本发明涉及无线网络领域,具体涉及一种无线接入点和管理平台鉴权的方法和装置。
背景技术:
无线网络的规模发展,无线接入点的管理方法越来越多,尤其是当前无线网络的演进,众多的无线接入点通过互联网接入到管理平台,基于接入设备的安全问题,不得不要考虑无线接入点和管理平台之间的鉴权管理。
在无线网络管理中,为确保设备的安全性,无线接入点在注册到管理平台时,需要根据设备的MAC(Media Access Control,媒体介入控制层)地址或者设备的序列号判断连接无线接入点的合法性,一般预先将设备的MAC地址或者序列号配置到在网络管理平台上。
但是,在当今的安全领域中,改写MAC地址,仿冒无线接入点都是容易实现的的事情,仅靠MAC地址和序列号的识别,无法保证无线接入点的合法性,一旦仿冒的无线接入点接入到网络管理平台后,将从网络管理平台获取到数据,势必会威胁到用户信息的安全。
技术实现要素:
本发明提供一种无线接入点和管理平台鉴权的方法和装置,解决了接入点设备和网络管理平台的合法性校验的问题,为网络中的设备提供更加安全可靠的接入。
为了实现上述发明目的,本发明采取的技术方案如下:
一种无线接入点和管理平台鉴权方法,应用于管理平台侧,包括:
接收无线接入点发送的第一鉴权信息,所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息,所述第一密钥信息为所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密获得的;
利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验,获得第二密钥信息;
当确定所述第一密钥信息与所述第二密钥信息对应时,则判定所述无线接入点合法。
进一步地,获得第二密钥信息之后还包括:
当确定所述第一密钥信息与所述第二密钥信息不对应时,则判定所述无线接入点非法。
进一步地,所述判定所述无线接入点合法之后还包括:
生成第二随机挑战字;
利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密,获得第三密钥信息;
向所述无线接入点发送第二鉴权信息,以使所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验,所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息。
进一步地,所述无线接入点的标识号包括以下一项或者多项:
媒体介入控制层MAC地址、序列号、唯一性标识。
进一步地,利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验包括:
当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得的,则利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算;
当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享 密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名获得的,则利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密,获得第一解密散列值;并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值。
进一步地,利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密包括:
利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算;或者,
利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名。
进一步地,确定所述第一密钥信息与所述第二密钥信息对应包括:
当所述第一密钥信息与所述第二解密信息相同时,确定所述第一密钥信息与所述第二密钥信息对应;或者,
当所述第一解密散列值与第二散列值相同时,确定所述第一密钥信息与所述第二密钥信息对应。
为解决上述技术问题,本发明还提供一种无线接入点和管理平台鉴权方法,应用于无线接入点侧,包括:
生成第一随机挑战字;
利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密,获得第一密钥信息;
向管理平台发送第一鉴权信息,以使所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验,所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息。
进一步地,向管理平台发送第一鉴权信息之后还包括:
接收管理平台发送的第二鉴权信息,所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息,所述第三密钥信息为所述 管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密获得的;
利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验,获得第四密钥信息;
当确定所述第三密钥信息与所述第四密钥信息对应时,则判定所述管理平台合法。
进一步地,获得第四密钥信息之后还包括:
当确定所述第三密钥信息与所述第四密钥信息不对应时,则判定所述管理平台非法。
进一步地,所述无线接入点的标识号包括以下一项或者多项:
媒体介入控制层MAC地址、序列号、唯一性标识。
进一步地,利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密包括:
利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算;或者,
利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名。
进一步地,利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验包括:
当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得的,则利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算;
当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名获得的,则利用与所述管理平台对应的公钥对所述第三密钥信息进行解密,获得 第二解密散列值;并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值。
进一步地,确定所述第三密钥信息与所述第四密钥信息对应包括:
当所述第三密钥信息与所述第四解密信息相同时,确定所述第三密钥信息与所述第四密钥信息对应;或者,
当所述第二解密散列值与第四散列值相同时,确定所述第三密钥信息与所述第四密钥信息对应。
为解决上述技术问题,本发明还提供一种无线接入点和管理平台鉴权方法,包括:
无线接入点生成第一随机挑战字;
所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密,获得第一密钥信息;
所述无线接入点向管理平台发送第一鉴权信息,所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息;
所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验,获得第二密钥信息;
当所述管理平台确定所述第一密钥信息与所述第二密钥信息对应时,则判定所述无线接入点合法。
进一步地,所述方法还包括:
当所述管理平台确定所述第一密钥信息与所述第二密钥信息不对应时,则判定所述无线接入点非法。
进一步地,所述判定所述无线接入点合法之后还包括:
所述管理平台生成第二随机挑战字;
所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密,获得第三密钥信息;
所述管理平台向所述无线接入点发送第二鉴权信息;所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息;
所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验,获得第四密钥信息;
当所述无线接入点确定所述第三密钥信息与所述第四密钥信息对应时,则判定所述管理平台合法。
进一步地,当所述无线接入点确定所述第三密钥信息与所述第四密钥信息不对应时,则判定所述管理平台非法。
进一步地,所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密包括:
利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算;或者,
利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名。
进一步地,所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验包括:
利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算;或者,
利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密,获得第一解密散列值;并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值。
进一步地,确定所述第一密钥信息与所述第二密钥信息对应包括:
当所述第一密钥信息与所述第二解密信息相同时,确定所述第一密钥信息与所述第二密钥信息对应;或者,
当所述第一解密散列值与第二散列值相同时,确定所述第一密钥信息与所述第二密钥信息对应。
进一步地,所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密包括:
利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算;或者,
利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名。
进一步地,所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验包括:
利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算;或者,
利用与所述管理平台对应的公钥对所述第三密钥信息进行解密,获得第二解密散列值;并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值。
进一步地,确定所述第三密钥信息与所述第四密钥信息对应包括:
当所述第三密钥信息与所述第四解密信息相同时,确定所述第三密钥信息与所述第四密钥信息对应;或者,
当所述第二解密散列值与第四散列值相同时,确定所述第三密钥信息与所述第四密钥信息对应。
本发明还提供一种无线接入点和管理平台鉴权装置,设置于管理平台侧,包括:
第一接收模块,用于接收无线接入点发送的第一鉴权信息,所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息,所述第一密钥信息为所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密获得的;
第一鉴权模块,用于利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验,获得第二密钥信息;
第一判断模块,用于当确定所述第一密钥信息与所述第二密钥信息对应时,则判定所述无线接入点合法。
可选地,所述第一判断模块,还用于当确定所述第一密钥信息与所述第 二密钥信息不对应时,则判定所述无线接入点非法。
可选地,所述装置还包括:
第一生成模块,用于生成第二随机挑战字;
第一加密模块,用于利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密,获得第三密钥信息;
第一发送模块,用于向所述无线接入点发送第二鉴权信息,以使所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验,所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息。
可选地,所述第一鉴权模块包括:
第一解散单元,用于当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得的,则利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算;
第一解密单元,用于当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名获得的,则利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密,获得第一解密散列值;并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值。
可选地,所述第一加密模块包括:
第一散列单元,用于利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算;或者,
第一签名单元,用于利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名。
可选地,所述第一判断模块包括:
第一直接对应单元,用于当所述第一密钥信息与所述第二解密信息相同时,确定所述第一密钥信息与所述第二密钥信息对应;或者,
第一间接对应单元,用于当所述第一解密散列值与第二散列值相同时,确定所述第一密钥信息与所述第二密钥信息对应。
本发明还提供一种无线接入点和管理平台鉴权装置,设置于无线接入点侧,包括:
第二生成模块,用于生成第一随机挑战字;
第二加密模块,用于利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密,获得第一密钥信息;
第二发送模块,用于向管理平台发送第一鉴权信息,以使所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验,所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息。
可选地,所述装置还包括:
第二接收模块,用于接收管理平台发送的第二鉴权信息,所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息,所述第三密钥信息为所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密获得的;
第二鉴权模块,用于利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验,获得第四密钥信息;
第二判断模块,用于当确定所述第三密钥信息与所述第四密钥信息对应时,则判定所述管理平台合法。
可选地,所述第二判断模块还用于:
当确定所述第三密钥信息与所述第四密钥信息不对应时,则判定所述管理平台非法。
可选地,所述第二加密模块包括:
第二散列单元,用于利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算;或者,
第二签名单元,用于利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名。
可选地,所述第二鉴权模块包括:
第二解散单元,用于当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得的,则利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算;
第二解密单元,用于当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名获得的,则利用与所述管理平台对应的公钥对所述第三密钥信息进行解密,获得第二解密散列值;并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值。
可选地,所述第二判断模块包括:
第二直接对应单元,用于当所述第三密钥信息与所述第四解密信息相同时,确定所述第三密钥信息与所述第四密钥信息对应;或者,
第二间接对应单元,用于当所述第二解密散列值与第四散列值相同时,确定所述第三密钥信息与所述第四密钥信息对应。
本发明和现有技术相比,具有如下有益效果:
本发明提供的鉴权方法和装置,能够实现接入点设备和网络管理平台的合法性相互校验,保证无线接入点的合法性,为网络中的设备提供更加安全可靠的接入。
附图说明
图1是本发明实施例的应用于管理平台侧的无线接入点和管理平台鉴权方法的流程图;
图2是本发明实施例的应用于无线接入点侧的无线接入点和管理平台鉴权方法的流程图;
图3是本发明实施例的一种无线接入点和管理平台鉴权方法的流程图;
图4是本发明实施例的设置于管理平台侧的无线接入点和管理平台鉴权装置的结构示意图;
图5是本发明实施例的设置于无线接入点侧的无线接入点和管理平台装置的结构示意图;
图6是本发明实施例的无线接入点加密示意图1;
图7是本发明实施例的无线接入点加密示意图2;
图8是本发明实施例的管理平台鉴权示意图1;
图9是本发明实施例的管理平台鉴权示意图2;
图10是本发明实施例的管理平台加密示意图1;
图11是本发明实施例的管理平台加密示意图2;
图12是本发明实施例的无线接入点鉴权示意图1;
图13是本发明实施例的无线接入点鉴权示意图2;
图14是本发明实施例1的无线接入点和管理平台鉴权的流程图;
图15是本发明实施例2的无线接入点和管理平台鉴权的流程图。
具体实施方式
为使本发明的发明目的、技术方案和有益效果更加清楚明了,下面结合附图对本发明的实施例进行说明,需要说明的是,在不冲突的情况下,本申请中的实施例和实施例中的特征可以相互任意组合。
如图1所示,本发明实施例提供一种无线接入点和管理平台鉴权方法,应用于管理平台侧,在管理平台对无线接入点鉴权时,包括:
S101、接收无线接入点发送的第一鉴权信息,所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息,所述第一密钥信息为所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标 识号和所述第一随机挑战字进行加密获得的;
S102、利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验,获得第二密钥信息;
S103、当确定所述第一密钥信息与所述第二密钥信息对应时,则判定所述无线接入点合法。
S104、当确定所述第一密钥信息与所述第二密钥信息不对应时,则判定所述无线接入点非法。
优选地,在请求无线接入点对管理平台鉴权时,包括:
S105、生成第二随机挑战字;
S106、利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密,获得第三密钥信息;
S107、向所述无线接入点发送第二鉴权信息,以使所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验,所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息。
其中,所述无线接入点的标识号包括以下一项或者多项:
媒体介入控制层MAC地址、序列号、唯一性标识。
步骤S102包括:
当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得的(如图6所示),则利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算(如图8所示);
当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名获得的(如图7所示),则利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密,获得第一解密散列值;并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值(如图9所示)。
步骤S106包括:
利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算(如图10所示);或者,
利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名(如图11所示)。
步骤S103包括:
当所述第一密钥信息与所述第二解密信息相同时,确定所述第一密钥信息与所述第二密钥信息对应;或者,
当所述第一解密散列值与第二散列值相同时,确定所述第一密钥信息与所述第二密钥信息对应。
如图2所示,本发明实施例提供一种无线接入点和管理平台鉴权方法,应用于无线接入点侧,在请求管理平台对无线接入点鉴权时,包括:
S201、生成第一随机挑战字;
S202、利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密,获得第一密钥信息;
S203、向管理平台发送第一鉴权信息,以使所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验,所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息。
优选地,在无线接入点对管理平台鉴权时,还包括:
S204、接收管理平台发送的第二鉴权信息,所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息,所述第三密钥信息为所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密获得的;
S205、利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验,获得第四密钥信息;
S206、当确定所述第三密钥信息与所述第四密钥信息对应时,则判定所 述管理平台合法。
S207、当确定所述第三密钥信息与所述第四密钥信息不对应时,则判定所述管理平台非法。
其中,所述无线接入点的标识号包括以下一项或者多项:
媒体介入控制层MAC地址、序列号、唯一性标识。
步骤S202包括:
利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算(如图6所示);或者,
利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名(如图7所示)。
步骤S205包括:
当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得的(如图10所示),则利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算(如图12所示);
当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名获得的(如图11所示),则利用与所述管理平台对应的公钥对所述第三密钥信息进行解密,获得第二解密散列值;并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值(如图13所示)。
步骤S206包括:
当所述第三密钥信息与所述第四解密信息相同时,确定所述第三密钥信息与所述第四密钥信息对应;或者,
当所述第二解密散列值与第四散列值相同时,确定所述第三密钥信息与所述第四密钥信息对应。
如图3所示,本发明实施例提供一种无线接入点和管理平台鉴权方法,无线接入点利用存储的密钥进行加密,并请求管理平台对无线接入点鉴权,包括:
S301、无线接入点生成第一随机挑战字;
S302、所述无线接入点利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密,获得第一密钥信息;
S303、所述无线接入点向管理平台发送第一鉴权信息,所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息;
S304、所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验,获得第二密钥信息;
S305、当所述管理平台确定所述第一密钥信息与所述第二密钥信息对应时,则判定所述无线接入点合法。
S306、当所述管理平台确定所述第一密钥信息与所述第二密钥信息不对应时,则判定所述无线接入点非法。
如果无线接入点是合法的,则无线接入点存储的密钥与管理平台存储的与所述无线接入点对应的密钥相同或者对应,此时鉴权可以通过,如果无线接入点是非法的,例如无线接入点是伪装,则无线接入点存储的密钥与管理平台存储的与无线接入点对应的密钥不同或者对应不上,此时鉴权无法通过。
管理平台利用与无线接入点对应的密钥进行加密,并请求无线接入点对管理平台鉴权(如果不需此鉴权,则无需下列步骤),包括:
S307、所述管理平台生成第二随机挑战字;
S308、所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密,获得第三密钥信息;
S309、所述管理平台向所述无线接入点发送第二鉴权信息;所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息;
S310、所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验,获得第四密钥信息;
S311、当所述无线接入点确定所述第三密钥信息与所述第四密钥信息对应时,则判定所述管理平台合法。
S312、当所述无线接入点确定所述第三密钥信息与所述第四密钥信息不对应时,则判定所述管理平台非法。
相似的,如果管理平台是合法的,则无线接入点存储的密钥与管理平台存储的与所述无线接入点对应的密钥相同或者对应,此时鉴权可以通过,如果管理平台是非法的,例如管理平台是伪装的,则无线接入点存储的密钥与管理平台存储的与无线接入点对应的密钥不同或者对应不上,此时鉴权无法通过。
步骤S302包括:
利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算(如图6所示);或者,
利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名(如图7所示)。
步骤S304包括:
利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算(如图8所示);或者,
利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密,获得第一解密散列值;并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值(如图9所示)。
步骤S305包括:
当所述第一密钥信息与所述第二解密信息相同时,确定所述第一密钥信息与所述第二密钥信息对应;或者,
当所述第一解密散列值与第二散列值相同时,确定所述第一密钥信息与所述第二密钥信息对应。
步骤S308包括:
利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算(如图10所示);或者,
利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名(如图11所示)。
步骤S310包括:
利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算(如图12所示);或者,
利用与所述管理平台对应的公钥对所述第三密钥信息进行解密,获得第二解密散列值;并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值(如图13所示)。
步骤S311包括:
当所述第三密钥信息与所述第四解密信息相同时,确定所述第三密钥信息与所述第四密钥信息对应;或者,
当所述第二解密散列值与第四散列值相同时,确定所述第三密钥信息与所述第四密钥信息对应。
每一个无线接入点的共享密钥,不同于其它无线接入点的。合法的无线接入点与合法的管理平台均保存此共享密钥,双方使用此共享密钥对关键信息进行鉴权。
为防止共享密钥泄密,可进一步做加密签名(如RSA算法)。
无线接入点保存有签名的私钥和管理平台对应的公钥,管理平台保存有平台的私钥和无线接入点对应的公钥,双方使用此对应的公钥或者私钥对关键信息进行鉴权。
如图4所示,本发明还提供一种无线接入点和管理平台鉴权装置,设置于管理平台侧,包括:
第一接收模块401,用于接收无线接入点发送的第一鉴权信息,所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息,所述第一密钥信息为所述无线接入点利用所述无线接入点存储的密钥对所述 无线接入点的标识号和所述第一随机挑战字进行加密获得的;
第一鉴权模块402,用于利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验,获得第二密钥信息;
第一判断模块403,用于当确定所述第一密钥信息与所述第二密钥信息对应时,则判定所述无线接入点合法。
所述第一判断模块403,还用于当确定所述第一密钥信息与所述第二密钥信息不对应时,则判定所述无线接入点非法。
上述装置还包括:
第一生成模块404,用于生成第二随机挑战字;
第一加密模块405,用于利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密,获得第三密钥信息;
第一发送模块406,用于向所述无线接入点发送第二鉴权信息,以使所述无线接入点利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验,所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息。
其中,所述第一鉴权模块402包括:
第一解散单元4021,用于当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得的,则利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算;
第一解密单元4022,用于当所述第一密钥信息为所述无线接入点利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名获得的,则利用与所述无线接入点对应的公钥对所述第一密钥信息进行解密,获得第一解密散列值;并利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第二散列值。
所述第一加密模块405包括:
第一散列单元4051,用于利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算;或者,
第一签名单元4052,用于利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名。
所述第一判断模块403包括:
第一直接对应单元4031,用于当所述第一密钥信息与所述第二解密信息相同时,确定所述第一密钥信息与所述第二密钥信息对应;或者,
第一间接对应单元4032,用于当所述第一解密散列值与第二散列值相同时,确定所述第一密钥信息与所述第二密钥信息对应。
如图5所示,本发明实施例还提供一种无线接入点和管理平台鉴权装置,设置于无线接入点侧,包括:
第二生成模块501,用于生成第一随机挑战字;
第二加密模块502,用于利用所述无线接入点存储的密钥对所述无线接入点的标识号和所述第一随机挑战字进行加密,获得第一密钥信息;
第二发送模块503,用于向管理平台发送第一鉴权信息,以使所述管理平台利用与所述无线接入点对应的密钥对所述第一鉴权信息进行校验,所述第一鉴权信息包括所述无线接入点的标识号、第一随机挑战字和第一密钥信息。
上述装置还包括:
第二接收模块504,用于接收管理平台发送的第二鉴权信息,所述第二鉴权信息包括所述无线接入点的标识号、第二随机挑战字和第三密钥信息,所述第三密钥信息为所述管理平台利用与所述无线接入点对应的密钥对所述无线接入点的标识号和所述第二随机挑战字进行加密获得的;
第二鉴权模块505,用于利用所述无线接入点存储的密钥对所述第二鉴权信息进行校验,获得第四密钥信息;
第二判断模块506,用于当确定所述第三密钥信息与所述第四密钥信息对应时,则判定所述管理平台合法。
所述第二判断模块506还用于:
当确定所述第三密钥信息与所述第四密钥信息不对应时,则判定所述管理平台非法。
其中,所述第二加密模块502包括:
第二散列单元5021,用于利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算;或者,
第二签名单元5022,用于利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第一随机挑战字进行散列运算获得第一散列值、并利用所述无线接入点存储的私钥对所述第一散列值进行签名。
所述第二鉴权模块505包括:
第二解散单元5051,用于当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得的,则利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算;
第二解密单元5052,用于当所述第三密钥信息为所述管理平台利用与所述无线接入点对应的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第三散列值、并利用所述管理平台存储的私钥对所述第三散列值进行签名获得的,则利用与所述管理平台对应的公钥对所述第三密钥信息进行解密,获得第二解密散列值;并利用所述无线接入点存储的共享密钥对所述无线接入点的标识号和所述第二随机挑战字进行散列运算获得第四散列值。
所述第二判断模块506包括:
第二直接对应单元5061,用于当所述第三密钥信息与所述第四解密信息相同时,确定所述第三密钥信息与所述第四密钥信息对应;或者,
第二间接对应单元5062,用于当所述第二解密散列值与第四散列值相同时,确定所述第三密钥信息与所述第四密钥信息对应。
实施例1
本发明实施例中的共享密钥,是指用来针对某种约定的散列算法(如SHA-256),进行散列运算的共享密钥。如图14所示,步骤如下:
11、无线接入点以自己的NodeID(NodeID可以是无线接入点的MAC地址、序列号,或其他唯一性标识)、及随机产生的一个挑战字X,使用存储的共享密钥对它们做散列运算,得到散列值A(见图6);
12、无线接入点在请求连接到管理平台时,报文携带NodeID、挑战字和散列值A;
13、管理平台在接收到无线接入点的连接请求后,使用该无线接入点对应共享密钥对接收到的NodeID和挑战字X做散列算法,得到散列值AA(见图8)。
14、若A=AA,则管理平台判定该无线接入点合法,否则非法。
以下四个步骤为无线接入点对管理平台的鉴权,是本发明实施例进一步的功能。如果不需此鉴权,则无需这四个步骤:
15、若判定无线接入点合法,管理平台随机产生一个挑战字Y,对接收到NodeID,使用该无线接入点对应的共享密钥进行散列运算得到散列值B(见图10);
16、管理平台在发往无线接入点的响应报文中,携带无线接入点的NodeID、挑战字和加密的散列值B(见图10);
17、无线接入点接收到响应报文后,使用存储的共享密钥对接收到的NodeID和挑战字Y做散列运算,得到散列值BB;
18、若B=BB,则该管理平台点合法,否则非法(见图3)。
实施例2
为防止共享密钥泄密,可进一步对散列值做加密签名(如RSA算法)。如图15所示,步骤如下:
21、无线接入点以自己的NodeID(NodeID可以是无线接入点的MAC地址、序列号,或其他唯一性标识)、及随机产生的一个挑战字X,使用存 储共享密钥对它们做散列运算,得到散列值A,使用无线接入点存储的私钥对A做RSA签名,得出RSA签名密文AAA(见图7);
22、无线接入点在请求连接到管理平台时,报文携带NodeID、挑战字符串和RSA签名密文AAA;
23、管理平台在接收到无线接入点的连接请求后,使用无线接入点对应的公钥对签名结果AAA进行RSA解密,得到RSA的签名原文,得出解密散列值AAAA,然后再用该无线接入点对应共享密钥对NodeID、挑战字X做散列运算,得到散列结果AA(见图9);
24、管理平台比较RSA签名解密散列值AAAA和计算的散列值AA结果,如果一致,则该无线接入点合法,否则非法。
以下四个步骤为无线接入点对管理平台的鉴权,是本发明实施例进一步的功能。如果不需此鉴权,则无需这四个步骤:
25、若判定无线接入点合法,管理平台随机产生一个挑战字Y,对接收到NodeID,使用该无线接入点对应的共享密钥进行散列运算得到散列值B;
26、使用管理平台存储的私钥对散列值B做RSA签名,得出RSA签名密文BBB(见图11),并在响应报文中携带无线接入点的NodeID、挑战字和RSA签名密文BBB。
27、无线接入点接收到响应报文后,使用预先保存的管理平台对应的公钥对收到的签名结果BBB做RSA解密,得出RSA的签名原文,得出解密散列值BBBB,再用无线接入点存储的共享密钥对NodeID和挑战字做散列运算BB(见图13);
28、无线接入点比较RSA签名解密散列值BBBB和计算的散列值BB,如果两个结果一致,则该管理平台合法,否则非法。
虽然本发明所揭示的实施方式如上,但其内容只是为了便于理解本发明的技术方案而采用的实施方式,并非用于限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭示的核心技术方案的前提下,可以在实施的形式和细节上做任何修改与变化,但本发明所限定的保护范围,仍 须以所附的权利要求书限定的范围为准。