网络连接管理方法、装置、计算机可读介质及电子设备与流程

1.本技术涉及计算机及通信技术领域，具体而言，涉及一种网络连接管理方法、装置、计算机可读介质及电子设备。


背景技术：

2.随着wlan(wireless local area network，无线局域网)技术的发展，在一些应用场景中，需要有大量的站点设备(即station，sta)来接入ap(access point，接入点)，比如企业级wlan，在这种应用场景中，如何能够有效实现对站点设备的网络连接管理是亟待解决的技术问题。


技术实现要素：

3.本技术的实施例提供了一种网络连接管理方法、装置、计算机可读介质及电子设备，进而至少在一定程度上可以提高网络接入验证的效率。
4.本技术的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本技术的实践而习得。
5.根据本技术实施例的一个方面，提供了一种网络连接管理方法，包括：获取待接入设备的物理地址；生成与各个待接入设备的物理地址相对应的接入密钥；根据与所述各个待接入设备的物理地址相对应的接入密钥，生成物理地址与接入密钥之间的关联关系；将所述关联关系发送给接入点设备，并将接入密钥推送给对应的待接入设备，以使所述接入点设备基于所述关联关系验证所述待接入设备基于所述接入密钥发起的接入请求。
6.根据本技术实施例的一个方面，提供了一种网络连接管理方法，包括：接收接入点管理平台发送的物理地址与接入密钥之间的关联关系，所述关联关系是所述接入点管理平台根据与各个待接入设备的物理地址相对应的接入密钥生成的；若接收到指定设备发送的接入请求，则获取所述指定设备的物理地址和所述接入请求中包含的接入密钥；根据所述关联关系、所述指定设备的物理地址，以及所述接入请求中包含的接入密钥，对所述接入请求进行验证。
7.根据本技术实施例的一个方面，提供了一种网络连接管理方法，包括：将物理地址上报给应用程序服务端；接收所述应用程序服务端推送的与所述物理地址相对应的接入密钥；若接收到连接触发操作，则生成针对指定接入点设备的接入请求，所述接入请求中包含有所述接入密钥；将所述接入请求发送给所述指定接入点设备，以使所述指定接入点设备基于物理地址与接入密钥之间的关联关系验证所述接入请求，所述关联关系是根据与各个待接入设备的物理地址相对应的接入密钥生成的。
8.根据本技术实施例的一个方面，提供了一种网络连接管理装置，包括：第一获取单元，配置为获取待接入设备的物理地址；第一生成单元，配置为生成与各个待接入设备的物理地址相对应的接入密钥；第二生成单元，配置为根据与所述各个待接入设备的物理地址相对应的接入密钥，生成物理地址与接入密钥之间的关联关系；第一发送单元，配置为将所
述关联关系发送给接入点设备，并将接入密钥推送给对应的待接入设备，以使所述接入点设备基于所述关联关系验证所述待接入设备基于所述接入密钥发起的接入请求。
9.在本技术的一些实施例中，基于前述方案，所述第一获取单元配置为：接收应用程序服务端发送的至少一个待接入设备的物理地址，所述至少一个待接入设备的物理地址是运行于所述至少一个待接入设备上的应用程序客户端上报给所述应用程序服务端的。
10.在本技术的一些实施例中，基于前述方案，所述第一发送单元配置为：将所述物理地址与接入密钥之间的关联关系推送给所述应用程序服务端，以使所述应用程序服务端根据所述关联关系将所述接入密钥推送给相关联的物理地址所对应的待接入设备。
11.在本技术的一些实施例中，基于前述方案，所述第一生成单元配置为：根据所述各个待接入设备的物理地址生成接入密钥，其中，针对不同的待接入设备的物理地址所生成的接入密钥不相同。
12.根据本技术实施例的一个方面，提供了一种网络连接管理装置，包括：第一接收单元，配置为接收接入点管理平台发送的物理地址与接入密钥之间的关联关系，所述关联关系是所述接入点管理平台根据与各个待接入设备的物理地址相对应的接入密钥生成的；第二获取单元，配置为若接收到指定设备发送的接入请求，则获取所述指定设备的物理地址和所述接入请求中包含的接入密钥；处理单元，配置为根据所述关联关系、所述指定设备的物理地址，以及所述接入请求中包含的接入密钥，对所述接入请求进行验证。
13.在本技术的一些实施例中，基于前述方案，所述处理单元配置为：若根据所述关联关系确定所述指定设备的物理地址与所述接入请求中包含的接入密钥相关联，则确定对所述接入请求验证成功。
14.在本技术的一些实施例中，基于前述方案，所述处理单元配置为：若所述指定设备的物理地址不存在于所述关联关系中，则拒绝所述接入请求。
15.根据本技术实施例的一个方面，提供了一种网络连接管理装置，包括：上报单元，配置为将物理地址上报给应用程序服务端；第二接收单元，配置为接收所述应用程序服务端推送的与所述物理地址相对应的接入密钥；第三生成单元，配置为若接收到连接触发操作，则生成针对指定接入点设备的接入请求，所述接入请求中包含有所述接入密钥；第二发送单元，配置为将所述接入请求发送给所述指定接入点设备，以使所述指定接入点设备基于物理地址与接入密钥之间的关联关系验证所述接入请求，所述关联关系是根据与各个待接入设备的物理地址相对应的接入密钥生成的。
16.在本技术的一些实施例中，基于前述方案，所述上报单元配置为：将本地应用程序客户端中的用户账号信息与运行所述本地应用程序客户端的待接入设备的物理地址进行关联，并上报给所述应用程序服务端。
17.在本技术的一些实施例中，基于前述方案，所述网络连接管理装置还包括：确定单元，配置为显示图形用户界面，所述图形用户界面上显示有网络连接触发控件，若检测到对所述网络连接触发控件的触发操作，则确定接收到连接触发操作。
18.根据本技术实施例的一个方面，提供了一种计算机可读介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述实施例中所述的网络连接管理方法。
19.根据本技术实施例的一个方面，提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执
行时，使得所述一个或多个处理器实现如上述实施例中所述的网络连接管理方法。
20.根据本技术实施例的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各种可选实施例中提供的网络连接管理方法。
21.在本技术的一些实施例所提供的技术方案中，接入点管理平台通过生成与各个待接入设备的物理地址相对应的接入密钥，然后根据与各个待接入设备的物理地址相对应的接入密钥生成物理地址与接入密钥之间的关联关系，并将该关联关系发送给接入点设备，将接入密钥推送给对应的待接入设备，使得接入点设备可以基于物理地址与接入密钥之间的关联关系验证待接入设备发起的接入请求。可见，本技术实施例的技术方案通过将待接入设备的接入密钥与物理地址进行关联，使得在接入点设备验证接入请求时，一方面可以验证待接入设备的物理地址是否存在于该关联关系中，避免了恶意设备频繁发起接入请求而影响接入点设备的性能，另一方面可以在待接入设备的物理地址存在于该关联关系中时，根据该物理地址对应的接入密钥快速验证接入请求中包含的接入密钥，提高了网络接入验证的效率。
22.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
23.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
24.图1示出了wpa/wpa2
‑
psk认证的示意图；
25.图2示出了wpa/wpa2
‑
ppsk认证的示意图；
26.图3示出了sta与ap之间建立连接的流程图；
27.图4示出了sta与ap之间的四次握手认证示意图；
28.图5示出了sta与ap认证过程中的密钥生成示意图；
29.图6示出了portal认证的配置界面示意图；
30.图7示出了根据本技术的一个实施例的网络连接管理方法的流程图；
31.图8示出了根据本技术的一个实施例的网络连接管理方法的流程图；
32.图9示出了根据本技术的一个实施例的网络连接管理方法的流程图；
33.图10示出了根据本技术的一个实施例的云ap的场景示意图；
34.图11示出了根据本技术的一个实施例的云ap场景的系统架构图；
35.图12示出了根据本技术的一个实施例的网络连接管理方法的流程图；
36.图13示出了根据本技术的一个实施例的一键联网的界面示意图；
37.图14示出了根据本技术的一个实施例的网络连接管理装置的框图；
38.图15示出了根据本技术的一个实施例的网络连接管理装置的框图；
39.图16示出了根据本技术的一个实施例的网络连接管理装置的框图；
40.图17示出了适于用来实现本技术实施例的电子设备的计算机系统的结构示意图。
具体实施方式
41.现在参考附图以更全面的方式描述示例实施方式。然而，示例的实施方式能够以各种形式实施，且不应被理解为仅限于这些范例；相反，提供这些实施方式的目的是使得本技术更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。
42.此外，本技术所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，有许多具体细节从而可以充分理解本技术的实施例。然而，本领域技术人员应意识到，在实施本技术的技术方案时可以不需用到实施例中的所有细节特征，可以省略一个或更多特定细节，或者可以采用其它的方法、元件、装置、步骤等。
43.附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
44.附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。
45.需要说明的是：在本文中提及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
46.wpa全名为wi
‑
fi protected access(wi
‑
fi网络安全接入)，有wpa、wpa2和wpa3三个标准，是一种保护无线网络安全的系统。wpa/wpa2
‑
psk(pre
‑
shared key，预共享密钥)是预分配共享密钥的认证方式，在加密方式和密钥的验证方式上的安全性更高。如图1所示，采用wpa/wpa2
‑
psk认证时，对于连接到接入点设备101的指定ssid(service set identifier，服务集标识)的所有站点设备，接入密钥是相同的，比如站点设备102和站点设备103的psk都是“12345”。
47.wpa/wpa2
‑
ppsk(private psk，私有的psk)认证继承了wpa/wpa2
‑
psk认证的优点，部署简单，同时还可以实现对不同的站点设备提供不同的预共享密钥，有效提升了网络的安全性。在使用wpa/wpa2
‑
ppsk认证时，连接到同一个ssid的站点设备可以有不同的接入密钥，根据不同的用户可以下发不同的授权，并且如果一个用户拥有多个站点设备，这些站点设备也可以通过同一个ppsk账号连接到网络。具体如图2所示，连接到接入点设备201的同一ssid的站点设备202与站点设备203可以使用相同的psk，而站点设备204可以使用与站点设备202和站点设备203不相同的psk。
48.不管是wpa/wpa2
‑
psk方式，还是wpa/wpa2
‑
ppsk方式，在sta与ap之间的连接过程以及秘钥协商流程是一致的。
49.如图3所示，站点设备sta与接入点设备ap之间建立连接的过程主要包括：
50.步骤s301，扫描阶段(scan)。
51.具体地，sta使用scanning来搜索ap，当sta漫游时寻找连接一个新的ap时，sta会在每个可用的信道上进行搜索。搜索方式有主动搜索(active scanning)和被动搜索(passive scanning)两种。
52.主动搜索是sta依次在每个信道(1
‑
13信道)发出probe request(探测请求)帧，寻找与sta所属有相同ssid的ap，若找不到相同ssid的ap，则一直扫描下去。主动搜索的特点是可以迅速搜索到ap。
53.被动搜索是sta通过侦听ap定期发送的beacon(信标)帧来发现网络，该帧提供了ap及所在bss(basic service set，基本服务集)的相关信息。被动搜索的方式虽然搜索到ap需要花费较多的时间，但是可以降低sta的功耗。
54.步骤s302，认证阶段(authentication)。
55.具体地，当sta找到与其有相同ssid的ap之后，在ssid匹配的ap中，根据收到的ap信号强度，选择一个信号最强的ap，然后进入认证阶段，只有身份认证通过的sta才能进行无线接入访问。ap提供的认证方法包括：开放式认证(open
‑
system authentication)、共享密钥认证(shared
‑
key authentication)、预先身份认证(wpa psk)等。
56.其中，开放式认证的过程是sta发起认证请求，认证服务器收到后回应。共享密钥认证的过程是sta发起认证请求，认证服务器收到请求后回复质询文本，sta利用预置的key加密明文发送给认证服务器，认证服务器用预置的key解密并和之前的明文比较，如一致则认证通过。
57.步骤s303，关联阶段(association)。
58.具体地，当ap向sta返回认证响应信息，sta身份认证获得通过后之后，进入关联阶段。在关联阶段中，sta向ap发送关联请求，ap向sta返回关联响应。当sta移动时就涉及到漫游问题，如果是在同一组网下漫游就无需重新认证而只需要重新关联。当ap与sta关联完成之后，sta的接入过程才完成，即sta与ap之间连接成功。
59.在进行数据传输之前，sta与ap之间需要进行基于eapol(extensible authentication protocol over lan，基于局域网的扩展认证协议)的四次握手过程来产生所需要的密钥。具体过程如图4所示，sta作为请求方(supplicant)，ap作为认证方(authenticator)来进行四次握手过程。
60.在四次握手过程中，消息1是由认证方通过单播方式向请求方发送一个携带a
‑
nonce的eapol
‑
key帧。其中，a
‑
nonce是由认证方生成的一个随机数。
61.请求方在接收到消息1之后，由于请求方已经获得的a
‑
nonce和aa(authenticator mac地址，即认证方的mac地址)，同时请求方已经拥有了pmk(pairwise master key，即成对主密钥，通常是一组随机数)和spa(即请求方的mac地址)，所以可以通过下面的函数计算出ptk(pairwise transient key，成对临时密钥)：
62.ptk＝prf(pmk a
‑
nonce s
‑
nonce aa spa)
63.其中，prf表示pseudorandom function，即伪随机函数；s
‑
nonce是请求方生成的随机数；公式中的pmk是请求方自己设置的。生成的ptk包含3个部分：kck(key confirmation key，密钥确认密钥)、kek(key encryption key，密钥加密密钥)和tk(temporal key，临时密钥)。kck用来计算密钥生成消息的完整性，kek用来加密密钥生成消息，tk是真正用来进行数据加密的。
64.在四次握手过程中，消息2是请求方在生成ptk之后，将s
‑
nonce、mic(message integrity code，即消息完整性校验码，是针对一组需要保护的数据计算出的散列值，用来防止数据遭篡改)等信息通过第二个eapol
‑
key帧发送给认证方。其中，消息2中的mic值会
被kck(key confirmation key，密钥确认密钥)加密。
65.认证方接收到消息2之后，取出消息2中的s
‑
nonce，也将进行和请求方中类似的计算来验证请求方返回的消息是否正确，具体是将收到的mic和自己生成的mic进行完整性校验。如果不正确，即对mic完整性校验失败，则表明请求方pmk错误，于是整个握手工作就此停止。
66.如果认证方验证请求方返回的消息正确，则认证方生成ptk和gtk(group temporal key，组临时密钥)。gtk是用于加密组播和广播数据流的加密密钥。
67.在四次握手过程中，消息3是认证方在生成ptk和gtk之后，向请求方发送第三个eapol
‑
key帧，其中携带有gtk和mic。其中，gtk通过kek进行加密，mic通过kck进行加密。
68.请求方在接收到消息3之后，也将做一些计算以判断认证方的pmk是否正确。如果确认无误，则请求方通过消息4最后一次发送eapol
‑
key帧给认证方进行确认，如果认证成功，则请求方和认证方都安装(install)密钥，安装(install)的意思是指使用密钥来对数据进行加密。具体地，请求方安装ptk和gtk，认证方安装ptk。
69.当请求方和认证方完成认证以后，认证方的控制端口将会被打开，这样802.11的数据帧将能够正常传输，而且所有的单播数据帧将会被ptk加密进行保护，所有的组播数据以及广播数据将会被gtk进行加密保护。
70.在认证过程中的密钥生成过程如图5所示，pmk是由essid(extended service set identifier，服务区别号)和psk生成的，比如通过sha
‑
1(secure hash algorithm 1，安全散列算法1)算法来生成pmk。ptk是根据四次握手中获取的请求方mac(即sta mac)、认证方的mac(可以通过bssid来表示)、pmk、a
‑
nonce和s
‑
nonce来生成的。之后可以通过ptk来对密文和mic进行加密。加密时可以采用aes(advanced encryption standard，高级加密标准)或者tkip(temporal key integrity protocol，临时密钥完整性协议)的方式。
71.在企业wlan中，使用较多的是wpa/wpa2
‑
ppsk认证，这样使得每个用户都可以有不同的密钥，并且配置和部署简单。但是这种方式需要将每个用户的密钥都保存在接入认证设备上，即接入认证设备上需要单独存储密钥列表，如果密钥列表中的密钥数量较多，那么在校验用户输入的密钥时则会极大增加验证时间。同时，如果密钥数量较多，那么在有恶意设备故意输入错误密钥进行攻击时，会导致接入认证设备无法工作的问题，并且这种方式也难以避免密钥混用的现象。
72.此外，在相关技术中，也有采用portal认证的方式，portal是作为网关服务于因特网的一种web站点，wi
‑
fi提供方需要先对portal认证进行配置，具体配置界面如图6所示，需要设置portal url(uniform resource locator，统一资源定位器)、认证key、认证secret、认证url、白名单、check url、网络类型等。在配置完成之后，用户可以连接上无密码的wi
‑
fi，然后通过浏览器弹出portal认证界面，填入认证的用户名和密码之后，才能真正通过wi
‑
fi网络进行上网。这种认证方案不仅操作繁琐，而且portal认证还存在兼容性问题，有些终端(如某些厂商的手机)连接上wi
‑
fi后，有可能无法弹出portal认证的页面，进而导致无法进行认证。
73.基于上述问题，本技术实施例提供了一种新的网络连接管理方案，通过将待接入设备的接入密钥与物理地址进行关联，使得在接入点设备验证接入请求时，一方面可以验证待接入设备的物理地址是否存在于该关联关系中，避免了恶意设备频繁发起接入请求而
影响接入点设备的性能，另一方面可以在待接入设备的物理地址存在于该关联关系中时，根据该物理地址对应的接入密钥快速验证接入请求中包含的接入密钥，提高了网络接入验证的效率，同时还可以避免接入密钥混用的问题。
74.以下对本技术实施例的技术方案的实现细节进行详细阐述：
75.图7示出了根据本技术的一个实施例的网络连接管理方法的流程图，该网络连接管理方法可以由接入点管理平台来执行，该接入点管理平台可以是用于进行接入管理的平台。参照图7所示，该网络连接管理方法至少包括步骤s710至步骤s740，详细介绍如下：
76.在步骤s710中，获取待接入设备的物理地址。
77.在本技术的一个实施例中，待接入设备的物理地址可以是mac(media access control，媒体介入控制)地址。待接入设备的物理地址可以是待接入设备直接上报给接入点管理平台的(比如通过移动通信网络直接上报给接入点管理平台)，或者也可以通过其它设备间接上报给接入点管理平台。
78.可选地，待接入设备上安装有应用程序客户端，该应用程序客户端可以获取到待接入设备的物理地址，然后将待接入设备的物理地址上报给应用程序服务端，进而应用程序服务端可以将收集到的至少一个物理地址发送给接入点管理平台。
79.可选地，接入点管理平台可以通过服务器的形式来实现，该服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云计算服务的云服务器。待接入设备可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表、车载终端、智能电视等，但并不局限于此。
80.在步骤s720中，生成与各个待接入设备的物理地址相对应的接入密钥。
81.在本技术的一个实施例中，接入点管理平台可以针对各个待接入设备随机生成接入密钥，或者按照一定的策略来生成接入密钥。可选地，接入点管理平台可以按照待接入设备所在的区域、设备类型来生成具有一定规则的接入密钥，比如针对区域1的待接入设备生成以“01”开头的接入密钥，针对区域2的待接入设备生成以“02”开头的接入密钥；或者针对手机设备生成以“phone”开头的接入密钥，针对计算机生成以“pc”开头的接入密钥等。
82.可算地，针对不同的待接入设备的物理地址可以生成不同的的接入密钥，这样可以实现一机一密，避免接入密钥混用的情况。
83.在步骤s730中，根据与各个待接入设备的物理地址相对应的接入密钥，生成物理地址与接入密钥之间的关联关系。
84.在本技术的一个实施例中，在针对各个待接入设备的物理地址生成相对应的接入密钥之后，可以将接入密钥与物理地址进行关联存储以生成物理地址与接入密钥之间的关联关系。此外，为了提高在验证阶段查询接入密钥的速率，可以根据接入密钥与物理地址之间的关联关系来生成哈希表，进而可以提高密钥查询效率。
85.在步骤s740中，将物理地址与接入密钥之间的关联关系发送给接入点设备，并将接入密钥推送给对应的待接入设备，以使接入点设备基于关联关系验证待接入设备基于接入密钥发起的接入请求。
86.在本技术的一个实施例中，接入点管理平台在生成物理地址与接入密钥之间的关联关系之后，可以将该关联关系推送给接入点设备，并且可以将各个待接入设备的接入密钥推送给各个待接入设备，比如直接通过移动通信网络将待接入设备的接入密钥推送给各
待接入设备，或者也可以通过其它设备间接上报给接入点管理平台。
87.可选地，待接入设备上安装有应用程序客户端，该应用程序客户端可以与应用程序服务端进行通信，在这种场景下，接入点管理平台可以将物理地址与接入密钥之间的关联关系推送给应用程序服务端，进而应用程序服务端可以根据该关联关系将各个接入密钥推送给相关联的物理地址所对应的待接入设备。
88.图7是从接入点管理平台的角度对本技术实施例的技术方案进行的阐述，以下从接入点设备的角度对本技术实施例的技术方案进行说明：
89.图8示出了根据本技术的一个实施例的网络连接管理方法的流程图，该网络连接管理方法可以由接入点设备来执行。参照图8所示，该网络连接管理方法至少包括步骤s810至步骤s830，详细介绍如下：
90.在步骤s810中，接收接入点管理平台发送的物理地址与接入密钥之间的关联关系，该关联关系是接入点管理平台根据与各个待接入设备的物理地址相对应的接入密钥生成的。
91.可选地，接入点管理平台生成物理地址与接入密钥之间的关联关系的过程可以参照前述实施例，不再赘述。
92.在步骤s820中，若接收到指定设备发送的接入请求，则获取指定设备的物理地址和接入请求中包含的接入密钥。
93.在本技术的实施例中，指定设备是需要接入接入点设备的站点设备。由于指定设备在向接入点设备发送接入请求之前已经与接入点设备进行通信，因此指定设备的物理地址可以是在指定设备发送接入请求就已经获取到的。当然，指定设备也可以在接入请求中再次携带其物理地址。
94.在步骤s830中，根据物理地址与接入密钥之间的关联关系、指定设备的物理地址，以及接入请求中包含的接入密钥，对接入请求进行验证。
95.在本技术的一个实施例中，如果根据物理地址与接入密钥之间的关联关系确定指定设备的物理地址与接入请求中包含的接入密钥相关联，则确定对接入请求验证成功。具体地验证过程可以是：接入点设备根据指定设备的物理地址在上述关联关系中查找到对应的接入密钥，然后将查找到的接入密钥与接入请求主动包含的接入密钥进行比对，若一致，则确定对接入请求验证成功。
96.在本技术的一个实施例中，如果指定设备的物理地址不存在于关联关系中，则拒绝接入请求。该实施例的技术方案可以避免恶意设备频繁发起连接请求而导致接入点设备无法正常工作的情况发生。
97.以下从站点设备的角度对本技术实施例的技术方案进行说明：
98.图9示出了根据本技术的一个实施例的网络连接管理方法的流程图，该网络连接管理方法可以由站点设备来执行。参照图9所示，该网络连接管理方法至少包括步骤s910至步骤s940，详细介绍如下：
99.在步骤s910中，将物理地址上报给应用程序服务端。
100.在本技术的一个实施例中，站点设备中运行的应用程序客户端在与应用程序服务端建立连接之后，可以将站点设备的物理地址上报给应用程序服务端。
101.可选地，站点设备可以将本地应用程序客户端中的用户账号信息与运行本地应用
程序客户端的待接入设备的物理地址进行关联，并上报给应用程序服务端，这样使得应用程序服务端可以知晓物理地址与用户账号信息之间的对应关系。
102.在步骤s920中，接收应用程序服务端推送的与物理地址相对应的接入密钥。
103.可选地，应用程序服务端推送与物理地址相对应的接入密钥的过程可以参照前述实施例，不再赘述。
104.在步骤s930中，若接收到连接触发操作，则生成针对指定接入点设备的接入请求，该接入请求中包含有接入密钥。
105.在本技术的一个实施例中，连接触发操作可以是用户在站点设备上触发的联网操作，比如点击联网按钮等。
106.可选地，站点设备(具体可以是站点设备上安装的应用程序客户端)上可以显示图形用户界面，该图形用户界面上显示有网络连接触发控件，当检测到对该网络连接触发控件的触发操作时，可以确定接收到连接触发操作，进而可以基于该接入密钥生成接入请求。。
107.在步骤s940中，将接入请求发送给指定接入点设备，以使指定接入点设备基于物理地址与接入密钥之间的关联关系验证接入请求，该关联关系是根据与各个待接入设备的物理地址相对应的接入密钥生成的。
108.可选地，接入点设备的验证过程可以参照前述实施例的技术方案，不再赘述。
109.前述实施例中分别从接入点管理平台、接入点设备和站点设备的角度对本技术实施例的技术方案进行了阐述，以下从各个设备之间进行交互的角度对本技术实施例的实现细节进行详细说明。
110.在本技术的一个应用场景中，接入点设备可以是云ap，云ap是将本地ap的管理能力扩展到云端，通过云端(云ap管理平台，即前述实施例中的接入点管理平台)对多个云ap进行统一的管理，比如配置云ap的lan、wan(wide area network，广域网)以及黑白名单等。云ap的场景如图10所示，云ap管理平台通过internet或者wlan直接与云ap进行通信，或者云ap管理平台通过internet或者wlan经过防火墙和交换机与云ap进行通信，云ap用于与无线终端进行通信交互。
111.云ap的场景的系统架构如图11所示，主要包含三个部分：云ap硬件、云ap管理平台和应用程序。
112.云ap硬件主要包含一个或多个云ap，云ap需要与云ap管理平台进行连接(具体可以通过多端口的转发器hub来进行连接)，并且接收云ap管理平台发送的ap配置信息，同时接收ppsk的秘钥下发和管理，接收和管理终端(即站点设备)的连接信息。
113.云ap管理平台包含了运营平台、hub、设备管理、企业配置、通讯录、密钥管理、数据库等几部分。
114.其中，运营平台用于管理云端任务调度、监控异常情况等；hub负责与云ap硬件进行连接，维持相关的心跳；设备管理主要用于管理连接的云ap的信息；企业配置主要用于管理每个企业相关的云ap配置；通信录主要用于记录企业员工的信息，包括手机号或者即时通信软件的账号信息等；秘钥管理用于生成、销毁和更新密钥，同时用于给企业分配mac
‑
psk哈希表；应用服务用于给应用程序提供相应的api(application programming interface，应用程序接口)接口信息等；数据库作为基础组件，用于对数据进行持久化存
储。
115.应用程序主要是指云ap对应的应用程序，包括前端的管理页面和应用信息，后端的平台和服务能力等。可选地，该应用程序可以是寄宿程序，寄宿程序是依赖于宿主环境而存在的程序，比如小程序、快应用等。
116.基于图11所示的系统架构，在本技术的一个实施例中，可以通过图12所示的流程来实现网络接入管理，具体包括如下步骤：
117.步骤s1201，企业应用app推送终端mac地址和当前企业信息至企业应用云平台。
118.需要说明的是，企业应用app可以是针对某个企业单独开发的app，或者可以是面向所有企业的一个公共平台。如果企业应用app是面向所有企业的公共平台，那么企业用户需要在该公共平台上创建企业信息，并将该企业的云ap与该企业信息进行绑定，同时在云ap上进行配置，比如配置ssid等。
119.当企业员工的终端上安装了企业应用app并进入自身所属的企业之后，企业应用app可以收集终端的mac地址，然后将这些信息推送给企业应用云平台。
120.步骤s1202，企业应用云平台推送mac地址和企业员工绑定关系至云ap管理平台。
121.在本技术的一个实施例中，企业员工可以是企业员工的工号、姓名等信息，也可以是企业员工在企业应用app中的账户名等信息。可选地，企业应用云平台也可以只将mac地址推送给云ap管理平台，而将mac地址与企业员工的绑定关系维护在本地。
122.步骤s1203，云ap管理平台生成并推送mac
‑
psk哈希表给ap的设备sdk。
123.在本技术的一个实施例中，云ap管理平台可以根据企业应用云平台推送的mac地址，生成一机一密的mac
‑
psk哈希表，并将该mac
‑
psk哈希表发送到云ap的设备sdk(software development kit，软件开发工具包)中。
124.步骤s1204，云ap管理平台生成并推送企业员工psk至企业应用云平台。
125.在本技术的一个实施例中，云ap管理平台可以将psk与mac地址之间的关联关系推送给企业应用云平台，以便于企业应用云平台根据mac地址进行psk的分发。
126.可选地，步骤s1204和步骤s1203之间没有严格的先后顺序，既可以先执行步骤s1203，再执行步骤s1204；也可以先执行步骤s1204，再执行步骤s1203；或者也可以同时执行步骤s1203和步骤s1204。
127.步骤s1205，企业应用云平台转发企业员工psk至企业应用app。
128.可选地，企业应用云平台根据企业应用app上报的mac地址，根据mac地址与psk的关联关系将psk推送至相应的企业应用app。需要说明的是：企业应用云平台在获取到mac地址与psk的关联关系之后，可以主动将psk推送至相应的企业应用app，还可以是在接收到企业应用app发送的接入密钥获取请求时再发送给相应的企业应用app。
129.步骤s1206，用户在企业应用app发起一键联网。
130.可选地，如图13所示，在企业应用app中可以显示“一键联网”的控件1301，当用户选择了需要连接的企业网络之后，可以点击该“一键联网”的控件1301，进而终端上的企业应用app会将psk推送到云ap设备上，由于云ap设备在与企业应用app通信的过程中也会获取到终端的mac地址，进而云ap设备会根据mac
‑
psk哈希表进行快速验证。
131.具体地，可以根据终端的mac地址在mac
‑
psk哈希表中检索到对应的psk，然后验证与企业应用app推送的psk是否一致，如果一致，则确定验证成功，这种方案相比于ap单独存
储密钥列表，通过对密钥列表中的密钥进行检索来验证企业应用app推送的psk是否存在于该密钥列表中的方案，极大地减少了验证的时间。同时，由于ap需要验证mac地址是否存在于mac
‑
psk哈希表中，因此也可以直接拒绝非法mac地址的设备发起的接入请求，避免了恶意设备频繁发起接入请求而影响接入点设备的性能，此外本技术实施例的技术方案还可以避免接入密钥混用的问题。
132.以下介绍本技术的装置实施例，可以用于执行本技术上述实施例中的网络连接管理方法。对于本技术装置实施例中未披露的细节，请参照本技术上述的网络连接管理方法的实施例。
133.图14示出了根据本技术的一个实施例的网络连接管理装置的框图，该网络连接管理装置可以设置在接入点管理平台内。
134.参照图14所示，根据本技术的一个实施例的网络连接管理装置1400，包括：第一获取单元1402、第一生成单元1404、第二生成单元1406和第一发送单元1408。
135.其中，第一获取单元1402配置为获取待接入设备的物理地址；第一生成单元1404配置为生成与各个待接入设备的物理地址相对应的接入密钥；第二生成单元1406配置为根据与所述各个待接入设备的物理地址相对应的接入密钥，生成物理地址与接入密钥之间的关联关系；第一发送单元1408配置为将所述关联关系发送给接入点设备，并将接入密钥推送给对应的待接入设备，以使所述接入点设备基于所述关联关系验证所述待接入设备基于所述接入密钥发起的接入请求。
136.在本技术的一些实施例中，基于前述方案，第一获取单元1402配置为：接收应用程序服务端发送的至少一个待接入设备的物理地址，所述至少一个待接入设备的物理地址是运行于所述至少一个待接入设备上的应用程序客户端上报给所述应用程序服务端的。
137.在本技术的一些实施例中，基于前述方案，所述第一发送单元1408配置为：将所述物理地址与接入密钥之间的关联关系推送给所述应用程序服务端，以使所述应用程序服务端根据所述关联关系将所述接入密钥推送给相关联的物理地址所对应的待接入设备。
138.在本技术的一些实施例中，基于前述方案，所述第一生成单元1404配置为：根据所述各个待接入设备的物理地址生成接入密钥，其中，针对不同的待接入设备的物理地址所生成的接入密钥不相同。
139.图15示出了根据本技术的一个实施例的网络连接管理装置的框图，该网络连接管理装置可以设置在接入点设备内。
140.参照图15所示，根据本技术的一个实施例的网络连接管理装置1500，包括：第一接收单元1502、第二获取单元1504和处理单元1506。
141.其中，第一接收单元1502配置为接收接入点管理平台发送的物理地址与接入密钥之间的关联关系，所述关联关系是所述接入点管理平台根据与各个待接入设备的物理地址相对应的接入密钥生成的；第二获取单元1504配置为若接收到指定设备发送的接入请求，则获取所述指定设备的物理地址和所述接入请求中包含的接入密钥；处理单元1506配置为根据所述关联关系、所述指定设备的物理地址，以及所述接入请求中包含的接入密钥，对所述接入请求进行验证。
142.在本技术的一些实施例中，基于前述方案，所述处理单元1506配置为：若根据所述关联关系确定所述指定设备的物理地址与所述接入请求中包含的接入密钥相关联，则确定
对所述接入请求验证成功。
143.在本技术的一些实施例中，基于前述方案，所述处理单元1506配置为：若所述指定设备的物理地址不存在于所述关联关系中，则拒绝所述接入请求。
144.图16示出了根据本技术的一个实施例的网络连接管理装置的框图，该网络连接管理装置可以设置在站点设备内。
145.参照图16所示，根据本技术的一个实施例的网络连接管理装置1600，包括：上报单元1602、第二接收单元1604、第三生成单元1606和第二发送单元1608。
146.其中，上报单元1602配置为将物理地址上报给应用程序服务端；第二接收单元1604配置为接收所述应用程序服务端推送的与所述物理地址相对应的接入密钥；第三生成单元1606配置为若接收到连接触发操作，则生成针对指定接入点设备的接入请求，所述接入请求中包含有所述接入密钥；第二发送单元1608配置为将所述接入请求发送给所述指定接入点设备，以使所述指定接入点设备基于物理地址与接入密钥之间的关联关系验证所述接入请求，所述关联关系是根据与各个待接入设备的物理地址相对应的接入密钥生成的。
147.在本技术的一些实施例中，基于前述方案，所述上报单元1602配置为：将本地应用程序客户端中的用户账号信息与运行所述本地应用程序客户端的待接入设备的物理地址进行关联，并上报给所述应用程序服务端。
148.在本技术的一些实施例中，基于前述方案，所述网络连接管理装置1600还包括：确定单元，配置为显示图形用户界面，所述图形用户界面上显示有网络连接触发控件，若检测到对所述网络连接触发控件的触发操作，则确定接收到连接触发操作。
149.图17示出了适于用来实现本技术实施例的电子设备的计算机系统的结构示意图。
150.需要说明的是，图17示出的电子设备的计算机系统1700仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。
151.如图17所示，计算机系统1700包括中央处理单元(central processing unit，cpu)1701，其可以根据存储在只读存储器(read
‑
only memory，rom)1702中的程序或者从存储部分1708加载到随机访问存储器(random access memory，ram)1703中的程序而执行各种适当的动作和处理，例如执行上述实施例中所述的方法。在ram 1703中，还存储有系统操作所需的各种程序和数据。cpu 1701、rom 1702以及ram 1703通过总线1704彼此相连。输入/输出(input/output，i/o)接口1705也连接至总线1704。
152.以下部件连接至i/o接口1705：包括键盘、鼠标等的输入部分1706；包括诸如阴极射线管(cathode ray tube，crt)、液晶显示器(liquid crystal display，lcd)等以及扬声器等的输出部分1707；包括硬盘等的存储部分1708；以及包括诸如lan(local area network，局域网)卡、调制解调器等的网络接口卡的通信部分1709。通信部分1709经由诸如因特网的网络执行通信处理。驱动器1710也根据需要连接至i/o接口1705。可拆卸介质1711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1710上，以便于从其上读出的计算机程序根据需要被安装入存储部分1708。
153.特别地，根据本技术的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本技术的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中，该计算机程序可以通过通信部分1709从网络上被下载和安装，和/或从可拆卸介
质1711被安装。在该计算机程序被中央处理单元(cpu)1701执行时，执行本技术的系统中限定的各种功能。
154.需要说明的是，本技术实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(erasable programmable read only memory，eprom)、闪存、光纤、便携式紧凑磁盘只读存储器(compact disc read
‑
only memory，cd
‑
rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本技术中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
155.附图中的流程图和框图，图示了按照本技术各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
156.描述于本技术实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。
157.作为另一方面，本技术还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现上述实施例中所述的方法。
158.应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本技术的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
159.通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施
方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本技术实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd
‑
rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本技术实施方式的方法。
160.本领域技术人员在考虑说明书及实践这里公开的实施方式后，将容易想到本技术的其它实施方案。本技术旨在涵盖本技术的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本技术的一般性原理并包括本技术未公开的本技术领域中的公知常识或惯用技术手段。
161.应当理解的是，本技术并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本技术的范围仅由所附的权利要求来限制。