(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210554682.5 (22)申请日 2022.05.20 (71)申请人 深圳大学 地址 518000 广东省深圳市南 山区粤海街 道南海大道3 688号 (72)发明人 陈飞　肖子星　 (74)专利代理 机构 深圳市精英专利事务所 44242 专利代理师 李珂 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 面向全生命周期的物联网设备身份认证方 法、 系统及存 储介质 (57)摘要 本发明实施例公开了一种面向全生命周期 的物联网设备身份认证方法、 系统及存储介质， 本申请涉及认证技术领域， 该方法包括： 对于本 地通信， 物联网终端根据预设本地通信密钥通过 本地通信策略实现与物联网应用的相互身份认 证； 对于远程通信， 物联网应用获取当前时间戳 及身份信息， 并生成认证应用密文及应用消息认 证码； 认证服务器接收物联网应用发送的当前时 间戳、 认证应用密文以及应用消息认证码， 并对 物联网应用进行身份认证以得到认证结果； 若认 证通过， 中继服务器接收物联网终端发送的第一 认证信息及 物联网应用发送的第二认证信息， 并 对物联网终端及物联网应用进行身份认证。 本申 请实施例可提高身份认证的隔离性、 稳健性及可 扩展性。 权利要求书3页 说明书11页 附图6页 CN 114978542 A 2022.08.30 CN 114978542 A 1.一种面向全生命周期的物联网设备身份认证方法， 其特 征在于， 包括： 物联网应用向物联网终端发送广播数据包； 若所述物联网终端接收到所述广播数据包， 则根据 预设本地通信密钥通过本地通信策 略实现与所述物联网应用的相互身份认证； 若所述物联网终端未接收到所述广播数据包， 则不向所述物联网应用发送设备ID； 所述物联网应用获取当前时间戳及身份信 息， 并根据所述当前时间戳及所述身份信 息 生成认证 应用密文及应用消息认证码； 认证服务器接收所述物联网应用发送的所述当前时间戳、 所述认证应用密文以及所述 应用消息认证码， 并根据所述当前时间戳、 所述认证应用密文以及所述应用消息认证码对 所述物联网应用进行身份认证以得到认证结果； 若所述认证结果为认证通过， 所述认证服务器分别向中继服务器、 所述物联网终端以 及所述物联网应用发送第一连接信息、 第二连接信息以及第三连接信息； 所述中继服务器接收所述物联网终端发送的第一认证信息及所述物联网应用发送的 第二认证信息， 并根据所述第一认证信息及所述第二认证信息对所述物 联网终端及所述物 联网应用进行身份认证， 其中， 所述第一认证信息及所述第二认证信息分别为根据所述第 二连接信息及所述第三连接信息生成的信息 。 2.根据权利要求1所述的面向全生命周期的物联网设备身份认证方法， 其特征在于， 所 述身份信息包括用户名、 密码、 应用ID、 所述设备ID以及预设认证应用会话密钥， 所述根据 所述当前时间戳及所述身份信息生成认证 应用密文及应用消息认证码的步骤， 包括： 通过哈希算法对所述密码进行哈希计算得到密码哈希值； 将所述设备ID、 所述应用ID、 所述用户名以及所述密码哈希值进行拼接得到认证应用 信息； 通过所述预设认证 应用会话密钥对所述认证 应用信息进行加密得到认证 应用密文； 根据所述当前时间戳及所述认证 应用密文通过H MAC算法生成应用消息认证码。 3.根据权利要求2所述的面向全生命周期的物联网设备身份认证方法， 其特征在于， 所 述根据所述当前时间戳、 所述认证应用密文以及所述应用消息认证码对所述物联网应用进 行身份认证以得到认证结果， 包括： 获取新的当前时间戳， 并计算所述 新的当前时间戳与所述当前时间戳的时间戳差值； 若所述时间戳差值小于预设时间戳差值， 则根据 所述当前时间戳及所述认证应用密文 通过所述HMAC算法生成新的应用消息认证码； 若所述新的应用消息认证码与所述应用消息认证码一致， 则通过所述预设认证应用会 话密钥对所述认证应用密文进行解密得到所述用户名、 所述密码哈希值、 所述应用ID以及 所述设备ID； 根据所述应用ID及所述设备ID从数据库中获取绑定用户名、 绑定盐值以及绑定哈希 值， 并将所述绑定盐值与所述密码哈希值 拼接后进行哈希计算得到认证哈希值； 通过比较所述绑定用户名与 所述用户名、 所述绑定哈希值与 所述认证哈希值的一致性 对所述物联网应用进行身份认证以得到认证结果。 4.根据权利要求2所述的面向全生命周期的物联网设备身份认证方法， 其特征在于， 所 述认证服务器分别 向中继服务器、 所述物联网终端以及所述物联网应用发送第一连接信权　利　要　求　书 1/3 页 2 CN 114978542 A 2息、 第二连接信息以及第三连接信息， 包括： 所述认证服务器通过预设认证中继会话密钥对拼接在一起的所述设备ID、 所述应用 ID、 中继ID、 预设设备中继会话密钥以及预设中继应用会话密钥进行加密得到第一连接信 息； 所述认证服务器通过预设认证设备会话密钥对拼接在一起的所述应用ID、 所述中继 ID、 所述预设 设备中继会话密钥以及中继地址进行加密得到第二连接信息； 所述认证服务器通过预设认证应用会话密钥对拼接在一起的所述设备ID、 所述中继 ID、 所述预设中继应用会话密钥以及所述中继地址进行加密得到第三连接信息； 所述认证服务器分别向中继服务器、 所述物联网终端以及所述物联网应用发送所述第 一连接信息、 所述第二连接信息以及所述第三连接信息 。 5.根据权利要求4所述的面向全生命周期的物联网设备身份认证方法， 其特征在于， 所 述方法， 还 包括： 所述物联网终端对所述第二连接信息进行解密得到所述中继ID及所述预设设备中继 会话密钥， 并获取当前时间戳， 根据所述中继ID、 所述当前时间戳以及所述预设设备中继会 话密钥通过HMAC算法生成设备中继消息认证码， 将所述当前时间戳、 所述中继ID以及所述 设备中继消息认证码作为所述第一认证消息； 所述物联网应用对所述第三连接信息进行解密得到所述中继ID及所述预设中继应用 会话密钥， 并获取当前时间戳， 根据所述中继ID、 所述当前时间戳以及所述预设中继应用会 话密钥通过HMAC算法生成应用中继消息认证码， 将所述当前时间戳、 所述中继ID以及所述 应用中继消息认证码作为所述第二认证消息 。 6.根据权利要求2所述的面向全生命周期的物联网设备身份认证方法， 其特征在于， 若 所述物联网终端接收到所述广播数据包， 则根据预设本地通信密钥通过本地通信策略实现 与所述物联网应用的相互身份认证， 包括： 若所述物联网终端接收到所述广播数据包， 则向所述物联网应用发送所述设备ID； 所述物联网应用接收所述设备ID， 并获取所述用户名、 所述密码以及所述应用ID， 根据 所述设备ID、 所述应用ID、 所述用户名及所述密码生成预设本地 通信密钥； 所述物联网应用根据所述预设本地通信密钥对生成的第一随机数进行加密得到第一 认证密文， 将所述第一认证密文及所述应用ID发送至所述物联网终端； 所述物联网终端根据 所述预设本地通信密钥对所述第 一认证密文进行解密， 并将所述 第一随机数与随机生成的第二随机数进行拼接得到拼接值， 通过所述预设本地通信密钥对 所述拼接值进行加密得到第二认证密文； 所述物联网应用接收所述物联网终端发送的所述第 二认证密文， 并根据 所述预设本地 通信密钥对所述第二认证密文 进行解密得到第二随机数； 所述物联网应用根据所述预设本地通信密钥对所述第二随机数进行加密得到第三认 证密文， 并将所述第三认证密文发送至所述物联网终端， 以完成对所述物联网终端的身份 认证。 7.根据权利要求6所述的面向全生命周期的物联网设备身份认证方法， 其特征在于， 所 述根据所述设备ID、 所述应用ID、 所述用户名及所述密码生成预设本地 通信密钥， 包括： 将哈希后的所述密码与预置随机数进行拼接之后， 求哈希得到第一哈希值， 其中， 所述权　利　要　求　书 2/3 页 3 CN 114978542 A 3