WO2017008556A1

WO2017008556A1 - 一种无线接入点和管理平台鉴权的方法和装置

Info

Publication number: WO2017008556A1
Application number: PCT/CN2016/080767
Authority: WO
Inventors: 王意军
Original assignee: ZTE Corp
Current assignee: ZTE Corp
Priority date: 2015-07-13
Filing date: 2016-04-29
Publication date: 2017-01-19
Anticipated expiration: 2018-01-13
Also published as: CN106714156A

Abstract

一种无线接入点和管理平台鉴权的方法和装置，涉及无线网络领域，包括：无线接入点生成第一随机挑战字；所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密，获得第一密钥信息；所述无线接入点向管理平台发送第一鉴权信息，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息；所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，获得第二密钥信息；当所述管理平台确定所述第一密钥信息与所述第二密钥信息对应时，则判定所述无线接入点合法。本申请能够保证无线接入点的合法性，为网络中的设备提供更加安全可靠的接入。

Description

一种无线接入点和管理平台鉴权的方法和装置

技术领域

本申请涉及但不限于无线网络领域。

背景技术

无线网络的规模发展，无线接入点的管理方法越来越多，尤其是当前无线网络的演进，众多的无线接入点通过互联网接入到管理平台，基于接入设备的安全问题，不得不要考虑无线接入点和管理平台之间的鉴权管理。

在无线网络管理中，为确保设备的安全性，无线接入点在注册到管理平台时，需要根据设备的MAC(Media Access Control，媒体介入控制层)地址或者设备的序列号判断连接无线接入点的合法性，一般预先将设备的MAC地址或者序列号配置到在网络管理平台上。

但是，在当今的安全领域中，改写MAC地址，仿冒无线接入点都是容易实现的的事情，仅靠MAC地址和序列号的识别，无法保证无线接入点的合法性，一旦仿冒的无线接入点接入到网络管理平台后，将从网络管理平台获取到数据，势必会威胁到用户信息的安全。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本文提供一种无线接入点和管理平台鉴权的方法和装置，解决了接入点设备和网络管理平台的合法性校验的问题，为网络中的设备提供更加安全可靠的接入。

本发明实施例提供了一种无线接入点和管理平台鉴权方法，应用于管理平台侧，包括：

接收无线接入点发送的第一鉴权信息，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息，所述第一密钥信息为所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密获得的；

利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，获得第二密钥信息；

当确定所述第一密钥信息与所述第二密钥信息对应时，则判定所述无线接入点合法。

可选地，获得第二密钥信息之后还包括：

当确定所述第一密钥信息与所述第二密钥信息不对应时，则判定所述无线接入点非法。

可选地，所述判定所述无线接入点合法之后还包括：

生成第二随机挑战字；

利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密，获得第三密钥信息；

向所述无线接入点发送第二鉴权信息，以使所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息。

可选地，所述无线接入点的标识号包括以下一项或者多项：

媒体介入控制层MAC地址、序列号、唯一性标识。

可选地，利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验包括：

当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得的，则利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算，获得第二解密信息；

当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名获得的，则利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密，获得第一解密散列值；并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值。

可选地，利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密包括：

利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算；或者，

利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名。

可选地，确定所述第一密钥信息与所述第二密钥信息对应包括：

当所述第一密钥信息与所述第二解密信息相同时，确定所述第一密钥信息与所述第二密钥信息对应；或者，

当所述第一解密散列值与第二散列值相同时，确定所述第一密钥信息与所述第二密钥信息对应。

本发明实施例还提供一种无线接入点和管理平台鉴权方法，应用于无线接入点侧，包括：

生成第一随机挑战字；

利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密，获得第一密钥信息；

向管理平台发送第一鉴权信息，以使所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息。

可选地，向管理平台发送第一鉴权信息之后还包括：

接收管理平台发送的第二鉴权信息，所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息，所述第三密钥信息为所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密获得的；

利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，获得第四密钥信息；

当确定所述第三密钥信息与所述第四密钥信息对应时，则判定所述管理平台合法。

可选地，获得第四密钥信息之后还包括：

当确定所述第三密钥信息与所述第四密钥信息不对应时，则判定所述管理平台非法。

可选地，所述无线接入点的标识号包括以下一项或者多项：

媒体介入控制层MAC地址、序列号、唯一性标识。

可选地，利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密包括：

利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算；或者，

利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名。

可选地，利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验包括：

当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得的，则利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算，获得第四解密信息；

当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名获得的，则利用与所述管理平台对应的公钥对所述第三密钥信息进行解密，获得第二解密散列值；并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值。

可选地，确定所述第三密钥信息与所述第四密钥信息对应包括：

当所述第三密钥信息与所述第四解密信息相同时，确定所述第三密钥信息与所述第四密钥信息对应；或者，

当所述第二解密散列值与第四散列值相同时，确定所述第三密钥信息与所述第四密钥信息对应。

本发明实施例还提供一种无线接入点和管理平台鉴权方法，包括：

无线接入点生成第一随机挑战字；

所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密，获得第一密钥信息；

所述无线接入点向管理平台发送第一鉴权信息，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息；

所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，获得第二密钥信息；

当所述管理平台确定所述第一密钥信息与所述第二密钥信息对应时，则判定所述无线接入点合法。

可选地，所述方法还包括：

当所述管理平台确定所述第一密钥信息与所述第二密钥信息不对应时，则判定所述无线接入点非法。

可选地，所述判定所述无线接入点合法之后还包括：

所述管理平台生成第二随机挑战字；

所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密，获得第三密钥信息；

所述管理平台向所述无线接入点发送第二鉴权信息；所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息；

所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，获得第四密钥信息；

当所述无线接入点确定所述第三密钥信息与所述第四密钥信息对应时，则判定所述管理平台合法。

可选地，当所述无线接入点确定所述第三密钥信息与所述第四密钥信息不对应时，则判定所述管理平台非法。

可选地，所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密包括：

可选地，所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验包括：

利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算，获得第二解密信息；或者，

利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密，获得第一解密散列值；并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值。

可选地，所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密包括：

可选地，所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验包括：

利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算，获得第四解密信息；或者，

利用与所述管理平台对应的公钥对所述第三密钥信息进行解密，获得第二解密散列值；并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值。

本发明实施例还提供一种无线接入点和管理平台鉴权装置，设置于管理平台侧，包括：

第一接收模块，设置为：接收无线接入点发送的第一鉴权信息，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息，所述第一密钥信息为所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密获得的；

第一鉴权模块，设置为：利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，获得第二密钥信息；

第一判断模块，设置为：当确定所述第一密钥信息与所述第二密钥信息对应时，则判定所述无线接入点合法。

可选地，所述第一判断模块，还用于当确定所述第一密钥信息与所述第二密钥信息不对应时，则判定所述无线接入点非法。

可选地，所述装置还包括：

第一生成模块，设置为：生成第二随机挑战字；

第一加密模块，设置为：利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密，获得第三密钥信息；

第一发送模块，设置为：向所述无线接入点发送第二鉴权信息，以使所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息。

可选地，所述第一鉴权模块包括第一解散单元和/或第一解密单元，其中：

所述第一解散单元，设置为：当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得的，则利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算，获得第二解密信息；

所述第一解密单元，设置为：当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名获得的，则利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密，获得第一解密散列值；并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值。

可选地，所述第一加密模块包括第一散列单元和/或第一签名单元，其中：

所述第一散列单元，设置为：利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算；或者，

所述第一签名单元，设置为：利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名。

可选地，所述第一判断模块包括第一直接对应单元和/或第一间接对应单元，其中：

所述第一直接对应单元，设置为：当所述第一密钥信息与所述第二解密信息相同时，确定所述第一密钥信息与所述第二密钥信息对应；或者，

所述第一间接对应单元，设置为：当所述第一解密散列值与第二散列值相同时，确定所述第一密钥信息与所述第二密钥信息对应。

本发明实施例还提供一种无线接入点和管理平台鉴权装置，设置于无线接入点侧，包括：

第二生成模块，设置为：生成第一随机挑战字；

第二加密模块，设置为：利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密，获得第一密钥信息；

第二发送模块，设置为：向管理平台发送第一鉴权信息，以使所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息。

可选地，所述装置还包括：

第二接收模块，设置为：接收管理平台发送的第二鉴权信息，所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息，所述第三密钥信息为所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密获得的；

第二鉴权模块，设置为：利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，获得第四密钥信息；

第二判断模块，设置为：当确定所述第三密钥信息与所述第四密钥信息对应时，则判定所述管理平台合法。

可选地，所述第二判断模块还用于：

可选地，所述第二加密模块包括第二散列单元和/或第二签名单元，其中：

所述第二散列单元，设置为：利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算；或者，

所述第二签名单元，设置为：利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名。

可选地，所述第二鉴权模块包括第二解散单元和/或第二解密单元，其中：

所述第二解散单元，设置为：当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得的，则利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算，获得第四解密信息；

所述第二解密单元，设置为：当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名获得的，则利用与所述管理平台对应的公钥对所述第三密钥信息进行解密，获得第二解密散列值；并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值。

可选地，所述第二判断模块包括第二直接对应单元和/或第二间接对应单元，其中：

所述第二直接对应单元，设置为：当所述第三密钥信息与所述第四解密信息相同时，确定所述第三密钥信息与所述第四密钥信息对应；或者，

所述第二间接对应单元，设置为：当所述第二解密散列值与第四散列值相同时，确定所述第三密钥信息与所述第四密钥信息对应。

本发明实施例提供的鉴权方法和装置，能够实现接入点设备和网络管理平台的合法性相互校验，保证无线接入点的合法性，为网络中的设备提供更加安全可靠的接入。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1是本发明实施例的应用于管理平台侧的无线接入点和管理平台鉴权方法的流程图；

图2是本发明实施例的应用于无线接入点侧的无线接入点和管理平台鉴权方法的流程图；

图3是本发明实施例的一种无线接入点和管理平台鉴权方法的流程图；

图4是本发明实施例的设置于管理平台侧的无线接入点和管理平台鉴权装置的结构示意图；

图5是本发明实施例的设置于无线接入点侧的无线接入点和管理平台装置的结构示意图；

图6是本发明实施例的无线接入点加密示意图1；

图7是本发明实施例的无线接入点加密示意图2；

图8是本发明实施例的管理平台鉴权示意图1；

图9是本发明实施例的管理平台鉴权示意图2；

图10是本发明实施例的管理平台加密示意图1；

图11是本发明实施例的管理平台加密示意图2；

图12是本发明实施例的无线接入点鉴权示意图1；

图13是本发明实施例的无线接入点鉴权示意图2；

图14是本发明实施例1的无线接入点和管理平台鉴权的流程图；

图15是本发明实施例2的无线接入点和管理平台鉴权的流程图。

本发明的较佳实施方式

下面结合附图对本发明的实施方式进行描述。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的各种方式可以相互组合。

如图1所示，本发明实施例提供一种无线接入点和管理平台鉴权方法，应用于管理平台侧，在管理平台对无线接入点鉴权时，包括：

S101、接收无线接入点发送的第一鉴权信息，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息，所述第一密钥信息为所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密获得的；

S102、利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，获得第二密钥信息；

S103、当确定所述第一密钥信息与所述第二密钥信息对应时，则判定所述无线接入点合法。

S104、当确定所述第一密钥信息与所述第二密钥信息不对应时，则判定所述无线接入点非法。

优选地，在请求无线接入点对管理平台鉴权时，包括：

S105、生成第二随机挑战字；

S106、利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密，获得第三密钥信息；

S107、向所述无线接入点发送第二鉴权信息，以使所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息。

其中，所述无线接入点的标识号包括以下一项或者多项：

媒体介入控制层MAC地址、序列号、唯一性标识。

步骤S102包括：

当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得的(如图6所示)，则利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算(如图8所示)，获得第二解密信息；

当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名获得的(如图7所示)，则利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密，获得第一解密散列值；并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值(如图9所示)。

上述步骤S102中，管理平台可以根据协议约定而确定无线接入点得到第一密钥信息的加密方式，并不一定要通过判断。

步骤S106包括：

利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算(如图10所示)；或者，

利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名(如图11所示)。

步骤S103包括：

如图2所示，本发明实施例提供一种无线接入点和管理平台鉴权方法，应用于无线接入点侧，在请求管理平台对无线接入点鉴权时，包括：

S201、生成第一随机挑战字；

S202、利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密，获得第一密钥信息；

S203、向管理平台发送第一鉴权信息，以使所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息。

优选地，在无线接入点对管理平台鉴权时，还包括：

S204、接收管理平台发送的第二鉴权信息，所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息，所述第三密钥信息为所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密获得的；

S205、利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，获得第四密钥信息；

S206、当确定所述第三密钥信息与所述第四密钥信息对应时，则判定所述管理平台合法。

S207、当确定所述第三密钥信息与所述第四密钥信息不对应时，则判定所述管理平台非法。

其中，所述无线接入点的标识号包括以下一项或者多项：

媒体介入控制层MAC地址、序列号、唯一性标识。

步骤S202包括：

利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算(如图6所示)；或者，

利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名(如图7所示)。

步骤S205包括：

当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得的(如图10所示)，则利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算(如图12所示)，获得第四解密信息；

当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名获得的(如图11所示)，则利用与所述管理平台对应的公钥对所述第三密钥信息进行解密，获得第二解密散列值；并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值(如图13所示)。

步骤S206包括：

如图3所示，本发明实施例提供一种无线接入点和管理平台鉴权方法，无线接入点利用存储的密钥进行加密，并请求管理平台对无线接入点鉴权，包括：

S301、无线接入点生成第一随机挑战字；

S302、所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密，获得第一密钥信息；

S303、所述无线接入点向管理平台发送第一鉴权信息，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息；

S304、所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，获得第二密钥信息；

S305、当所述管理平台确定所述第一密钥信息与所述第二密钥信息对应时，则判定所述无线接入点合法。

S306、当所述管理平台确定所述第一密钥信息与所述第二密钥信息不对应时，则判定所述无线接入点非法。

如果无线接入点是合法的，则无线接入点存储的密钥与管理平台存储的与所述无线接入点对应的密钥相同或者对应，此时鉴权可以通过，如果无线接入点是非法的，例如无线接入点是伪装，则无线接入点存储的密钥与管理平台存储的与无线接入点对应的密钥不同或者对应不上，此时鉴权无法通过。

管理平台利用与无线接入点对应的密钥进行加密，并请求无线接入点对管理平台鉴权(如果不需此鉴权，则无需下列步骤)，包括：

S307、所述管理平台生成第二随机挑战字；

S308、所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密，获得第三密钥信息；

S309、所述管理平台向所述无线接入点发送第二鉴权信息；所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息；

S310、所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，获得第四密钥信息；

S311、当所述无线接入点确定所述第三密钥信息与所述第四密钥信息对应时，则判定所述管理平台合法。

S312、当所述无线接入点确定所述第三密钥信息与所述第四密钥信息不对应时，则判定所述管理平台非法。

相似的，如果管理平台是合法的，则无线接入点存储的密钥与管理平台存储的与所述无线接入点对应的密钥相同或者对应，此时鉴权可以通过，如果管理平台是非法的，例如管理平台是伪装的，则无线接入点存储的密钥与管理平台存储的与无线接入点对应的密钥不同或者对应不上，此时鉴权无法通过。

步骤S302包括：

步骤S304包括：

利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算(如图8所示)，获得第二解密信息；或者，

利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密，获得第一解密散列值；并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值(如图9所示)。

步骤S305包括：

步骤S308包括：

步骤S310包括：

利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算(如图12所示)，获得第四解密信息；或者，

利用与所述管理平台对应的公钥对所述第三密钥信息进行解密，获得第二解密散列值；并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值(如图13所示)。

步骤S311包括：

每一个无线接入点的共享密钥，不同于其它无线接入点的。合法的无线接入点与合法的管理平台均保存此共享密钥，双方使用此共享密钥对关键信息进行鉴权。

为防止共享密钥泄密，可进一步做加密签名(如RSA算法)。

无线接入点保存有签名的私钥和管理平台对应的公钥，管理平台保存有平台的私钥和无线接入点对应的公钥，双方使用此对应的公钥或者私钥对关键信息进行鉴权。

如图4所示，本发明还提供一种无线接入点和管理平台鉴权装置，设置于管理平台侧，包括：

第一接收模块401，设置为：接收无线接入点发送的第一鉴权信息，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息，所述第一密钥信息为所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密获得的；

第一鉴权模块402，设置为：利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，获得第二密钥信息；

第一判断模块403，设置为：当确定所述第一密钥信息与所述第二密钥信息对应时，则判定所述无线接入点合法。

所述第一判断模块403，还用于当确定所述第一密钥信息与所述第二密钥信息不对应时，则判定所述无线接入点非法。

上述装置还包括：

第一生成模块404，设置为：生成第二随机挑战字；

第一加密模块405，设置为：利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密，获得第三密钥信息；

第一发送模块406，设置为：向所述无线接入点发送第二鉴权信息，以使所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息。

其中，所述第一鉴权模块402包括第一解散单元4021和/或第一解密单元4022：

第一解散单元4021，设置为：当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得的，则利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算，获得第二解密信息；

第一解密单元4022，设置为：当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名获得的，则利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密，获得第一解密散列值；并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值。

所述第一加密模块405包括第一散列单元4051和/或第一签名单元4052，其中：

第一散列单元4051，设置为：利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算；或者，

第一签名单元4052，设置为：利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名。

所述第一判断模块403包括第一直接对应单元4031和/或第一间接对应单元4032，其中：

第一直接对应单元4031，设置为：当所述第一密钥信息与所述第二解密信息相同时，确定所述第一密钥信息与所述第二密钥信息对应；或者，

第一间接对应单元4032，设置为：当所述第一解密散列值与第二散列值相同时，确定所述第一密钥信息与所述第二密钥信息对应。

如图5所示，本发明实施例还提供一种无线接入点和管理平台鉴权装置，设置于无线接入点侧，包括：

第二生成模块501，设置为：生成第一随机挑战字；

第二加密模块502，设置为：利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密，获得第一密钥信息；

第二发送模块503，设置为：向管理平台发送第一鉴权信息，以使所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息。

上述装置还包括：

第二接收模块504，设置为：接收管理平台发送的第二鉴权信息，所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息，所述第三密钥信息为所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密获得的；

第二鉴权模块505，设置为：利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，获得第四密钥信息；

第二判断模块506，设置为：当确定所述第三密钥信息与所述第四密钥信息对应时，则判定所述管理平台合法。

所述第二判断模块506还用于：

其中，所述第二加密模块502包括第二散列单元5021和/或第二签名单元5022：

第二散列单元5021，设置为：利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算；或者，

第二签名单元5022，设置为：利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名。

所述第二鉴权模块505包括第二解散单元5051和/或第二解密单元5052，其中：

第二解散单元5051，设置为：当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得的，则利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算，获得第四解密信息；

第二解密单元5052，设置为：当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名获得的，则利用与所述管理平台对应的公钥对所述第三密钥信息进行解密，获得第二解密散列值；并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值。

所述第二判断模块506包括第二直接对应单元5061和/或第二间接对应单元5062，其中：

第二直接对应单元5061，设置为：当所述第三密钥信息与所述第四解密信息相同时，确定所述第三密钥信息与所述第四密钥信息对应；或者，

第二间接对应单元5062，设置为：当所述第二解密散列值与第四散列值相同时，确定所述第三密钥信息与所述第四密钥信息对应。

实施例1

本发明实施例中的共享密钥，是指用来针对某种约定的散列算法(如SHA-256)进行散列运算的共享密钥。如图14所示，步骤如下：

11、无线接入点以自己的NodeID(NodeID可以是无线接入点的MAC地址、序列号，或其他唯一性标识)、及随机产生的一个挑战字X，使用存储的共享密钥对它们做散列运算，得到散列值A(见图6)；

12、无线接入点在请求连接到管理平台时，报文携带NodeID、挑战字和散列值A；

13、管理平台在接收到无线接入点的连接请求后，使用该无线接入点对应共享密钥对接收到的NodeID和挑战字X做散列算法，得到散列值AA(见图8)。

14、若A＝AA，则管理平台判定该无线接入点合法，否则非法。

以下四个步骤为无线接入点对管理平台的鉴权，是本发明实施例进一步的功能。如果不需此鉴权，则无需这四个步骤：

15、若判定无线接入点合法，管理平台随机产生一个挑战字Y，对接收到NodeID，使用该无线接入点对应的共享密钥进行散列运算得到散列值B(见图10)；

16、管理平台在发往无线接入点的响应报文中，携带无线接入点的NodeID、挑战字和加密的散列值B(见图10)；

17、无线接入点接收到响应报文后，使用存储的共享密钥对接收到的NodeID和挑战字Y做散列运算，得到散列值BB；

18、若B＝BB，则该管理平台点合法，否则非法(见图3)。

实施例2

为防止共享密钥泄密，可进一步对散列值做加密签名(如RSA算法)。如图15所示，步骤如下：

21、无线接入点以自己的NodeID(NodeID可以是无线接入点的MAC地址、序列号，或其他唯一性标识)、及随机产生的一个挑战字X，使用存储共享密钥对它们做散列运算，得到散列值A，使用无线接入点存储的私钥对A做RSA签名，得出RSA签名密文AAA(见图7)；

22、无线接入点在请求连接到管理平台时，报文携带NodeID、挑战字符串和RSA签名密文AAA；

23、管理平台在接收到无线接入点的连接请求后，使用无线接入点对应的公钥对签名结果AAA进行RSA解密，得到RSA的签名原文，得出解密散列值AAAA，然后再用该无线接入点对应共享密钥对NodeID、挑战字X做散列运算，得到散列结果AA(见图9)；

24、管理平台比较RSA签名解密散列值AAAA和计算的散列值AA结果，如果一致，则该无线接入点合法，否则非法。

25、若判定无线接入点合法，管理平台随机产生一个挑战字Y，对接收到NodeID，使用该无线接入点对应的共享密钥进行散列运算得到散列值B；

26、使用管理平台存储的私钥对散列值B做RSA签名，得出RSA签名密文BBB(见图11)，并在响应报文中携带无线接入点的NodeID、挑战字和RSA签名密文BBB。

27、无线接入点接收到响应报文后，使用预先保存的管理平台对应的公钥对收到的签名结果BBB做RSA解密，得出RSA的签名原文，得出解密散列值BBBB，再用无线接入点存储的共享密钥对NodeID和挑战字做散列运算BB(见图13)；

28、无线接入点比较RSA签名解密散列值BBBB和计算的散列值BB，如果两个结果一致，则该管理平台合法，否则非法。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。

上述实施例中的装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

工业实用性

通过本发明实施例提供的鉴权方法和装置，能够实现接入点设备和网络管理平台的合法性相互校验，保证无线接入点的合法性，为网络中的设备提供更加安全可靠的接入。

Claims

一种无线接入点和管理平台鉴权方法，应用于管理平台侧，其中，包括：

接收无线接入点发送的第一鉴权信息，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息，所述第一密钥信息为所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密获得的；

利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，获得第二密钥信息；

当确定所述第一密钥信息与所述第二密钥信息对应时，则判定所述无线接入点合法。
如权利要求1所述的方法，其中：获得第二密钥信息之后还包括：

当确定所述第一密钥信息与所述第二密钥信息不对应时，则判定所述无线接入点非法。
如权利要求1所述的方法，其中：所述判定所述无线接入点合法之后还包括：

生成第二随机挑战字；

利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密，获得第三密钥信息；

向所述无线接入点发送第二鉴权信息，以使所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息。
如权利要求1所述的方法，其中，所述无线接入点的标识号包括以下一项或者多项：

媒体介入控制层MAC地址、序列号、唯一性标识。
如权利要求1-4中任一所述的方法，其中：利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验包括：

当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得的，则利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算，获得第二解密信息；

当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名获得的，则利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密，获得第一解密散列值；并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值。
如权利要求3所述的方法，其中，利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密包括：

利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算；或者，

利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名。
如权利要求5所述的方法，其中，确定所述第一密钥信息与所述第二密钥信息对应包括：

当所述第一密钥信息与所述第二解密信息相同时，确定所述第一密钥信息与所述第二密钥信息对应；或者，

当所述第一解密散列值与第二散列值相同时，确定所述第一密钥信息与所述第二密钥信息对应。
一种无线接入点和管理平台鉴权方法，应用于无线接入点侧，其中，包括：

生成第一随机挑战字；

利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密，获得第一密钥信息；

向管理平台发送第一鉴权信息，以使所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息。
如权利要求8所述的方法，其中：向管理平台发送第一鉴权信息之后还包括：

接收管理平台发送的第二鉴权信息，所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息，所述第三密钥信息为所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密获得的；

利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，获得第四密钥信息；

当确定所述第三密钥信息与所述第四密钥信息对应时，则判定所述管理平台合法。
如权利要求9所述的方法，其中，获得第四密钥信息之后还包括：

当确定所述第三密钥信息与所述第四密钥信息不对应时，则判定所述管理平台非法。
如权利要求8所述的方法，其中：所述无线接入点的标识号包括以下一项或者多项：

媒体介入控制层MAC地址、序列号、唯一性标识。
如权利要求8所述的方法，其中：利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密包括：

利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算；或者，

利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名。
如权利要求9所述的方法，其中：利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验包括：

当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得的，则利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算，获得第四解密信息；

当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名获得的，则利用与所述管理平台对应的公钥对所述第三密钥信息进行解密，获得第二解密散列值；并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值。
如权利要求13所述的方法，其中：确定所述第三密钥信息与所述第四密钥信息对应包括：

当所述第三密钥信息与所述第四解密信息相同时，确定所述第三密钥信息与所述第四密钥信息对应；或者，

当所述第二解密散列值与第四散列值相同时，确定所述第三密钥信息与所述第四密钥信息对应。
一种无线接入点和管理平台鉴权方法，其中，包括：

无线接入点生成第一随机挑战字；

所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密，获得第一密钥信息；

所述无线接入点向管理平台发送第一鉴权信息，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息；

所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，获得第二密钥信息；

当所述管理平台确定所述第一密钥信息与所述第二密钥信息对应时，则判定所述无线接入点合法。
如权利要求15所述的方法，其中：还包括：

当所述管理平台确定所述第一密钥信息与所述第二密钥信息不对应时，则判定所述无线接入点非法。
如权利要求15所述的方法，其中：所述判定所述无线接入点合法之后还包括：

所述管理平台生成第二随机挑战字；

所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密，获得第三密钥信息；

所述管理平台向所述无线接入点发送第二鉴权信息；所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息；

所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，获得第四密钥信息；

当所述无线接入点确定所述第三密钥信息与所述第四密钥信息对应时，则判定所述管理平台合法。
如权利要求17所述的方法，其中：当所述无线接入点确定所述第三密钥信息与所述第四密钥信息不对应时，则判定所述管理平台非法。
如权利要求15所述的方法，其中：所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密包括：

利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算；或者，

利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名。
如权利要求19所述的方法，其中：所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验包括：

利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算，获得第二解密信息；或者，

利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密，获得第一解密散列值；并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值。
如权利要求20所述的方法，其中：确定所述第一密钥信息与所述第二密钥信息对应包括：

当所述第一密钥信息与所述第二解密信息相同时，确定所述第一密钥信息与所述第二密钥信息对应；或者，

当所述第一解密散列值与第二散列值相同时，确定所述第一密钥信息与所述第二密钥信息对应。
如权利要求17所述的方法，其中：所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密包括：

利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算；或者，

利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名。
如权利要求22所述的方法，其中：所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验包括：

利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算，获得第四解密信息；或者，

利用与所述管理平台对应的公钥对所述第三密钥信息进行解密，获得第二解密散列值；并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值。
如权利要求23所述的方法，其中：确定所述第三密钥信息与所述第四密钥信息对应包括：

当所述第三密钥信息与所述第四解密信息相同时，确定所述第三密钥信息与所述第四密钥信息对应；或者，

当所述第二解密散列值与第四散列值相同时，确定所述第三密钥信息与所述第四密钥信息对应。
一种无线接入点和管理平台鉴权装置，设置于管理平台侧，其中，包括：

第一接收模块，设置为：接收无线接入点发送的第一鉴权信息，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息，所述第一密钥信息为所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密获得的；

第一鉴权模块，设置为：利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，获得第二密钥信息；

第一判断模块，设置为：当确定所述第一密钥信息与所述第二密钥信息对应时，则判定所述无线接入点合法。
如权利要求25所述的装置，其中：所述第一判断模块，还用于当确定所述第一密钥信息与所述第二密钥信息不对应时，则判定所述无线接入点非法。
如权利要求25所述的装置，其中：还包括：

第一生成模块，设置为：生成第二随机挑战字；

第一加密模块，设置为：利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密，获得第三密钥信息；

第一发送模块，设置为：向所述无线接入点发送第二鉴权信息，以使所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息。
如权利要求25所述的装置，其中：所述第一鉴权模块包括第一解散单元和/或第一解密单元，其中：

所述第一解散单元，设置为：当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得的，则利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算，获得第二解密信息；

所述第一解密单元，设置为：当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名获得的，则利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密，获得第一解密散列值；并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值。
如权利要求27所述的装置，其中，所述第一加密模块包括第一散列单元和/或第一签名单元，其中：

所述第一散列单元，设置为：利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算；或者，

所述第一签名单元，设置为：利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名。
如权利要求29所述的装置，其中，所述第一判断模块包括第一直接对应单元和/或第一间接对应单元，其中：

所述第一直接对应单元，设置为：当所述第一密钥信息与所述第二解密信息相同时，确定所述第一密钥信息与所述第二密钥信息对应；或者，

所述第一间接对应单元，设置为：当所述第一解密散列值与第二散列值相同时，确定所述第一密钥信息与所述第二密钥信息对应。
一种无线接入点和管理平台鉴权装置，设置于无线接入点侧，其中，包括：

第二生成模块，设置为：生成第一随机挑战字；

第二加密模块，设置为：利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密，获得第一密钥信息；

第二发送模块，设置为：向管理平台发送第一鉴权信息，以使所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验，所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息。
如权利要求31所述的装置，其中：还包括：

第二接收模块，设置为：接收管理平台发送的第二鉴权信息，所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息，所述第三密钥信息为所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密获得的；

第二鉴权模块，设置为：利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验，获得第四密钥信息；

第二判断模块，设置为：当确定所述第三密钥信息与所述第四密钥信息对应时，则判定所述管理平台合法。
如权利要求32所述的装置，其中，所述第二判断模块还用于：

当确定所述第三密钥信息与所述第四密钥信息不对应时，则判定所述管理平台非法。
如权利要求31所述的装置，其中：所述第二加密模块包括第二散列单元和/或第二签名单元，其中：

所述第二散列单元，设置为：利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算；或者，

所述第二签名单元，设置为：利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名。
如权利要求32所述的装置，其中：所述第二鉴权模块包括第二解散单元和/或第二解密单元，其中：

所述第二解散单元，设置为：当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得的，则利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算，获得第四解密信息；

所述第二解密单元，设置为：当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名获得的，则利用与所述管理平台对应的公钥对所述第三密钥信息进行解密，获得第二解密散列值；并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值。
如权利要求35所述的装置，其中：所述第二判断模块包括第二直接对应单元和/或第二间接对应单元，其中：

所述第二直接对应单元，设置为：当所述第三密钥信息与所述第四解密信息相同时，确定所述第三密钥信息与所述第四密钥信息对应；或者，

所述第二间接对应单元，设置为：当所述第二解密散列值与第四散列值相同时，确定所述第三密钥信息与所述第四密钥信息对应。