设备认证方法、物联网设备、认证平台以及可读存储介质与流程

1.本技术涉及信息安全技术领域，特别是涉及一种设备认证方法、物联网设备、认证平台以及计算机可读存储介质。


背景技术：

2.随着信息化的发展，各种智能设备广泛应用于人们的生活的方方面面。对各种设施管理，促进了物联网技术的发展。物联网技术集成了网络技术、嵌入式技术、微机电系统及传感器技术的无线传感其网络将internet从虚拟世界延伸到物理世界，从而将逻辑上的信息世界与真实物理世界融合在一起。物联网在为用户带来便捷的同时，物联网的安全问题将成为物联网产业的尖锐问题。
3.在物联网应用中，经常会出现物联网设备被黑客模仿的问题。因此，会造成物联网设备的数据被篡改或者遭到黑客植入病毒程序。在物联网设备接入平台时，如果使用设备唯一标识自行签发证书，那么设备唯一标识在证书或者交互中明文展示容易被窃取和仿冒，存在极大安全风险。


技术实现要素：

4.本技术提供了一种设备认证方法、物联网设备、认证平台以及计算机可读存储介质。
5.本技术提供了一种设备认证方法，所述设备认证方法应用于物联网设备，所述设备认证方法包括：从密钥管理服务器获取密钥编号及其对应的加密因子；利用预设算法库对所述加密因子以及随机码进行运算，生成认证码；将所述认证码、所述随机码以及所述密钥编号发送至认证平台，以在所述认证平台接入所述物联网设备。
6.其中，所述从密钥管理服务器获取密钥编号及其对应的加密因子之后，所述设备认证方法还包括：利用所述预设算法库将所述加密因子通过硬编码的方式写入设备程序。
7.其中，所述利用预设算法库对所述加密因子以及随机码进行运算，生成认证码，包括：调用指纹接口，利用所述预设算法库运算所述加密因子，生成指纹密钥；利用所述指纹密钥和所述随机码进行运算，生成所述认证码。
8.其中，所述利用所述指纹密钥和所述随机码进行运算，生成所述认证码，包括：利用预设摘要算法对所述指纹密钥和所述随机码进行运算，生成所述认证码。
9.本技术还提供了另一种设备认证方法，所述设备认证方法应用于一种认证平台，所述设备认证方法包括：所述认证平台基于物联网设备的接入申请，获取所述物联网设备的密钥编号以及
随机码、第一认证码；所述认证平台基于所述密钥编号从所述密钥管理服务器获取加密因子；所述认证平台利用预设算法库对所述加密因子以及所述随机码进行运算，生成第二认证码；在所述第一认证码和所述第二认证码一致的情况下，所述认证平台通过所述物联网设备的接入认证。
10.本技术还提供了另一种设备认证方法，所述设备认证方法应用于一种设备认证系统，其中，所述设备认证系统包括密钥管理服务器、认证平台以及物联网设备；所述设备认证方法包括：所述物联网设备向所述密钥管理服务器发送申请密钥指令；所述密钥管理服务器基于所述申请密钥指令向所述物联网设备发送密钥编号及其对应的加密因子；所述物联网设备利用预设算法库对所述加密因子以及随机码进行运算，生成第一认证码；所述物联网设备将所述第一认证码、所述随机码以及所述密钥编号发送至认证平台；所述认证平台基于所述第一认证码、所述随机码以及所述密钥编号对所述物联网设备进行接入认证。
11.所述认证平台基于所述第一认证码、所述随机码以及所述密钥编号对所述物联网设备进行接入认证，包括：所述认证平台基于所述密钥编号从所述密钥管理服务器获取所述加密因子；所述认证平台利用预设算法库对所述加密因子和所述随机码进行运算，生成第二认证码；在所述第一认证码和所述第二认证码一致的情况下，所述认证平台通过所述物联网设备的接入认证。
12.所述物联网设备利用预设算法库对所述加密因子以及随机码进行运算，生成第一认证码，包括：所述物联网设备利用预设摘要算法在所述预设算法库对所述加密因子以及随机码进行运算，生成所述认证码；其中，所述预设算法库为esdk算法库，所述预设摘要算法为hmac摘要算法。
13.本技术还提供了一种物联网设备，所述物联网设备包括处理器和存储器，所述存储器中存储有程序数据，所述处理器用于执行所述程序数据以实现如上述的设备认证方法。
14.本技术还提供了一种认证平台，所述认证平台包括处理器和存储器，所述存储器中存储有程序数据，所述处理器用于执行所述程序数据以实现如上述的设备认证方法。
15.本技术还提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储程序数据，所述程序数据在被处理器执行时，用以实现上述的设备认证方法。
16.本技术的有益效果是：物联网设备从密钥管理服务器获取密钥编号及其对应的加密因子；利用预设算法库对所述加密因子以及随机码进行运算，生成认证码；将所述认证
码、所述随机码以及所述密钥编号发送至认证平台，以在所述认证平台接入所述物联网设备。通过上述方式，物联网设备通过随机码认证，不存在泄露设备标识、被恶意篡改冒充的风险，提高设备认证的准确性。
附图说明
17.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。其中：图1是本技术提供的设备认证方法一实施例的流程示意图；图2是本技术提供的设备部署和交互示意图；图3是本技术提供的设备认证方法另一实施例的流程示意图；图4是本技术提供的设备认证的流程示意图；图5是本技术提供的设备认证方法又一实施例的流程示意图；图6是本技术提供的物联网设备一实施例的结构示意图；图7是本技术提供的物联网设备另一实施例的结构示意图；图8是本技术提供的认证平台一实施例的结构示意图；图9是本技术提供的计算机可读存储介质一实施例的结构示意图。
具体实施方式
18.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本技术的一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
19.针对现有设备认证方案均采用非对称算法，性能较差的物联网设备无论是算法集成还是执行非对称计算压力都较大，影响设备集成和接入效率，本技术提供一种设备认证方法，通过摈弃非对称算法与证书方案，简化密钥部署流程，认证算法与流程都实现轻量化。
20.考虑到证书认证方案的复杂性，本技术的认证方案无需预埋或者自签生成设备的证书私钥。采用双方使用加密因子衍生得出共同指纹密钥，并使用该密钥对认证信息进行指纹计算。
21.具体请参阅图1和图2，图1是本技术提供的设备认证方法一实施例的流程示意图，图2是本技术提供的设备部署和交互示意图。
22.其中，本技术的设备认证方法应用于一种物联网设备，其中，按照网络连接方式的不同，可以分为有线物联网设备和无线物联网设备。线物联网设备通常指通过网线、以太网连接网络的设备，常见于工业商业领域，如网关、交换价、工业机器人、监控摄像头等等。无线物联网设备则是指通过4g、wifi、蓝牙等连接网络的设备，生活、工业、商业领域等都有应用，如工业网关、智能音箱、智能家居。
23.如图2所示，物联网设备为设备认证系统中的一环，设备认证系统还包括密钥管理
服务器（kms，key management service）以及认证平台。本技术提供的设备认证方法则是实现物联网设备在认证平台的合法接入。
24.具体而言，如图1所示，本技术实施例的设备认证方法具体包括以下步骤：步骤s11：从密钥管理服务器获取密钥编号及其对应的加密因子。
25.在本技术实施例中，设备厂商在公司内部架设密钥管理服务器kms，用于管理加密因子，并且对外提供查询功能，限制权限，只允许物联网设备接入的认证平台进行查询。
26.开发算法库esdk（ecosystem software development kit），提供编译时硬编码加密因子功能，提供支持计算指纹功能，提供加密随机因子功能。供平台、kms与设备集成，即本技术提供的设备认证系统中的密钥管理服务器、认证平台以及物联网设备均集成有开发算法库esdk。
27.在出厂时，工作人员以项目批次或者设备批次为维度申请加密因子，该加密因子由kms随机生成32字节随机数并使用算法库esdk对该加密因子进行加密，并与一个密钥编号key-sn进行绑定。
28.物联网设备的设备程序在集成编译阶段，在编译到算法库esdk时，向kms服务器申请获取本项目或者本批次的密钥编号key-sn对应的加密因子，算法库esdk将因子解密解析并将因子硬编码到设备程序。这样esdk就自带了该项目或者批次的key-sn对应的加密因子信息。设备程序集成该esdk，并在配置文件中记录该key-sn号。
29.步骤s12：利用预设算法库对加密因子以及随机码进行运算，生成认证码。
30.在本技术实施例中，在物联网设备在现场需要接入认证平台时，物联网设备随机生成32字节认证请求码，即随机码r1，并使用esdk将随机码r1以及加密因子传入指纹接口。在指纹接口内，esdk用内部的加密因子进行kdf（key diversification，密钥派生函数）衍生密钥key做指纹密钥，按照预设摘要算法，如hmac摘要算法利用指纹密钥对随机码r1进行计算，得到指纹信息d1即认证码。其具体计算方式如下：d1=hmac-sha256（key，r1）物联网设备将认证码d1，随机数r1，以及从配置文件读取的key-sn号在接入请求中发送至认证平台。
31.步骤s13：将认证码、随机码以及密钥编号发送至认证平台，以在认证平台接入物联网设备。
32.在本技术实施例中，认证平台根据物联网设备的认证码、随机码以及密钥编号发送至认证平台，以在认证通过后在认证平台接入物联网设备。
33.在本技术实施例中，物联网设备从密钥管理服务器获取密钥编号及其对应的加密因子；利用预设算法库对所述加密因子以及随机码进行运算，生成认证码；将所述认证码、所述随机码以及所述密钥编号发送至认证平台，以在所述认证平台接入所述物联网设备。通过上述方式，物联网设备通过设备程序硬编码因子与随机码认证，不存在泄露设备标识、被恶意篡改冒充的风险，提高设备认证的准确性。而且，本技术的设备认证方案不用给每个物联网设备签发和预埋证书和私钥，简化部署流程；采用hmac摘要算法，相较非对称算法，占用空间更小，计算效率更高、更轻量化。
34.请继续参阅图3和图4，图3是本技术提供的设备认证方法另一实施例的流程示意图，图4是本技术提供的设备认证的流程示意图。
35.本技术的设备认证方法应用于如图2所示的设备认证系统中的认证平台，具体而言，如图3所示，本技术实施例的设备认证方法具体包括以下步骤：步骤s21：认证平台基于物联网设备的接入申请，获取物联网设备的密钥编号以及随机码、第一认证码。
36.在本技术实施例中，物联网设备侧的设备认证流程如图1所示的设备认证方法所示，在此不再赘述。
37.步骤s22：认证平台基于密钥编号从密钥管理服务器获取加密因子。
38.在本技术实施例中，如图4所示，认证平台根据物联网设备上报的key-sn向kms请求对应获取加密因子。
39.步骤s23：认证平台利用预设算法库对加密因子以及随机码进行运算，生成第二认证码。
40.在本技术实施例中，认证平台使用算法库esdk传入本次物联网设备发来的随机请求码r1以及加密因子，计算得到认证码d2。
41.步骤s24：在第一认证码和第二认证码一致的情况下，认证平台通过物联网设备的接入认证。
42.在本技术实施例中，认证平台比较认证码d1和认证码d2，若一致，则认证平台通过对物联网设备的认证；若不一致，则认证失败。
43.请继续参阅图5，图5是本技术提供的设备认证方法又一实施例的流程示意图。
44.本技术的设备认证方法应用于如图2所示的设备认证系统中的认证系统，具体而言，如图5所示，本技术实施例的设备认证方法具体包括以下步骤：步骤s31：物联网设备向密钥管理服务器发送申请密钥指令。
45.步骤s32：密钥管理服务器基于申请密钥指令向物联网设备发送密钥编号及其对应的加密因子。
46.步骤s33：物联网设备利用预设算法库对加密因子以及随机码进行运算，生成第一认证码。
47.步骤s34：物联网设备将第一认证码、随机码以及密钥编号发送至认证平台。
48.步骤s35：认证平台基于第一认证码、随机码以及密钥编号对物联网设备进行接入认证。
49.在本技术实施例中，认证平台计算认证码的方式同样可以采用图1所示物联网设备计算认证码的方式，具体过程，在此不再赘述。
50.本领域技术人员可以理解，在具体实施方式的上述方法中，各步骤的撰写顺序并不意味着严格的执行顺序而对实施过程构成任何限定，各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
51.为实现上述实施例的设备认证方法，本技术还提出了一种物联网设备，具体请参阅图6，图6是本技术提供的物联网设备一实施例的结构示意图。
52.本技术实施例的物联网设备200包括：获取模块21、运算模块22以及认证模块23。
53.其中，获取模块21，用于从密钥管理服务器获取密钥编号及其对应的加密因子。
54.运算模块22，用于利用预设算法库对所述加密因子以及随机码进行运算，生成认证码。
55.认证模块23，用于将所述认证码、所述随机码以及所述密钥编号发送至认证平台，以在所述认证平台接入所述物联网设备。
56.为实现上述实施例的设备认证方法，本技术还提出了另一种物联网设备，具体请参阅图7，图7是本技术提供的物联网设备另一实施例的结构示意图。
57.本技术实施例的物联网设备300包括存储器31和处理器32，其中，存储器31和处理器32耦接。
58.存储器31用于存储程序数据，处理器32用于执行程序数据以实现上述实施例所述的设备认证方法。
59.在本实施例中，处理器32还可以称为cpu（central processing unit，中央处理单元）。处理器32可能是一种集成电路芯片，具有信号的处理能力。处理器32还可以是通用处理器、数字信号处理器（dsp，digital signal process）、专用集成电路（asic，application specific integrated circuit）、现场可编程门阵列（fpga，field programmable gate array）或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器32也可以是任何常规的处理器等。
60.为实现上述实施例的设备认证方法，本技术还提出了一种认证平台，具体请参阅图8，图8是本技术提供的认证平台一实施例的结构示意图。
61.本技术实施例的认证平台400包括存储器41和处理器42，其中，存储器41和处理器42耦接。
62.存储器41用于存储程序数据，处理器42用于执行程序数据以实现上述实施例所述的设备认证方法。
63.在本实施例中，处理器42还可以称为cpu（central processing unit，中央处理单元）。处理器42可能是一种集成电路芯片，具有信号的处理能力。处理器42还可以是通用处理器、数字信号处理器（dsp，digital signal process）、专用集成电路（asic，application specific integrated circuit）、现场可编程门阵列（fpga，field programmable gate array）或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器42也可以是任何常规的处理器等。
64.为实现上述实施例的设备认证方法，本技术还提供了一种计算机可读存储介质，如图9所示，计算机可读存储介质500用于存储程序数据51，程序数据51在被处理器执行时，用以实现如上述实施例所述的设备认证方法。
65.本技术还提供一种计算机程序产品，其中，上述计算机程序产品包括计算机程序，上述计算机程序可操作来使计算机执行如本技术实施例所述的设备认证方法。该计算机程序产品可以为一个软件安装包。
66.本技术上述实施例所述的设备认证方法，在实现时以软件功能单元的形式存在并作为独立的产品销售或使用时，可以存储在装置中，例如一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）或处理器（processor）执行本发明各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（rom，read-only memory）、随机存取存储器（ram，
random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。
67.以上所述仅为本技术的实施方式，并非因此限制本技术的专利范围，凡是利用本技术说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本技术的专利保护范围内。

技术特征：
1.一种设备认证方法，其特征在于，所述设备认证方法应用于物联网设备，所述设备认证方法包括：从密钥管理服务器获取密钥编号及其对应的加密因子；利用预设算法库对所述加密因子以及随机码进行运算，生成认证码；将所述认证码、所述随机码以及所述密钥编号发送至认证平台，以在所述认证平台接入所述物联网设备。2.根据权利要求1所述的设备认证方法，其特征在于，所述从密钥管理服务器获取密钥编号及其对应的加密因子之后，所述设备认证方法还包括：利用所述预设算法库将所述加密因子通过硬编码的方式写入设备程序。3.根据权利要求1所述的设备认证方法，其特征在于，所述利用预设算法库对所述加密因子以及随机码进行运算，生成认证码，包括：调用指纹接口，利用所述预设算法库运算所述加密因子，生成指纹密钥；利用所述指纹密钥和所述随机码进行运算，生成所述认证码。4.根据权利要求3所述的设备认证方法，其特征在于，所述利用所述指纹密钥和所述随机码进行运算，生成所述认证码，包括：利用预设摘要算法对所述指纹密钥和所述随机码进行运算，生成所述认证码。5.一种设备认证方法，其特征在于，所述设备认证方法应用于一种认证平台，所述设备认证方法包括：所述认证平台基于物联网设备的接入申请，获取所述物联网设备的密钥编号以及随机码、第一认证码；所述认证平台基于所述密钥编号从所述密钥管理服务器获取加密因子；所述认证平台利用预设算法库对所述加密因子以及所述随机码进行运算，生成第二认证码；在所述第一认证码和所述第二认证码一致的情况下，所述认证平台通过所述物联网设备的接入认证。6.一种设备认证方法，其特征在于，所述设备认证方法应用于一种设备认证系统，其中，所述设备认证系统包括密钥管理服务器、认证平台以及物联网设备；所述设备认证方法包括：所述物联网设备向所述密钥管理服务器发送申请密钥指令；所述密钥管理服务器基于所述申请密钥指令向所述物联网设备发送密钥编号及其对应的加密因子；所述物联网设备利用预设算法库对所述加密因子以及随机码进行运算，生成第一认证码；所述物联网设备将所述第一认证码、所述随机码以及所述密钥编号发送至认证平台；所述认证平台基于所述第一认证码、所述随机码以及所述密钥编号对所述物联网设备进行接入认证。7.根据权利要求6所述的设备认证方法，其特征在于，所述认证平台基于所述第一认证码、所述随机码以及所述密钥编号对所述物联网设备
进行接入认证，包括：所述认证平台基于所述密钥编号从所述密钥管理服务器获取所述加密因子；所述认证平台利用预设算法库对所述加密因子和所述随机码进行运算，生成第二认证码；在所述第一认证码和所述第二认证码一致的情况下，所述认证平台通过所述物联网设备的接入认证。8.根据权利要求6所述的设备认证方法，其特征在于，所述物联网设备利用预设算法库对所述加密因子以及随机码进行运算，生成第一认证码，包括：所述物联网设备利用预设摘要算法在所述预设算法库对所述加密因子以及随机码进行运算，生成所述认证码；其中，所述预设算法库为esdk算法库，所述预设摘要算法为hmac摘要算法。9.一种物联网设备，其特征在于，所述物联网设备包括处理器和存储器，所述存储器中存储有程序数据，所述处理器用于执行所述程序数据以实现如权利要求1-4任一项所述的设备认证方法。10.一种认证平台，其特征在于，所述认证平台包括处理器和存储器，所述存储器中存储有程序数据，所述处理器用于执行所述程序数据以实现如权利要求5所述的设备认证方法。11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储程序数据，所述程序数据在被处理器执行时，用以实现权利要求1-8任一项所述的设备认证方法。

技术总结
本申请提供一种设备认证方法、物联网设备、认证平台以及计算机可读存储介质。该设备认证方法应用于物联网设备，所述设备认证方法包括：从密钥管理服务器获取密钥编号及其对应的加密因子；利用预设算法库对所述加密因子以及随机码进行运算，生成认证码；将所述认证码、所述随机码以及所述密钥编号发送至认证平台，以在所述认证平台接入所述物联网设备。通过上述方式，物联网设备通过随机码认证，不存在泄露设备标识、被恶意篡改冒充的风险，提高设备认证的准确性。认证的准确性。认证的准确性。


技术研发人员：曾华安 赵宇宁 袁文君 薛光峰 陈梁 陈琳耀
受保护的技术使用者：浙江大华技术股份有限公司
技术研发日：2023.08.02
技术公布日：2023/8/31