求发送给应用程 序服务器940。

具体地，认证服务器930还用于将携带有加密后的认证参数的认证请求采 用HTTPS方式发送给该应用程序服务器940。HTTPS传输信息安全，不容易被 恶意截获泄漏。

应用程序服务器940用于接收到认证请求后，采用无线接入密钥对该认证 请求进行解密，得到认证参数，对认证参数进行认证得到认证结果，采用无线 接入密钥生成加密签名，将该认证参数、认证结果和加密签名返回给认证服务 器930。

对认证请求进行解密得到认证参数，表示认证请求来自合法的应用程序客 户端。认证参数包括硬件参数信息和用户身份标识。对用户身份标识进行认证， 即将用户身份标识与应用程序服务器上存储的用户身份标识进行比较，若相同， 则认证通过，若不同，则认证失败。对硬件参数信息进行认证，即将硬件参数 信息与应用程序服务器上存储的硬件参数信息进行比较，若相同，则认证通过， 若不同，则认证失败。也可只对用户身份标识进行认证。

本实施例中，采用无线接入密钥和用户身份标识生成加密签名，或者采用 无线接入密钥、用户身份标识及时间戳生成加密签名。

具体地，无线接入密钥生成的加密签名可由应用程序服务器和应用程序客 户端约定的签名算法生成。例如，应用程序服务器用wifikey(无线接入密钥) 和用户身份标识计算一个md5值(即一个加密签名)返回给网络接入设备上的 应用程序客户端，应用程序客户端使用自己的wifikey和用户身份标识也计算一 个md5值(即一个加密签名)，若应用程序服务器生成的md5与应用程序客户 端生成的md5值一致，则表示签名合法，表示对应用程序服务器进行了认证。 或者，应用程序服务器使用时间戳、用户身份标识、wifikey采用sha1算法计算 一个签名，把时间戳和签名同时返回给网络接入设备上的应用程序客户端，应 用程序客户端使用自己的wifikey和用户身份标识，再和返回的时间戳采用sha1 算法计算一个签名，将应用程序客户端计算的签名与返回的签名比较，若一致， 则签名合法，表示对应用程序服务器进行了认证。

应用程序服务器940还用于将认证参数、认证结果及加密签名通过HTTPS 方式发送给认证服务器930。

此外，应用程序服务器940根据用户身份标识查询到用户身份详细信息， 并将用户身份详细信息返回给认证服务器。

认证服务器930还用于接收认证参数、认证结果和加密签名，生成用户认 证结果确认地址，将该用户认证结果确认地址及加密签名返回给该网络接入设 备上的应用程序客户端。

具体地，认证服务器930接收到认证参数后，可对认证参数中的硬件参数 信息进行认证，将无线网络接入点的设备标识与认证服务器上存储的无线网络 接入点的设备标识进行比较，若相同，则无线网络接入点认证通过，若否，则 无线网络接入点认证失败。

认证服务器930接收到认证结果后，同步生成一个用户认证结果确认地址 (login地址)。通过用户认证结果确认地址确认认证服务器收到的认证请求来自 一个合法的应用程序客户端，并且该用户认证结果地址是一次性有效的，确保 不会被恶意截获使用。

网络接入设备910还用于接收到加密签名及用户认证结果地址后，通过应 用程序客户端解密该加密签名，并对解密后的签名进行校验，校验通过后，访 问该用户认证结果地址，并接收该认证服务器根据访问该用户认证结果地址返 回的放行结果，根据该放行结果接入该无线网络接入点进行联网。

具体地，应用程序客户端接收到加密签名后，对加密签名解密后得到签名。 签名可为无线接入密钥和用户身份标识生成加密签名，或者采用无线接入密钥、 用户身份标识及时间戳生成加密签名。可采用如前所述的方式，例如应用程序 客户端将无线接入密钥和用户身份标识生成md5值，与应用程序服务器返回的 根据无线接入密钥和用户身份标识生成的md5值比较，若相同，则签名校验通 过。

放行结果是指是否放行成功，若放行成功，则允许网络接入设备接入无线 网络接入点进行正常的互联网访问。

此外，该认证服务器接收到网络接入设备访问该用户认证结果地址后，返 回放行时间到该无线网络接入设备。放行时间是指运行网络接入设备接入无线 网络接入点使用上网的时间。如此，可以限制在同一时间内上网的人数，合理 分配上网流量。

上述网络接入设备接入无线网络接入点的系统，网络接入设备未认证时， 网络接入设备对认证参数采用无线接入密钥加密后向认证服务器发起认证请 求，认证服务器再将携带有加密后的认证参数的认证请求发送给应用程序服务 器，应用程序服务器进行解密得到认证参数，认证参数在传输过程中采用的是 密文形式，提高了数据传输的安全性，应用程序服务器采用无线接入密钥生成 加密签名，并将加密签名和对认证参数的认证结果返回给认证服务器，认证服 务器将加密签名及认证结果生成的用户认证结果确认地址发送给网络接入设 备，网络接入设备对加密签名进行校验，校验通过，表示应用程序服务器通过 认证，然后访问用户认证结果确认地址，对应用程序客户端及应用程序服务器 分别进行校验，提高了安全性。应用程序客户端访问用户认证结果确认地址， 认证服务器进一步认证应用程序客户端，如此，采用三重验证提供了安全性。

在一个实施例中，应用程序服务器940还用于定期更新无线接入密钥，并 将更新的无线接入密钥发送给网络接入设备上的应用程序客户端，更新该网络 接入设备上的应用程序客户端上的无线接入密钥。

进一步的，应用程序服务器940还用于定期更新生成新的无线接入密钥， 并备份旧的无线接入密钥，以及采用旧的无线接入密钥加密新的无线接入密钥， 并将包含加密后的新的无线接入密钥的更新请求发送给网络接入设备上的应用 程序客户端。

该网络接入设备上的应用程序客户端接收到更新请求后，采用旧的无线接 入密钥解密更新请求，得到新的无线接入密钥，并将新的无线接入密钥替换就 的无线接入密钥。

此外，应用程序服务器在更新没有全部完成时，保证兼容新旧无线接入密 钥可以同时使用，保证服务正常。

定期更新无线接入密钥，防止无线接入密钥泄漏，可提高安全性。

图10为一个实施例中网络接入设备接入无线网络接入点的装置的结构框 图。如图10所示，一种网络接入设备接入无线网络接入点的装置1000，位于网 络接入设备，包括获取模块1002、认证加密模块1004、请求发起模块1006、接 收模块1008、签名解密模块1010、校验模块1012、访问模块1014和联网模块 1016。

获取模块1002用于在无线网络接入点检测到网络接入设备未认证后，获取 认证参数。

具体地，网络接入设备链接无线网络接入点后，任意访问一个网站，无线 网络接入点检测网络接入设备是否被认证，若是，则网络接入设备可以访问网 站，若未认证，则无线网络接入点将访问请求重定向到认证门户，该访问请求 中携带有认证服务器地址。

在无线网络接入点内维护一个表，其中包括已认证过的网络接入设备的 MAC地址和其映射的剩余放行时间等信息，当有一个网络接入设备连接无线网 络接入点(如wifi热点)时，无线网络接入点首先从表中查询，若该网络接入 设备的MAC地址在表中，且放行时间未过期，则认为该网络接入设备已认证， 直接放行，让其访问网络，否则，认为该网络接入设备未认证。放行时间是指 无线网络接入点允许网络接入设备使用上网的时间。

在无线网络接入点检测到网络接入设备未认证后，重定向网络接入设备的 访问请求到认证门户，切换进入认证门户，在认证门户上出现提示界面以供用 户同意认证授权，或者在认证门户直接自动呼起应用程序的过程中跳转到是否 同意继续授权认证的页面。获取到用户在认证门户的认证授权后，获取认证参 数。

认证参数可包括硬件参数信息和用户身份标识。硬件参数信息包括网络接 入设备的设备标识和无线网络接入点的设备标识等。用户身份标识是用于唯一 标识应用程序的用户身份的特征值，可为即时通信账号、电子邮件账号等，不 限于此。

认证加密模块1004用于采用无线接入密钥加密认证参数。

请求发起模块1006用于根据网络接入设备未认证时重定向访问请求中的认 证服务器地址向认证服务器发起携带有无线接入密钥加密的认证参数的认证请 求。

接收模块1008用于接收该认证服务器返回的加密签名及用户认证结果地 址，其中，该加密签名为应用程序服务器对携带有加密后的认证参数的认证请 求进行解密得到认证参数后，采用无线接入密钥生成的；该用户认证结果地址 为认证服务器接收到应用程序服务器发送的认证参数、认证结果和加密签名后 生成的。

签名解密模块1010用于解密该加密签名。

校验模块1012用于对解密后的签名进行校验。

本实施例中，采用无线接入密钥和用户身份标识生成加密签名，或者采用 无线接入密钥、用户身份标识及时间戳生成加密签名。

具体地，无线接入密钥生成的加密签名可由应用程序服务器和应用程序客 户端约定的签名算法生成。例如，应用程序服务器用wifikey(无线接入密钥) 和用户身份标识计算一个md5值(即一个加密签名)返回给网络接入设备上的 应用程序客户端，校验模块1012使用自己的wifikey和用户身份标识也计算一 个md5值(即一个加密签名)，若应用程序服务器生成的md5与应用程序客户 端生成的md5值一致，则表示签名合法，表示对应用程序服务器进行了认证。 或者，应用程序服务器使用时间戳、用户身份标识、wifikey采用sha1算法计算 一个签名，把时间戳和签名同时返回给网络接入设备上的应用程序客户端，校 验模块1012使用自己的wifikey和用户身份标识，再和返回的时间戳采用sha1 算法计算一个签名，将应用程序客户端计算的签名与返回的签名比较，若一致， 则签名合法，表示对应用程序服务器进行了认证。

访问模块1014用于在校验通过后，访问该用户认证结果地址。

该接收模块1008还用于接收该认证服务器根据访问该用户认证结果地址返 回的放行结果。

联网模块1016用于根据该放行结果接入无线网络接入点进行联网。

放行结果是指是否放行成功，若放行成功，则允许网络接入设备接入无线 网络接入点进行正常的互联网访问。

接收模块1008还用于接收认证服务器接收到访问该用户认证结果地址后返 回的放行时间。

上述网络接入设备接入无线网络接入点的装置，网络接入设备未认证时， 网络接入设备对认证参数采用无线接入密钥加密后向认证服务器发起认证请 求，以使认证服务器将携带有加密后的认证参数的认证请求发送给应用程序服 务器，应用程序服务器进行解密得到认证参数，认证参数在传输过程中采用的 是密文形式，提高了数据传输的安全性，应用程序服务器采用无线接入密钥生 成加密签名，并将加密签名和对认证参数的认证结果返回给认证服务器，认证 服务器将加密签名及认证结果生成的用户认证结果确认地址发送给网络接入设 备，网络接入设备对加密签名进行校验，校验通过，表示应用程序服务器通过 认证，然后访问用户认证结果确认地址，对应用程序客户端及应用程序服务器 分别进行校验，提高了安全性。应用程序客户端访问用户认证结果确认地址， 认证服务器进一步认证应用程序客户端，如此，采用三重验证提供了安全性。

在一个实施例中，接收模块1008还用于接收应用程序服务器更新后的无线 接入密钥。

图11为另一个实施例中网络接入设备接入无线网络接入点的装置的结构框 图。如图11所示，一种网络接入设备接入无线网络接入点的装置1000，位于网 络接入设备，除了包括获取模块1002、认证加密模块1004、请求发起模块1006、 接收模块1008、签名解密模块1010、校验模块1012、访问模块1014和联网模 块1016，还包括密钥解密模块1018和替换模块1020。

接收模块1008还用于接收应用程序服务器发送的包含加密的新的无线接入 密钥的更新请求；其中，新的无线密钥采用旧的无线密钥进行加密。

密钥解密模块1018还用于根据该更新请求，采用旧的无线接入密钥解密更 新请求，得到新的无线接入密钥。

替换模块1020用于将新的无线接入密钥替换就的无线接入密钥。

此外，应用程序服务器在更新没有全部完成时，保证兼容新旧无线接入密 钥可以同时使用，保证服务正常。

定期更新无线接入密钥，防止无线接入密钥泄漏，可提高安全性。

图12为另一个实施例中网络接入设备接入无线网络接入点的装置的结构框 图。如图12所示，一种网络接入设备接入无线网络接入点的装置1200，位于应 用程序服务器上，包括请求接收模块1202、认证请求解密模块1204、认证模块 1206、生成模块1208、返回模块1210。

请求接收模块1202用于接收认证服务器发起的携带有无线接入密钥加密的 认证参数的认证请求，该认证请求为网络接入设备在未被认证时发送给认证服 务器的。

认证请求解密模块1204用于接收到认证请求后，采用无线接入密钥对该认 证请求进行解密，得到认证参数。

认证模块1206用于对该认证参数进行认证得到认证结果。

生成模块1208用于采用无线接入密钥生成加密签名。该认证参数包括硬件 参数信息和用户身份标识；该硬件参数信息包括网络接入设备的设备标识及无 线网络接入点的设备标识。

该生成模块1208还用于采用无线接入密钥和用户身份标识生成加密签名， 或者采用无线接入密钥、用户身份标识及时间戳生成加密签名。

返回模块1210用于将该认证参数、认证结果和加密签名返回给该认证服务 器，以使该认证服务器生成用户认证结果确认地址，将该用户认证结果确认地 址及加密签名返回给网络接入设备上的应用程序客户端，以及该网络接入设备 上的应用程序客户端接收到加密签名及用户认证结果地址后，解密该加密签名， 并对解密后的签名进行校验，校验通过后，访问该用户认证结果地址，并接收 该认证服务器根据访问该用户认证结果地址返回的放行结果，根据该放行结果 接入该无线网络接入点进行联网。

上述网络接入设备接入无线网络接入点的装置，网络接入设备未认证时， 网络接入设备对认证参数采用无线接入密钥加密后向认证服务器发起认证请 求，认证服务器再将携带有加密后的认证参数的认证请求发送给应用程序服务 器，应用程序服务器进行解密得到认证参数，认证参数在传输过程中采用的是 密文形式，提高了数据传输的安全性，应用程序服务器采用无线接入密钥生成 加密签名，并将加密签名和对认证参数的认证结果返回给认证服务器，认证服 务器将加密签名及认证结果生成的用户认证结果确认地址发送给网络接入设 备，网络接入设备对加密签名进行校验，校验通过，表示应用程序服务器通过 认证，然后访问用户认证结果确认地址，对应用程序客户端及应用程序服务器 分别进行校验，提高了安全性。应用程序客户端访问用户认证结果确认地址， 认证服务器进一步认证应用程序客户端，如此，采用三重验证提供了安全性。

图13为另一个实施例中网络接入设备接入无线网络接入点的装置的结构框 图。如图13所示，一种网络接入设备接入无线网络接入点的装置1200，位于应 用程序服务器上，除了包括请求接收模块1202、认证请求解密模块1204、认证 模块1206、生成模块1208、返回模块1210，还包括密钥更新模块1212、发送 模块1214、密钥加密模块1216。

密钥更新模块1212用于定期更新无线接入密钥。

发送模块1214用于将更新的无线接入密钥发送给网络接入设备上的应用程 序客户端。

进一步的，该密钥更新模块1212还用于定期更新生成新的无线接入密钥， 并备份旧的无线接入密钥。

该密钥加密模块1216用于采用旧的无线接入密钥加密新的无线接入密钥。

该发送模块1214还用于将包含加密后的新的无线接入密钥的更新请求发送 给网络接入设备上的应用程序客户端。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程， 是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易 失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施 例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)等。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细， 但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域 的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和 改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附 权利要求为准。