具体实施方式

本申请提供了一种终端网络配置的修改方法及相关设备，用于根据无线网络的接入配置参数自动更新终端的配置参数。

下面将结合本申请中的附图，对本申请中的技术方案进行详细地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

请参阅图1，为本申请实施例提供的无线网络拓扑示意图。如图1所示，工作站(STA)与无线网络接入点(AP)之间为无线连接，AP则通过无线控制器(wireless accesscontroller，WAC)与网络(如Internet)有线连接。其中，工作站STA可以为支持802.11标准的终端设备，包括带无线网卡的电脑、支持WLAN的手机等；接入点AP则为STA提供基于802.11标准的无线接入服务，起到有线网络和无线网络的桥接作用；无线控制器则在集中式网络架构中，对无线局域网中的所有AP进行控制和管理。例如，WAC可以通过与认证服务器交互信息来为用户提供认证服务。可选地，无线控制器可以为由无线接入点控制与规范(control and provisioning of wireless access points，CAPWAP)协议定义的接入控制器(AC)。

STA接入无线网络的过程可以分为三个阶段，包括扫描阶段、关联阶段和链路认证阶段；在扫描阶段，STA可以通过主动扫描和被动扫描获取到周围的无线网络信息，STA选择要接入的无线网络；在关联阶段，关联过程实质上是链路服务协商的过程，STA发起链路服务协商，具体的协商通过关联报文实现，STA收到关联响应后，判断是否需要进行用户的接入认证，如果不需要，STA可以直接访问无线网络；如果需要，STA会发起链路认证请求；在链路认证阶段，为了保证无线链路的安全，接入过程中AP需要完成对STA的认证，当认证成功后，STA才可以访问无线网络。

一般的，链路认证机制可以是开放系统，开放系统即不认证，任意STA都可以直接接入无线网络。链路认证机制还可以是共享密钥认证，其要求STA和AP预先配置相同的预共享密钥(preshared key，PSK)，接入点AP需要在链路认证过程中验证两边的密钥配置是否相同；如果一致，则认证成功；否则就认证失败。请参阅图2，为本申请实施例提供的共享密钥认证的流程示意图；如图2所示：STA首先先给AP发送认证请求，AP接收到认证请求后就随即生成一个“挑战短语”给STA；然后STA使用预先设置好的密钥加密该“挑战短语”并且将加密的“挑战短语”再次发给AP；AP接收到经过加密的“挑战短语”后，用AP预先设置好的密钥解密该消息，然后将解密后的“挑战短语”与之前发送给STA的进行比较；如果相同，则说明STA与AP预置的密钥相同，那么该终端认证成功；否则，则认证失败，AP不允许终端接入到无线网络中来。

当终端与AP采用PSK认证方式进行链路层认证时，终端与AP必须预先配置相同的PSK。在某种场景下，如果要修改PSK，AP和终端就必须同步修改，目前，只能采用人工方式手动修改PSK，这样将会增加用户工作量，并且手动输入也容易出错，用户体验度不高。

服务集标识符(service set identifier，SSID)是表示无线网络的标识，用来区分不同的无线网络；同样，当无线网络需要修改SSID时，必须人工修改或重新配置终端的SSID，然后无线终端才能针对新的SSID发起主动扫描和接入认证，这些都将大大增加用户的工作量，影响用户的体验度。

请参阅图3，为本申请实施例中的终端网络配置的修改方法的流程示意图，如图3所示，该方法包括：

301、终端采用旧密码向接入点发起链路认证。

终端在首次接入无线网络时，首先需要扫描获取到该无线网络信息，然后向该接入点发送认证请求，接入点接收到认证请求后就随机生成一个“挑战短语”给终端；终端用预先设置好的旧密码加密该“挑战短语”并且将加密的“挑战短语”再次发给接入点。可以理解的，终端预设的旧密码是通过用户手动的方式输入的，通过共享无线网络密钥来接入无线网络中。

302、接入点确定终端认证成功。

当接入点接收到加密的“挑战短语”后，由于此时接入点的接入配置参数仍然为旧密码，那么接入点就需要利用旧密码来对“挑战短语”进行解密，当解密得到的“挑战短语”与之前发送的一致时，则证明终端预置的密码和接入点的密码相同，即认证成功，接入点允许认证成功的终端接入到无线网络中来。

303、终端与接入点相连。

当链路认证成功后，终端与该无线网络关联。终端会继续发起链路服务协商，最后终端访问该无线网络，完成数据传输。

304、无线控制器向接入点发送网络配置更新命令。

当无线网络的网络配置参数需要更改时，可选的，可以先由网络管理员在无线控制器WAC上进行配置调整，然后无线控制器WAC自动将调整后的网络配置同步给接入点AP，可以理解的，WAC可以向AP发送网络配置更新命令，该命令中包括新配置参数，例如新密码或者新的SSID和该SSID对应的新密码；以指示接入点对接入点的接入配置参数进行修改。

305、接入点根据网络配置更新命令更改接入配置参数。

AP接收到网路配置更新命令后，就先对自身的接入配置参数进行修改，用新密码或者新的SSID及密码对终端进行认证。

示例性的，AP自身也可以根据网络情况改变网络配置参数，即AP对自身的接入配置参数进行修改，用新密码或者新的SSID及密码对终端进行认证，可以理解的，在该种情况下，步骤304和步骤305可以不执行。

306、接入点向终端发送终端配置更新命令。

接入点修改完接入配置参数，就需要通知已经成功接入该无线网络的在线终端同步修改终端的配置参数，使得终端自动更新配置参数，由于终端通过旧密码已经与该无线网络相连，因此接入点向终端发送终端配置更新命令，携带该终端配置更新命令的无线局域网帧需要以旧密码推导出的密钥加密，这样保证终端成功接收到该命令，可以理解的，该命令需要包括新配置参数。

接入点可以通过加密的广播报文通知其接入的在线终端更新配置参数；一般的，根据接入认证时的预共享密码PSK生成的成对主钥(pairwise master key，PMK)可以产生两类临时密钥，一种为成对瞬时密钥PTK(Pairwise Transient Key)，用于加密单播报文，另一类为群组临时密钥(group temporal key，GTK)，用来加密组播和广播无线报文；因此，广播报文使用旧的GTK来进行加密，而广播报文中包含的新配置参数可以包括新密码，新密码包括新的PSK，还可以包括新的SSID和该SSID对应的PSK，具体形式不做限定。在终端根据新配置参数接入网络后，由新的PSK生成新的PMK，再由新的PMK生成新的PTK和GTK来对不同的报文进行加密。

示例性的，接入点可以采用保留编号的管理帧来发送终端配置更新命令，管理帧的内容可以包括新的PSK、新的SSID、更新配置的截止时间、或者更新方式。示例性的，可以采用行动帧中的保留类别来实现；在行动帧中，存在一些保留的类别和厂商自定义的类别没有明确定义具体的功能，因此，也可以用这些保留编号的行动帧来发送终端配置更新命令。

例如，采用保留代码的行动帧(行动类型代码为22)来实现，相关简要定义如表1下：

表1

其中，该行动帧的格式如表2所示：

表2

其中，表2中的更新网络配置通知(renew network configure advertisement，RNCA)行动域值可以有包括多项取值，每一取值的定义如表3所示：

表3

同时，在表2中，更新网络配置要素可以修改SSID，也可以修改PSK，因此，可以给每个要素分配元素ID，具体的分配结果可以如表4所示：

表4

其中，该行动帧可以采用TLV格式来进行定义，如表5所示：

表5

其中，表5中各字段含义为：element ID为需要更新的元素ID，如更新SSID时，其取值为0，更新PSK时，取值为2；length则为元素域后续字段的长度，即识别的字节长度；deadline则为截止时间，该截止时间用于指示所述接入点仅用所述新配置参数作为所述接入点的接入配置参数的时间；即指示终端根据该行动域自动更新配置参数的截止时间；renew time则是指定更新时间，例如，接入点不指示新配置参数的更新时间时，可以取值为0，若指定了更新时间，则终端根据该更新时间来选择修改配置参数的方式；new value是指新配置值，即保留信息，用于定义其他变量。接入点可以根据各字段的定义，设置行动帧，然后发送给目标终端，指示终端进行配置参数修改。

307、终端根据终端配置更新命令修改配置参数。

终端接收到网络配置更新命令后，根据终端配置更新命令中的相关信息对自身的配置参数进行修改，示例性的，终端可以根据新密码来修改密码，也可以将配置参数修改为新的SSID和新密码；同时，还可以根据截至时间来确定修改密码的期限；根据更新时间来确定修改方式，示例性的，终端在接收到终端配置更新命令后立即修改配置参数，还可以先保存新配置参数，在终端重启之后进行修改，还可以在指定的时间进行修改，具体不做限定。

308、终端根据新配置参数连接接入点。

当终端修改完配置参数后，就利用新配置参数与无线网络进行认证，完成无线网络的切换或者更改。

在本实施例中，无线网络的接入点使用旧密码推导出的密钥对携带有终端配置更新命令的无线局域网帧进行加密，然后向已经连接过该无线网络的目标终端发送该无线局域网帧，接入点就根据终端配置更新命令自动修改自身配置参数，然后目标终端根据新配置参数来连接无线网络，无需用户多次手动输入新配置参数，减少了用户的工作量，提高了修改配置参数的精确度以及用户体验度。

请参阅图4，为本申请实施例中另一种终端网络配置的修改方法的流程示意图，如图4所示，该方法包括：

401、无线控制器向接入点发送网络配置更新命令。

步骤401与图3所示实施例中步骤304类似，在此不做赘述。

402、接入点根据网络配置更新命令更改接入配置参数。

步骤402与图3所示实施例中步骤305类似，在此不做赘述。

403、接入点保存新密码和旧密码。

当接入点的接入配置参数更改后，由于存在未连接该无线网络的离线终端，这些离线终指已经认证成功并且连接过该无线网络的终端设备，为了使得离线终端自动修改其配置参数，接入点需要先根据旧配置参数使得终端连接至无线网络中来，然后再指示离线终端进行自动修改；为了网络安全性，一个优选的方案为接入点在过渡期保存新密码和旧密码，超过过渡期则删除旧密码，只根据新密码来进行链路认证。

404、终端向接入点发起链路认证。

终端向接入点发送认证请求，使得接入点对终端进行认证。

405、接入点对终端进行认证。

接入点响应终端发送的认证请求，由于接入点的接入配置参数包括新密码和旧密码，由于接入点无法直接感知终端的配置参数，那么就需要利用新密码和旧密码来进行链路认证，在过渡时期，当接入点接收终端发送的认证响应报文时，先使用新密码对该挑战码进行解密，如果新密码对所述挑战码解密成功，则直接确定终端认证成功；如果新密码对挑战码解密失败，该接入点就需要使用旧密码对所述挑战码进行解密，再根据旧密码的解密结果来确定认证结果。

可以理解的，接入点也可以先利用旧密码对加密挑战码进行解密，然后再使用新密码对挑战码进行解密，具体的形式不做限定。

406、接入点向终端发送终端配置更新命令。

步骤406与图3所示实施例中步骤306类似，但是接入点可以通过可以采用单播的方式下发终端配置更新命令，使用成对临时密钥PTK来加密单播报文；因此，单播报文使用旧的PTK来进行加密，而单播报文中包含的新配置参数可以包括新密码，还可以包括新的SSID和该SSID对应的新密码，具体形式不做限定。

407、终端根据终端配置更新命令修改配置参数。

步骤407与图3所示实施例中步骤307类似，在此不做赘述。

408、终端根据新配置参数连接所述接入点。

步骤408与图3所示实施例中步骤308类似，在此不做赘述。

在本实施例中，无线网络的接入点保存修改后的新密码以及修改前的旧密码，因此在过渡期内，配置参数为新密码或者旧密码的终端都可以成功连接该无线网络，由于配置参数为旧密码的终端已经成功连接过该无线网络，因此接入点可以向其发送终端配置更新命令，使其自动修改自身的配置参数，无需用户手动输入新配置参数，减少了用户的工作量，提高了修改配置参数的精确度以及用户体验度。

请参阅图5，本申请实施例提供的一种无线局域网的接入设备的结构示意图。如图5所示，该接入设备500包括：

获取单元501，用于获取网络配置更新命令，所述网络配置更新命令包括新配置参数，所述网络配置更新命令用于更新所述接入设备500的接入配置参数，所述新配置参数包括新密码；

发送单元502，用于向终端设备发送终端配置更新命令，所述终端配置更新命令指示所述终端设备根据所述终端配置更新命令自动修改所述终端设备的配置参数；

其中，修改前的所述配置参数包括旧密码，所述终端配置更新命令包括所述新配置参数，携带所述终端配置更新命令的无线局域网帧以旧密码推导出的密钥加密，修改后的所述配置参数包括所述新配置参数。

一种可能的实现中，所述接入设备500还包括：

存储单元503，用于在过渡期内保存所述新密码和所述旧密码。

一种可能的实现中，所述接入设备500还包括：

接收单元504，用于在所述过渡期内接收所述终端设备发送的认证响应报文，所述认证响应报文包括加密的挑战码；

处理单元505，用于使用第一密码对所述挑战码进行解密；若所述第一密码对所述挑战码解密成功，则所述目标终端认证成功；若所述第一密码对所述挑战码解密失败，则使用第二密码对所述挑战码进行解密；若所述第二密码对所述挑战码解密成功，则所述目标终端认证成功；

其中，所述第一密码为所述新密码，所述第二密码为所述旧密码；或者所述第一密码为所述旧密码，所述第二密码为所述新密码。

一种可能的实现中，所述终端配置更新命令还包括截止时间，所述截止时间用于指示所述接入点仅用所述新配置参数作为所述接入点的接入配置参数的时间。

一种可能的实现中，所述新配置参数还包括新服务集标识。

需要说明的是，上述接入设备的各个单元的功能，具体可参见前述图3和图4所示的方法实施例中的接入点的实现细节，此处不再赘述。

请参阅图6，本申请实施例提供的一种无线局域网的终端设备的结构示意图。如图6所示，该终端设备600包括：

接收单元601，用于接收接入设备发送的终端配置更新命令，所述终端配置更新命令包括新配置参数，所述新配置参数包括新密码，携带所述终端配置更新命令的无线局域网帧以旧密码推导出的密钥加密；

处理单元602，用于用所述新配置参数修改配置参数，其中，修改前的所述配置参数包括所述旧密码；

连接单元603，用于用所述新配置参数连接所述接入点。

一种可能的实现中，所述终端配置更新命令包括截止时间，所述连接单元603在所述截止时间前用所述新配置参数连接所述接入点。

需要说明的是，上述终端设备的各个单元的功能，具体可参见前述图3和图4所示的方法实施例中的终端的实现细节，此处不再赘述。

请参阅图7，为本申请实施例提供的另一种接入设备的结构示意图，该接入设备包括：处理器701，通信接口702。

处理器701和通信接口702通过总线相互连接；总线可以是外设部件互连标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extendedindustry standard architecture，简称EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

处理器701可以是中央处理器(central processing unit，CPU)，网络处理器(英文：network processor，NP)或者CPU和NP的组合。处理器601还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic，GAL)或其任意组合。

通信接口702为无线通信接口，其中，无线通信接口可以为WLAN接口，蜂窝网络通信接口或其组合等。

可选地，处理器701调用程序指令，可以执行图3或图4所示方法实施例中的一个或多个步骤，或其中可选的实施方式，使得所述接入设备实现上述方法中接入点的功能，具体此处不再赘述。

请参阅图8，为本申请实施例提供的另一种终端设备的结构示意图，该终端设备包括：处理器801，存储器802，通信接口803。

处理器801、存储器802、通信接口803通过总线相互连接；总线可以是外设部件互连标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器802可以包括易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)；存储器也可以包括非易失性存储器(non-volatilememory)，例如快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)；存储器802还可以包括上述种类的存储器的组合。

处理器801可以是中央处理器(central processing unit，CPU)，网络处理器(英文：network processor，NP)或者CPU和NP的组合。处理器801还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic，GAL)或其任意组合。

通信接口803可以为有线通信接口，无线通信接口或其组合，其中，有线通信接口例如可以为以太网接口。以太网接口可以是光接口，电接口或其组合。无线通信接口可以为WLAN接口，蜂窝网络通信接口或其组合等。

可选地，存储器802还可以用于存储程序指令，处理器801调用该存储器802中存储的程序指令，可以执行图2或图3所示方法实施例中的一个或多个步骤，或其中可选的实施方式，使得所述终端设备实现上述方法中终端的功能，具体此处不再赘述。

本申请实施例还提供了一种终端网络配置的修改系统，包括：如图5或图7所示的接入设备，如图6或图8所示的终端设备，所述接入设备向所述终端设备发送终端配置更新命令。

本申请实施例还提供了一种芯片或者芯片系统，该芯片或者芯片系统包括至少一个处理器和通信接口，通信接口和至少一个处理器通过线路互联，至少一个处理器运行指令或计算机程序，执行图3或图4所示方法实施例中的一个或多个步骤，或其中可选的实施方式，以实现上述方法中接入点的功能。

其中，芯片中的通信接口可以为输入/输出接口、管脚或电路等。

在一种可能的实现中，上述描述的芯片或者芯片系统还包括至少一个存储器，该至少一个存储器中存储有指令。该存储器可以为芯片内部的存储单元，例如，寄存器、缓存等，也可以是该芯片的存储单元(例如，只读存储器、随机存取存储器等)。

本申请实施例还提供了一种芯片或者芯片系统，该芯片或者芯片系统包括至少一个处理器和通信接口，通信接口和至少一个处理器通过线路互联，至少一个处理器用于运行计算机程序或指令，以进行图3和图4所示实施例的任一种可能的实现方式中任一项所描述的终端的执行方法；

其中，芯片中的通信接口可以为输入/输出接口、管脚或电路等。

在一种可能的实现中，本申请中上述描述的芯片或者芯片系统还包括至少一个存储器，该至少一个存储器中存储有指令。该存储器可以为芯片内部的存储单元，例如，寄存器、缓存等，也可以是该芯片的存储单元(例如，只读存储器、随机存取存储器等)。

本申请实施例还提供了一种计算机存储介质，该计算机存储介质用于储存为上述接入设备或终端设备所用的计算机软件指令，其包括用于执行为接入设备、或终端设备所设计的程序。

该接入设备可以如前述图5或图7所描述的接入设备。

该终端设备可以如前述图6或图8所描述的终端设备。

本申请实施例还提供了一种计算机程序产品，该计算机程序产品包括计算机软件指令，该计算机软件指令可通过处理器进行加载来实现上述图3或图4所示终端网络配置的更新方法中的流程。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。

所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，read-onlymemory)、随机存取存储器(RAM，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。