WO2022016435A1

WO2022016435A1 - 接入认证方法、装置、设备及存储介质

Info

Publication number: WO2022016435A1
Application number: PCT/CN2020/103637
Authority: WO
Inventors: 茹昭; 张军; 罗朝明
Original assignee: Oppo广东移动通信有限公司
Priority date: 2020-07-22
Filing date: 2020-07-22
Publication date: 2022-01-27
Also published as: CN115669209A

Abstract

本申请公开了一种接入认证方法、装置、设备及存储介质，涉及网络技术领域。该方法应用于第一平台云中，所述第一平台云是保存有蓝牙Mesh设备的认证信息的云端服务器，所述方法包括：和所述蓝牙Mesh设备进行椭圆曲线算法ECDH计算，生成共享根密钥ECDHSecret，所述蓝牙Mesh设备由第二平台网关配置入网；根据所述共享根密钥，生成配网器认证信息，所述配网器认证信息用于与所述蓝牙Mesh设备进行接入认证。

Description

接入认证方法、装置、设备及存储介质

技术领域

本申请涉及网络技术领域，特别涉及一种接入认证方法、装置、设备及存储介质。

背景技术

蓝牙无线网格(Mesh)技术是一种基于蓝牙的多对多关键技术，基于蓝牙Mesh技术的蓝牙Mesh设备可以跨域不同的平台进行接入认证。

示例性的，属于E公司的蓝牙Mesh设备的认证信息(AuthValue)存放在B平台云，蓝牙Mesh设备由A平台网关配置入网。为了进行跨平台接入认证，A平台网关和A平台网关对应的A平台云需要帮助传递B平台云对应的配置端确认值(provisioning confirmation)，实现蓝牙Mesh设备通过B平台云进行接入认证。

相关技术中，由A平台网关和蓝牙Mesh设备进行椭圆曲线算法(Elliptic Curves Diffie-Hellman，ECDH)计算，计算得到共享根密钥(ECDHSecret)，在这种情况下，存在A平台网关反解出AuthValue的可能性，影响蓝牙Mesh设备的认证信息的安全性。

发明内容

本申请实施例提供了一种接入认证方法、装置、设备及存储介质，避免蓝牙Mesh设备的Static OOB认证信息AuthValue存在泄露风险的问题，保障了蓝牙Mesh设备进行接入过程中的安全性。所述技术方案如下。

根据本申请的一个方面，提供了一种接入认证方法，应用于第一平台云中，所述第一平台云是保存有蓝牙Mesh设备的认证信息的云端服务器，所述方法包括：

和所述蓝牙Mesh设备进行ECDH计算，生成共享根密钥ECDHSecret，所述蓝牙Mesh设备由第二平台网关配置入网；

根据所述共享根密钥，生成配网器认证信息，所述配网器认证信息用于与所述蓝牙Mesh设备进行接入认证。

根据本申请的一个方面，提供了一种接入认证方法，应用于蓝牙无线网格网络Mesh设备中，所述方法包括：

和第一平台云进行ECDH计算，生成共享根密钥ECDHSecret；

其中，所述第一平台云是保存有所述蓝牙Mesh设备的认证信息的云端服务器，所述蓝牙Mesh设备由第二平台网关配置入网，所述共享根密钥用于生成设备确认值deviceconfirmation，所述设备确认值用于与所述第一平台云进行接入认证。

根据本申请的一个方面，提供了一种接入认证方法，应用于第二平台网关中，

所述第二平台网关用于将蓝牙无线网格网络Mesh设备配置入网，所述蓝牙Mesh设备由第一平台云保存所述蓝牙Mesh设备的认证信息，所述第二平台网关对应的云端服务器为第二平台云，所述方法包括：

通过所述第二平台云，接收源地址为所述第一平台云的配网器认证信息，所述配网器认证信息用于与所述蓝牙Mesh设备进行接入认证；

向所述蓝牙Mesh设备转发所述配网器认证信息；

其中，所述配网器认证信息是所述第一平台云根据共享根密钥ECDHSecret生成的，所述共享根密钥由所述第一平台云和所述蓝牙Mesh设备进行椭圆曲线算法ECDH计算得到。

响应于所述蓝牙Mesh设备开始进行配网流程，生成对应于本次配网流程的认证信息AuthValue，所述认证信息与所述蓝牙Mesh设备处的认证信息相同；

发送所述认证信息，所述认证信息的目的地址为第二平台网关，所述第二平台网关用于将所述蓝牙Mesh设备配置入网；

其中，所述认证信息用于供所述第二平台网关对所述蓝牙Mesh设备进行认证。

根据本申请的一个方面，提供了一种接入认证方法，应用于第二平台网关中，所述第二平台网关用于将蓝牙无线网格网络Mesh设备配置入网，所述蓝牙Mesh设备由第一平台云保存所述蓝牙Mesh设备的认证信息，所述第二平台网关对应的云端服务器为第二平台云，所述方法包括：

通过所述第二平台云，接收所述第一平台云发送的认证信息AuthValue；

根据所述认证信息，生成配网器认证信息，所述配网器认证信息用于与所述蓝牙Mesh设备进行接入认证。

根据本申请的一个方面，提供了一种接入认证方法，应用于蓝牙Mesh设备中，所述蓝牙Mesh设备由第二平台网关配置入网，所述蓝牙Mesh设备由第一平台云保存所述蓝牙Mesh设备的认证信息，所述方法包括：

响应于所述蓝牙Mesh设备开始进行配网流程，生成对应于本次配网流程的认证信息AuthValue，所述认证信息与所述第一平台云处的认证信息相同。

根据本申请的一个方面，提供了一种接入认证装置，应用于第一平台云中，所述第一平台云是保存有蓝牙Mesh设备的认证信息的云端服务器，所述装置包括：生成模块；

所述生成模块，用于和所述蓝牙Mesh设备进行ECDH计算，生成共享根密钥ECDHSecret，所述蓝牙Mesh设备由第二平台网关配置入网；

所述生成模块，用于根据所述共享根密钥，生成配网器认证信息，所述配网器认证信息用于与所述蓝牙Mesh设备进行接入认证。

根据本申请的一个方面，提供了一种接入认证装置，应用于蓝牙Mesh设备中，所述装置包括：生成模块；

所述生成模块，用于和第一平台云进行ECDH计算，生成共享根密钥ECDHSecret；

根据本申请的一个方面，提供了一种接入认证装置，应用于第二平台网关中，所述第二平台网关用于将蓝牙无线网格网络Mesh设备配置入网，所述蓝牙Mesh设备由第一平台云保存所述蓝牙Mesh设备的认证信息，所述第二平台网关对应的云端服务器为第二平台云，所述装置包括：接收模块和发送模块；

所述接收模块，用于通过所述第二平台云，接收源地址为所述第一平台云的配网器认证信息，所述配网器认证信息用于与所述蓝牙Mesh设备进行接入认证；

所述发送模块，用于向所述蓝牙Mesh设备转发所述配网器认证信息；

根据本申请的一个方面，提供了一种接入认证装置，应用于第一平台云中，所述第一平台云是保存有蓝牙Mesh设备的认证信息的云端服务器，所述装置包括：生成模块和发送模块；

所述生成模块，用于响应于所述蓝牙Mesh设备开始进行配网流程，生成对应于本次配网流程的认证信息AuthValue，所述认证信息与所述蓝牙Mesh设备处的认证信息相同；

所述发送模块，用于发送所述认证信息，所述认证信息的目的地址为第二平台网关，所述第二平台网关用于将所述蓝牙Mesh设备配置入网；

根据本申请的一个方面，提供了一种接入认证装置，应用于第二平台网关中，所述第二平台网关用于将蓝牙无线网格网络Mesh设备配置入网，所述蓝牙Mesh设备由第一平台云保存所述蓝牙Mesh设备的认证信息，所述第二平台网关对应的云端服务器为第二平台云，所述装置包括：接收模块和生成模块；

所述接收模块，用于通过所述第二平台云，接收所述第一平台云发送的认证信息AuthValue；

所述生成模块，用于根据所述认证信息，生成配网器认证信息，所述配网器认证信息用于与所述蓝牙Mesh设备进行接入认证。

根据本申请的一个方面，提供了一种接入认证装置，应用于蓝牙Mesh设备中，所述蓝牙Mesh设备由第二平台网关配置入网，所述蓝牙Mesh设备由第一平台云保存所述蓝牙Mesh设备的认证信息，所述装置包括：生成模块；

所述生成模块，用于响应于所述蓝牙Mesh设备开始进行配网流程，生成对应于本次配网流程的认证信息AuthValue，所述认证信息与所述第一平台云处的认证信息相同。

根据本申请的一个方面，提供了一种第一平台云，所述第一平台云包括：处理器；与所述处理器相连的收发器；用于存储所述处理器的可执行指令的存储器；其中，所述处理器被配置为加载并执行所述可执行指令以实现如上述方面所述的接入认证方法。

根据本申请的一个方面，提供了一种第二平台网关，所述第二平台网关包括：处理器；与所述处理器相连的收发器；用于存储所述处理器的可执行指令的存储器；其中，所述处理器被配置为加载并执行所述可执行指令以实现如上述方面所述的接入认证方法。

根据本申请的一个方面，提供了一种蓝牙Mesh设备，所述蓝牙Mesh设备包括：处理器；与所述处理器相连的收发器；用于存储所述处理器的可执行指令的存储器；其中，所述处理器被配置为加载并执行所述可执行指令以实现如上述方面所述的接入认证方法。

根据本申请的一个方面，提供了一种计算机可读存储介质，所述可读存储介质中存储有可执行指令，所述可执行指令由处理器加载并执行以实现如上述方面所述的接入认证方法。

根据本申请的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中，计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述方面所述的接入认证方法。

本申请实施例提供的技术方案至少包括如下有益效果：

通过由第一平台云和蓝牙Mesh设备进行ECDH计算生成共享根密钥，避免了在由第二平台网关和蓝牙Mesh设备进行ECDH计算时，由于通过第二平台网关交换确认值(如配置端确认值)，且第二平台网关保存有ECDH计算生成的共享根密钥，导致蓝牙Mesh设备的StaticOOB认证信息AuthValue存在泄露风险的问题，保障了蓝牙Mesh设备进行接入过程中的安全性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请一个示例性实施例提供的蓝牙Mesh设备跨平台接入认证系统的框图；

图2是相关技术中一个示例性实施例提供的设备跨越不同平台进行接入和认证的方法流程图；

图3是本申请一个示例性实施例提供的接入认证方法的流程图；

图4是本申请一个示例性实施例提供的接入认证方法的流程图；

图5是本申请一个示例性实施例提供的接入认证方法的流程图；

图6是本申请一个示例性实施例提供的接入认证方法的流程图；

图7是本申请一个示例性实施例提供的接入认证方法的流程图；

图8是本申请一个示例性实施例提供的接入认证方法的流程图；

图9是本申请一个示例性实施例提供的接入认证方法的流程图；

图10是本申请一个示例性实施例提供的接入认证装置的结构框图；

图11是本申请一个示例性实施例提供的接入认证装置的结构框图；

图12是本申请一个示例性实施例提供的接入认证装置的结构框图；

图13是本申请一个示例性实施例提供的接入认证装置的结构框图；

图14是本申请一个示例性实施例提供的接入认证装置的结构框图；

图15是本申请一个示例性实施例提供的接入认证装置的结构框图；

图16是本申请一个示例性实施例提供的服务器的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

首先，对本申请实施例中涉及的名词进行简单介绍：

蓝牙Mesh网络：

是用于建立多对多设备通信的低功耗蓝牙的网络拓扑。允许创建基于多个设备的大型网络，网络可以包含数十台，数百甚至数千台蓝牙Mesh设备，这些设备之间可以相互进行信息的传递。

一个设备要想成为蓝牙Mesh网络的成员，则需要经过一个称为“启动配置(provisioning)”的安全流程，将设备添加到蓝牙Mesh网络中。作为蓝牙Mesh网络成员的设备称为“节点”，而不构成节点的设备就称为“设备”。启动配置的流程会将普通的“设备(Device)”成为“节点(Node)”，使其正式成为蓝牙Mesh网络的成员。

启动配置的流程主要包括五个阶段：1发送Beacon信号、2邀请、3交换公共密钥、4认证、5启动配置数据分发。

对于认证阶段，有三种可用的验证方法：输出带外数据OOB(Output Out-Of-Band，Output OOB)、输入OOB(Input OOB)、以及静态OOB(Static OOB)或无OOB(No OOB)。

在实际产品形态中，出于设备成本以及配网便捷性的考虑，鲜有设备采用Output/Input OOB的方式(需要设备具有输入或输出的能力且过程中需要人工参与)，而NoOOB的方式安全性不佳，绝大多数设备都是采用的StaticOOB的验证方法。本申请实施例中，设备采用的验证方法为StaticOOB。

图1示出了本申请一个示例性实施例提供的蓝牙Mesh设备跨平台接入认证系统的框图，该系统可以包括：蓝牙Mesh设备12、第二平台网关141、第二平台云142和第一平台云16。

蓝牙Mesh设备12是支持蓝牙技术，可以接入蓝牙Mesh网络的设备。蓝牙Mesh设备包括各种类型的物联网设备，如：灯泡、音箱、手机等，本申请实施例对此不进行限定。

蓝牙Mesh设备12由第二平台网关141配置入网，第二平台网关141对应的云端服务器是第二平台云142。第二平台网关141与第二平台云142之间通过有线或无线网络相连。可选地，第二平台云网关141从蓝牙Mesh设备12接收数据，对数据进行计算处理，将数据发送至第二平台云142处，由第二平台云142进行保存或进行进一步处理。

蓝牙Mesh设备12基于第一平台云16开发，蓝牙Mesh设备12的认证信息存储在第一平台云16。

第二平台云142和第一平台云16之间存在通信链路。可选地，第二平台云142向第一平台云16发送蓝牙Mesh设备12在与第一平台云16认证流程中所需的信息；或，向第二平台网关141转发蓝牙Mesh设备12在第一平台云16认证流程中所需的信息。

其中，上述第二平台云142和第一平台云16是云技术领域中的云计算资源池，在资源池中部署多种类型的虚拟资源，供外部客户选择使用。云计算资源池中主要包括：计算设备(为虚拟化机器，包含操作系统)、存储设备、网络设备。其可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。

图2示出了一个相关技术中设备跨越不同平台进行接入和认证的方法流程图，该方法包括：

步骤21，用户使用语音或APP激活扫描A平台网关。

步骤22，E公司设备(基于B平台开发)按规范广播蓝牙Mesh未配网广播包。

其中，广播包中包含B平台的公司标识符(Company Identifier，CID)。

步骤23，A平台网关查询设备类型。

A平台网关获取E公司设备广播的未配网广播信息后，将该信息上传至A平台云，查询该设备的类型。

步骤23.1，A平台云判断是否是本平台设备。

步骤23.2，A平台云查询设备对应平台信息。

A平台云在收到A平台网关上报的设备信息后，通过CID判断E公司设备不是基于A平台开发的设备，需要其它平台进行授权。

步骤23.3，A平台云通过互联互通服务器获取CID对应的平台信息。

可选地，平台信息包含B平台权限管理服务器(AuthServer)等信息。

步骤23.4，A平台云向B平台云查询设备类型。

步骤23.5，A平台云从B平台云获取设备类型。

步骤24，A平台云向A平台网关转发设备类型。

步骤25，A平台网关向用户播报设备、设备类型。

步骤26，用户输入：连接设备。

步骤27，A平台网关和E公司设备进行连接和邀请流程(Link&Invitation)。

步骤27.1，A平台网关向E公司设备发送配置开始(Provisioning Start)。

步骤27.2，A平台网关向E公司设备发送配置端公钥(Provisoning Public Key)。

步骤27.3，E公司设备向A平台网关发送设备公钥(Device Public Key)。

步骤27.4，E公司设备和A平台网关进行ECDH计算，生成确认密钥(ConfirmationKey)。

步骤27.5，A平台网关上报设备认证过程中产生的确认密钥至A平台云。

步骤27.6，A平台云上报确认密钥给B平台云。

步骤27.7，A平台云通过B平台云获取认证需要的配置端确认值(provisioner confirmation)及配置端随机数(provisioner random)。

步骤27.8，A平台云向A平台网关转发配置端确认值及配置端随机数。

步骤27.9，A平台网关将配置端确认值发送给E公司设备。

步骤27.10，E公司设备返回设备端的设备确认值(deviceconfirmation)。

步骤27.11，A平台网关将配置端随机数发送给E公司设备。

步骤27.12，E公司设备对配置端确认值进行校验。

步骤27.13，校验通过，E公司设备返回设备端的设备随机数(devicerandom)。

步骤27.14，A平台网关上报设备的设备确认值及设备随机数至A平台云。

步骤27.15，A平台云将设备确认值及设备随机数发送给B平台云。

步骤27.16，B平台云进行认证校验。

步骤27.17，B平台云返回认证结果以及设备信息。

其中，设备信息包含设备支持的控制功能和控制指令。

步骤27.18，A平台云存储设备信息。

步骤27.19，A平台云向A平台网关转发认证结果。

步骤28，A平台网关向用户播报认证结果。

可选地，上述步骤中，确认密钥(ConfirmationKey)和配置端确认值(provisioner confirmation)、设备确认值(deviceconfirmation)计算方式如下，来源自蓝牙MeshProfilev1.0.1。

ConfirmationProvisioner＝AES-CMAC _{ConfirmationKey}(RandomProvisioner||AuthValue)；

ConfirmationDevice＝AES-CMAC _{ConfirmationKey}(RandomDevice||AuthValue)；

ConfirmationKey＝k1(ECDHSecret,ConfirmationSalt,“prck”)；

ConfirmationSalt＝s1(ConfirmationInputs)；

ConfirmationInputs＝ProvisioningInvitePDUValue||ProvisioningCapabilitiesPDUValue||ProvisioningStartPDUValue||PublicKeyProvisioner||PublicKeyDevice；

ECDHSecret＝P-256(private key,peer public key)。

由上述计算方式可知，由于B平台云生成的配置端确认值跟确认密钥和AuthValue相关，在A平台网关处保存有确认密钥，又接收到配置端确认值的情况下，可以对配置端确认值进行解密，推导出设备的认证信息AuthValue，导致设备的认证信息泄露。

针对上述问题，本申请实施例提供了两种不同的技术方案：

1)由B平台云和蓝牙Mesh设备进行ECDH计算。

2)每次配网时，动态生成Static OOB信息(即AuthValue)。

可以理解的是，技术方案1)中，StaticOOB信息(即AuthValue)是恒定的，如：出厂时预生成直接烧录到蓝牙Mesh设备中。而技术方案2)中，StaticOOB信息(即AuthValue)在每次配网时都会重新生成。

下面，针对上述两种技术方案，进行示例性的说明。

技术方案1)

图3示出了本申请一个示例性实施例提供的接入认证方法的流程图。该方法可以应用于如图1示出的蓝牙Mesh设备跨平台接入认证系统中，该方法包括：

步骤310，第一平台云和蓝牙Mesh设备进行ECDH计算，生成共享根密钥(ECDHSecret)。

蓝牙Mesh设备是支持接入蓝牙Mesh网络的设备。蓝牙Mesh设备包括各种类型的家居设备(如电灯)、工业资产(如医院中的检查设备)等。

其中，第一平台云对应的平台是对蓝牙Mesh设备进行开发的平台。第一平台云保存有蓝牙Mesh设备的认证信息(AuthValue)。

第二平台网关是支持将蓝牙Mesh设备添加到蓝牙Mesh网络的节点，蓝牙Mesh设备由第二平台网关配置入网，第二平台网关对应的云端服务器为第二平台云第一平台云。第一平台云和第二平台云是不同的两个平台云，属于不同的平台。可选地，蓝牙Mesh设备与第二平台网关进行连接和邀请流程(Link&Invitation)，第二平台从第一平台云处获取蓝牙Mesh设备在认证流程所需的信息。

ECDH是基于椭圆曲线密码体制(Elliptic Curve Cryptosystems，ECC)的DH(Diffie-Hellman)密钥交换算法。交换双方可以在不共享任何秘密的情况下协商出一个密钥。且该算法继承了ECC密钥长度短、计算速度快和安全性能好等突出优点。

与相关技术中，由第二平台网关与蓝牙Mesh设备进行ECDH计算不同的是，图3所示的实施例中，将ECDH计算的流程转移到第一平台云，由第一平台云和蓝牙Mesh设备进行ECDH计算，第一平台云和蓝牙Mesh设备处均生成共享根密钥。

可选地，第一平台云和蓝牙Mesh设备都支持FIPS P-256椭圆曲线算法，可以进行ECDH计算，生成共享根密钥。通过基于该算法的非对称加密来创建安全通道，以完成剩余的启动配置流程。示例性的，共享根密钥的计算公式为：ECDHSecret＝P-256(private key,peer public key)。其中，private key为双方各自的私钥，peer public key为双方各自的公钥。

可选地，共享根密钥用于派生其他密钥，如：设备密钥(DevKey)、会话密钥(SessionKey)和会话随机数(SessionNonce)。

步骤320，第一平台云根据共享根密钥，生成配网器认证信息。

其中，配网器认证信息用于与蓝牙Mesh设备进行接入认证。

在蓝牙Mesh设备接入认证的过程中，需要由蓝牙Mesh设备和第一平台云根据共有的设备的认证信息AuthValue，对对方生成的认证信息进行校验。若校验通过，则继续接下来的流程。配网器认证信息是第一平台云对应的配置端认证信息。配网器认证信息的目的地址为蓝牙Mesh设备，蓝牙Mesh设备可以对配网器认证信息进行检查验证。

可选地，蓝牙Mesh设备根据共享根密钥，生成设备确认值。设备确认值是蓝牙Mesh设备对应的设备端认证信息。

可选地，配网器认证信息包括配置端确认值。步骤310包括：第一平台云根据共享根密钥，生成确认密钥；生成配置端随机数，配置端随机数与蓝牙Mesh设备的认证信息形成第一明文；使用确认密钥对第一明文进行加密，生成配置端确认值。

示例性的，配置端确认值的计算公式为：ConfirmationProvisioner＝AES-CMACConfirmationKey(RandomProvisioner||AuthValue)。其中，AES-CMAC为一种加密算法。

可选地，第一平台云根据共享根密钥，生成确认密钥，包括：第一平台云获取确认输入值(ConfirmationInputs)；根据确认输入值，生成确认盐值(ConfirmationSalt)；根据确认盐值、共享根密钥和字符串“prck”，生成确认密钥。

示例性的，确认密钥的计算公式为：ConfirmationKey＝k1(ECDHSecret,ConfirmationSalt,“prck”)。

可选地，第一平台云获取确认输入值包括：第一平台云接收源地址为第二平台网关的配置信息；接收源地址为蓝牙Mesh设备的设备公钥；生成配置端公钥；根据配置信息、设备公钥和配置端公钥，生成确认输入值；其中，配置信息包括：配置邀请协议数据单元值(ProvisioningInvitePDUValue)、配置能力协议数据单元值(ProvisioningCapabilitiesPDUValue)、配置开始协议数据单元值(ProvisioningStartPDUValue)中的至少一种。

示例性的，确认输入值的计算公式为：ConfirmationInputs＝ProvisioningInvitePDUValue||ProvisioningCapabilitiesPDUValue||ProvisioningStartPDUValue||PublicKeyProvisioner||PublicKeyDevice。

可选地，第二平台包括第二平台网关和第二平台云。第二平台发送配置信息的过程，包括：第二平台网关发送配置信息，配置信息的目的地址为第一平台云；第二平台云向第一平台云转发配置信息。

同样地，蓝牙Mesh设备的设备公钥也会经由第二平台的转发，包括：通过第二平台网关，接收源地址为蓝牙Mesh设备的设备公钥；第二平台网关向第二平台云转发设备公钥；第二平台云向第一平台云转发设备公钥。

配网器与待配网的蓝牙Mesh设备需要进行公钥的交换，在由第一平台云与蓝牙Mesh设备进行ECDH计算的情况下，由第一平台云向蓝牙Mesh设备发送自身生成的配置端公钥。可选地，在步骤310之前，第一平台云发送上述配置端公钥，配置端公钥的目的地址为蓝牙Mesh设备。

可选地，第二平台包括第二平台网关和第二平台云，配置端公钥会经由第二平台的转发到达蓝牙Mesh设备，包括：通过第二平台云，接收源地址为第一平台云的配置端公钥；第二平台云向第二平台网关转发配置端公钥；第二平台网关向蓝牙Mesh设备转发配置端公钥。

步骤330，第一平台云向第二平台云发送配网器认证信息。

第一平台云向第二平台云发送配网器认证信息，第二平台云相应地接收来自第一平台云的配网器认证信息。

步骤340，第二平台云向第二平台网关转发配网器认证信息。

步骤350，第二平台网关向蓝牙Mesh设备转发配网器认证信息。

通过第二平台云和第二平台网关的转发，配网器认证信息从源地址第一平台云，到达目的地址蓝牙Mesh设备。

可选地，蓝牙Mesh设备对配网器认证信息进行验证，验证通过则继续配网流程，验证失败则终止配网流程。

可选地，第一平台云也会相应地对来自蓝牙Mesh设备的设备端的认证信息(如设备确认值)进行验证。在验证结束后，需要反馈认证结果。在反馈认证结果时，第一平台云向第二平台发送设备密钥、会话密钥和会话随机数。在由第一平台云与蓝牙Mesh设备进行ECDH计算的情况下，由第一平台云生成上述3种数据，并向第二平台发送，供第二平台后续使用上述3种数据。

可选地，第二平台包括第二平台网关和第二平台云，则第二平台接收上述3个数据的过程包括：通过第二平台云，接收源地址为第一平台云的设备密钥、会话密钥和会话随机数；第二平台云向第二平台网关转发设备密钥、会话密钥和会话随机数。

综上，本实施例提供的方法，通过由第一平台云和蓝牙Mesh设备进行ECDH计算生成共享根密钥，避免了在由第二平台网关和蓝牙Mesh设备进行ECDH计算时，由于通过第二平台网关交换确认值(如配置端确认值)，且第二平台网关保存有ECDH计算生成的共享根密钥，导致蓝牙Mesh设备的StaticOOB认证信息AuthValue存在泄露风险的问题，保障了蓝牙Mesh设备进行接入过程中的安全性。

在基于图3的可选实施例中，图4示出了本申请一个示例性实施例提供的接入认证方法的流程图。该方法可以应用于如图1示出的蓝牙Mesh设备跨平台接入认证系统中，该方法包括：

步骤41，用户使用语音或APP激活扫描第二平台网关。

步骤42，蓝牙Mesh设备(基于第一平台开发)按规范广播蓝牙Mesh未配网广播包。

其中，广播包中包含第一平台的CID。

步骤43，第二平台网关查询设备类型。

第二平台网关获取蓝牙Mesh设备广播的未配网广播信息后，将该信息上传至第二平台云，查询该设备的类型。

步骤43.1，第二平台云判断是否是本平台设备。

步骤43.2，第二平台云查询设备对应CID。

第二平台云在收到第二平台网关上报的设备信息后，通过CID判断蓝牙Mesh设备不是基于第二平台开发的设备，需要其它平台进行授权。

步骤43.3，第二平台云通过互联互通服务器获取CID对应的平台信息。

可选地，平台信息包含第一平台权限管理服务器等信息。

步骤43.4，第二平台云向第一平台云查询设备类型。

步骤43.5，第二平台云从第一平台云获取设备类型。

步骤44，第二平台云向第二平台网关转发设备类型。

步骤45，第二平台网关向用户播报设备、设备类型。

步骤46，用户输入：连接设备。

步骤47，第二平台网关和蓝牙Mesh设备进行连接和邀请。

步骤47.1，第二平台网关将配置邀请协议数据单元值、配置能力协议数据单元值和配置开始协议数据单元值上报给第二平台云。

步骤47.2，第二平台云上报配置邀请协议数据单元值、配置能力协议数据单元值和配置开始协议数据单元值给第一平台云。

步骤47.3，第一平台云生成配置端公钥上报给第二平台云。

步骤47.4，第二平台云将配置端公钥发送给第二平台网关。

步骤47.5，第二平台网关向蓝牙Mesh设备发送配置开始。

步骤47.6，第二平台网关向蓝牙Mesh设备发送配置端公钥。

步骤47.7，蓝牙Mesh设备向第二平台网关发送设备公钥。

步骤47.8，第二平台网关向第二平台云发送设备公钥。

步骤47.9，第二平台云向第一平台云发送设备公钥。

步骤47.10，蓝牙Mesh设备和第一平台云进行ECDH计算，生成确认密钥。

步骤47.11，第二平台云通过第一平台云获取认证需要的配置端确认值及配置端随机数。

步骤47.12，第二平台云向第二平台网关转发配置端确认值及配置端随机数。

步骤47.13，第二平台网关将配置端确认值发送给蓝牙Mesh设备。

步骤47.14，蓝牙Mesh设备返回设备端的设备确认值。

步骤47.15，第二平台网关将配置端随机数发送给蓝牙Mesh设备。

步骤47.16，蓝牙Mesh设备对配置端确认值进行校验。

步骤47.17，校验通过，蓝牙Mesh设备返回设备端的设备随机数。

步骤47.18，第二平台网关上报设备的设备确认值及设备随机数至第二平台云。

步骤47.19，第二平台云将设备确认值及设备随机数发送给第一平台云。

步骤47.20，第一平台云进行认证校验。

步骤47.21，第一平台云返回认证结果、设备信息、设备密钥、会话密钥和会话随机数。

其中，设备信息包含设备支持的控制功能和控制指令。

步骤47.22，第二平台云存储设备信息。

步骤47.23，第二平台云向第二平台网关转发认证结果、设备信息、设备密钥、会话密钥和会话随机数。

其中，第二平台网关存储设备密钥用于后续对蓝牙Mesh设备进行配置，第二平台网关使用会话密钥和会话随机数加密认证配置数据，再将配置数据发送给蓝牙Mesh设备。

步骤48，第二平台网关向用户播报认证结果。

综上所述，本实施例提供的方法，在保障蓝牙Mesh设备进行接入过程中的安全性的同时，也支持既有的恒定StaticOOB信息的蓝牙Mesh设备的跨平台认证接入。

可能性的，在进行ECDH计算时，蓝牙Mesh设备端的秘钥对(public-private key pair)采用固定方式，不是每次配网都重新生成，导致共享根密钥不变，第二平台网关可以使用上次和该相同设备配网过程中产生的配置端公钥、配置端确认值、配置端随机数、会话密钥和会话随机数对设备进行重放攻击，使得在蓝牙Mesh设备没有经过第一平台云认证的情况下，同样能配网成功，影响蓝牙Mesh设备配网过程中的安全性。

针对上述问题，在基于图3的可选实施例中，提出以下几种可能性的方案。

1)蓝牙Mesh设备通过第二平台的转发，接收源地址为第一平台云的配置端公钥；对配置端公钥进行检查；在配置端公钥保存在本地记录中的情况下，终止配网流程；在配置端公钥不在本地记录中的情况下，反馈设备公钥。

其中，蓝牙Mesh设备对应有本地记录，本地记录中记录有历史配网过程中蓝牙Mesh设备接收到的历史配置端公钥。可选地，本申请实施例对本地记录中记录的历史配置端公钥的个数不进行限制。

在本次配网过程中，若蓝牙Mesh设备接收到的配置端公钥保存在本地记录中，属于历史配置端公钥，则意味着蓝牙Mesh设备接收到的配置端公钥可能被第二平台网关用于进行重放攻击，则蓝牙Mesh设备终止配网流程；若蓝牙Mesh设备接收到的配置端公钥不在本地记录中，不属于历史配置端公钥，则意味着蓝牙Mesh设备接收到的配置端公钥可能是由第一平台云重新生成的，则蓝牙Mesh设备继续配网流程，开始反馈设备公钥。

示例性的，结合参考图5，图5在图4的基础上，增加了步骤57.7：蓝牙Mesh设备检查配置端公钥。

可选地，蓝牙Mesh设备也可以对配置端公钥、配置端确认值、配置端随机数、会话密钥和会话随机数中的一种或多种进行检查，保证检查结果的准确性。

示例性的，本地记录中记录有历史配网过程中蓝牙Mesh设备接收到的历史配置端确认值。蓝牙Mesh设备根据接收到的配置端确认值，是否保存在本地记录中，确定是否终止配网流程。

示例性的，本地记录中记录有历史配网过程中蓝牙Mesh设备接收到的历史配置端公钥和历史配置端随机数。蓝牙Mesh设备接收到的配置端公钥后，确定配置端公钥属于历史配置端公钥，则蓝牙Mesh设备先继续配网流程，在后续接收到的配置端随机数也属于历史配置端随机数的情况下，则终止配网流程。

2)第一平台云接收源地址为蓝牙Mesh设备的第一随机数；根据第一随机数、配置信息、设备公钥和配置端公钥，生成确认输入值。

相应地，蓝牙Mesh设备发送第一随机数，第一随机数的目的地址为第一平台云；其中，第一随机数用于供第一平台云生成确认输入值。

相应地，第二平台包括：第二平台网关和第二平台云。第二平台发送第一随机数的过程包括：通过第二平台网关，接收源地址为蓝牙Mesh设备的第一随机数；第二平台网关向第二平台云转发第一随机数；第二平台云向第一平台云转发第一随机数，第一随机数用于供第一平台云生成确认输入值。

也就是说，在每次配网过程开始时，蓝牙Mesh设备生成一个第一随机数，第一平台云生成的确认输入值与第一随机数相关。由于第一平台云生成的配置端确认值又与确认输入值相关，则可以保证每次的配置端确认值不同，进而第二平台网关无法使用历史记录的历史配置端确认值，完成与蓝牙Mesh设备的认证过程。

示例性的，确认输入值的计算方式修改为：ConfirmationInputs＝ProvisioningInvitePDUValue||ProvisioningCapabilitiesPDUValue||ProvisioningStartPDUValue||PublicKeyProvisioner||PublicKeyDevice||Random。

可选地，第一随机数包含在通用唯一标识符(Universally Unique Identifier，UUID)中。蓝牙Mesh设备在每次进入待配网状态时生成第一随机数填充到UUID中。

示例性的，结合参考图6，图6在图4的基础上，修改了如下步骤：

步骤62，蓝牙Mesh设备按规范广播蓝牙Mesh未配网广播包，广播包携带第一随机数。

步骤63，第二平台网关查询设备类型，携带第一随机数。

步骤63.4，第二平台云向第一平台云查询设备类型，携带第一随机数。

同时，增加了步骤63.5：第一平台云保存第一随机数，用于计算确认输入值。

3)蓝牙Mesh设备发送第二随机数，第二随机数的目的地址为第一平台云；其中，第二随机数用于供第一平台云生成第一校对信息(VerifyValue)。根据第二随机数，计算第二校对信息；通过第二平台转发，接收源地址为第一平台云的第一校对信息；在第一校对信息和第二校对信息不同的情况下，终止配网流程。

相应地，第一平台云接收源地址为蓝牙Mesh设备的第二随机数；使用蓝牙Mesh设备的认证信息对第二随机数进行加密，生成第一校对信息；发送第一校对信息，第一校对信息的目的地址为蓝牙Mesh设备；其中，第一校对信息用于供蓝牙Mesh设备判断是否终止配网流程。

相应地，第二平台包括：第二平台网关和第二平台云。第二平台转发第二随机数和第一校对信息的过程包括：通过第二平台网关，接收源地址为蓝牙Mesh设备的第二随机数；第二平台网关向第二平台云转发第二随机数；第二平台云向第一平台云转发第二随机数，第二随机数用于供第一平台云生成第一校对信息；通过第二平台云，接收源地址为第一平台云的第一校对信息；第二平台云向第二平台网关转发第一校对信息；第二平台网关向蓝牙Mesh设备发送第一校对信息。

也就是说，在每次配网过程开始时，蓝牙Mesh设备生成一个第二随机数，并将第二随机数告知第一平台云。第一平台云和蓝牙Mesh设备使用相同的蓝牙Mesh设备的认证信息和第二随机数，根据同样的公式计算校对信息。若蓝牙Mesh设备计算的第二校对信息与接收到的第一校对信息相同，则继续后续流程，确保第一平台云参与到此次接入认证。

示例性的，校对信息的计算公式为：VerifyValue＝AES-CMACstaticoob(Random)。

可选地，第二随机数包含在UUID中。蓝牙Mesh设备在每次进入待配网状态时生成第二随机数填充到UUID中。

示例性的，结合参考图7，图7在图4的基础上，修改了如下步骤：

步骤72，蓝牙Mesh设备按规范广播蓝牙Mesh未配网广播包，广播包携带第二随机数。

步骤73，第二平台网关查询设备类型，携带第二随机数。

步骤73.4，第二平台云向第一平台云查询设备类型，携带第二随机数。

步骤73.6，第二平台云从第一平台云获取设备类型和第一校对信息。

步骤74，第二平台云向第二平台网关转发设备类型和第一校对信息。

同时，增加了步骤73.5：第一平台云使用第二随机数计算第一校对信息。

增加了步骤77.1，蓝牙Mesh设备检查第一校对信息。

如图7所示，第二平台云将蓝牙Mesh设备生成的第二随机数转发给第一平台云，第一平台云使用上述计算公式计算第一校对信息和设备类型一同下发给第二平台云，第二平台云将第一校对信息和设备类型下发至第二平台网关，第二平台网关在和蓝牙Mesh设备的Link&Invatition流程中将第一校对信息发给蓝牙Mesh设备，蓝牙Mesh设备使用上述相同计算公式计算第二校对信息，对第二平台网关发送过来的第一校对信息进行比较，相同则继续后续流程，否则断开连接终止配网流程。

综上所述，本实施例提供的方法，提供了3种不同的方案，避免第二平台网关使用历史配网过程中保存的信息，进行重放攻击从而配网成功的情况，增强了蓝牙Mesh设备配网过程的安全性和可靠性。

技术方案2)

图8示出了本申请一个示例性实施例提供的接入认证方法的流程图。该方法可以应用于如图1示出的蓝牙Mesh设备跨平台接入认证系统中，该方法包括：

步骤810，响应于蓝牙Mesh设备开始进行配网流程，第一平台云生成对应于本次配网流程的认证信息，认证信息与蓝牙Mesh设备处的认证信息相同。

在每次蓝牙Mesh设备配网时，蓝牙Mesh设备重新与第一平台云生成针对于本次配网流程的认证信息。也就是说，认证信息只在单次配网流程中有效。

可选地，响应于蓝牙Mesh设备开始进行配网流程，蓝牙Mesh设备也生成对应于本次配网流程的认证信息。由于使用同样的参数和同样的公式计算生成认证信息，蓝牙Mesh设备处的认证信息与第一平台云处的认证信息相同。

可以理解的是，本申请实施例对第一平台云与蓝牙Mesh设备生成对应于本次配网流程的认证信息的具体实现方式不进行限定。

步骤820，第一平台云向第二平台发送认证信息。

第二平台网关是支持将蓝牙Mesh设备添加到蓝牙Mesh网络的节点，蓝牙Mesh设备由第二平台网关配置入网，第二平台网关对应的云端服务器为第二平台云第一平台云。第一平台云和第二平台云是不同的两个平台云，属于不同的平台。

在每次配网流程中，第一平台云将动态生成的认证信息发送给第二平台，供第二平台网关使用认证信息，完成对蓝牙Mesh设备的认证。

可选地，为了生成本次配网流程对应的认证信息，第一平台云接收源地址为蓝牙Mesh设备的第三随机数；在第三随机数不在本地记录中的情况下，发送认证信息，认证信息的目的地址是第二平台网关。

相应地，蓝牙Mesh设备发送第三随机数，第三随机数的目的地址为第一平台云。

相应地，第二平台包括：第二平台网关和第二平台云。第二平台转发第三随机数的过程包括：通过第二平台网关，接收源地址为蓝牙Mesh设备的第三随机数；第二平台网关向第二平台云转发第三随机数；第二平台云向第一平台云转发第三随机数；其中，第三随机数用于供第一平台云确定是否向第二平台发送认证信息。

也就是说，第一平台云对应有本地记录，本地记录中记录有历史配网过程中第一平台云接收到的历史第三随机数。可选地，本申请实施例对本地记录中记录的历史第三随机数的个数不进行限制。在本次配网过程中，若第一平台云接收到的第三随机数不在本地记录中，不属于历史第三随机数，则意味着蓝牙Mesh设备重新开始了新一轮的配网流程，则第一平台云使用第三随机数，生成对应于本次配网流程的认证信息。

可选地，第三随机数包含在UUID中。蓝牙Mesh设备在每次进入待配网状态时生成第三随机数填充到UUID中。

步骤830，通过第二平台云，接收第一平台云发送的认证信息。

步骤840，第二平台云向第二平台网关转发认证信息。

步骤850，第二平台网关根据认证信息，生成配网器认证信息。

其中，配网器认证信息用于与蓝牙Mesh设备进行接入认证。

可选地，配网器认证信息的目的地址为蓝牙Mesh设备，蓝牙Mesh设备可以对配网器认证信息进行检查验证。配网器认证信息包括配置端确认值。

可选地，第二平台包括：第二平台网关和第二平台云。在步骤850之后：第二平台网关生成认证结果；第二平台网关向第二平台云发送认证结果。由于第二平台网关保存有本次配网流程对应的认证信息，则由第二平台网关在检查完设备确认值后，生成认证结果，并将确认结果发送至第二平台云进行保存。

综上所述，本实施例提供的方法，蓝牙Mesh设备的认证信息AuthValue在每次配网时动态生成，只在单次配网周期内有效，从而避免了蓝牙Mesh设备的StaticOOB认证信息AuthValue存在泄露风险的问题，保障了蓝牙Mesh设备进行接入过程中的安全性。

在基于图8的可选实施例中，图9示出了本申请一个示例性实施例提供的接入认证方法的流程图。该方法可以应用于如图1示出的蓝牙Mesh设备跨平台接入认证系统中，该方法包括：

步骤91，用户使用语音或APP激活扫描第二平台网关。

步骤92，蓝牙Mesh设备(基于第一平台开发)按规范广播蓝牙Mesh未配网广播包，广播包中携带第三随机数。

其中，广播包中包含第一平台对应的CID。

每次配网流程中，蓝牙Mesh设备生成一个对应于本次配网流程的第三随机数，由广播包携带发送。

步骤93，第二平台网关查询设备类型，携带第三随机数。

第二平台网关获取蓝牙Mesh设备广播的未配网广播信息后，将该信息上传至第二平台云，查询该设备的类型，同时，上传第三随机数至第二平台云。

步骤93.1，第二平台云判断是否是本平台设备。

步骤93.2，第二平台云查询设备对应CID。

步骤93.3，第二平台云通过互联互通服务器获取CID对应的第一平台信息。

可选地，第一平台信息包含第一平台权限管理服务器等信息。

步骤93.4，第二平台云向第一平台云查询设备类型，携带第三随机数。

步骤93.5，第一平台云检查第三随机数是否使用过，生成认证信息。

第一平台云检验第三随机数的合法性，并计算本次配网的认证信息。

步骤93.6，A平台云从第一平台云获取设备类型以及认证信息。

步骤94，第二平台云向第二平台网关转发设备类型以及认证信息。

步骤95，第二平台网关向用户播报设备、设备类型。

步骤96，用户输入：连接设备。

步骤97，第二平台网关和蓝牙Mesh设备进行连接和邀请流程。

步骤97.1，第二平台网关向蓝牙Mesh设备发送配置开始。

步骤97.2，第二平台网关向蓝牙Mesh设备发送配置端公钥。

步骤97.3，蓝牙Mesh设备向第二平台网关发送设备公钥。

步骤97.4，蓝牙Mesh设备和第二平台网关进行ECDH计算。

步骤97.5，第二平台网关将配置端确认值发送给蓝牙Mesh设备。

由于第二平台网关获取了认证信息，则可以由第二平台计算生成配置端确认值。

步骤97.6，蓝牙Mesh设备向第二平台网关发送设备确认值。

步骤97.7，第二平台网关向蓝牙Mesh设备发送配置端随机数。

配置端确认值由第二平台网关生成。

步骤97.8，蓝牙Mesh设备对配置端确认值进行校验。

步骤97.9，校验通过，蓝牙Mesh设备返回设备端的设备随机数。

步骤97.10，第二平台网关进行认证校验。

步骤97.11，第二平台网关返回认证结果。

步骤97.12，第二平台云存储设备信息。

步骤98，第二平台网关向用户播报认证结果。

综上所述，本实施例提供的方法，在保障蓝牙Mesh设备进行接入过程中的安全性的同时，由第二平台网关生成配置端确认值和配置端随机数，无需从第一平台云处获取，简化了流程，提高了接入认证的效率。

需要说明的是，上述方法实施例可以分别单独实施，也可以组合实施，本申请对此不进行限制。

在上述各个实施例中，由第一平台云执行的步骤可以单独实现成为第一平台云一侧的接入认证方法，由蓝牙Mesh设备执行的步骤可以单独实现成为蓝牙Mesh设备一侧的接入认证方法，由第二平台网关执行的步骤可以单独实现成为第二平台网关一侧的接入认证方法。

图10示出了本申请一个示例性实施例提供的接入认证装置的结构框图，该装置可以实现成为第一平台云，或者，实现成为第一平台云中的一部分，第一平台云是保存有蓝牙Mesh设备的认证信息的云端服务器，该装置包括：生成模块1001；

生成模块1001，用于和蓝牙Mesh设备进行ECDH计算，生成共享根密钥，蓝牙Mesh设备由第二平台网关配置入网；

生成模块1001，用于根据共享根密钥，生成配网器认证信息，配网器认证信息用于与蓝牙Mesh设备进行接入认证。

可选地，该装置还包括：接收模块1002和发送模块1003。

在一个可选的实施例中，配网器认证信息包括配置端确认值；生成模块1001，用于根据共享根密钥，生成确认密钥；生成模块1001，用于生成配置端随机数，配置端随机数与蓝牙Mesh设备的认证信息AuthValue形成第一明文；生成模块1001，用于使用确认密钥对第一明文进行加密，生成配置端确认值。

在一个可选的实施例中，生成模块1001，用于获取确认输入值；生成模块1001，用于根据确认输入值，生成确认盐值；生成模块1001，用于根据确认盐值、共享根密钥和字符串“prck”，生成确认密钥。

在一个可选的实施例中，接收模块1002，用于接收源地址为第二平台网关的配置信息；接收模块1002，用于接收源地址为蓝牙Mesh设备的设备公钥；生成模块1001，用于生成配置端公钥；根据配置信息、设备公钥和配置端公钥，生成确认输入值；其中，配置信息包括：配置邀请协议数据单元值、配置能力协议数据单元值、配置开始协议数据单元值中的至少一种。

在一个可选的实施例中，接收模块1002，用于接收源地址为蓝牙Mesh设备的第一随机数；生成模块1001，用于根据第一随机数、配置信息、设备公钥和配置端公钥，生成确认输入值。

在一个可选的实施例中，第一随机数包含在UUID中。

在一个可选的实施例中，发送模块1003，用于发送配置端公钥，配置端公钥的目的地址为蓝牙Mesh设备。

在一个可选的实施例中，发送模块1003，用于发送设备密钥、会话密钥和会话随机数，设备密钥、会话密钥和会话随机数的目的地址为第二平台网关。

在一个可选的实施例中，接收模块1002，用于接收源地址为蓝牙Mesh设备的第二随机数；生成模块1001，用于使用蓝牙Mesh设备的认证信息对第二随机数进行加密，生成第一校对信息；发送模块1003，用于发送第一校对信息，第一校对信息的目的地址为蓝牙Mesh设备；其中，第一校对信息用于供蓝牙Mesh设备判断是否终止配网流程。

在一个可选的实施例中，第二随机数包含在UUID中。

图11示出了本申请一个示例性实施例提供的接入认证装置的结构框图，该装置可以实现成为蓝牙Mesh设备，或者，实现成为蓝牙Mesh设备中的一部分，该装置包括：生成模块1101；

生成模块1101，用于和第一平台云进行ECDH计算，生成共享根密钥；

其中，第一平台云是保存有蓝牙Mesh设备的认证信息的云端服务器，蓝牙Mesh设备由第二平台网关配置入网，共享根密钥用于生成设备确认值，设备确认值用于与第一平台云进行接入认证。

可选地，该装置还包括：接收模块1102、流程终止模块1103、发送模块1104和计算模块1105。

在一个可选的实施例中，接收模块1102，用于通过第二平台网关，接收源地址为第一平台云的配置端公钥；流程终止模块1103，用于在配置端公钥保存在本地记录中的情况下，终止配网流程；发送模块1104，用于在配置端公钥不在本地记录中的情况下，反馈设备公钥。

在一个可选的实施例中，发送模块1104，用于发送第一随机数，第一随机数的目的地址为第一平台云；其中，第一随机数用于供第一平台云生成确认输入值。

在一个可选的实施例中，第一随机数包含在通用唯一标识符UUID中。

在一个可选的实施例中，发送模块1104，用于发送第二随机数，第二随机数的目的地址为第一平台云；其中，第二随机数用于供第一平台云生成第一校对信息。

在一个可选的实施例中，计算模块1105，用于根据第二随机数，计算第二校对信息；接收模块1102，用于通过第二平台网关，接收源地址为第一平台云的第一校对信息；流程终止模块1103，用于在第一校对信息和第二校对信息不同的情况下，终止配网流程。

在一个可选的实施例中，第二随机数包含在UUID中。

图12示出了本申请一个示例性实施例提供的接入认证装置的结构框图，该装置可以实现成为第二平台网关，或者，实现成为第二平台网关中的一部分，第二平台是将蓝牙Mesh设备配置入网的平台，蓝牙Mesh设备由第一平台云保存蓝牙Mesh设备的认证信息，第二平台网关对应的云端服务器为第二平台云，该装置包括：接收模块1201和发送模块1202；

接收模块1201，用于通过第二平台云，接收源地址为第一平台云的配网器认证信息，配网器认证信息用于与蓝牙Mesh设备进行接入认证；

发送模块1202，用于向蓝牙Mesh设备转发配网器认证信息；

其中，配网器认证信息是第一平台云根据共享根密钥生成的，共享根密钥由第一平台云和蓝牙Mesh设备进行ECDH计算得到。

接收模块1201发送模块1202在一个可选的实施例中，发送模块1202，用于通过第二平台云，向第一平台发送配置信息；接收模块1201，用于接收源地址为蓝牙Mesh设备的设备公钥Device Public Key；发送模块1202，用于通过第二平台云，向第一平台云发送设备公钥；其中，配置信息和设备公钥用于供第一平台云生成确认输入值，配置信息包括：配置邀请协议数据单元值、配置能力协议数据单元值、配置开始协议数据单元值中的至少一种。

在一个可选的实施例中，接收模块1201，用于接收源地址为蓝牙Mesh设备的第一随机数；发送模块1202，用于通过第二平台云，向第一平台云发送第一随机数，第一随机数用于供第一平台云生成确认输入值。

在一个可选的实施例中，第一随机数包含在UUID中。

在一个可选的实施例中，接收模块1201，用于通过第二平台云，接收源地址为第一平台云的配置端公钥Provisoning Public Key；发送模块1202，用于向蓝牙Mesh设备转发配置端公钥。

在一个可选的实施例中，接收模块1201，用于通过第二平台云，接收源地址为第一平台云的设备密钥DevKey、会话密钥SessionKey和会话随机数SessionNonce。

在一个可选的实施例中，接收模块1201，用于接收源地址为蓝牙Mesh设备的第二随机数；发送模块1202，用于通过第二平台云的转发，向第一平台云发送第二随机数，第二随机数用于供第一平台云生成第一校对信息VerifyValue；接收模块1201，用于通过第二平台云，接收源地址为第一平台云的第一校对信息；发送模块1202，用于向蓝牙Mesh设备发送第一校对信息。

在一个可选的实施例中，第二随机数包含在UUID中。

图13示出了本申请一个示例性实施例提供的接入认证装置的结构框图，该装置可以实现成为第一平台云，或者，实现成为第一平台云中的一部分，第一平台云是保存有蓝牙Mesh设备的认证信息的云端服务器，该装置包括：生成模块1301和发送模块1302；

生成模块1301，用于响应于蓝牙Mesh设备开始进行配网流程，生成对应于本次配网流程的认证信息，认证信息与蓝牙Mesh设备处的认证信息相同；

发送模块1302，用于发送认证信息，认证信息的目的地址为第二平台网关，第二平台网关用于将蓝牙Mesh设备配置入网；

其中，认证信息用于供第二平台网关对蓝牙Mesh设备进行认证。

可选地，该装置还包括：接收模块1303。

在一个可选的实施例中，接收模块1303，用于接收源地址为蓝牙Mesh设备的第三随机数；发送模块1302，用于在第三随机数不在本地记录中的情况下，发送认证信息。

在一个可选的实施例中，第三随机数包含在UUID中。

图14示出了本申请一个示例性实施例提供的接入认证装置的结构框图，该装置可以实现成为第二平台网关，或者，实现成为第二平台网关中的一部分，第二平台网关用于将蓝牙无线网格网络Mesh设备配置入网，蓝牙Mesh设备由第一平台云保存蓝牙Mesh设备的认证信息，第二平台网关对应的云端服务器为第二平台云，装置包括：接收模块1401和生成模块1402；

接收模块1401，用于通过第二平台云，接收第一平台云发送的认证信息AuthValue；

生成模块1402，用于根据认证信息，生成配网器认证信息，配网器认证信息用于与蓝牙Mesh设备进行接入认证。

在一个可选的实施例中，装置还包括：发送模块1403；接收模块1401，用于接收源地址为蓝牙Mesh设备的第三随机数；发送模块1403，用于通过第二平台云，向第一平台云发送第三随机数；其中，第三随机数用于供第一平台云确定是否向第二平台网关发送认证信息。

在一个可选的实施例中，第三随机数包含在UUID中。

在一个可选的实施例中，装置还包括：发送模块1403；生成模块1402，用于生成认证结果；发送模块1403，用于向第二平台云发送认证结果。

图15示出了本申请一个示例性实施例提供的接入认证装置的结构框图，该装置可以实现成为蓝牙Mesh设备，或者，实现成为蓝牙Mesh设备中的一部分，蓝牙Mesh设备由第二平台网关配置入网，蓝牙Mesh设备由第一平台云保存蓝牙Mesh设备的认证信息，该装置包括：生成模块1501；

生成模块1501，用于响应于蓝牙Mesh设备开始进行配网流程，对应于本次配网流程的认证信息，认证信息与第一平台云处的认证信息相同。

请参考图16，其示出了本申请一个示例性实施例提供的服务器的结构框图。该服务器可用于实施上述实施例中提供的接入认证方法。具体来讲：

所述服务器1600包括中央处理单元(Central Processing Unit，CPU)1601、包括随机存取存储器(Random Access Memory，RAM)1602和只读存储器(Read-Only Memory，ROM)1603的系统存储器1604，以及连接系统存储器1604和中央处理单元1601的系统总线1605。所述服务器1600还包括帮助服务器内的各个器件之间传输信息的基本输入/输出系统(Input/Output系统，I/O系统)1606，和用于存储操作系统1613、应用程序1614和其他程序模块1615的大容量存储设备1607。

所述基本输入/输出系统1606包括有用于显示信息的显示器1608和用于用户输入信息的诸如鼠标、键盘之类的输入设备1609。其中所述显示器1608和输入设备1609都通过连接到系统总线1605的输入输出控制器1610连接到中央处理单元1601。所述基本输入/输出系统1606还可以包括输入输出控制器1610以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地，输入输出控制器1610还提供输出到显示屏、打印机或其他类型的输出设备。

所述大容量存储设备1607通过连接到系统总线1605的大容量存储控制器(未示出)连接到中央处理单元1601。所述大容量存储设备1607及其相关联的计算机可读存储介质为服务器1600提供非易失性存储。也就是说，所述大容量存储设备1607可以包括诸如硬盘或者只读光盘(Compact Disc Read-Only Memory，CD-ROM)驱动器之类的计算机可读存储介质(未示出)。

不失一般性，所述计算机可读存储介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读存储指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、可擦除可编程只读寄存器(Erasable Programmable Read Only Memory，EPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory，EEPROM)、闪存或其他固态存储其技术，CD-ROM、数字多功能光盘(Digital Versatile Disc，DVD)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然，本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的系统存储器1604和大容量存储设备1607可以统称为存储器。

存储器存储有一个或多个程序，一个或多个程序被配置成由一个或多个中央处理单元1601执行，一个或多个程序包含用于实现上述方法实施例的指令，中央处理单元1601执行该一个或多个程序实现上述各个方法实施例提供的方法。

根据本申请的各种实施例，所述服务器1600还可以通过诸如因特网等网络连接到网络上的远程服务器运行。也即服务器1600可以通过连接在所述系统总线1605上的网络接口单元1611连接到网络1612，或者说，也可以使用网络接口单元1611来连接到其他类型的网络或远程服务器系统(未示出)。

所述存储器还包括一个或者一个以上的程序，所述一个或者一个以上程序存储于存储器中，所述一个或者一个以上程序包含用于进行本申请实施例提供的方法中由第一平台云或第二平台云所执行的步骤。

在示例性实施例中，还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现上述各个方法实施例提供的由设备执行的接入认证方法。

在示例性实施例中，还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中，计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述方面所述的接入认证方法。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

一种接入认证方法，其特征在于，应用于第一平台云中，所述第一平台云是保存有蓝牙无线网格网络Mesh设备的认证信息的云端服务器，所述方法包括：

和所述蓝牙Mesh设备进行椭圆曲线算法ECDH计算，生成共享根密钥ECDHSecret，所述蓝牙Mesh设备由第二平台网关配置入网；

根据所述共享根密钥，生成配网器认证信息，所述配网器认证信息用于与所述蓝牙Mesh设备进行接入认证。
根据权利要求1所述的方法，其特征在于，所述配网器认证信息包括配置端确认值provisioner confirmation；

所述根据所述共享根密钥，生成配网器认证信息，包括：

根据所述共享根密钥，生成确认密钥ConfirmationKey；

生成配置端随机数provisioner random，所述配置端随机数与所述蓝牙Mesh设备的认证信息AuthValue形成第一明文；

使用所述确认密钥对所述第一明文进行加密，生成所述配置端确认值。
根据权利要求2所述的方法，其特征在于，所述根据所述共享根密钥，生成确认密钥ConfirmationKey，包括：

获取确认输入值ConfirmationInputs；

根据所述确认输入值，生成确认盐值ConfirmationSalt；

根据所述确认盐值、所述共享根密钥和字符串“prck”，生成所述确认密钥。
根据权利要求3所述的方法，其特征在于，所述获取确认输入值ConfirmationInputs，包括：

接收源地址为所述第二平台网关的配置信息；

接收源地址为所述蓝牙Mesh设备的设备公钥Device Public Key；

生成配置端公钥Provisoning Public Key；

根据所述配置信息、所述设备公钥和所述配置端公钥，生成所述确认输入值；

其中，所述配置信息包括：配置邀请协议数据单元值ProvisioningInvitePDUValue、配置能力协议数据单元值ProvisioningCapabilitiesPDUValue、配置开始协议数据单元值ProvisioningStartPDUValue中的至少一种。
根据权利要求4所述的方法，其特征在于，根据所述配置信息、所述设备公钥和所述配置端公钥，生成所述确认输入值，包括：

接收源地址为所述蓝牙Mesh设备的第一随机数；

根据所述第一随机数、所述配置信息、所述设备公钥和所述配置端公钥，生成所述确认输入值。
根据权利要求5所述的方法，其特征在于，

所述第一随机数包含在通用唯一标识符UUID中。
根据权利要求4所述的方法，其特征在于，所述方法还包括：

发送所述配置端公钥，所述配置端公钥的目的地址为所述蓝牙Mesh设备。
根据权利要求1至7任一所述的方法，其特征在于，所述方法还包括：

发送设备密钥DevKey、会话密钥SessionKey和会话随机数SessionNonce，所述设备密钥、所述会话密钥和所述会话随机数的目的地址为所述第二平台网关。
根据权利要求1至7任一所述的方法，其特征在于，所述方法还包括：

接收源地址为所述蓝牙Mesh设备的第二随机数；

使用所述蓝牙Mesh设备的认证信息对所述第二随机数进行加密，生成第一校对信息VerifyValue；

发送所述第一校对信息，所述第一校对信息的目的地址为所述蓝牙Mesh设备；

其中，所述第一校对信息用于供所述蓝牙Mesh设备判断是否终止配网流程。
根据权利要求9所述的方法，其特征在于，

所述第二随机数包含在UUID中。
一种接入认证方法，其特征在于，应用于蓝牙无线网格网络Mesh设备中，所述方法包括：

和第一平台云进行椭圆曲线算法ECDH计算，生成共享根密钥ECDHSecret；

其中，所述第一平台云是保存有所述蓝牙Mesh设备的认证信息的云端服务器，所述蓝牙Mesh设备由第二平台网关配置入网，所述共享根密钥用于生成设备确认值deviceconfirmation，所述设备确认值用于与所述第一平台云进行接入认证。
根据权利要求11所述的方法，其特征在于，所述方法还包括：

通过所述第二平台网关，接收源地址为所述第一平台云的配置端公钥Provisoning Public Key；

在所述配置端公钥保存在本地记录中的情况下，终止配网流程；

在所述配置端公钥不在本地记录中的情况下，反馈设备公钥Device Public Key。
根据权利要求11所述的方法，其特征在于，所述方法还包括：

发送第一随机数，所述第一随机数的目的地址为所述第一平台云；

其中，所述第一随机数用于供所述第一平台云生成确认输入值ConfirmationInputs。
根据权利要求13所述的方法，其特征在于，

所述第一随机数包含在通用唯一标识符UUID中。
根据权利要求11所述的方法，其特征在于，所述方法还包括：

发送第二随机数，所述第二随机数的目的地址为所述第一平台云；

其中，所述第二随机数用于供所述第一平台云生成第一校对信息VerifyValue。
根据权利要求15所述的方法，其特征在于，所述方法还包括：

根据所述第二随机数，计算第二校对信息；

通过所述第二平台网关，接收源地址为所述第一平台云的所述第一校对信息；

在所述第一校对信息和所述第二校对信息不同的情况下，终止配网流程。
根据权利要求15所述的方法，其特征在于，

所述第二随机数包含在UUID中。
一种接入认证方法，其特征在于，应用于第二平台网关中，所述第二平台网关用于将蓝牙无线网格网络Mesh设备配置入网，所述蓝牙Mesh设备由第一平台云保存所述蓝牙Mesh设备的认证信息，所述第二平台网关对应的云端服务器为第二平台云，所述方法包括：

通过所述第二平台云，接收源地址为所述第一平台云的配网器认证信息，所述配网器认证信息用于与所述蓝牙Mesh设备进行接入认证；

向所述蓝牙Mesh设备转发所述配网器认证信息；

其中，所述配网器认证信息是所述第一平台云根据共享根密钥ECDHSecret生成的，所述共享根密钥由所述第一平台云和所述蓝牙Mesh设备进行椭圆曲线算法ECDH计算得到。
根据权利要求18所述的方法，其特征在于，所述方法还包括：

通过所述第二平台云，向所述第一平台云发送配置信息；

接收源地址为所述蓝牙Mesh设备的设备公钥Device Public Key；

通过所述第二平台云，向所述第一平台云发送所述设备公钥；

其中，所述配置信息和所述设备公钥用于供所述第一平台云生成确认输入值ConfirmationInputs，所述配置信息包括：配置邀请协议数据单元值ProvisioningInvitePDUValue、配置能力协议数据单元值ProvisioningCapabilitiesPDUValue、配置开始协议数据单元值ProvisioningStartPDUValue中的至少一种。
根据权利要求19所述的方法，其特征在于，所述方法还包括：

接收源地址为所述蓝牙Mesh设备的第一随机数；

通过所述第二平台云，向所述第一平台云发送所述第一随机数，所述第一随机数用于供所述第一平台云生成所述确认输入值。
根据权利要求20所述的方法，其特征在于，

所述第一随机数包含在通用唯一标识符UUID中。
根据权利要求18所述的方法，其特征在于，所述方法还包括：

通过所述第二平台云，接收源地址为所述第一平台云的配置端公钥Provisoning Public Key；

向所述蓝牙Mesh设备转发所述配置端公钥。
根据权利要求18至22任一所述的方法，其特征在于，所述方法还包括：

通过所述第二平台云，接收源地址为所述第一平台云的设备密钥DevKey、会话密钥SessionKey和会话随机数SessionNonce。
根据权利要求18至22任一所述的方法，其特征在于，所述方法还包括：

接收源地址为所述蓝牙Mesh设备的第二随机数；

通过所述第二平台云，向所述第一平台云发送所述第二随机数，所述第二随机数用于供所述第一平台云生成第一校对信息VerifyValue；

通过所述第二平台云，接收源地址为所述第一平台云的所述第一校对信息；

向所述蓝牙Mesh设备发送所述第一校对信息。
根据权利要求24所述的方法，其特征在于，

所述第二随机数包含在UUID中。
一种接入认证方法，其特征在于，应用于第一平台云中，所述第一平台云是保存有蓝牙无线网格网络Mesh设备的认证信息的云端服务器，所述方法包括：

响应于所述蓝牙Mesh设备开始进行配网流程，生成对应于本次配网流程的认证信息AuthValue，所述认证信息与所述蓝牙Mesh设备处的认证信息相同；

发送所述认证信息，所述认证信息的目的地址为第二平台网关，所述第二平台网关用于将所述蓝牙Mesh设备配置入网；

其中，所述认证信息用于供所述第二平台网关对所述蓝牙Mesh设备进行认证。
根据权利要求26所述的方法，其特征在于，所述方法还包括：

接收源地址为所述蓝牙Mesh设备的第三随机数；

所述发送所述认证信息，包括：

在所述第三随机数不在本地记录中的情况下，发送所述认证信息。
根据权利要求27所述的方法，其特征在于，

所述第三随机数包含在通用唯一标识符UUID中。
一种接入认证方法，其特征在于，应用于第二平台网关中，所述第二平台网关用于将蓝牙无线网格网络Mesh设备配置入网，所述蓝牙Mesh设备由第一平台云保存所述蓝牙Mesh设备的认证信息，所述第二平台网关对应的云端服务器为第二平台云，所述方法包括：

通过所述第二平台云，接收所述第一平台云发送的认证信息AuthValue；

根据所述认证信息，生成配网器认证信息，所述配网器认证信息用于与所述蓝牙Mesh设备进行接入认证。
根据权利要求29所述的方法，其特征在于，所述方法还包括：

接收源地址为所述蓝牙Mesh设备的第三随机数；

通过所述第二平台云，向所述第一平台云发送所述第三随机数；

其中，所述第三随机数用于供所述第一平台云确定是否向所述第二平台网关发送所述认证信息。
根据权利要求30所述的方法，其特征在于，

所述第三随机数包含在通用唯一标识符UUID中。
根据权利要求29所述的方法，其特征在于，所述方法还包括：

生成认证结果；

向所述第二平台云发送所述认证结果。
一种接入认证方法，其特征在于，应用于蓝牙无线网格网络Mesh设备中，所述蓝牙Mesh设备由第二平台网关配置入网，所述蓝牙Mesh设备由第一平台云保存所述蓝牙Mesh设备的认证信息，所述方法包括：

响应于所述蓝牙Mesh设备开始进行配网流程，生成对应于本次配网流程的认证信息AuthValue，所述认证信息与所述第一平台云处的认证信息相同。
一种接入认证装置，其特征在于，应用于第一平台云中，所述第一平台云是保存有蓝牙无线网格网络Mesh设备的认证信息的云端服务器，所述装置包括：生成模块；

所述生成模块，用于和所述蓝牙Mesh设备进行椭圆曲线算法ECDH计算，生成共享根密钥ECDHSecret，所述蓝牙Mesh设备由第二平台网关配置入网；

所述生成模块，用于根据所述共享根密钥，生成配网器认证信息，所述配网器认证信息用于与所述蓝牙Mesh设备进行接入认证。
根据权利要求34所述的装置，其特征在于，所述配网器认证信息包括配置端确认值provisioner confirmation；

所述生成模块，用于根据所述共享根密钥，生成确认密钥ConfirmationKey；

所述生成模块，用于生成配置端随机数provisioner random，所述配置端随机数与所述蓝牙Mesh设备的认证信息AuthValue形成第一明文；

所述生成模块，用于使用所述确认密钥对所述第一明文进行加密，生成所述配置端确认值。
根据权利要求35所述的装置，其特征在于，

所述生成模块，用于获取确认输入值ConfirmationInputs；

所述生成模块，用于根据所述确认输入值，生成确认盐值ConfirmationSalt；

所述生成模块，用于根据所述确认盐值、所述共享根密钥和字符串“prck”，生成所述确认密钥。
根据权利要求36所述的装置，其特征在于，所述装置还包括：接收模块；

所述接收模块，用于接收源地址为所述第二平台网关的配置信息；

所述接收模块，用于接收源地址为所述蓝牙Mesh设备的设备公钥Device Public Key；

所述生成模块，用于生成配置端公钥Provisoning Public Key；

根据所述配置信息、所述设备公钥和所述配置端公钥，生成所述确认输入值；

其中，所述配置信息包括：配置邀请协议数据单元值ProvisioningInvitePDUValue、配置能力协议数据单元值ProvisioningCapabilitiesPDUValue、配置开始协议数据单元值ProvisioningStartPDUValue中的至少一种。
根据权利要求37所述的装置，其特征在于，

所述接收模块，用于接收源地址为所述蓝牙Mesh设备的第一随机数；

所述生成模块，用于根据所述第一随机数、所述配置信息、所述设备公钥和所述配置端公钥，生成所述确认输入值。
根据权利要求38所述的装置，其特征在于，

所述第一随机数包含在通用唯一标识符UUID中。
根据权利要求39所述的装置，其特征在于，所述装置还包括：发送模块；

所述发送模块，用于发送所述配置端公钥，所述配置端公钥的目的地址为所述蓝牙Mesh设备。
根据权利要求34至40任一所述的装置，其特征在于，所述装置还包括：发送模块；

所述发送模块，用于发送设备密钥DevKey、会话密钥SessionKey和会话随机数SessionNonce，所述设备密钥、所述会话密钥和所述会话随机数的目的地址为所述第二平台网关。
根据权利要求34至40任一所述的装置，其特征在于，所述装置还包括：接收模块和发送模块；

所述接收模块，用于接收源地址为所述蓝牙Mesh设备的第二随机数；

所述生成模块，用于使用所述蓝牙Mesh设备的认证信息对所述第二随机数进行加密，生成第一校对信息VerifyValue；

所述发送模块，用于发送所述第一校对信息，所述第一校对信息的目的地址为所述蓝牙Mesh设备；

其中，所述第一校对信息用于供所述蓝牙Mesh设备判断是否终止配网流程。
根据权利要求42所述的装置，其特征在于，

所述第二随机数包含在UUID中。
一种接入认证装置，其特征在于，应用于蓝牙无线网格网络Mesh设备中，所述装置包括：生成模块；

所述生成模块，用于和第一平台云进行椭圆曲线算法ECDH计算，生成共享根密钥ECDHSecret；

其中，所述第一平台云是保存有所述蓝牙Mesh设备的认证信息的云端服务器，所述蓝牙Mesh设备由第二平台网关配置入网，所述共享根密钥用于生成设备确认值deviceconfirmation，所述设备确认值用于与所述第一平台云进行接入认证。
根据权利要求44所述的装置，其特征在于，所述装置还包括：接收模块、流程终止模块和发送模块；

所述接收模块，用于通过所述第二平台网关，接收源地址为所述第一平台云的配置端公钥Provisoning Public Key；

所述流程终止模块，用于在所述配置端公钥保存在本地记录中的情况下，终止配网流程；

所述发送模块，用于在所述配置端公钥不在本地记录中的情况下，反馈设备公钥Device Public Key。
根据权利要求44所述的装置，其特征在于，所述装置还包括：发送模块；

所述发送模块，用于发送第一随机数，所述第一随机数的目的地址为所述第一平台云；

其中，所述第一随机数用于供所述第一平台云生成确认输入值ConfirmationInputs。
根据权利要求46所述的装置，其特征在于，

所述第一随机数包含在通用唯一标识符UUID中。
根据权利要求44所述的装置，其特征在于，所述装置还包括：发送模块；

所述发送模块，用于发送第二随机数，所述第二随机数的目的地址为所述第一平台云；

其中，所述第二随机数用于供所述第一平台云生成第一校对信息VerifyValue。
根据权利要求48所述的装置，其特征在于，所述装置还包括：计算模块、接收模块和流程终止模块；

所述计算模块，用于根据所述第二随机数，计算第二校对信息；

所述接收模块，用于通过所述第二平台网关，接收源地址为所述第一平台云的所述第一校对信息；

所述流程终止模块，用于在所述第一校对信息和所述第二校对信息不同的情况下，终止配网流程。
根据权利要求48所述的装置，其特征在于，

所述第二随机数包含在UUID中。
一种接入认证装置，其特征在于，应用于第二平台网关中，所述第二平台网关用于将蓝牙无线网格网络Mesh设备配置入网，所述蓝牙Mesh设备由第一平台云保存所述蓝牙Mesh设备的认证信息，所述第二平台网关对应的云端服务器为第二平台云，所述装置包括：接收模块和发送模块；

所述接收模块，用于通过所述第二平台云，接收源地址为所述第一平台云的配网器认证信息，所述配网器认证信息用于与所述蓝牙Mesh设备进行接入认证；

所述发送模块，用于向所述蓝牙Mesh设备转发所述配网器认证信息；

其中，所述配网器认证信息是所述第一平台云根据共享根密钥ECDHSecret生成的，所述共享根密钥由所述第一平台云和所述蓝牙Mesh设备进行椭圆曲线算法ECDH计算得到。
根据权利要求51所述的装置，其特征在于，

所述发送模块，用于通过所述第二平台云，向所述第一平台云发送配置信息；

所述接收模块，用于接收源地址为所述蓝牙Mesh设备的设备公钥Device Public Key；

所述发送模块，用于通过所述第二平台云，向所述第一平台云发送所述设备公钥；

其中，所述配置信息和所述设备公钥用于供所述第一平台云生成确认输入值ConfirmationInputs，所述配置信息包括：配置邀请协议数据单元值ProvisioningInvitePDUValue、配置能力协议数据单元值ProvisioningCapabilitiesPDUValue、配置开始协议数据单元值ProvisioningStartPDUValue中的至少一种。
根据权利要求52所述的装置，其特征在于，

所述接收模块，用于接收源地址为所述蓝牙Mesh设备的第一随机数；

所述发送模块，用于通过所述第二平台云，向所述第一平台云发送所述第一随机数，所述第一随机数用于供所述第一平台云生成所述确认输入值。
根据权利要求53所述的装置，其特征在于，

所述第一随机数包含在通用唯一标识符UUID中。
根据权利要求51所述的装置，其特征在于，

所述接收模块，用于通过所述第二平台云的转发，接收源地址为所述第一平台云的配置端公钥Provisoning Public Key；

所述发送模块，用于向所述蓝牙Mesh设备转发所述配置端公钥。
根据权利要求51至55任一所述的装置，其特征在于，

所述接收模块，用于通过所述第二平台云，接收源地址为所述第一平台云的设备密钥DevKey、会话密钥SessionKey和会话随机数SessionNonce。
根据权利要求51至55任一所述的装置，其特征在于，

所述接收模块，用于接收源地址为所述蓝牙Mesh设备的第二随机数；

所述发送模块，用于通过所述第二平台云，向所述第一平台云发送所述第二随机数，所述第二随机数用于供所述第一平台云生成第一校对信息VerifyValue；

所述接收模块，用于通过所述第二平台云，接收源地址为所述第一平台云的所述第一校对信息；

所述发送模块，用于向所述蓝牙Mesh设备发送所述第一校对信息。
根据权利要求57所述的装置，其特征在于，

所述第二随机数包含在UUID中。
一种接入认证装置，其特征在于，应用于第一平台云中，所述第一平台云是保存有蓝牙无线网格网络Mesh设备的认证信息的云端服务器，所述装置包括：生成模块和发送模块；

所述生成模块，用于响应于所述蓝牙Mesh设备开始进行配网流程，生成对应于本次配网流程的认证信息AuthValue，所述认证信息与所述蓝牙Mesh设备处的认证信息相同；

所述发送模块，用于发送所述认证信息，所述认证信息的目的地址为第二平台网关，所述第二平台网关用于将所述蓝牙Mesh设备配置入网；

其中，所述认证信息用于供所述第二平台网关对所述蓝牙Mesh设备进行认证。
根据权利要求59所述的装置，其特征在于，所述装置还包括：接收模块；

所述接收模块，用于接收源地址为所述蓝牙Mesh设备的第三随机数；

所述发送模块，用于在所述第三随机数不在本地记录中的情况下，发送所述认证信息。
根据权利要求60所述的装置，其特征在于，

所述第三随机数包含在通用唯一标识符UUID中。
一种接入认证装置，其特征在于，应用于第二平台网关中，所述第二平台网关用于将蓝牙无线网格网络Mesh设备配置入网，所述蓝牙Mesh设备由第一平台云保存所述蓝牙Mesh设备的认证信息，所述第二平台网关对应的云端服务器为第二平台云，所述装置包括：接收模块和生成模块；

所述接收模块，用于通过所述第二平台云，接收所述第一平台云发送的认证信息AuthValue；

所述生成模块，用于根据所述认证信息，生成配网器认证信息，所述配网器认证信息用于与所述蓝牙Mesh设备进行接入认证。
根据权利要求62所述的装置，其特征在于，所述装置还包括：发送模块；

所述接收模块，用于接收源地址为所述蓝牙Mesh设备的第三随机数；

所述发送模块，用于通过所述第二平台云，向所述第一平台云发送所述第三随机数；

其中，所述第三随机数用于供所述第一平台云确定是否向所述第二平台网关发送所述认证信息。
根据权利要求63所述的装置，其特征在于，

所述第三随机数包含在通用唯一标识符UUID中。
根据权利要求62所述的装置，其特征在于，所述装置还包括：发送模块；

所述生成模块，用于生成认证结果；

所述发送模块，用于向所述第二平台云发送所述认证结果。
一种接入认证装置，其特征在于，应用于蓝牙无线网格网络Mesh设备中，所述蓝牙Mesh设备由第二平台网关配置入网，所述蓝牙Mesh设备由第一平台云保存所述蓝牙Mesh设备的认证信息，所述装置包括：生成模块；

所述生成模块，用于响应于所述蓝牙Mesh设备开始进行配网流程，生成对应于本次配网流程的认证信息AuthValue，所述认证信息与所述第一平台云处的认证信息相同。
一种第一平台云，其特征在于，所述第一平台云包括：

处理器；

与所述处理器相连的收发器；

用于存储所述处理器的可执行指令的存储器；

其中，所述处理器被配置为加载并执行所述可执行指令以实现如权利要求1至10，或如权利要求26至28任一所述的接入认证方法。
一种第二平台网关，其特征在于，所述第二平台网关包括：

处理器；

与所述处理器相连的收发器；

用于存储所述处理器的可执行指令的存储器；

其中，所述处理器被配置为加载并执行所述可执行指令以实现如权利要求18至25，或如权利要求29至32任一所述的接入认证方法。
一种蓝牙无线网格网络Mesh设备，其特征在于，所述蓝牙Mesh设备包括：

处理器；

与所述处理器相连的收发器；

用于存储所述处理器的可执行指令的存储器；

其中，所述处理器被配置为加载并执行所述可执行指令以实现如权利要求11至17，或如权利要求33任一所述的接入认证方法。
一种计算机可读存储介质，其特征在于，所述可读存储介质中存储有可执行指令，所述可执行指令由处理器加载并执行以实现如权利要求1至33任一所述的接入认证方法。