CN108566367B - 一种终端的认证方法和装置 - Google Patents

Abstract

本发明实施例提供了一种终端的认证方法和装置，在平台中部署有接入服务器与认证服务器，在终端中预置有第一认证数据，在所述认证服务器中预置有所述终端的第二认证数据，所述方法包括：接入服务器接收所述终端发送的所述第一认证数据；接入服务器从所述认证服务器查询所述终端的所述第二认证数据；接入服务器根据所述第一认证数据与所述第二认证数据对所述终端进行认证。在认证的过程中，接入服务承担了主要的认证计算工作，可以大大减少终端的认证计算工作，减轻了终端的资源和能量消耗，在物联网的资源和能量供应都非常有限，依然可以实现身份认证，使得终端在通信的过程时，减少被中间人攻击或者仿冒攻击的几率，提高了通信的安全性。

Description

一种终端的认证方法和装置

技术领域

本发明涉及通信的技术领域，特别是涉及一种终端的认证方法和一种终端的认证装置。

背景技术

互联网技术革命把人类带入虚拟世界，而物联网革命将虚拟世界带回现实，无论生活、工作，还是商业、工业场景中，虚拟世界和现实世界之间的界限将越来越模糊，不同的终端组织的网络系统越来越庞大。

在一个安全的网络系统中，身份认证是安全系统的一道关卡，中观在接入时，身份验证系统检验其身份是否与所宣称的一致，然后实现对于不同身份的访问控制，授权该身份的设备能够访问的资源。

因此，身份认证系统常常是黑客的攻击目标，身份认证系统被攻破后，网络系统将面临极大的安全威胁。

目前，当物联网终端接入到主干网时，一般都是通过自身携带的身份信来进行认证，即终端和服务器建立通信时，将自身的身份信息发送给服务器，表明自己是一个合法的设备，而服务器端预置设备的身份信息，通信建立时，服务器将设备上报的身份信息和预置的身份信息进行匹配，如果匹配成功，则认为该终端是一个合法设备。

终端在认证的过程中如果采用公私钥进行加解密操作，虽然可以增加安全性，但是，将加大资源和能量的消耗，而物联网的资源和能量供应都非常有限，无法提供足够的资源和能量支持。

因此，设备在通信的过程时，容易被中间人攻击或者仿冒攻击。

发明内容

本发明实施例提出了一种终端的认证方法，以解决设备在应用身份信息进行认证时，容易被中间人攻击或者仿冒攻击的问题。

依据本发明的一个方面，提供了一种终端的认证方法，在平台中部署有接入服务器与认证服务器，在终端中预置有第一认证数据，在所述认证服务器中预置有所述终端的第二认证数据，所述方法包括：

接入服务器接收所述终端发送的所述第一认证数据；

接入服务器从所述认证服务器查询所述终端的所述第二认证数据；

接入服务器根据所述第一认证数据与所述第二认证数据对所述终端进行认证。

可选地，所述接入服务器接收所述终端发送的所述第一认证数据，包括：

接收所述终端发送的第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据。

可选地，所述接入服务器从所述认证服务器查询所述终端的所述第二认证数据，包括：

将所述第一特征数据发送至所述认证服务器；

接收所述认证服务器发送的、所述第一特征数据对应的公钥。

可选地，所述接入服务器根据所述第一认证数据与所述第二认证数据对所述终端进行认证，包括：

采用所述公钥对所述加密数据进行解密，获得第二特征数据；

当所述第一特征数据与所述第二特征数据相同时，确定所述终端认证成功。

根据本发明的另一方面，提供了一种终端的认证方法，在平台中部署有接入服务器与认证服务器，包括：

终端设置第一认证数据；

终端在所述认证服务器中注册第二认证数据；

终端将所述第一认证数据发送至所述接入服务器，以从所述认证服务器查询所述终端的所述第二认证数据，以及，根据所述第一认证数据与所述第二认证数据对所述终端进行认证。

可选地，所述终端设置第一认证数据，包括：

接收第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据；

将所述第一特征数据与所述加密数据存储至预设的存储区域。

可选地，所述终端在所述认证服务器中注册第二认证数据，包括：

获取所述私钥对应的公钥；

将所述第一特征数据与所述公钥发送至所述认证服务器，以进行注册。

根据本发明的另一方面，提供了一种终端的认证装置，在平台中部署有接入服务器与认证服务器，在终端中预置有第一认证数据，在所述认证服务器中预置有所述终端的第二认证数据，所述装置位于所述接入服务器中，包括：

第一认证数据接收模块，用于接收所述终端发送的所述第一认证数据；

第二认证数据查询模块，用于从所述认证服务器查询所述终端的所述第二认证数据；

身份认证模块，用于根据所述第一认证数据与所述第二认证数据对所述终端进行认证。

可选地，所述第一认证数据接收模块包括：

数据对接收子模块，用于接收所述终端发送的第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据。

可选地，所述第二认证数据查询模块包括：

特征数据发送子模块，用于将所述第一特征数据发送至所述认证服务器；

公钥接收子模块，用于接收所述认证服务器发送的、所述第一特征数据对应的公钥。

可选地，所述身份认证模块包括：

数据解密子模块，用于采用所述公钥对所述加密数据进行解密，获得第二特征数据；

认证成功确认子模块，用于当所述第一特征数据与所述第二特征数据相同时，确定所述终端认证成功。

根据本发明的另一方面，提供了一种终端的认证装置，在平台中部署有接入服务器与认证服务器，所述装置位于终端中，包括：

第一认证数据设置模块，用于设置第一认证数据；

第二认证数据注册模块，用于在所述认证服务器中注册第二认证数据；

终端认证模块，用于将所述第一认证数据发送至所述接入服务器，以从所述认证服务器查询所述终端的第二认证数据，以及，根据所述第一认证数据与所述第二认证数据对所述终端进行认证。

可选地，所述第一认证数据设置模块包括：

数据对接收子模块，用于接收第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据；

数据对存储子模块，用于将所述第一特征数据与所述加密数据存储至预设的存储区域。

可选地，所述第二认证数据注册模块包括：

公钥获取模块，用于获取所述私钥对应的公钥；

注册数据发送模块，用于将所述第一特征数据与所述公钥发送至所述认证服务器，以进行注册。

本发明实施例包括以下优点：

本发明实施例中，终端将第一认证数据发送至接入服务器，接入服务器则从认证服务器查询终端的第二认证数据，并根据第一认证数据与第二认证数据对所述终端进行认证，在认证的过程中，接入服务承担了主要的认证计算工作，一方面，作为终端的身份信息的第二认证数据独立存储在认证服务器中，并不预置在接入服务器，隔离外界接触，可以保证身份信息的安全性，另一方面，可以大大减少终端的认证计算工作，减轻了终端的资源和能量消耗，在物联网的资源和能量供应都非常有限，依然可以实现身份认证，使得终端在通信的过程时，减少被中间人攻击或者仿冒攻击的几率，提高了通信的安全性。

附图说明

图1是本发明一个实施例的一种终端的认证方法的步骤流程图；

图2是本发明一个实施例的另一种终端的认证方法的步骤流程图；

图3是本发明一个实施例的一种终端的认证装置的结构框图；

图4是本发明一个实施例的另一种终端的认证装置的结构框图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

参照图1，示出了本发明一个实施例的一种终端的认证方法的步骤流程图，在平台中部署有接入服务器与认证服务器，在终端中预置有第一认证数据，在所述认证服务器中预置有所述终端的第二认证数据，所述方法具体可以包括如下步骤：

步骤101，接入服务器接收所述终端发送的第一认证数据。

在具体实现中，本发明实施例可以应用在接入服务器中，该接入服务器可以为接入某个平台的服务器。

终端可以接入该接入服务器，申请接入平台，接入服务器对其进行身份认证之后，终端获取该平台提供的服务。

在物联网的场景中，该接入服务器可以为接入物联网平台的服务器，在物联网中具有三层结构，应用层、感知层和网络层，该终端可以为物联网感知层中的设备，可以用于识别物体、采集信息等等，例如，二维码标签和识读器、RFID(Radio FrequencyIdentification，射频识别)标签和读写器、摄像头、GPS(Global Positioning System，全球定位系统)、传感器、传感器网关等等。

在本发明实施例中，终端中预置了第一认证数据，准备接入平台时，则可以在提取本地的第一认证数据，发送至接入服务器，触发认证流程。

在本发明的一个实施例中，终端中预置的第一认证数据包括第一特征数据、以及、采用私钥对第一特征数据进行加密获得的加密数据S-KEY。

其中，该第一特征数据可以为具有唯一性的数据，例如，设备ID。

在此实施例中，终端可以提取第一特征数据、以及、采用私钥对第一特征数据进行加密获得的加密数据S-KEY，发送至接入服务器，触发认证流程。

相对而言，接入服务器可以接收终端发送的第一特征数据、以及、采用私钥对第一特征数据进行加密获得的加密数据。

步骤102，接入服务器从所述认证服务器查询所述终端的所述第二认证数据。

在具体实现中，在平台中部署有认证服务器，该认证服务器独立于接入服务器，终端可以预先将第二认证数据注册在认证服务器中。

接入服务器在接收到终端的第一认证数据之后，则可以从该认证服务器获取该终端对应的第二认证数据，以进行核对。

当然，如果认证服务器并未存储该终端对应的第二认证数据，则可以确认该终端为非法设备。

在本发明的一个实施例中，步骤102可以包括如下子步骤：

子步骤S11，将所述第一特征数据发送至认证服务器。

子步骤S12，接收所述认证服务器发送的、所述第一特征数据对应的公钥。

在实际应用中，终端将第一特征数据与公钥P-KEY发送至认证服务器进行注册，作为第二认证数据。

其中，该第一特征数据通过公钥P-KEY认证，与加密数据对应的私钥匹配。

在本发明实施例中，接入服务器将终端的第一特征数据发送至认证服务器，认证服务器在其注册的信息中，查找该第一特征数据对应的公钥P-KEY，并返回接入服务器。

当然，如果认证服务器并未存储该第一特征数据对应的公钥P-KEY，则可以确认该终端为非法设备。

步骤103，接入服务器根据所述第一认证数据与所述第二认证数据对所述终端进行认证。

在具体实现中，若接入服务器在从认证服务器获取了终端对应的第二认证数据，则可以将第一认证数据与第二认证数据进行匹配。

若两者匹配成功，则确认终端认证成功，为合法设备，允许该终端接入平台，获取所需的服务，否则，确认终端认证失败，为非法设备，禁止该终端接入平台。

在本发明的一个实施例中，步骤103可以包括如下子步骤：

子步骤S21，采用所述公钥对所述加密数据进行解密，获得第二特征数据。

子步骤S22，当所述第一特征数据与所述第二特征数据相同时，确定所述终端认证成功。

在本发明实施例中，一方面，接入服务器从终端接收了第一特征数据及加密数据S-KEY，另一方面，接入服务器从认证服务器获取了该第一特征数据对应的公钥P-KEY，则可以采用该公钥P-KEY对该加密数据S-KEY进行解密，解密的数据即为第二特征数据。

此时，将第一特征数据与第二特征数据进行对比，若两者相同，则可以确定加密该第一特征数据的私钥与解密该第二特征数据的公钥P-KEY匹配，认证终端的合法身份，若两者不相同，则可以确定加密该第一特征数据的私钥与解密该第二特征数据的公钥P-KEY不匹配，确认该终端为非法设备。

本发明实施例中，终端将第一认证数据发送至接入服务器，接入服务器则从认证服务器查询终端的第二认证数据，并根据第一认证数据与第二认证数据对所述终端进行认证，在认证的过程中，接入服务承担了主要的认证计算工作，一方面，作为终端的身份信息的第二认证数据独立存储在认证服务器中，并不预置在接入服务器，隔离外界接触，可以保证身份信息的安全性，另一方面，可以大大减少终端的认证计算工作，减轻了终端的资源和能量消耗，在物联网的资源和能量供应都非常有限，依然可以实现身份认证，使得终端在通信的过程时，减少被中间人攻击或者仿冒攻击的几率，提高了通信的安全性。

进一步地，终端以采用私钥对第一特征数据进行加密获得的加密数据触发认证，接入服务器从认证服务器获取第一特征数据对应的公钥，以第一特征数据与公钥对加密数据进行解密获得的第二特征数据进行比对，实现身份认证，在安全保管私钥的情况下，非对称密钥的保密性可以进一步保证终端在通信的过程时的安全性，避免遭受中间人攻击或者仿冒攻击。

参照图2，示出了本发明一个实施例的另一种终端的认证方法的步骤流程图，在平台中部署有接入服务器与认证服务器，具体可以包括如下步骤：

步骤201，终端设置第一认证数据。

在具体实现中，本发明实施例可以应用在终端中，该终端可以通过接入平台获取相应的服务。

在终端中，可以预先设置用于认证的第一认证数据。

为了保证第一认证数据的安全性，一般情况下，终端在出厂之前，生产该终端的生产者则可以将第一认证数据写入该终端中。

当然，除了生产线灌装之外，在保证安全性的前提下，也可以采用其他方式设置第一认证数据，例如，由使用该终端的使用者通过移动终端进行传输，等等，本发明实施例对此不加以限制。

在本发明的一个实施例中，步骤201可以包括如下子步骤：

子步骤S31，接收第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据。

子步骤S32，将所述第一特征数据与所述加密数据存储至预设的存储区域。

在本发明实施例中，终端中预置的第一认证数据包括第一特征数据、以及、采用私钥对第一特征数据进行加密获得的加密数据。

对于生产线灌装的方式，终端的生产者在自身生产网络的安全环境中产生配对的公钥、私钥，将私钥存放在生产网络的安全设备中，防止泄露。

并且，生产者采用私钥对每个终端的第一特征数据(如设备ID)进行加密，从而获得每个终端的加密数据，将第一特征数据与加密数据一起存放在终端的存储区域中。

步骤202，终端在所述认证服务器中注册第二认证数据。

在具体实现中，在平台中部署有认证服务器，终端可以通过指定的方式获取第二认证数据，通过HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，是以安全为目标的HTTP通道)等协议与认证服务器建立安全连接，并基于该安全连接将第二认证数据发送至该认证服务器进行注册。

在本发明的一个实施例中，步骤202可以包括如下子步骤：

子步骤S41，获取所述私钥对应的公钥。

子步骤S42，将所述第一特征数据与所述公钥发送至所述认证服务器，以进行注册。

在本发明实施例中，第二认证数据包括与私钥配套的公钥，以及，该公钥认证的第一特征数据。

对于生产线灌装的方式，平台可以将公钥公开发布，终端则可以从发布的地方获取该公钥。

例如，公钥发布在平台中的web服务器，使用该终端的用户通过移动终端从该web服务器下载该公钥，并传输至终端。

终端将该公钥与第一特征数据发送至认证服务器，认证服务器则可以建立该公钥与第一特征数据之间的映射关系，注册为第二认证数据。

步骤203，终端将所述第一认证数据发送至所述接入服务器，以从所述认证服务器查询所述终端的第二认证数据，以及，根据所述第一认证数据与所述第二认证数据对所述终端进行认证。

在具体实现中，该平台部署有接入服务器，该接入服务器独立于该认证服务器。

终端通过HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，是以安全为目标的HTTP通道)等协议与接入服务器建立安全连接，并提取本地预置的第一认证数据，基于该安全连接将第一认证数据发送至接入服务器，触发认证流程。

此时，接入服务器从认证服务器获取该终端预先注册的第二认证数据，将第一认证数据与第二认证数据进行匹配。

若两者匹配成功，则确认终端认证成功，为合法设备，允许该终端接入平台，获取所需的服务，否则，确认终端认证失败，为非法设备，禁止该终端接入平台。

进一步而言，终端发送的第一认证数据包括第一特征数据、以及、采用私钥对第一特征数据进行加密获得的加密数据，则接入服务器可以将第一特征数据发送至认证服务器，从而接收认证服务器发送的、第一特征数据对应的公钥。

此时，可以采用公钥对加密数据进行解密，获得第二特征数据，当第一特征数据与第二特征数据相同时，确定终端认证成功。

本发明实施例中，终端预先设置第一认证数据，并在认证服务器注册第二认证数据，在进行认证时，将第一认证数据发送至接入服务器，接入服务器则从认证服务器查询终端对应的第二认证数据，并根据第一认证数据与第二认证数据对所述终端进行认证，在认证的过程中，接入服务承担了主要的认证计算工作，一方面，作为终端的身份信息的第二认证数据独立存储在认证服务器中，并不预置在接入服务器，隔离外界接触，可以保证身份信息的安全性，另一方面，可以大大减少终端的认证计算工作，减轻了终端的资源和能量消耗，在物联网的资源和能量供应都非常有限，依然可以实现身份认证，使得终端在通信的过程时，减少被中间人攻击或者仿冒攻击的几率，提高了通信的安全性。

进一步地，终端以采用私钥对第一特征数据进行加密获得的加密数据触发认证，接入服务器从认证服务器获取第一特征数据对应的公钥，以第一特征数据与公钥对加密数据进行解密获得的第二特征数据进行比对，实现身份认证，在安全保管私钥的情况下，非对称密钥的保密性可以进一步保证终端在通信的过程时的安全性，避免遭受中间人攻击或者仿冒攻击。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

参照图3，示出了本发明一个实施例的一种终端的认证装置的结构框图，在平台中部署有接入服务器与认证服务器，在终端中预置有第一认证数据，在所述认证服务器中预置有所述终端的第二认证数据，所述装置位于所述接入服务器中，具体可以包括如下模块：

第一认证数据接收模块301，用于接收终端发送的所述第一认证数据；

第二认证数据查询模块302，用于从所述认证服务器查询所述终端的所述第二认证数据；

身份认证模块303，用于根据所述第一认证数据与所述第二认证数据对所述终端进行认证。

在本发明的一个实施例中，所述第一认证数据接收模块301包括：

数据对接收子模块，用于接收终端发送的第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据。

在本发明的一个实施例中，所述第二认证数据查询模块302包括：

特征数据发送子模块，用于将所述第一特征数据发送至认证服务器；

公钥接收子模块，用于接收所述认证服务器发送的、所述第一特征数据对应的公钥。

在本发明的一个实施例中，所述身份认证模块303包括：

数据解密子模块，用于采用所述公钥对所述加密数据进行解密，获得第二特征数据；

认证成功确认子模块，用于当所述第一特征数据与所述第二特征数据相同时，确定所述终端认证成功。

参照图4，示出了本发明一个实施例的另一种终端的认证装置的结构框图，在平台中部署有接入服务器与认证服务器，所述装置位于终端中，具体可以包括如下模块：

第一认证数据设置模块401，用于设置第一认证数据；

第二认证数据注册模块402，用于在所述认证服务器中注册第二认证数据；

终端认证模块403，用于将所述第一认证数据发送至所述接入服务器，以从所述认证服务器查询所述终端的第二认证数据，以及，根据所述第一认证数据与所述第二认证数据对所述终端进行认证。

在本发明的一个实施例中，所述第一认证数据设置模块401包括：

数据对接收子模块，用于接收第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据；

数据对存储子模块，用于将所述第一特征数据与所述加密数据存储至预设的存储区域。

在本发明的一个实施例中，所述第二认证数据注册模块402包括：

公钥获取模块，用于获取所述私钥对应的公钥；

注册数据发送模块，用于将所述第一特征数据与所述公钥发送至所述认证服务器，以进行注册。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种终端的认证方法和一种终端的认证装置，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (4)

1.一种终端的认证方法，其特征在于，在平台中部署有接入服务器与认证服务器，在终端中预置有第一认证数据，在所述认证服务器中预置有所述终端的第二认证数据，所述方法包括：

接入服务器接收所述终端发送的所述第一认证数据；

接入服务器从所述认证服务器查询所述终端的所述第二认证数据；

接入服务器根据所述第一认证数据与所述第二认证数据对所述终端进行认证；

其中，所述接入服务器包括接入物联网平台的服务器；所述终端包括物联网感知层中的设备；所述第一认证数据包括第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据；

所述接入服务器接收所述终端发送的所述第一认证数据，包括：

接收所述终端发送的第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据；

所述接入服务器从所述认证服务器查询所述终端的所述第二认证数据，包括：

将所述第一特征数据发送至所述认证服务器；

接收所述认证服务器发送的、所述第一特征数据对应的公钥；

所述接入服务器根据所述第一认证数据与所述第二认证数据对所述终端进行认证，包括：

采用所述公钥对所述加密数据进行解密，获得第二特征数据；

当所述第一特征数据与所述第二特征数据相同时，确定所述终端认证成功。

2.一种终端的认证方法，其特征在于，在平台中部署有接入服务器与认证服务器，包括：

终端设置第一认证数据；

终端在所述认证服务器中注册第二认证数据；

终端将所述第一认证数据发送至所述接入服务器，以从所述认证服务器查询所述终端的所述第二认证数据，以及，根据所述第一认证数据与所述第二认证数据对所述终端进行认证；

其中，所述接入服务器包括接入物联网平台的服务器；所述终端包括物联网感知层中的设备；所述第一认证数据包括第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据；

所述终端设置第一认证数据，包括：

接收第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据；

将所述第一特征数据与所述加密数据存储至预设的存储区域；

所述终端在所述认证服务器中注册第二认证数据，包括：

获取所述私钥对应的公钥；

将所述第一特征数据与所述公钥发送至所述认证服务器，以进行注册。

3.一种终端的认证装置，其特征在于，在平台中部署有接入服务器与认证服务器，在终端中预置有第一认证数据，在所述认证服务器中预置有所述终端的第二认证数据，所述装置位于所述接入服务器中，包括：

第一认证数据接收模块，用于接收所述终端发送的所述第一认证数据；

第二认证数据查询模块，用于从所述认证服务器查询所述终端的所述第二认证数据；

身份认证模块，用于根据所述第一认证数据与所述第二认证数据对所述终端进行认证；

其中，所述接入服务器包括接入物联网平台的服务器；所述终端包括物联网感知层中的设备；所述第一认证数据包括第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据；

所述第一认证数据接收模块包括：

数据对接收子模块，用于接收所述终端发送的第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据；

所述第二认证数据查询模块包括：

特征数据发送子模块，用于将所述第一特征数据发送至所述认证服务器；

公钥接收子模块，用于接收所述认证服务器发送的、所述第一特征数据对应的公钥；

所述身份认证模块包括：

数据解密子模块，用于采用所述公钥对所述加密数据进行解密，获得第二特征数据；

认证成功确认子模块，用于当所述第一特征数据与所述第二特征数据相同时，确定所述终端认证成功。

4.一种终端的认证装置，其特征在于，在平台中部署有接入服务器与认证服务器，所述装置位于终端中，包括：

第一认证数据设置模块，用于设置第一认证数据；

第二认证数据注册模块，用于在所述认证服务器中注册第二认证数据；

终端认证模块，用于将所述第一认证数据发送至所述接入服务器，以从所述认证服务器查询所述终端的第二认证数据，以及，根据所述第一认证数据与所述第二认证数据对所述终端进行认证；

其中，所述接入服务器包括接入物联网平台的服务器；所述终端包括物联网感知层中的设备；所述第一认证数据包括第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据；

所述第一认证数据设置模块包括：

数据对接收子模块，用于接收第一特征数据、以及、采用私钥对所述第一特征数据进行加密获得的加密数据；

数据对存储子模块，用于将所述第一特征数据与所述加密数据存储至预设的存储区域；

所述第二认证数据注册模块包括：

公钥获取模块，用于获取所述私钥对应的公钥；

注册数据发送模块，用于将所述第一特征数据与所述公钥发送至所述认证服务器，以进行注册。

Images