身份安全认证方法、装置、系统、无线接入点及介质与流程

本发明实施例涉及无线通信技术领域，尤其涉及一种身份安全认证方法、装置、系统、无线接入点及介质。

背景技术：

电力系统现有的有线通信方式无法满足移动性需要，而公网第四代移动通信4g、wi-fi等传统的无线通信技术存在公网无线信号覆盖弱、业务访问需穿越内外网、安全性差、流量费用高等问题，限制了物联网平台层与感知层的实时在线直采。

wapi(wirelesslanauthenticationandprivacyinfrastructure，无线局域网鉴别和保密基础结构)是一种安全协议，采用三元对等安全架构，安全性高，符合网络安全法、信息安全技术网络安全等级保护基本要求中网络安全政策法规要求。目前，基于wapi所组建的局域网，在移动设备接入时均需要进行身份认证，但是目前身份认证方式较为单一，安全性不足。

技术实现要素：

本发明实施例提供一种身份安全认证方法、装置、系统、无线接入点及介质，以解决移动设备接入基于wapi所组建的局域网时身份认证方式安全性不足的问题。

第一方面，本发明实施例提供了一种身份安全认证方法，包括：

无线接入点接收移动终端发送的第一加密请求信息，并根据所述第一加密请求信息对所述移动终端进行合法性验证；

在所述移动终端通过合法性验证时，所述无线接入点将第二加密请求信息发送至鉴别服务器，以使所述鉴别服务器根据所述第二加密请求信息对所述移动终端和所述无线接入点进行合法性验证，并接收所述鉴别服务器反馈的合法性验证结果；

所述无线接入点根据所述合法性验证结果，对所述移动终端进行基于wapi组建的局域网的访问控制。

第二方面，本发明实施例还提供了一种身份安全认证装置，包括：

第一合法性验证模块，用于接收移动终端发送的第一加密请求信息，并根据所述第一加密请求信息对所述移动终端进行合法性验证；

第二合法性验证模块，用于在所述移动终端通过合法性验证时，所述无线接入点将第二加密请求信息发送至鉴别服务器，以使所述鉴别服务器根据所述第二加密请求信息对所述移动终端和所述无线接入点进行合法性验证，并接收所述鉴别服务器反馈的合法性验证结果；

访问控制模块，用于所述无线接入点根据所述合法性验证结果，对所述移动终端进行基于wapi组建的局域网的访问控制。

第三方面，本发明实施例还提供了一种无线接入点，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现本发明任意实施例所述的身份安全认证方法。

第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本发明任意实施例所述的身份安全认证方法。

第五方面，本发明实施例还提供了一种身份安全认证系统，包括：移动终端、无线接入点、注册服务器和鉴别服务器；其中，

所述注册服务器，用于实现所述移动终端和所述无线接入点的注册，并存储所述移动终端和所述无线接入点的注册信息；

所述移动终端，用于向所述无线接入点发送第一加密请求信息，以通过所述无线接入点接入基于wapi组建的局域网；

所述无线接入点，用于接收所述移动终端发送的第一加密请求信息，根据所述第一加密请求信息对所述移动终端进行合法性验证，在所述移动终端通过合法性验证时，将第二加密请求信息发送至鉴别服务器，并在接收到所述鉴别服务器反馈的合法性验证结果为通过验证时，使所述移动终端接入基于wapi组建的局域网；

所述鉴别服务器，用于接收所述无线接入点发送的第二加密请求信息，根据所述第二加密请求信息对所述无线接入点进行合法性验证。

本发明实施例中，在移动终端接入基于wapi所组建的局域网时进行身份安全认证的情况下，移动终端向无线接入点发送第一加密请求信息，无线接入点根据所述第一加密请求信息对所述移动终端进行合法性验证，在所述移动终端通过合法性验证时，将第二加密请求信息发送至鉴别服务器，所述鉴别服务器根据所述第二加密请求信息对所述移动终端和所述无线接入点进行合法性验证，将合法性验证结果反馈给所述无线接入点，所述无线接入点根据合法性验证结果对所述移动终端进行基于wapi组建的局域网的访问控制，以此提高了移动设备接入基于wapi所组建的局域网时身份认证方式安全性，解决了身份认证方式安全性不足的问题。

附图说明

图1是本发明实施例一中的一种身份安全认证方法的流程图；

图2是本发明实施例二中的一种身份安全认证方法的流程图；

图3是本发明实施例三中的一种身份安全认证系统的结构示意图；

图4是本发明实施例四中的一种身份安全认证装置的结构示意图；

图5是本发明实施例五中的一种无线接入点的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。本申请中的术语“第一”、“第二”等是用于区别不同的对象，而不是用于描述特定顺序。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。

实施例一

图1为本发明实施例一提供的一种身份安全认证方法的流程图，本实施例可适用于移动设备接入基于wapi所组建的局域网时对其进行身份安全认证的情况，该方法可以由本发明实施例提供的身份安全认证装置来执行，该装置可采用软件和/或硬件的方式实现，并一般可集成无线接入点(accesspoint，ap)中。

如图1所示，本实施例提供的身份安全认证方法，具体包括：

s110、无线接入点接收移动终端发送的第一加密请求信息，并根据所述第一加密请求信息对所述移动终端进行合法性验证。

在本实施例中，移动终端可以是电力无线通信设备，例如可以是带有通信联网功能的手持式平板电脑或巡检设备等。

可选的，移动终端上设置有一个或多个活体检测模块。其中，所述活体检测模块指的是执行活体检测方法(在一些身份验证场景确定对象真实生理特征的方法)的模块。例如，活体检测模块可以是人像识别模块、声音识别模块、虹膜识别模块、指纹识别模块等。通过在移动终端上设置活体检测模块，能够避免他人对移动终端的恶意使用，如避免移动终端恶意接入基于wapi所组建的局域网影响网络安全。

其中，第一加密请求信息，指的是移动终端向无线接入点请求接入基于wapi所组建的局域网的加密信息，用于无线接入点对移动终端进行合法性验证。可选的，在需要接入基于wapi所组建的局域网时，移动终端向无线接入点发送第一加密请求信息，或者，接入基于wapi所组建的局域网后，在接入时长达到预设时间段阈值(如一天等)时，移动终端需要再次向无线接入点发送第一加密请求信息。

无线接入点接收到移动终端发送的第一加密请求信息之后，对第一加密请求信息进行解密，并根据解密结果对移动终端进行合法性验证，例如，将解密结果与本地预存的相关信息进行对比，对移动终端进行合法性验证。

作为一种可选的实施方式，无线接入点根据所述第一加密请求信息对所述移动终端进行合法性验证，可以具体为：

无线接入点对所述第一加密请求信息进行解密，得到第一解密请求信息，并基于注册服务器中预先注册的所述移动终端的相关信息对第一解密请求信息进行合法性验证。

在本实施例中，设置注册服务器，用于实现移动终端和无线接入点的注册，并存储移动终端和无线接入点的注册信息。其中，注册服务器接入基于wapi所组建的局域网。

移动终端在向注册服务器注册时，向注册服务器发送与移动终端信息匹配的第一字符串。注册服务器接收到移动终端发送的第一字符串之后，向移动终端反馈第一随机数，并将第一字符串和第一随机数对应存储。

可选的，第一字符串包括：移动终端名称、移动终端证书和移动终端ip地址。其中，移动终端名称指的是能够唯一标识移动终端的信息，例如可以是移动终端id。

类似的，无线接入点在向注册服务器注册时，向注册服务器发送与无线接入点匹配的第二字符串。注册服务器接收到无线接入点发送的第二字符串之后，向无线接入点反馈第二随机数，并将第二字符串和第二随机数对应存储。

可选的，第二字符串包括：无线接入点名称、无线接入点证书和无线接入点ip地址。其中，无线接入点名称指的是能够唯一标识无线接入点的信息，例如可以是无线接入点id。

当无线接入点接收到移动终端发送的第一加密请求信息之后，对第一加密请求信息进行解密，得到第一解密请求信息，并访问注册服务器获取注册服务器中预先注册的移动终端的相关信息。进而，无线接入点可以根据在注册服务器中获取到的相关信息对第一解密请求信息进行验证，如果第一解密请求信息能够匹配成功，则确定移动终端通过合法性验证，如果第一解密请求信息不能匹配成功，则确定移动终端未通过合法性验证。

可选的，所述第一加密请求信息是根据与所述移动终端对应的第一字符串，以及所述注册服务器在所述移动终端注册时根据所述第一字符串反馈的第一随机数加密生成的。

移动终端向注册服务器进行注册时，存储注册服务器反馈的第一随机数。进而，当移动终端生成第一加密请求信息，可以将与其对应的第一字符串，如移动终端名称、移动终端证书和移动终端ip地址，以及第一随机数通过加密算法形成第一加密请求信息。

为保证电力无线通信设备信息专用交换协议报文的机密性，加密技术是最常用的安全保密手段，利用技术手段把重要的数据变为乱码(加密)传送，到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素：算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解密的一种算法。在安全保密中，可通过适当的秘钥加密技术和管理机制来保证网络的信息通信安全。

在本实施例中，移动终端可以采用国密算法sm2、sm3或sm4，将与其对应的第一字符串以及第一随机数进行加密形成第一加密请求信息。

s120、在所述移动终端通过合法性验证时，所述无线接入点将第二加密请求信息发送至鉴别服务器，以使所述鉴别服务器根据所述第二加密请求信息对所述移动终端和所述无线接入点进行合法性验证，并接收所述鉴别服务器反馈的合法性验证结果。

在所述移动终端未通过合法性验证时，无线接入点可以向移动终端发送指示合法性验证失败的信息，身份安全认证方法的流程结束。

第二加密请求信息，指的是无线接入点向鉴别服务器请求使移动终端接入基于wapi所组建的局域网的加密信息，用于鉴别服务器对无线接入点和移动终端进行合法性验证。

鉴别服务器接收到无线接入点发送的第二加密请求信息之后，对第二加密请求信息进行解密，并根据解密结果对无线接入点进行合法性验证，例如，将解密结果与本地预存的相关信息进行对比，对无线接入点进行合法性验证。只有无线接入点和移动终端的相关信息均匹配成功时，才可确定无线接入点通过合法性验证。其中，鉴别服务器接入基于wapi所组建的局域网。

作为一种可选的实施方式，所述鉴别服务器根据所述第二加密请求信息对所述移动终端和所述无线接入点进行合法性验证，可以具体为：

所述鉴别服务器对所述第二加密请求信息进行解密，得到第二解密请求信息，并基于所述注册服务器中预先注册的所述移动终端的相关信息和所述无线接入点的相关信息对所述第二解密请求信息进行合法性验证。

当鉴别服务器接收到无线接入点发送的第二加密请求信息之后，对所述第二加密请求信息进行解密，得到第二解密请求信息，并访问注册服务器获取注册服务器中预先注册的移动终端和无线接入点的相关信息。进而，鉴别服务器可以根据在注册服务器中获取到的相关信息对第二解密请求信息进行验证，如果第二解密请求信息能够匹配成功，则确定无线接入点通过合法性验证，如果第二解密请求信息不能匹配成功，则确定无线接入点未通过合法性验证。

可选的，所述第二加密请求信息是根据与所述移动终端对应的第一字符串、与所述无线接入点对应的第二字符串，以及所述注册服务器在所述无线接入点注册时根据所述第二字符串反馈的第二随机数加密生成的。

无线接入点向注册服务器进行注册时，存储注册服务器反馈的第二随机数。进而，当无线接入点生成第二加密请求信息，可以将与移动终端对应的第一字符串(如移动终端名称、移动终端证书和移动终端ip地址)、与其对应的第二字符串(如无线接入点名称、无线接入点证书和无线接入点ip地址)，以及第二随机数通过加密算法形成第二加密请求信息。

在本实施方式中，无线接入点可以采用国密算法sm2、sm3或sm4，将与移动终端对应的第一字符串、与其对应的第二字符串以及第二随机数进行加密形成第二加密请求信息。

在上述技术方案中，鉴别服务器对无线接入点进行合法性验证时，不仅对无线接入点的相关信息进行合法性验证，还会对移动终端的相关信息进行合法性验证，以此提高了合法性验证结果的准确性。

s130、所述无线接入点根据所述合法性验证结果，对所述移动终端进行基于wapi组建的局域网的访问控制。

鉴别服务器在根据第二加密请求信息完成对无线接入点和移动终端的合法性验证后，将合法性验证结果反馈给无线接入点。进而，无线接入点可以根据接收到的合法性验证结果对移动终端进行基于wapi组建的局域网的访问控制。当合法性验证结果为通过验证时，无线接入点控制移动终端接入基于wapi组建的局域网；当合法性验证结果为未通过验证时，无线接入点拒绝移动终端接入基于wapi组建的局域网。

作为一种可选的实施方式，无线接入点在接收到所述鉴别服务器反馈的合法性验证结果为通过验证时，还接收所述鉴别服务器反馈的目标随机数；其中，所述目标随机数由所述鉴别服务器发送至路由器；相应的，所述无线接入点根据所述合法性验证结果，对所述移动终端进行基于wapi组建的局域网的访问控制，可以具体为：

在所述合法性验证结果为通过验证时，所述无线接入点向路由器发送携带所述目标随机数的访问信息，以使所述移动终端接入基于wapi组建的局域网中。

鉴别服务器在根据第二加密请求信息完成对无线接入点和移动终端的合法性验证后，不仅将合法性验证结果反馈给无线接入点，在合法性验证结果为通过验证时还会向无线接入点反馈一个目标随机数，同时将该目标随机数发送至接入基于wapi组建的局域网的路由器。

当无线接入点接收到鉴别服务器反馈的合法性验证结果为通过验证时，无线接入点还会接收到鉴别服务器反馈的一个目标随机数，进而，无线接入点在向路由器发送与移动终端对应的访问信息时，会携带该目标随机数。路由器接收到无线接入点发送的携带目标随机数的访问信息之后，将该目标随机数与接收到的鉴别服务器发送的目标随机数进行对比，如果二者匹配成功，则使所述移动终端接入基于wapi组建的局域网中，如果二者匹配不成功，则拒绝所述移动终端接入基于wapi组建的局域网中。

作为另一种可选的实施方式，无线接入点在接收到所述鉴别服务器反馈的合法性验证结果为通过验证时，还接收所述鉴别服务器反馈的目标随机数和时间代码；其中，所述目标随机数由所述鉴别服务器发送至路由器；

相应的，所述身份安全认证方法还包括：在所述移动终端通过合法性验证时，所述无线接入点如果确定当前时刻在所述时间代码的预设时间段内，则向路由器发送携带所述目标随机数的访问信息，以使所述移动终端接入基于wapi组建的局域网中。

鉴别服务器在根据第二加密请求信息完成对无线接入点和移动终端的合法性验证后，不仅将合法性验证结果反馈给无线接入点，在合法性验证结果为通过验证时还会向无线接入点反馈目标随机数和时间代码，同时将该目标随机数发送至接入基于wapi组建的局域网的路由器。

当无线接入点接收到鉴别服务器反馈的合法性验证结果为通过验证时，无线接入点还会接收到鉴别服务器反馈的目标随机数和时间代码。其中，无线接入点中设置有计时器，并基于计时器计时可以判断当前时刻是否处于所述时间代码的预设时间段内。

无线接入点接收到移动终端发送的第一加密请求信息之后，根据第一加密请求信息对移动终端进行合法性验证，如果移动终端通过合法性验证，则继续判断当前时刻是否处于鉴别服务器反馈时间代码的预设时间段内(例如可以是三天等)。若是，则向路由器发送携带所述目标随机数的访问信息，以使所述移动终端接入基于wapi组建的局域网中；若否，则生成第二加密请求信息向鉴别服务器发送，并在接收到鉴别服务器反馈的合法性验证结果为通过验证时，接收鉴别服务器反馈的目标随机数和时间代码，同时使用最新接收到目标随机数和时间代码对本地存储的目标随机数和时间代码进行更新。

示例的，无线接入点还可以在每次接收到鉴别服务器反馈的目标随机数和时间代码时，开启计时器进行计时，计时时间段为上述预设时间段，例如为三天，进而在根据第一加密请求信息确定移动终端通过合法性验证之后，判断计时器是否还在计时。若是，则确定当前时刻处于鉴别服务器反馈时间代码的预设时间段内，进而可以直接向路由器发送携带所述目标随机数的访问信息，以使所述移动终端接入基于wapi组建的局域网中；若否，则确定当前时刻未处于鉴别服务器反馈时间代码的预设时间段内，进而生成第二加密请求信息向鉴别服务器发送，并在接收到鉴别服务器反馈的合法性验证结果为通过验证时，接收鉴别服务器反馈的目标随机数和时间代码，并再此开启计时器进行计时。

在上述实施方式中，无线接入点被鉴别服务器认定为通过合法性验证后，在预设时间段内可以无需再次进行合法性验证，在根据第一加密请求信息对移动终端进行合法性验证之后，可以直接将相应的目标随机数发送至路由器，以使移动终端接入基于wapi组建的局域网，由此提高了移动终端接入基于wapi组建的局域网的效率。

需要指出的是，本实施例提供的身份安全认证方法旨在使移动终端接入基于wapi所组建的局域网，移动终端、无线接入点、注册服务器、鉴别服务器，以及路由器之间的信息传输均符合wapi。

本发明实施例中，在移动终端接入基于wapi所组建的局域网时进行身份安全认证的情况下，移动终端向无线接入点发送第一加密请求信息，无线接入点根据所述第一加密请求信息对所述移动终端进行合法性验证，在所述移动终端通过合法性验证时，将第二加密请求信息发送至鉴别服务器，所述鉴别服务器根据所述第二加密请求信息对所述移动终端和所述无线接入点进行合法性验证，将合法性验证结果反馈给所述无线接入点，所述无线接入点根据合法性验证结果，对所述移动终端进行基于wapi组建的局域网的访问控制，以此提高了移动设备接入基于wapi所组建的局域网时身份认证方式安全性，解决了身份认证方式安全性不足的问题。

实施例二

图2为本发明实施例二提供的一种身份安全认证方法的流程图，本实施例在前述实施例的基础上提供了一种具体的实施方式。在本实施方式中，移动终端、无线接入点、注册服务器、鉴别服务器以及路由器都处于基于wapi所组建的局域网中。

如图2所示，本实施例提供的身份安全认证方法，具体包括：

s210、移动终端向注册服务器发送与移动终端信息匹配的第一字符串，并接收注册服务器反馈的第一随机数；无线接入点向注册服务器发送与无线接入点信息匹配的第二字符串，并接收注册服务器反馈的第二随机数。

移动终端和无线接入点分别向注册服务器发送注册信息，所述注册服务器存储移动终端和无线接入点的注册信息，并分别向移动终端和无线接入点发送随机数。其中，在注册服务器中，储移动终端和无线接入点的注册信息，以及各自相应的随机数是对应存储的。

其中，第一字符串包括：移动终端名称、移动终端证书和移动终端ip地址；第二字符串包括：无线接入点名称、无线接入点证书和无线接入点ip地址。

s220、移动终端向无线接入点发送第一加密请求信息，无线接入点对所述第一加密请求信息进行解密得到第一解密请求信息，并基于注册服务器对第一解密请求信息进行合法性验证。

其中，第一加密请求信息是将第一字符串以及第一随机数通过加密算法而形成的。

s230、如果第一解密请求信息的合法性验证为通过验证，无线接入点向鉴别服务器发送第二加密请求信息，鉴别服务器对所述第二加密请求信息进行解密得到第二解密请求信息，并基于注册服务器对第二解密请求信息进行合法性验证。

其中，第二加密请求信息是将第一字符串、第二字符串以及第二随机数通过加密算法而形成的。

s240、如果第二解密请求信息的合法性验证结果为通过验证，鉴别服务器向无线接入点反馈合法性验证结果和目标随机数，并向路由器反馈所述目标随机数。

s250、无线接入点接收到目标随机数之后，将携带所述目标随机数的访问信息发送至路由器，路由器将访问信息中携带的目标随机数与鉴别服务器发送的目标随机数进行匹配，并在匹配成功时使移动终端接入基于wapi所组建的局域网。

进一步的，如果第二解密请求信息的合法性验证结果为通过验证，鉴别服务器除了向无线接入点反馈合法性验证结果和目标随机数，还可以同时反馈一个时间代码。

在无线接入点接收到鉴别服务器反馈的时间代码的情况下，无线接入点如果接收到移动终端发送的第一加密请求信息，首先根据第一加密请求信息对移动终端进行合法性验证，如果移动终端通过合法性验证，则继续判断当前时刻是否处于鉴别服务器反馈时间代码的预设时间段内(例如可以是三天等)。若是，则向路由器发送携带所述目标随机数的访问信息，以使所述移动终端接入基于wapi组建的局域网中；若否，则生成第二加密请求信息向鉴别服务器发送，并在接收到鉴别服务器反馈的合法性验证结果为通过验证时，接收鉴别服务器反馈的目标随机数和时间代码，同时使用最新接收到目标随机数和时间代码对本地存储的目标随机数和时间代码进行更新。

本实施例未尽详细解释之处请参见前述实施例，在此不再赘述。

在上述技术方案中，首先通过注册服务器记录移动终端与无线接入点的关键信息，同时采用加密算法对移动终端与无线接入点的请求信息进行加密，并将解密后的结果与注册服务器中的结果进行对比，只有当二者对比通过时，移动终端与无线接入点才会被认为是合法使用，以此提高了wapi认证的安全性，避免非法无线接入点与非法移动终端的恶意接入使用。

实施例三

图3为本发明实施例三提供的一种身份安全认证系统的结构示意图，本实施例可适用于移动设备接入基于wapi所组建的局域网时对其进行身份安全认证的情况。如图3所示，本实施例提供的身份安全认证系统，包括：移动终端、无线接入点、注册服务器和鉴别服务器。其中，

所述注册服务器，用于实现所述移动终端和所述无线接入点的注册，并存储所述移动终端和所述无线接入点的注册信息。

移动终端向注册服务器发送与移动终端信息匹配的第一字符串，并接收注册服务器反馈的第一随机数；无线接入点向注册服务器发送与无线接入点信息匹配的第二字符串，并接收注册服务器反馈的第二随机数。

移动终端和无线接入点分别向注册服务器发送注册信息，所述注册服务器存储移动终端和无线接入点的注册信息，并分别向移动终端和无线接入点发送随机数。其中，在注册服务器中，储移动终端和无线接入点的注册信息，以及各自相应的随机数是对应存储的。

其中，第一字符串包括：移动终端名称、移动终端证书和移动终端ip地址；第二字符串包括：无线接入点名称、无线接入点证书和无线接入点ip地址。

所述移动终端，用于向所述无线接入点发送第一加密请求信息，以通过所述无线接入点接入基于wapi组建的局域网。

其中，第一加密请求信息，指的是移动终端向无线接入点请求接入基于wapi所组建的局域网的加密信息，用于无线接入点对移动终端进行合法性验证。可选的，在需要接入基于wapi所组建的局域网时，移动终端向无线接入点发送第一加密请求信息，或者，接入基于wapi所组建的局域网后，在接入时长达到预设时间段阈值(如一天等)时，移动终端需要再次向无线接入点发送第一加密请求信息。

可选的，所述第一加密请求信息是根据与所述移动终端对应的第一字符串，以及所述注册服务器在所述移动终端注册时根据所述第一字符串反馈的第一随机数加密生成的。

所述无线接入点，用于接收所述移动终端发送的第一加密请求信息，根据所述第一加密请求信息对所述移动终端进行合法性验证，在所述移动终端通过合法性验证时，将第二加密请求信息发送至鉴别服务器，并在接收到所述鉴别服务器反馈的合法性验证结果为通过验证时，使所述移动终端接入基于wapi组建的局域网。

无线接入点接收移动终端发送的第一加密请求信息，并根据所述第一加密请求信息对所述移动终端进行合法性验证。可选的，无线接入点对所述第一加密请求信息进行解密，得到第一解密请求信息，并基于注册服务器中预先注册的所述移动终端的相关信息对第一解密请求信息进行合法性验证。

在所述移动终端通过合法性验证时，所述无线接入点将第二加密请求信息发送至鉴别服务器，以使所述鉴别服务器根据所述第二加密请求信息对所述移动终端和所述无线接入点进行合法性验证，并接收所述鉴别服务器反馈的合法性验证结果。

所述鉴别服务器，用于接收所述无线接入点发送的第二加密请求信息，根据所述第二加密请求信息对所述无线接入点进行合法性验证。

鉴别服务器对所述第二加密请求信息进行解密，得到第二解密请求信息，并基于注册服务器中预先注册的所述无线接入点的相关信息对第二解密请求信息进行合法性验证。

进一步的，如图3所示，本实施例提供的身份安全认证系统还包括：路由器，所述路由器用于在接收到无线接入点发送的携带目标随机数的访问信息时，将其与鉴别服务器发送的目标随机数进行匹配，并在匹配成功时使移动终端接入基于wapi所组建的局域网。

鉴别服务器如果确定第二解密请求信息的合法性验证结果为通过验证，则向无线接入点反馈合法性验证结果和目标随机数，并向路由器反馈所述目标随机数。无线接入点接收到目标随机数之后，将携带所述目标随机数的访问信息发送至路由器，路由器将访问信息中携带的目标随机数与鉴别服务器发送的目标随机数进行匹配，并在匹配成功时使移动终端接入基于wapi所组建的局域网。

进一步的，鉴别服务器在确定第二解密请求信息的合法性验证结果为通过验证时，除了向无线接入点反馈合法性验证结果和目标随机数，还可以同时反馈一个时间代码。

在无线接入点接收到鉴别服务器反馈的时间代码的情况下，无线接入点如果接收到移动终端发送的第一加密请求信息，首先根据第一加密请求信息对移动终端进行合法性验证，如果移动终端通过合法性验证，则继续判断当前时刻是否处于鉴别服务器反馈时间代码的预设时间段内(例如可以是三天等)。若是，则向路由器发送携带所述目标随机数的访问信息，以使所述移动终端接入基于wapi组建的局域网中；若否，则生成第二加密请求信息向鉴别服务器发送，并在接收到鉴别服务器反馈的合法性验证结果为通过验证时，接收鉴别服务器反馈的目标随机数和时间代码，同时使用最新接收到目标随机数和时间代码对本地存储的目标随机数和时间代码进行更新。

本实施例未尽详细解释之处请参见前述实施例，在此不再赘述。

在上述技术方案中，首先通过注册服务器记录移动终端与无线接入点的关键信息，同时采用加密算法对移动终端与无线接入点的请求信息进行加密，并将解密后的结果与注册服务器中的结果进行对比，只有当二者对比通过时，移动终端与无线接入点才会被认为是合法使用，以此提高了wapi认证的安全性，避免非法无线接入点与非法移动终端的恶意接入使用。

实施例四

图4为本发明实施例四提供的一种身份安全认证装置的结构示意图，该装置可采用软件和/或硬件的方式实现，一般可集成在无线接入点中。如图4所示，该身份安全认证装置，应用于无线接入点中，具体包括：第一合法性验证模块410、第二合法性验证模块420和访问控制模块430。其中，

第一合法性验证模块410，用于接收移动终端发送的第一加密请求信息，并根据所述第一加密请求信息对所述移动终端进行合法性验证；

第二合法性验证模块420，用于在所述移动终端通过合法性验证时，所述无线接入点将第二加密请求信息发送至鉴别服务器，以使所述鉴别服务器根据所述第二加密请求信息对所述移动终端和所述无线接入点进行合法性验证，并接收所述鉴别服务器反馈的合法性验证结果；

访问控制模块430，用于所述无线接入点根据所述合法性验证结果，对所述移动终端进行基于wapi组建的局域网的访问控制。

本发明实施例中，在移动终端接入基于wapi所组建的局域网时进行身份安全认证的情况下，移动终端向无线接入点发送第一加密请求信息，无线接入点根据所述第一加密请求信息对所述移动终端进行合法性验证，在所述移动终端通过合法性验证时，将第二加密请求信息发送至鉴别服务器，所述鉴别服务器根据所述第二加密请求信息对所述移动终端和所述无线接入点进行合法性验证，将合法性验证结果反馈给所述无线接入点，所述无线接入点根据合法性验证结果，对所述移动终端进行基于wapi组建的局域网的访问控制，以此提高了移动设备接入基于wapi所组建的局域网时身份认证方式安全性，解决了身份认证方式安全性不足的问题。

可选的，第二合法性验证模块420，具体用于在接收到所述鉴别服务器反馈的合法性验证结果为通过验证时，还接收所述鉴别服务器反馈的目标随机数；其中，所述目标随机数由所述鉴别服务器发送至路由器；

相应的，访问控制模块430，具体用于在所述合法性验证结果为通过验证时，向路由器发送携带所述目标随机数的访问信息，以使所述移动终端接入基于wapi组建的局域网中。

可选的，第二合法性验证模块420，具体用于在接收到所述鉴别服务器反馈的合法性验证结果为通过验证时，还接收所述鉴别服务器反馈的目标随机数和时间代码；其中，所述目标随机数由所述鉴别服务器发送至路由器；

相应的，访问控制模块430，具体用于在所述移动终端通过合法性验证时，如果确定当前时刻在所述时间代码的预设时间段内，则向路由器发送携带所述目标随机数的访问信息，以使所述移动终端接入基于wapi组建的局域网中。

可选的，第一合法性验证模块410，用于对所述第一加密请求信息进行解密，得到第一解密请求信息，并基于注册服务器中预先注册的所述移动终端的相关信息对所述第一解密请求信息进行合法性验证。

可选的，第二合法性验证模块420，用于对所述第二加密请求信息进行解密，得到第二解密请求信息，并基于所述注册服务器中预先注册的所述移动终端的相关信息和所述无线接入点的相关信息对所述第二解密请求信息进行合法性验证。

可选的，所述第一加密请求信息是根据与所述移动终端对应的第一字符串，以及所述注册服务器在所述移动终端注册时根据所述第一字符串反馈的第一随机数加密生成的。

可选的，所述第二加密请求信息是根据与所述移动终端对应的第一字符串、与所述无线接入点对应的第二字符串，以及所述注册服务器在所述无线接入点注册时根据所述第二字符串反馈的第二随机数加密生成的。

可选的，所述第一字符串包括：移动终端名称、移动终端证书和移动终端ip地址。

可选的，所述第二字符串包括：无线接入点名称、无线接入点证书和无线接入点ip地址。

上述身份安全认证装置可执行本发明任意实施例所提供的身份安全认证方法，具备执行方法相应的功能模块和有益效果。

实施例五

图5是本发明实施例五提供的一种无线接入点的结构示意图，如图5所示，该无线接入点包括处理器510和存储器520；无线接入点中处理器510的数量可以是一个或多个，图5中以一个处理器510为例；无线接入点中的处理器510和存储器520可以通过总线或其他方式连接，图5中以通过总线连接为例。

存储器520作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本发明实施例中的一种身份安全认证方法对应的程序指令/模块(如图4所示的身份安全认证装置中包括的第一合法性验证模块410、第二合法性验证模块420和访问控制模块430)。处理器510通过运行存储在存储器520中的软件程序、指令以及模块，从而执行无线接入点的各种功能应用以及数据处理，即实现上述的身份安全认证方法。

存储器520可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据无线接入点的使用所创建的数据等。此外，存储器520可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储器520可进一步包括相对于处理器510远程设置的存储器，这些远程存储器可以通过网络连接至无线接入点。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

实施例六

本发明实施例六还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由无线接入点处理器执行时用于执行一种身份安全认证方法，包括：

接收移动终端发送的第一加密请求信息，并根据所述第一加密请求信息对所述移动终端进行合法性验证；

在所述移动终端通过合法性验证时，将第二加密请求信息发送至鉴别服务器，以使所述鉴别服务器根据所述第二加密请求信息对所述移动终端和所述无线接入点进行合法性验证，并接收所述鉴别服务器反馈的合法性验证结果；

所述无线接入点根据所述合法性验证结果，对所述移动终端进行基于wapi组建的局域网的访问控制。

可选的，该计算机可执行指令在由无线接入点处理器执行时还可以用于执行本发明任意实施例所提供的一种身份安全认证方法的技术方案。

通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、闪存(flash)、硬盘或光盘等，包括若干指令用以使得无线接入点执行本发明各个实施例所述的方法。

值得注意的是，上述身份安全认证装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。