本發(fā)明涉及一種電子技術領域，尤其涉及一種網絡接入方法及系統(tǒng)。

背景技術：

現(xiàn)有技術中，為了增強路由器對網絡訪問的控制，在終端接入路由器時，需要終端用戶輸入密碼，只有密碼驗證通過，路由器才允許終端接入網絡。如果終端更換另一個路由器接入網絡，則需要終端用戶再次輸入密碼。即終端每次接入不同的路由器時，均需要用戶重新輸入密碼，操作繁瑣，給用戶造成了極大的不便。

技術實現(xiàn)要素：

本發(fā)明旨在解決上述問題/之一。

本發(fā)明的主要目的在于提供一種網絡接入方法，

本發(fā)明的另一目的在于提供一種網絡接入系統(tǒng)。

為達到上述目的，本發(fā)明的技術方案具體是這樣實現(xiàn)的：

本發(fā)明一方面提供了一種網絡接入方法，包括：終端向路由器發(fā)送接入請求，終端與智能密鑰設備相連接；路由器接收接入請求，向終端發(fā)送身份認證請求；終端接收身份認證請求，將身份認證請求轉發(fā)至智能密鑰設備；智能密鑰設備接收身份認證請求，查詢預先存儲的智能密鑰設備PIN碼驗證結果及預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)，其中，預先存儲的智能密鑰設備PIN碼驗證結果為驗證設備前次對智能密鑰設備進行PIN碼驗證的結果；智能密鑰設備在預先存儲的智能密鑰設備PIN碼驗證結果為通過且處于有效狀態(tài)時，確定本次智能密鑰設備PIN碼驗證結果為通過，并通過終端向路由器發(fā)送身份認證響應，身份認證響應包括用于表示本次PIN碼驗證結果為通過的信息；智能密鑰設備在預先存儲的智能密鑰設備PIN碼驗證結果處于失效狀態(tài)時，觸發(fā)驗證設備執(zhí)行對智能密鑰設備進行PIN碼驗證的流程，獲得本次PIN碼驗證結果，并通過終端向路由器發(fā)送身份認證響應，身份認證響應包括本次PIN碼驗證結果；路由器接收身份認證響應，獲得本次PIN碼驗證結果，在本次PIN碼驗證結果為通過時，路由器與智能密鑰設備進行身份認證和/或密鑰協(xié)商流程，并允許終端接入網絡。

可選的，驗證設備為智能密鑰設備；驗證設備執(zhí)行對智能密鑰設備進行PIN碼驗證的流程，獲得本次PIN碼驗證結果，包括：智能密鑰設備或終端提示輸入智能密鑰設備的PIN碼；智能密鑰設備獲取并驗證智能密鑰設備的PIN碼，獲得本次PIN碼驗證結果；在本次PIN碼驗證結果為通過時，智能密鑰設備存儲本次PIN碼驗證結果。

可選的，驗證設備為認證服務器；驗證設備執(zhí)行對智能密鑰設備進行PIN碼驗證的流程，獲得本次PIN碼驗證結果，包括：智能密鑰設備或終端提示輸入智能密鑰設備的PIN碼；認證服務器獲取并驗證智能密鑰設備的PIN碼，將本次PIN碼驗證結果發(fā)送至智能密鑰設備；智能密鑰設備獲得本次PIN碼驗證結果；在本次PIN碼驗證結果為通過時，智能密鑰設備存儲本次PIN碼驗證結果。

可選的，查詢預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)包括：若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備未發(fā)生過掉電，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)；或者，若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備與終端之間的連接未發(fā)生過斷開，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)；或者，若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后所觸發(fā)的計時未超出預定時長，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)。

可選的，在路由器允許終端接入網絡之后，方法還包括：終端向路由器發(fā)送管理請求；路由器接收管理請求，向終端發(fā)送身份認證請求；終端接收身份認證請求，將身份認證請求發(fā)送至智能密鑰設備；智能密鑰設備接收身份認證請求，查詢預先存儲的智能密鑰設備PIN碼驗證結果及預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)；智能密鑰設備在預先存儲的智能密鑰設備PIN碼驗證結果為通過且處于有效狀態(tài)時，確定本次智能密鑰設備PIN碼驗證結果為通過，并通過終端向路由器發(fā)送身份認證響應，身份認證響應包括用于表示本次PIN碼驗證結果為通過的信息；智能密鑰設備在預先存儲的智能密鑰設備PIN碼驗證結果處于失效狀態(tài)時，確定本次智能密鑰設備PIN碼驗證結果為不通過，并通過終端向路由器發(fā)送身份認證響應，身份認證響應包括用于表示本次PIN碼驗證結果為不通過的信息；路由器接收身份認證響應，獲得本次PIN碼驗證結果，在本次PIN碼驗證結果為通過時，響應管理請求，在本次PIN碼驗證結果為不通過時，拒絕響應管理請求。

本發(fā)明另一方面提供了一種網絡接入系統(tǒng)，包括：智能密鑰設備，終端及路由器；終端與智能密鑰設備相連接，用于向路由器發(fā)送接入請求；路由器，用于接收接入請求，并向終端發(fā)送身份認證請求；終端，還用于接收身份認證請求，將身份認證請求轉發(fā)至智能密鑰設備；智能密鑰設備，用于接收身份認證請求，查詢預先存儲的智能密鑰設備PIN碼驗證結果及預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)，其中，預先存儲的智能密鑰設備PIN碼驗證結果為驗證設備前次對智能密鑰設備進行PIN碼驗證的結果；智能密鑰設備在預先存儲的智能密鑰設備PIN碼驗證結果為通過且處于有效狀態(tài)時，還用于確定本次智能密鑰設備PIN碼驗證結果為通過，并通過終端向路由器發(fā)送身份認證響應，身份認證響應包括用于表示本次PIN碼驗證結果為通過的信息；智能密鑰設備在預先存儲的智能密鑰設備PIN碼驗證結果處于失效狀態(tài)時，還用于觸發(fā)驗證設備對智能密鑰設備進行PIN碼驗證，獲得本次PIN碼驗證結果，并通過終端向路由器發(fā)送身份認證響應，身份認證響應包括本次PIN碼驗證結果；路由器，還用于接收身份認證響應，獲得本次PIN碼驗證結果，在本次PIN碼驗證結果為通過時，與智能密鑰設備進行身份認證和/或密鑰協(xié)商流程，并允許終端接入網絡。

可選的，驗證設備為智能密鑰設備；智能密鑰設備，具體用于獲取并驗證智能密鑰設備的PIN碼，獲得本次PIN碼驗證結果，其中，智能密鑰設備的PIN碼由智能密鑰設備或終端提示輸入；在本次PIN碼驗證結果為通過時，智能密鑰設備，具體用于存儲本次PIN碼驗證結果。

可選的，驗證設備為認證服務器；認證服務器，用于獲取并驗證智能密鑰設備的PIN碼，將本次PIN碼驗證結果發(fā)送至智能密鑰設備，其中，智能密鑰設備的PIN碼由智能密鑰設備或終端提示輸入；智能密鑰設備，具體用于接收本次PIN碼驗證結果；在本次PIN碼驗證結果為通過時，智能密鑰設備，具體用于存儲本次PIN碼驗證結果。

可選的，智能密鑰設備，具體用于在查詢預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)時，若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備未發(fā)生過掉電，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)；或者，智能密鑰設備，具體用于在查詢預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)時，若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備與終端之間的連接未發(fā)生過斷開，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)；或者，智能密鑰設備，具體用于在查詢預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)時，若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后所觸發(fā)的計時未超出預定時長，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)。

可選的，終端，還用于在路由器允許終端接入網絡之后，向路由器發(fā)送管理請求；路由器，還用于接收管理請求，向終端發(fā)送身份認證請求；終端，還用于接收身份認證請求，將身份認證請求發(fā)送至智能密鑰設備；智能密鑰設備，還用于接收身份認證請求，查詢預先存儲的智能密鑰設備PIN碼驗證結果及預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)；智能密鑰設備，還用于在預先存儲的智能密鑰設備PIN碼驗證結果為通過且處于有效狀態(tài)時，確定本次智能密鑰設備PIN碼驗證結果為通過，并通過終端向路由器發(fā)送身份認證響應，身份認證響應包括用于表示本次PIN碼驗證結果為通過的信息；智能密鑰設備，還用于在預先存儲的智能密鑰設備PIN碼驗證結果處于失效狀態(tài)時，確定本次智能密鑰設備PIN碼驗證結果為不通過，并通過終端向路由器發(fā)送身份認證響應，身份認證響應包括用于表示本次PIN碼驗證結果為不通過的信息；路由器，還用于接收身份認證響應，獲得本次PIN碼驗證結果，在本次PIN碼驗證結果為通過時，響應管理請求，在本次PIN碼驗證結果為不通過時，拒絕響應管理請求。

由上述本發(fā)明提供的技術方案可以看出，本發(fā)明提供了一種網絡接入方法及系統(tǒng)，通過本發(fā)明提供的網絡接入方法，智能密鑰設備在前次終端接入網絡且智能密鑰設備PIN碼驗證結果為通過時，可以存儲前次PIN碼驗證結果，在該終端需要再次接入網絡時，先根據(jù)前次PIN碼驗證結果及前次PIN碼驗證結果是否處于有效狀態(tài)確定本次PIN碼驗證結果是否通過，如果通過則終端可以直接接入網絡，不需要再次進行PIN碼驗證，減少了PIN碼輸入的次數(shù)。

附圖說明

為了更清楚地說明本發(fā)明實施例的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領域的普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他附圖。

圖1為本發(fā)明實施例1提供的網絡接入方法的流程圖；

圖2為本發(fā)明實施例2提供的網絡接入系統(tǒng)的一種結構示意圖；

圖3為本發(fā)明實施例2提供的網絡接入系統(tǒng)的另一種結構示意圖。

具體實施方式

下面結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明的保護范圍。

在本發(fā)明的描述中，需要理解的是，術語“中心”、“縱向”、“橫向”、“上”、“下”、“前”、“后”、“左”、“右”、“豎直”、“水平”、“頂”、“底”、“內”、“外”等指示的方位或位置關系為基于附圖所示的方位或位置關系，僅是為了便于描述本發(fā)明和簡化描述，而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構造和操作，因此不能理解為對本發(fā)明的限制。此外，術語“第一”、“第二”僅用于描述目的，而不能理解為指示或暗示相對重要性或數(shù)量或位置。

在本發(fā)明的描述中，需要說明的是，除非另有明確的規(guī)定和限定，術語“安裝”、“相連”、“連接”應做廣義理解，例如，可以是固定連接，也可以是可拆卸連接，或一體地連接；可以是機械連接，也可以是電連接；可以是直接相連，也可以通過中間媒介間接相連，可以是兩個元件內部的連通。對于本領域的普通技術人員而言，可以具體情況理解上述術語在本發(fā)明中的具體含義。

下面將結合附圖對本發(fā)明實施例作進一步地詳細描述。

實施例1

本實施例提供了一種網絡接入方法，如圖1所示，包括如下步驟(S101-S107)：

S101，終端向路由器發(fā)送接入請求，終端與智能密鑰設備相連接。

在本實施例中，終端可以為任意具有網絡接入功能的終端，例如，智能手機、平板電腦、PC機等，在本實施例中不作具體限定。路由器具有身份認證功能，具體的：路由器內置安全芯片，安全芯片中存儲有數(shù)字證書和/或私鑰；或者路由器內置軟件以實現(xiàn)數(shù)字證書功能；或者路由器外接智能密鑰設備。智能密鑰設備是具有安全芯片的設備，安全芯片內部擁有獨立的處理器和存儲單元，可存儲PKI數(shù)字證書，私鑰、加解密密鑰、驗證密鑰等類型的密鑰以及其他特征數(shù)據(jù)，對數(shù)據(jù)進行加密、解密、簽名、驗簽運算，為用戶提供數(shù)據(jù)加密和身份認證服務。在具體實施過程中，路由器可以通過以下方式實現(xiàn)對智能密鑰設備的身份認證：利用根證書驗證接收的智能密鑰設備的數(shù)字證書，和/或，使用智能密鑰設備的數(shù)字證書對使用智能密鑰設備私鑰簽名的簽名數(shù)據(jù)進行驗簽。智能密鑰設備可以通過以下方式實現(xiàn)對路由器的身份認證：利用根證書驗證接收的路由器的數(shù)字證書，和/或，使用路由器的數(shù)字證書對使用路由器私鑰簽名的簽名數(shù)據(jù)進行驗簽。路由器與智能密鑰設備之間可以僅進行單向身份認證，即路由器對智能密鑰設備進行身份認證，或者智能密鑰設備對路由器進行身份認證；路由器與智能密鑰設備之間也可以進行雙向身份認證，即路由器對智能密鑰設備進行身份認證以及智能密鑰設備對路由器進行身份認證。

在本實施例中，當終端需要訪問網絡時，可以通過終端上安裝的具有網絡接入管理功能的應用發(fā)起網絡接入過程，生成接入請求。在具體實施過程中，當用戶想要通過終端訪問網絡時，可以打開終端上安裝的具有網絡接入管理功能的應用，并點擊或通過按鍵選擇應用界面上顯示的相應選項發(fā)起網絡接入，生成接入請求，并將接入請求發(fā)送至路由器。

在具體實施過程中，終端與路由器之間可以通過無線網絡進行無線連接，也可以通過網線進行有線連接。終端既可以通過無線連接、也可以通過有線連接向路由器發(fā)送接入請求，接入請求中可以攜帶有用于請求路由器允許終端接入網絡的相關信息，例如，終端的標識信息。終端與智能密鑰設備之間可以通過無線方式(例如，WIFI、藍牙等)進行連接，也可以通過有線方式(例如，USB接口、音頻接口等)進行連接。由于終端本身不具有安全功能，因此需要借助智能密鑰設備才能實現(xiàn)安全功能。

S102，路由器接收接入請求，向終端發(fā)送身份認證請求。

在本實施例中，路由器可以通過與終端之間的無線連接或有線連接接收接入請求。路由器接收接入請求后，可以先判斷接入請求是否合法，如果合法，則生成身份認證請求并向終端發(fā)送身份認證請求，如果不合法，拒絕生成身份認證請求。進一步地，在接入請求不合法時，路由器還可以向終端發(fā)送提示信息，以提示終端其發(fā)送的接入請求不合法；終端接收提示信息后，可以重新生成接入請求，并向路由器發(fā)送新生成的接入請求。在具體實施過程中，生成及發(fā)送身份認證請求可以與身份認證和密鑰協(xié)商過程是相互獨立的過程，生成及發(fā)送身份認證請求也可以是身份認證和密鑰協(xié)商過程的一部分。在接入請求合法且生成及發(fā)送身份認證請求是身份認證和密鑰協(xié)商過程的一部分時，路由器可以按照如下方式生成身份認證請求：路由器生成第一隨機數(shù)，并利用路由器的私鑰對第一隨機數(shù)進行簽名得到第一簽名信息，將第一隨機數(shù)、第一簽名信息作為路由器端的身份認證信息，將路由器端的身份認證信息攜帶在身份認證請求中。其中，路由器利用路由器的私鑰對第一隨機數(shù)進行簽名得到第一簽名信息的具體方式為：路由器利用哈希算法計算第一隨機數(shù)得到第一隨機數(shù)的摘要，并利用路由器的私鑰對第一隨機數(shù)的摘要進行加密，得到第一簽名值。

作為本發(fā)明實施例的一個可選實施方式，以實現(xiàn)對終端訪問網絡權限的控制，可以在路由器或管理路由器的認證服務器上設置黑名單、灰名單以及白名單，例如，位于黑名單上的終端禁止訪問網絡，位于灰名單上的終端禁止訪問部分網絡，位于白名單上的終端可以訪問全部網絡。與普通的權限控制相比，這種權限控制是受強認證支撐的，可以防止篡改以及防止旁路攻擊。在接入請求中攜帶終端的標識信息時，路由器接收接入請求后，可以從接入請求中獲取終端的標識信息，根據(jù)終端的標識信息判斷終端位于黑名單、灰名單還是白名單中，并進一步根據(jù)判斷結果控制終端的訪問網絡的權限。當終端的標識信息位于黑名單時，即路由器禁止終端訪問網絡時，路由器可以拒絕向終端發(fā)送身份認證請求，并向終端發(fā)送通知信息，通知終端其位于黑名單中，無權訪問網絡。當終端的標識信息位于灰名單時，路由器可以向終端發(fā)送身份認證請求，并向終端發(fā)送通知信息，通知終端其位于灰名單中，只能訪問部分網絡。

S103，終端接收身份認證請求，將身份認證請求轉發(fā)至智能密鑰設備。

在本實施例中，終端可以用于轉發(fā)智能密鑰設備和路由器之間的通信數(shù)據(jù)。具體的，終端可以通過有線連接或無線連接接收路由器發(fā)送的身份認證請求，并通過與智能密鑰設備之間的有線連接或無線連接將身份認證請求發(fā)送至智能密鑰設備。

S104，智能密鑰設備接收身份認證請求，查詢預先存儲的智能密鑰設備PIN碼驗證結果及預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)，其中，預先存儲的智能密鑰設備PIN碼驗證結果為驗證設備前次對智能密鑰設備進行PIN碼驗證的結果。

在本實施例中，智能密鑰設備可以通過有線連接或無線連接接收終端發(fā)送的身份認證請求。智能密鑰設備接收身份認證請求后，可以先驗證身份認證請求是否合法，在驗證身份認證請求合法后，再查詢預先存儲的智能密鑰設備PIN碼驗證結果及智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)，分別進行不同的操作流程。具體的，可以將智能密鑰設備PIN碼驗證結果存儲在智能密鑰設備安全芯片內部擁有的存儲單元中，由于外部設備不能訪問和修改存儲的智能密鑰設備PIN碼驗證結果，因此能夠保證智能密鑰設備PIN碼驗證結果的安全。在生成及發(fā)送身份認證請求是身份認證和密鑰協(xié)商過程的一部分時，智能密鑰設備可以按照如下方式驗證身份認證請求是否合法：從身份認證請求中獲取第一隨機數(shù)和第一簽名信息，根據(jù)第一隨機數(shù)驗證第一簽名信息是否正確，如果正確，則身份認證請求合法，如果不正確，則身份認證請求不合法。

在本實施例中，如果智能密鑰設備使用與路由器的私鑰對應的路由器的公鑰能夠對第一簽名信息解密，則表明接收的第一簽名信息是由路由器發(fā)出的，如果智能密鑰設備使用路由器的公鑰不能對第一簽名信息解密，則表明接收的第一簽名信息不是由路由器發(fā)出的，即智能密鑰設備能夠根據(jù)第一簽名信息對發(fā)送第一簽名信息的裝置進行身份確認。在智能密鑰設備確定第一簽名信息是路由器發(fā)送的之后，再計算第一隨機數(shù)的摘要。如果第一隨機數(shù)在傳輸過程中被篡改了，則智能密鑰設備對接收的第一隨機數(shù)計算的摘要值也會發(fā)生變化，因此，智能密鑰設備通過比較計算得到的第一隨機數(shù)的摘要與解密得到的第一隨機數(shù)的摘要是否相同，能夠保證接收的第一隨機數(shù)的完整性。

作為本發(fā)明實施例的一個可選實施方式，驗證設備可以為智能密鑰設備，智能密鑰設備可以通過以下方式獲得前次PIN碼驗證結果并預先存儲該驗證結果：智能密鑰設備或終端提示輸入智能密鑰設備的PIN碼；智能密鑰設備獲取并驗證智能密鑰設備的PIN碼，獲得前次PIN碼驗證結果；在前次PIN碼驗證結果為通過時，智能密鑰設備存儲前次PIN碼驗證結果。在智能密鑰設備本地驗證智能密鑰設備的PIN碼，減少了交互的流程，且無需傳輸PIN碼至其他設備，減少了智能密鑰設備PIN碼在傳輸過程中被竊取的風險。

在具體實施過程中，智能密鑰設備或終端可以通過語音或顯示屏提示用戶輸入智能密鑰設備的PIN碼。如果由智能密鑰設備提示輸入智能密鑰設備的PIN碼，則智能密鑰設備獲取輸入的PIN碼；如果由終端提示輸入智能密鑰設備的PIN碼，則終端接收輸入的智能密鑰設備的PIN碼后，將智能密鑰設備的PIN碼發(fā)送至智能密鑰設備，智能密鑰設備接收智能密鑰設備的PIN碼。智能密鑰設備獲取輸入的PIN碼后，比較輸入的PIN碼與預先存儲的校驗PIN碼是否一致，如果一致，則PIN碼驗證通過，否則PIN碼驗證不通過?；蛘?，智能密鑰設備獲取輸入的PIN碼后，計算得到輸入PIN碼的MAC值，比較計算得到的MAC值與預先存儲的校驗MAC值是否一致，如果一致，則PIN碼驗證通過，否則PIN碼驗證不通過。在前次PIN碼驗證結果為不通過時，智能密鑰設備可以不存儲前次PIN碼驗證結果；且智能密鑰設備可以拒絕響應身份認證請求，或者，智能密鑰設備或終端提示重新輸入智能密鑰設備的PIN碼。當用戶連續(xù)輸入錯誤的智能密鑰設備的PIN碼的次數(shù)超過預設的次數(shù)時，智能密鑰設備或者終端可以自行鎖定，在一定的時間(例如，一個小時)內不允許用戶再次輸入PIN碼。

作為本發(fā)明實施例的一個可選實施方式，驗證設備還可以為認證服務器，用于對接收的PIN碼進行驗證。認證服務器可以通過以下方式獲得前次PIN碼驗證結果并存儲該驗證結果：智能密鑰設備或終端提示輸入智能密鑰設備的PIN碼；認證服務器獲取并驗證智能密鑰設備的PIN碼，將前次PIN碼驗證結果發(fā)送至智能密鑰設備；智能密鑰設備獲得前次PIN碼驗證結果；在前次PIN碼驗證結果為通過時，智能密鑰設備存儲前次PIN碼驗證結果。由認證服務器驗證智能密鑰設備的PIN碼，智能密鑰設備中不需要實現(xiàn)PIN碼的驗證功能，降低了智能密鑰設備的成本，且不需要在智能密鑰設備中存儲用于驗證PIN碼的校驗信息，節(jié)約了智能密鑰設備的存儲空間。

在具體實施過程中，認證服務器可以為路由器開設一個支持有限服務的通道，路由器通過該通道可以將智能密鑰設備的PIN碼發(fā)送至認證服務器。智能密鑰設備或終端可以通過語音或顯示屏提示用戶輸入智能密鑰設備的PIN碼，如果由智能密鑰設備提示輸入智能密鑰設備的PIN碼，則智能密鑰設備獲取輸入的PIN碼后，可以使用認證服務器的公鑰對PIN碼進行加密得到PIN碼密文，并將PIN碼密文發(fā)送至終端，由終端通過路由器轉發(fā)至認證服務器，認證服務器接收PIN碼密文后，使用認證服務器的私鑰對PIN碼密文解密得到PIN碼，比較解密得到的PIN碼與預先存儲的校驗PIN碼是否一致，如果一致，則PIN碼驗證通過，否則PIN碼驗證不通過。通過將PIN碼加密后以密文的形式傳輸，能夠防止PIN碼在傳輸過程中被竊取。如果由終端提示輸入智能密鑰設備的PIN碼，則終端接收輸入的智能密鑰設備的PIN碼后，將智能密鑰設備的PIN碼發(fā)送至認證服務器，再按照上述認證服務器獲取PIN碼后的流程獲得智能密鑰設備的PIN碼驗證結果，認證服務器將前次PIN碼驗證結果發(fā)送至路由器，再由路由器轉發(fā)至終端，由終端發(fā)送至智能密鑰設備。

在該可選實施方式中，在本次PIN碼驗證結果為不通過時，智能密鑰設備可以不存儲本次PIN碼驗證結果；且智能密鑰設備可以拒絕響應身份認證請求，或者，智能密鑰設備或終端提示重新輸入智能密鑰設備的PIN碼。當用戶連續(xù)輸入錯誤的智能密鑰設備的PIN碼的次數(shù)超過預設的次數(shù)時，智能密鑰設備或者終端可以自行鎖定，在一定的時間(例如，一個小時)內不允許用戶再次輸入PIN碼。

作為本發(fā)明實施例的一個可選實施方式，可以通過以下三種方式查詢預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)：

方式一、若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備未發(fā)生過掉電，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)。通過該方式，在驗證智能密鑰設備PIN碼后，智能密鑰設備PIN碼驗證結果的有效狀態(tài)持續(xù)到掉電，因此，在智能密鑰設備掉電之前，終端可以隨時通過路由器接入網絡，而不需要重復進行PIN碼驗證。

在本實施例中，可以設置一個狀態(tài)參數(shù)，用于表示PIN碼驗證結果是否為有效狀態(tài)。具體的，可以使用一位二進制數(shù)字表示狀態(tài)參數(shù)，用不同的數(shù)字分別表示有效狀態(tài)和失效狀態(tài)。例如，可以用數(shù)字“1”表示PIN碼驗證結果為有效狀態(tài)，用數(shù)字“0”表示PIN碼驗證結果為失效狀態(tài)；或者，也可以用數(shù)字“0”表示PIN碼驗證結果為有效狀態(tài)，用數(shù)字“1”表示PIN碼驗證結果為失效狀態(tài)，在本實施例不作具體限定。在具體實施過程中，若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備未發(fā)生掉電，則PIN碼驗證結果保持有效狀態(tài)，若智能密鑰設備發(fā)生掉電，再次上電后，首先將存儲的智能密鑰設備PIN碼驗證結果修改為失效狀態(tài)。

在本實施例中，也可以不設置狀態(tài)參數(shù)，而是將智能密鑰設備PIN碼驗證結果存儲在易揮發(fā)性隨機存儲器(Random Access Memory，簡稱RAM)中。由于存儲在RAM中的數(shù)據(jù)在智能密鑰設備掉電時，保存在其中的智能密鑰設備PIN碼驗證結果自動消失。因此，只要在智能密鑰設備的RAM中查找到智能密鑰設備PIN碼驗證結果，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)。

方式二、若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備與終端之間的連接未發(fā)生過斷開，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)。通過該方式，在驗證智能密鑰設備PIN碼后，只要智能密鑰設備與終端之間的連接未斷開，則認為智能密鑰設備和終端沒有被其他用戶使用，因此不需要重新對用戶身份進行認證，終端即可以隨時通過路由器接入網絡，而不需要重復進行PIN碼驗證。

在本實施例中，可以參照方式一中設置一個狀態(tài)參數(shù)表示PIN碼驗證結果是否為有效狀態(tài)，在此不再贅述。在該方式中，預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，只要智能密鑰設備檢測到與終端之間的連接斷開，則將預先存儲的智能密鑰設備PIN碼驗證結果狀態(tài)修改為失效狀態(tài)。也可以參照方式一不設置狀態(tài)參數(shù)，而是通過智能密鑰設備中是否存儲智能密鑰設備PIN碼驗證結果來判斷智能密鑰設備PIN碼驗證結果是否有效。在該方式中，預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，只要智能密鑰設備檢測到與終端斷開連接，則刪除智能密鑰設備PIN碼驗證結果。因此，只要在智能密鑰設備中查找到智能密鑰設備PIN碼驗證結果，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)。在具體實施過程中，若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備與終端之間的連接斷開，則智能密鑰設備再次連接終端時，有可能是用戶本人之外的其他人在使用，因此，將PIN碼驗證結果確定為失效狀態(tài)，能夠避免用戶本人之外的其他人非法接入網絡。

方式三、若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后所觸發(fā)的計時未超出預定時長，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)。通過該方式，可以定時對智能密鑰設備PIN碼進行驗證，防止用戶身份認證通過后，智能密鑰設備被其他人盜用并非法接入網絡。

在本實施例中，可以參照方式一中設置一個狀態(tài)參數(shù)表示PIN碼驗證結果是否為有效狀態(tài)，在此不再贅述。在具體實施過程中，可以在智能密鑰設備中內置計時器，在PIN碼驗證結果為通過時，將智能密鑰設備PIN碼驗證結果設置為有效狀態(tài)，重新啟動計時器的計時，當計時器計時到達預定時長時，將智能密鑰設備PIN碼驗證結果從有效狀態(tài)修改為失效狀態(tài)。也可以參照方式一不設置狀態(tài)參數(shù)，而是通過智能密鑰設備中是否存儲智能密鑰設備PIN碼驗證結果來判斷智能密鑰設備PIN碼驗證結果是否有效。在該方式中，預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，只要計時器的計時到達預定時長，則刪除智能密鑰設備PIN碼驗證結果。因此，只要在智能密鑰設備中查找到智能密鑰設備PIN碼驗證結果，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)。在計時的基礎上，還可以結合預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備是否掉電判斷PIN碼驗證結果是否為有效狀態(tài)。例如，智能密鑰設備在掉電后，計時器仍然可以繼續(xù)計時，再次上電后，計時器繼續(xù)之前的計時，只有計時器計時到達預定時長時，才將智能密鑰設備PIN碼驗證結果從有效狀態(tài)修改為失效狀態(tài)或刪除智能密鑰設備PIN碼驗證結果；或者，智能密鑰設備掉電后，再次上電時，首先將智能密鑰設備PIN碼驗證結果修改為失效狀態(tài)，或者在智能密鑰設備掉電時，刪除存儲在RAM中的智能密鑰設備PIN碼驗證結果。

S105，智能密鑰設備在預先存儲的智能密鑰設備PIN碼驗證結果為通過且處于有效狀態(tài)時，確定本次智能密鑰設備PIN碼驗證結果為通過，并通過終端向路由器發(fā)送身份認證響應，身份認證響應包括用于表示本次PIN碼驗證結果為通過的信息。

在本實施例中，智能密鑰設備根據(jù)預先存儲的智能密鑰設備PIN碼驗證結果是否通過以及是否處于有效狀態(tài)，確定本次智能密鑰設備PIN碼驗證結果是否為通過。在本次PIN碼驗證結果為通過時，不需要再次對PIN碼進行驗證，智能密鑰設備即可與路由器進行身份認證和/或密鑰協(xié)商，在保證終端網絡接入安全的同時減少了每次接入網絡時均需要用戶輸入密碼造成的不便。身份認證響應中除了可以包括用于表示本次PIN碼驗證結果為通過的信息，還可以包括智能密鑰設備端的身份認證信息，具體的：智能密鑰設備產生第二隨機數(shù)，利用路由器的公鑰對第一隨機數(shù)和第二隨機數(shù)加密得到第一密文，并利用智能密鑰設備的私鑰對第一密文簽名得到第二簽名信息，將第一密文和第二簽名信息作為智能密鑰設備端的身份認證信息。

S106，智能密鑰設備在預先存儲的智能密鑰設備PIN碼驗證結果處于失效狀態(tài)時，觸發(fā)驗證設備執(zhí)行對智能密鑰設備進行PIN碼驗證的流程，獲得本次PIN碼驗證結果，并通過終端向路由器發(fā)送身份認證響應，身份認證響應包括本次PIN碼驗證結果。

在本實施例中，如果驗證設備對PIN碼驗證為通過，則身份認證響應包括用于表示本次PIN碼驗證結果為通過的信息，如果驗證設備對PIN碼驗證為不通過，則身份認證響應包括用于表示本次PIN碼驗證結果為不通過的信息。

作為本發(fā)明實施例的一個可選實施方式，驗證設備為可以為智能密鑰設備；驗證設備執(zhí)行對智能密鑰設備進行PIN碼驗證的流程，獲得本次PIN碼驗證結果，包括：智能密鑰設備或終端提示輸入智能密鑰設備的PIN碼；智能密鑰設備獲取并驗證智能密鑰設備的PIN碼，獲得本次PIN碼驗證結果；在本次PIN碼驗證結果為通過時，智能密鑰設備存儲本次PIN碼驗證結果。智能密鑰設備執(zhí)行對智能密鑰設備進行PIN碼驗證的流程，獲得本次PIN碼驗證結果的過程可以參照步驟S104中智能密鑰設備執(zhí)行對智能密鑰設備進行PIN碼驗證的流程，獲得前次PIN碼驗證結果的過程，在此不再贅述。

作為本發(fā)明實施例的另一個可選實施方式，驗證設備還可以為認證服務器；驗證設備執(zhí)行對智能密鑰設備進行PIN碼驗證的流程，獲得本次PIN碼驗證結果，包括：智能密鑰設備或終端提示輸入智能密鑰設備的PIN碼；認證服務器獲取并驗證智能密鑰設備的PIN碼，將本次PIN碼驗證結果發(fā)送至智能密鑰設備；智能密鑰設備獲得本次PIN碼驗證結果；在本次PIN碼驗證結果為通過時，智能密鑰設備存儲本次PIN碼驗證結果。認證服務器執(zhí)行對智能密鑰設備進行PIN碼驗證的流程，獲得本次PIN碼驗證結果的過程可以參照步驟S104中認證服務器執(zhí)行對智能密鑰設備進行PIN碼驗證的流程，獲得前次PIN碼驗證結果的過程，在此不再贅述。

S107，路由器接收身份認證響應，獲得本次PIN碼驗證結果，在本次PIN碼驗證結果為通過時，路由器與智能密鑰設備進行身份認證和/或密鑰協(xié)商流程，并允許終端接入網絡。

在本實施例中，在本次PIN碼驗證結果為通過時，如果身份認證響應中還包括智能密鑰設備端的身份認證信息，則路由器從身份認證響應中獲得智能密鑰設備端的身份認證信息，驗證第二簽名信息是否正確，在第二簽名信息正確時，利用路由器的私鑰對第一密文解密得到第一隨機數(shù)和第二隨機數(shù)，比較解密得到的第一隨機數(shù)與步驟S102中生成的第一隨機數(shù)是否相同，如果相同，則根據(jù)第一隨機數(shù)和第二隨機數(shù)生成會話密鑰，允許終端接入網絡，終端可以通過路由器上網。在后續(xù)的通信過程中，使用協(xié)商生成的會話密鑰對路由器和終端之間傳輸?shù)臄?shù)據(jù)進行加密，防止數(shù)據(jù)被竊聽、劫持、修改。

通過本實施例提供的網絡接入方法，智能密鑰設備在前次終端接入網絡且PIN碼驗證結果為通過時，可以存儲前次PIN碼驗證結果，在該終端需要再次接入網絡時，先根據(jù)前次PIN碼驗證結果確定本次PIN碼驗證結果是否通過，如果通過則該終端可以直接接入網絡，不需要再次進行PIN碼驗證，減少了PIN碼輸入的次數(shù)。

作為本發(fā)明實施例的一個可選實施方式，在路由器允許終端接入網絡之后，本實施例提供的方法還包括：終端向路由器發(fā)送管理請求；路由器接收管理請求，向終端發(fā)送身份認證請求；終端接收身份認證請求，將身份認證請求發(fā)送至智能密鑰設備；智能密鑰設備接收身份認證請求，查詢預先存儲的智能密鑰設備PIN碼驗證結果及預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)；智能密鑰設備在預先存儲的智能密鑰設備PIN碼驗證結果為通過且處于有效狀態(tài)時，確定本次智能密鑰設備PIN碼驗證結果為通過，并通過終端向路由器發(fā)送身份認證響應，身份認證響應包括用于表示本次PIN碼驗證結果為通過的信息；智能密鑰設備在預先存儲的智能密鑰設備PIN碼驗證結果處于失效狀態(tài)時，確定本次智能密鑰設備PIN碼驗證結果為不通過，并通過終端向路由器發(fā)送身份認證響應，身份認證響應包括用于表示本次PIN碼驗證結果為不通過的信息；路由器接收身份認證響應，獲得本次PIN碼驗證結果，在本次PIN碼驗證結果為通過時，響應管理請求，在本次PIN碼驗證結果為不通過時，拒絕響應管理請求。通過該可選實施方式，在本次PIN碼驗證結果為通過時，才能在終端上對路由器進行管理，避免路由器被遠程劫持、入侵、修改配置等，保證了路由器的安全。

在具體實施過程中，當需要對路由器進行管理(例如，設置網絡名稱、網絡密碼、網絡參數(shù)、上網控制等)時，通過終端上安裝的應用對路由器進行管理，生成管理請求，并將管理請求發(fā)送至路由器。路由器接收管理請求后，可以先判斷管理請求是否合法，如果合法，則生成身份認證請求并向終端發(fā)送身份認證請求，如果不合法，拒絕生成身份認證請求。智能密鑰設備接收身份認證請求后，可以先驗證身份認證請求是否合法，如果合法，再查詢預先存儲的智能密鑰設備PIN碼驗證結果及預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)。只有預先存儲的智能密鑰設備PIN碼驗證結果為通過且處于有效狀態(tài)時，即本次智能密鑰設備PIN碼驗證結果為通過時，路由器才響應管理請求，允許終端對路由器進行管理請求所請求的管理操作。

實施例2

本實施例提供了一種網絡接入系統(tǒng)，圖2為本實施例提供的網絡接入系統(tǒng)的一種結構示意圖。

如圖2所示，本實施例提供的網絡接入系統(tǒng)包括：智能密鑰設備21，終端22及路由器23；終端22與智能密鑰設備21相連接，用于向路由器23發(fā)送接入請求；路由器23，用于接收接入請求，并向終端22發(fā)送身份認證請求；終端22，還用于接收身份認證請求，將身份認證請求轉發(fā)至智能密鑰設備21；智能密鑰設備21，用于接收身份認證請求，查詢預先存儲的智能密鑰設備PIN碼驗證結果及預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)，其中，預先存儲的智能密鑰設備PIN碼驗證結果為驗證設備前次對智能密鑰設備21進行PIN碼驗證的結果；智能密鑰設備21在預先存儲的智能密鑰設備PIN碼驗證結果為通過且處于有效狀態(tài)時，還用于確定本次智能密鑰設備PIN碼驗證結果為通過，并通過終端22向路由器23發(fā)送身份認證響應，身份認證響應包括用于表示本次PIN碼驗證結果為通過的信息；智能密鑰設備21在預先存儲的智能密鑰設備PIN碼驗證結果處于失效狀態(tài)時，還用于觸發(fā)驗證設備對智能密鑰設備21進行PIN碼驗證，獲得本次PIN碼驗證結果，并通過終端22向路由器23發(fā)送身份認證響應，身份認證響應包括本次PIN碼驗證結果；路由器23，還用于接收身份認證響應，獲得本次PIN碼驗證結果，在本次PIN碼驗證結果為通過時，與智能密鑰設備21進行身份認證和/或密鑰協(xié)商流程，并允許終端22接入網絡。

通過本實施例提供的網絡接入系統(tǒng)，智能密鑰設備21在前次終端22接入網絡且智能密鑰設備PIN碼驗證結果為通過后，可以存儲前次PIN碼驗證結果，在該終端22需要再次接入網絡時，先根據(jù)前次PIN碼驗證結果確定本次PIN碼驗證結果是否通過，如果通過則該終端22可以直接接入網絡，不需要再次進行PIN碼驗證，減少了PIN碼輸入的次數(shù)。

在本實施例中，終端22可以為任意具有網絡接入功能的終端，例如，智能手機、平板電腦、PC機等，在本實施例中不作具體限定。路由器23具有身份認證功能，具體的：路由器23內置安全芯片，安全芯片中存儲有數(shù)字證書和/或私鑰；或者路由器22內置軟件以實現(xiàn)數(shù)字證書功能；或者路由器23外接智能密鑰設備。智能密鑰設備21是具有安全芯片的設備，安全芯片內部擁有獨立的處理器和存儲單元，可存儲PKI數(shù)字證書，私鑰、加解密密鑰、驗證密鑰等類型的密鑰以及其他特征數(shù)據(jù)，對數(shù)據(jù)進行加密、解密、簽名、驗簽運算，為用戶提供數(shù)據(jù)加密和身份認證服務。在具體實施過程中，路由器23，可以用于通過以下方式實現(xiàn)對智能密鑰設備21的身份認證：利用根證書驗證接收的智能密鑰設備21的數(shù)字證書，和/或，使用智能密鑰設備21的數(shù)字證書對使用智能密鑰設備21私鑰簽名的簽名數(shù)據(jù)進行驗簽。智能密鑰設備21，可以用于通過以下方式實現(xiàn)對路由器23的身份認證：利用根證書驗證接收的路由器23的數(shù)字證書，和/或，使用路由器23的數(shù)字證書對使用路由器23私鑰簽名的簽名數(shù)據(jù)進行驗簽。路由器23與智能密鑰設備21之間可以僅進行單向身份認證，即路由器23對智能密鑰設備21進行身份認證，或者智能密鑰設備21對路由器23進行身份認證；路由器23與智能密鑰設備21之間也可以進行雙向身份認證，即路由器23對智能密鑰設備21進行身份認證以及智能密鑰設備21對路由器23進行身份認證。終端22與智能密鑰設備21之間可以通過無線方式(例如，WIFI、藍牙等)進行連接，也可以通過有線方式(例如，USB接口、音頻接口等)進行連接。終端22與路由器23之間可以通過無線網絡進行無線連接，也可以通過網線進行有線連接。

在本實施例中，當終端22需要訪問網絡時，終端22，用于通過終端22上安裝的具有網絡接入管理功能的應用發(fā)起網絡接入過程，生成接入請求。在具體實施過程中，當用戶想要通過終端22訪問網絡時，打開終端22上安裝的具有網絡接入管理功能的應用，并點擊或通過按鍵選擇應用界面上顯示的相應選項發(fā)起網絡接入，終端22生成接入請求，并將接入請求發(fā)送至路由器23，其中，接入請求中可以攜帶有用于請求路由器23允許終端22接入網絡的相關信息，例如，終端22的標識信息。

在本實施例中，路由器23，還可以用于在接收接入請求后，判斷接入請求是否合法，如果合法，則生成身份認證請求并向終端22發(fā)送身份認證請求，如果不合法，拒絕生成身份認證請求，或者向終端22發(fā)送提示信息，以提示終端22其發(fā)送的接入請求不合法；終端22，還可以用于在接收提示信息后，重新生成接入請求，并向路由器23發(fā)送新生成的接入請求。在具體實施過程中，生成及發(fā)送身份認證請求可以是與身份認證和密鑰協(xié)商過程相互獨立的過程，生成及發(fā)送身份認證請求也可以是身份認證和密鑰協(xié)商過程的一部分。在接入請求合法且生成及發(fā)送身份認證請求是身份認證和密鑰協(xié)商過程的一部分時，路由器23，可以具體用于按照如下方式生成身份認證請求：路由器23生成第一隨機數(shù)，并利用路由器23的私鑰對第一隨機數(shù)進行簽名得到第一簽名信息，將第一隨機數(shù)、第一簽名信息作為路由器23端的身份認證信息，將路由器23端的身份認證信息攜帶在身份認證請求中發(fā)送至終端22。路由器23利用路由器23的私鑰對第一隨機數(shù)進行簽名得到第一簽名信息的具體方式為：路由器23利用哈希算法計算第一隨機數(shù)得到第一隨機數(shù)的摘要，并利用路由器23的私鑰對第一隨機數(shù)的摘要進行加密，得到第一簽名值。

在本實施例中，終端22，可以用于轉發(fā)智能密鑰設21和路由器23之間的通信數(shù)據(jù)。具體的，終端22，可以用于通過有線連接或無線連接接收路由器23發(fā)送的身份認證請求，并通過與智能密鑰設備21之間的有線連接或無線連接將身份認證請求發(fā)送至智能密鑰設備21。智能密鑰設備21，可以具體用于通過有線連接或無線連接接收終端22發(fā)送的身份認證請求。智能密鑰設備21，還可以用于在接收身份認證請求后，在查詢預先存儲的智能密鑰設備PIN碼驗證結果及智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)之前，驗證身份認證請求是否合法。在身份認證請求是身份認證和密鑰協(xié)商過程的一部分時，智能密鑰設備21，可以具體用于按照如下方式驗證身份認證請求是否合法：從身份認證請求中獲取第一隨機數(shù)和第一簽名信息，根據(jù)第一隨機數(shù)驗證第一簽名信息是否正確，如果正確，則身份認證請求合法，如果不正確，則身份認證請求不合法。

在具體實施過程中，為了保證智能密鑰設備PIN碼驗證結果的安全，智能密鑰設備21可以用于將智能密鑰設備PIN碼驗證結果存儲在智能密鑰設備21的安全芯片內部擁有的存儲單元中，由于外部設備不能訪問和修改存儲在安全芯片中的智能密鑰設備PIN碼驗證結果，因此，能夠保證智能密鑰設備PIN碼驗證結果的安全。

在本實施例中，如果智能密鑰設備21使用與路由器23的私鑰對應的路由器23的公鑰能夠對第一簽名信息解密，則表明接收的第一簽名信息是由路由器23發(fā)出的，如果智能密鑰設備21使用路由器23的公鑰不能對第一簽名信息解密，則表明接收的第一簽名信息不是由路由器23發(fā)出的，即智能密鑰設備21能夠根據(jù)第一簽名信息對發(fā)送第一簽名信息的裝置進行身份確認。在智能密鑰設備21確定第一簽名信息是路由器23發(fā)送的之后，再計算第一隨機數(shù)的摘要。如果第一隨機數(shù)在傳輸過程中被篡改了，則智能密鑰設備21對接收的第一隨機數(shù)計算的摘要值也會發(fā)生變化，因此，智能密鑰設備21通過比較計算得到的第一隨機數(shù)的摘要與解密得到的第一隨機數(shù)的摘要是否相同，能夠保證接收的第一隨機數(shù)的完整性。

在本實施例中，身份認證響應中除了可以包括用于表示本次PIN碼驗證結果為通過的信息，還可以包括智能密鑰設備21端的身份認證信息，智能密鑰設備21，可以具體用于按照如下方式生成身份認證響應：產生第二隨機數(shù)，并利用路由器23的公鑰對第一隨機數(shù)和第二隨機數(shù)加密得到第一密文，并利用智能密鑰設備21的私鑰對第一密文簽名得到第二簽名信息，將第一密文和第二簽名信息作為智能密鑰設備21端的身份認證信息。

在本實施例中，如果身份認證響應中還包括智能密鑰設備21端的身份認證信息，則路由器23，具體用于在接收身份認證響應之后，從身份認證響應中獲得智能密鑰設備21端的身份認證信息，完成身份認證和密鑰協(xié)商。路由器23，可以具體用于驗證第二簽名信息是否正確，在第二簽名信息正確時，利用路由器23的私鑰對第一密文解密得到第一隨機數(shù)和第二隨機數(shù)，比較解密得到的第一隨機數(shù)與步驟S102中生成的第一隨機數(shù)是否相同，如果相同，則根據(jù)第一隨機數(shù)和第二隨機數(shù)生成會話密鑰，允許終端22接入網絡，終端22可以通過路由器23上網。在后續(xù)的通信過程中，使用協(xié)商生成的會話密鑰對路由器23和終端22之間傳輸?shù)臄?shù)據(jù)進行加密，防止數(shù)據(jù)被竊聽、劫持、修改。

作為本發(fā)明實施例的一個可選實施方式，可以在路由器23或管理路由器的認證服務器上設置黑名單、灰名單以及白名單，以實現(xiàn)對終端訪問網絡權限的控制，例如，位于黑名單上的終端禁止訪問網絡，位于灰名單上的終端禁止訪問部分網絡，位于白名單上的終端可以訪問全部網絡，與普通的權限控制相比，這種權限控制是受強認證支撐的，可以防止篡改以及防止旁路攻擊。在接入請求中攜帶終端22的標識信息，路由器23，具體用于接收接入請求后，從接入請求中獲取終端22的標識信息，根據(jù)終端22的標識信息判斷終端22位于黑名單、灰名單還是白名單中，并進一步根據(jù)判斷結果控制終端22的訪問網絡的權限。當終端22的標識信息位于黑名單時，即路由器23禁止終端訪問網絡時，路由器23可以用于拒絕向終端發(fā)送身份認證請求，并向終端22發(fā)送通知信息，通知終端22其位于黑名單中，無權訪問網絡。當終端22的標識信息位于灰名單時，路由器23可以用于向終端22發(fā)送身份認證請求，并向終端22發(fā)送通知信息，通知終端22其位于灰名單中，只能訪問部分網絡。

作為本發(fā)明實施例的一個可選實施方式，驗證設備可以為智能密鑰設備21；智能密鑰設備21，具體用于獲取并驗證智能密鑰設備21的PIN碼，獲得本次PIN碼驗證結果，其中，智能密鑰設備21的PIN碼由智能密鑰設備21或終端22提示輸入；在本次PIN碼驗證結果為通過時，智能密鑰設備21，具體用于存儲本次PIN碼驗證結果。

在具體實施過程中，智能密鑰設備21或終端22，還用于通過語音或顯示屏提示用戶輸入智能密鑰設備21的PIN碼。如果由智能密鑰設備21提示輸入智能密鑰設備21的PIN碼，則智能密鑰設備21，具體用于獲取輸入PIN碼；如果由終端22提示輸入智能密鑰設備21的PIN碼，則終端22，具體用于接收輸入的智能密鑰設備21的PIN碼，將智能密鑰設備21的PIN碼發(fā)送至智能密鑰設備，智能密鑰設備21，具體用于接收輸入的PIN碼。智能密鑰設備21，還用于在獲取輸入的PIN碼后，比較輸入的PIN碼與預先存儲的校驗PIN碼是否一致，如果一致，則PIN碼驗證通過，否則PIN碼驗證不通過?；蛘?，智能密鑰設備21，還用于在獲取輸入的PIN碼后，計算得到輸入PIN碼的MAC值，比較計算得到的MAC值與預先存儲的校驗MAC值是否一致，如果一致，則PIN碼驗證通過，否則PIN碼驗證不通過。在本次PIN碼驗證結果為不通過時，智能密鑰設備21，還用于拒絕響應身份認證請求，或者，智能密鑰設備21或終端22，還用于提示重新輸入智能密鑰設備21的PIN碼。當用戶連續(xù)輸入錯誤的智能密鑰設備21的PIN碼的次數(shù)超過預設的次數(shù)時，智能密鑰設備21或者終端22，還可以自行鎖定，在一定的時間(例如，一個小時)內不允許用戶再次輸入PIN碼。

作為本發(fā)明實施例的一個可選實施方式，如圖3所示，驗證設備還可以為認證服務器24；認證服務器24，用于獲取并驗證智能密鑰設備21的PIN碼，將本次PIN碼驗證結果發(fā)送至智能密鑰設備21，其中，智能密鑰設備21的PIN碼由智能密鑰設備21或終端22提示輸入；智能密鑰設備21，具體用于接收本次PIN碼驗證結果；在本次PIN碼驗證結果為通過時，智能密鑰設備21，具體用于存儲本次PIN碼驗證結果。

在具體實施過程中，認證服務器24可以為路由器23開設一個支持有限服務的通道，路由器23通過該通道可以將智能密鑰設備21的PIN碼發(fā)送至認證服務器24。智能密鑰設備21或終端22，可以用于通過語音或顯示屏提示用戶輸入智能密鑰設備21的PIN碼，如果由智能密鑰設備21提示輸入智能密鑰設備21的PIN碼，則智能密鑰設備21，還可以用于獲取輸入的PIN碼，并使用認證服務器24的公鑰對PIN碼進行加密得到PIN碼密文，并將PIN碼密文發(fā)送至終端22，終端22，還用于通過路由器23將PIN碼密文轉發(fā)至認證服務器24，認證服務器24，還用于接收PIN碼密文，并使用認證服務器24的私鑰對PIN碼密文解密得到PIN碼，比較解密得到的PIN碼與預先存儲的校驗PIN碼是否一致，如果一致，則PIN碼驗證通過，否則PIN碼驗證不通過。通過將PIN碼加密后以密文的形式傳輸，能夠防止PIN碼在傳輸過程中被竊取。如果由終端22提示輸入智能密鑰設備21的PIN碼，則終端22，還用于接收輸入的智能密鑰設備21的PIN碼，將智能密鑰設備21的PIN碼發(fā)送至認證服務器24，認證服務器24，還用于獲取PIN碼，按照上述方式獲得智能密鑰設備21的PIN碼驗證結果，將本次PIN碼驗證結果發(fā)送至路由器23，再由路由器23轉發(fā)至終端22，由終端22發(fā)送至智能密鑰設備21。

作為本發(fā)明實施例的一個可選實施方式，智能密鑰設備21，具體用于通過以下三種方式查詢預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)：

方式一、智能密鑰設備21，具體用于在查詢預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)時，若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備21未發(fā)生過掉電，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)，通過該方式，在驗證智能密鑰設備PIN碼后，智能密鑰設備PIN碼驗證結果的有效狀態(tài)持續(xù)到掉電，因此，在智能密鑰設備21在掉電之前，終端22可以隨時通過路由器接入網絡，而不需要重復進行PIN碼驗證。

在本實施例中，可以在智能密鑰設備21中設置一個狀態(tài)參數(shù)，用于表示PIN碼驗證結果是否為有效狀態(tài)。具體的，可以使用一位二進制數(shù)字表示狀態(tài)參數(shù)，用不同的數(shù)字分別表示有效狀態(tài)和失效狀態(tài)。例如，可以用數(shù)字“1”表示PIN碼驗證結果為有效狀態(tài)，用數(shù)字“0”表示PIN碼驗證結果為失效狀態(tài)；或者，也可以用數(shù)字“0”表示PIN碼驗證結果為有效狀態(tài)，用數(shù)字“1”表示PIN碼驗證結果為失效狀態(tài)，在本實施例不作具體限定。在具體實施過程中，若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備21未發(fā)生掉電，則PIN碼驗證結果保持有效狀態(tài)，若智能密鑰設備21發(fā)生掉電，再次上電后，首先將存儲的智能密鑰設備PIN碼驗證結果修改為失效狀態(tài)。

在本實施例中，也可以不設置狀態(tài)參數(shù)，而是將智能密鑰設備PIN碼驗證結果存儲在易揮發(fā)性隨機存儲器(Random Access Memory，簡稱RAM)中。由于存儲在RAM中的數(shù)據(jù)在智能密鑰設備21掉電時，保存在其中的智能密鑰設備PIN碼驗證結果自動消失。因此，只要在智能密鑰設備21的RAM中查找到智能密鑰設備PIN碼驗證結果，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)。

方式二、智能密鑰設備21，具體用于在查詢預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)時，若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備21與終端22之間的連接未發(fā)生過斷開，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)，通過該方式，在驗證智能密鑰設備PIN碼后，只要智能密鑰設備21與終端22之間的連接未斷開，則認為智能密鑰設備21和終端22沒有被其他用戶使用，因此不需要重新對用戶身份進行認證，終端22即可以隨時通過路由器接入網絡，而不需要重復進行PIN碼驗證。

在本實施例中，可以參照方式一設置一個狀態(tài)參數(shù)表示PIN碼驗證結果是否為有效狀態(tài)，在此不再贅述。在該方式中，在預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備21，用于檢測到與終端22之間的連接是否斷開，如果是，則將預先存儲的智能密鑰設備PIN碼驗證結果狀態(tài)修改為失效狀態(tài)。也可以參照方式一不設置狀態(tài)參數(shù)，而是通過智能密鑰設備21中是否存儲智能密鑰設備PIN碼驗證結果來判斷智能密鑰設備PIN碼驗證結果是否有效。在該方式中，預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備21，用于檢測到與終端22之間是否斷開連接，如果是，則刪除智能密鑰設備PIN碼驗證結果。因此，只要在智能密鑰設備21中查找到智能密鑰設備PIN碼驗證結果，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)。在具體實施過程中，若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備21與終端22之間的連接斷開，則智能密鑰設備21再次連接終端時，用于首先將存儲的智能密鑰設備PIN碼驗證結果修改為失效狀態(tài)。智能密鑰設備21再次連接終端22時，有可能是用戶本人之外的其他人在使用，因此，將PIN碼驗證結果確定為失效狀態(tài)，能夠避免用戶本人之外的其他人非法接入網絡。

方式三、智能密鑰設備21，具體用于在查詢預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)時，若預先存儲的智能密鑰設備PIN碼驗證結果在存儲后所觸發(fā)的計時未超出預定時長，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)，通過該方式，可以定時對智能密鑰設備PIN碼進行驗證，防止用戶身份認證通過后，智能密鑰設備21被其他人盜用并非法接入網絡。

在本實施例中，可以參照方式一中設置一個狀態(tài)參數(shù)表示PIN碼驗證結果是否為有效狀態(tài)，在此不再贅述。在具體實施過程中，可以在智能密鑰設備21中內置計時器，在PIN碼驗證結果為通過時，將智能密鑰設備PIN碼驗證結果設置為有效狀態(tài)，重新啟動計時器的計時，當計時器計時到達預定時長時，將智能密鑰設備PIN碼驗證結果從有效狀態(tài)修改為失效狀態(tài)。也可以參照方式一不設置狀態(tài)參數(shù)，而是通過智能密鑰設備21中是否存儲智能密鑰設備PIN碼驗證結果來判斷智能密鑰設備PIN碼驗證結果是否有效。在該方式中，在預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，且計時器的計時到達預定時長時，智能密鑰設備21，用于刪除智能密鑰設備PIN碼驗證結果。因此，只要在智能密鑰設備21中查找到智能密鑰設備PIN碼驗證結果，則確定預先存儲的智能密鑰設備PIN碼驗證結果為有效狀態(tài)，否則為失效狀態(tài)。在計時的基礎上，還可以結合預先存儲的智能密鑰設備PIN碼驗證結果在存儲后，智能密鑰設備21是否掉電判斷PIN碼驗證結果是否為有效狀態(tài)。例如，智能密鑰設備21在掉電后，計時器仍然可以繼續(xù)計時，再次上電后，計時器繼續(xù)之前的計時，只有計時器計時到達預定時長時，才將智能密鑰設備PIN碼驗證結果從有效狀態(tài)修改為失效狀態(tài)或刪除智能密鑰設備PIN碼驗證結果，或者，智能密鑰設備21掉電后，再次上電時，首先將智能密鑰設備PIN碼驗證結果修改為失效狀態(tài)。

作為本發(fā)明實施例的一個可選實施方式，終端22，還用于在路由器23允許終端22接入網絡之后，向路由器23發(fā)送管理請求；路由器23，還用于接收管理請求，向終端22發(fā)送身份認證請求；終端22，還用于接收身份認證請求，將身份認證請求發(fā)送至智能密鑰設備21；智能密鑰設備21，還用于接收身份認證請求，查詢預先存儲的智能密鑰設備PIN碼驗證結果及預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)；智能密鑰設備21，還用于在預先存儲的智能密鑰設備PIN碼驗證結果為通過且處于有效狀態(tài)時，確定本次智能密鑰設備PIN碼驗證結果為通過，并通過終端22向路由器23發(fā)送身份認證響應，身份認證響應包括用于表示本次PIN碼驗證結果為通過的信息；智能密鑰設備21，還用于在預先存儲的智能密鑰設備PIN碼驗證結果處于失效狀態(tài)時，確定本次智能密鑰設備PIN碼驗證結果為不通過，并通過終端22向路由器23發(fā)送身份認證響應，身份認證響應包括用于表示本次PIN碼驗證結果為不通過的信息；路由器23，還用于接收身份認證響應，獲得本次PIN碼驗證結果，在本次PIN碼驗證結果為通過時，響應管理請求，在本次PIN碼驗證結果為不通過時，拒絕響應管理請求。通過該可選實施方式，在本次PIN碼驗證結果為通過時，才能在終端22上對路由器23進行管理，避免路由器23被遠程劫持、入侵、修改配置等，保證了路由器23的安全。

在具體實施過程中，當需要對路由器23進行管理(例如，設置網絡名稱、網絡密碼、網絡參數(shù)、上網控制等)時，通過終端22上安裝的應用對路由器23進行管理，生成管理請求，并將管理請求發(fā)送至路由器23。路由器23，具體用于接收管理請求后，先判斷管理請求是否合法，如果合法，則生成身份認證請求并向終端22發(fā)送身份認證請求，如果不合法，拒絕生成身份認證請求。智能密鑰設備21，具體用于接收身份認證請求后，先驗證身份認證請求是否合法，如果合法，再查詢預先存儲的智能密鑰設備PIN碼驗證結果及預先存儲的智能密鑰設備PIN碼驗證結果是否處于有效狀態(tài)。只有預先存儲的智能密鑰設備PIN碼驗證結果為通過且處于有效狀態(tài)時，即本次智能密鑰設備PIN碼驗證結果為通過時，路由器23才響應管理請求，允許終端22對路由器23進行管理請求所請求的管理操作。

流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為，表示包括一個或更多個用于實現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分，并且本發(fā)明的優(yōu)選實施方式的范圍包括另外的實現(xiàn)，其中可以不按所示出或討論的順序，包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序，來執(zhí)行功能，這應被本發(fā)明的實施例所屬技術領域的技術人員所理解。

應當理解，本發(fā)明的各部分可以用硬件、軟件、固件或它們的組合來實現(xiàn)。在上述實施方式中，多個步驟或方法可以用存儲在存儲器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實現(xiàn)。例如，如果用硬件來實現(xiàn)，和在另一實施方式中一樣，可用本領域公知的下列技術中的任一項或他們的組合來實現(xiàn)：具有用于對數(shù)據(jù)信號實現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路，具有合適的組合邏輯門電路的專用集成電路，可編程門陣列(PGA)，現(xiàn)場可編程門陣列(FPGA)等。

本技術領域的普通技術人員可以理解實現(xiàn)上述實施例方法攜帶的全部或部分步驟是可以通過程序來指令相關的硬件完成，所述的程序可以存儲于一種計算機可讀存儲介質中，該程序在執(zhí)行時，包括方法實施例的步驟之一或其組合。

此外，在本發(fā)明各個實施例中的各功能單元可以集成在一個處理模塊中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個模塊中。上述集成的模塊既可以采用硬件的形式實現(xiàn)，也可以采用軟件功能模塊的形式實現(xiàn)。所述集成的模塊如果以軟件功能模塊的形式實現(xiàn)并作為獨立的產品銷售或使用時，也可以存儲在一個計算機可讀取存儲介質中。

上述提到的存儲介質可以是只讀存儲器，磁盤或光盤等。

在本說明書的描述中，參考術語“一個實施例”、“一些實施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結合該實施例或示例描述的具體特征、結構、材料或者特點包含于本發(fā)明的至少一個實施例或示例中。在本說明書中，對上述術語的示意性表述不一定指的是相同的實施例或示例。而且，描述的具體特征、結構、材料或者特點可以在任何的一個或多個實施例或示例中以合適的方式結合。

盡管上面已經示出和描述了本發(fā)明的實施例，可以理解的是，上述實施例是示例性的，不能理解為對本發(fā)明的限制，本領域的普通技術人員在不脫離本發(fā)明的原理和宗旨的情況下在本發(fā)明的范圍內可以對上述實施例進行變化、修改、替換和變型。本發(fā)明的范圍由所附權利要求及其等同限定。