CN112351000A - 双向身份验证方法、系统、设备及存储介质 - Google Patents

双向身份验证方法、系统、设备及存储介质 Download PDF

Info

Publication number
CN112351000A
CN112351000A CN202011115567.5A CN202011115567A CN112351000A CN 112351000 A CN112351000 A CN 112351000A CN 202011115567 A CN202011115567 A CN 202011115567A CN 112351000 A CN112351000 A CN 112351000A
Authority
CN
China
Prior art keywords
equipment
gateway
terminal
terminal equipment
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011115567.5A
Other languages
English (en)
Other versions
CN112351000B (zh
Inventor
徐文鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen TCL New Technology Co Ltd
Original Assignee
Shenzhen TCL New Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen TCL New Technology Co Ltd filed Critical Shenzhen TCL New Technology Co Ltd
Priority to CN202011115567.5A priority Critical patent/CN112351000B/zh
Publication of CN112351000A publication Critical patent/CN112351000A/zh
Application granted granted Critical
Publication of CN112351000B publication Critical patent/CN112351000B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了双向身份验证方法、系统、设备及存储介质,该方法包括当待入网的终端设备被授权进行入网协商时,获取终端设备的标识信息;将终端设备的标识信息发送给云服务器进行设备身份的合法性验证;若终端设备为在云服务器预登记的合法设备,则网关设备与终端设备分别对相互之间交互的数据进行对比验证;当网关设备与终端设备验证相互之间交互的数据被验证为一致时,网关设备向终端设备发送联网凭证,以使终端设备连入网关设备。解决现有的快速配网方法安全性能较差,容易导致信息泄露的问题,实现了在完成快速配网的功能前提下,能够有效的保护网关的密码不被泄漏,保证了整个配网流程的安全性。

Description

双向身份验证方法、系统、设备及存储介质
技术领域
本发明涉及计算机技术领域,尤其涉及一种双向身份验证方法、系统、设备及存储介质。
背景技术
智能门锁是指在传统机械锁的基础上改进的,在用户安全性、识别性、管理性方面更加智能化、简便化的锁具。通俗而言,具备指纹开锁、密码开锁、蓝牙开锁、联网等任一功能的门锁均可称为智能门锁。
随着智能门锁的普及与技术的发展,用户对智能门锁使用时的体验友好性也随着提高。过去的智能门锁的配网方法需要用户接入操作的步骤较多,体验友好性较差。目前已经诞生了一种快速配网方法,此方法可以有效降低操作步骤,提升体验。但采用此方法进行智能门锁配网时面临较大的安全风险,网关密码等关键信息存在泄漏的可能。可见,现有的快速配网方法安全性能较差,容易导致信息泄露。
发明内容
本申请实施例通过提供一种双向身份验证方法、系统、设备及存储介质,旨在解决现有的快速配网方法安全性能较差,容易导致信息泄露的问题。
本申请实施例提供了一种双向身份验证方法,应用于网关设备,所述双向身份验证方法包括:
当待入网的终端设备被授权进行入网协商时,获取所述终端设备的标识信息;
将所述终端设备的标识信息发送给云服务器进行设备身份的合法性验证;
若所述终端设备为在云服务器预登记的合法设备,则所述网关设备与所述终端设备分别对相互之间交互的数据进行对比验证;
当网关设备与终端设备验证相互之间交互的数据被验证为一致时,网关设备向终端设备发送联网凭证,以使所述终端设备连入网关设备;
在一实施例中,在所述终端设备连入所述网关设备之前,所述网关设备与所述终端设备之间采用自有协议传输数据。
在一实施例中,在待入网的终端设备被授权进行入网协商之前,所述方法还包括:
接收所述待入网的终端设备通过自有协议发送的携带有配网请求的第一请求数据;
对所述第一请求数据进行解析得到配网请求,并将所述配网请求发送给用户终端,供用户反馈配网决定;所述配网请求中包含终端设备的MAC地址;
若接收到用户确认入网的配网决定以及与所述配网决定对应的MAC地址,则通过自有协议向待入网的终端设备反馈携带有所述配网决定的响应数据;
将所述与所述配网决定对应的MAC地址设置为可协商配网的MAC地址。
在一实施例中,所述双向身份验证方法,还包括:
接收所述终端设备通过自有协议发送的携带有配网请求的第二请求数据;
所述第二请求数据包含所述终端设备的MAC地址;
若所述终端设备的MAC地址属于可协商配网的MAC地址,则授权所述终端设备进行入网协商。
在一实施例中,所述获取所述终端设备的标识信息,包括:
接收所述待入网的终端设备通过自有协议发送的携带有配网请求的第三请求数据;所述第三请求数据中包含由随机数加密标识信息得到的设备信息和由公钥加密的设备信息;
采用与所述公钥对应的私钥对所述加密的设备信息进行解密,得到所述设备信息;
采用所述随机数对所述设备信息进行解密,得到所述标识信息。
在一实施例中,所述第二请求数据中还包含由公钥加密的所述随机数;
所述获取所述终端设备的标识信息,还包括:
采用与所述公钥对应的私钥对所述加密的随机数进行解密,得到所述随机数。
在一实施例中,所述网关设备与终端设备分别对相互之间交互的数据进行对比验证,包括:
根据接收到的终端设备发送的所有数据进行哈希运算,得到第一哈希值;
生成会话密钥,并使用所述随机数对所述会话密钥进行加密;
采用所述会话密钥对所述第一哈希值进行加密;
使用所述私钥对加密后的会话密钥和加密后的第一哈希值一起进行加密,并将加密结果附加在对应于所述第三请求数据的响应数据中发送给所述待入网的终端设备;
接收所述终端设备对解密得到的第一哈希值的验证结果。
本申请实施例提供了一种双向身份验证方法,应用于终端设备,所述双向身份验证方法包括:
当所述终端设备被授权进行入网协商时,向网关设备发送标识信息,以使所述网关设备将所述标识信息发送给云服务器进行设备身份的合法性验证;
接收所述网关设备发送的联网凭证,采用所述联网凭证连入所述网关设备;
其中,在所述终端设备连入所述网关设备之前,所述终端设备与所述网关设备之间采用自有协议传输数据。
在一实施例中,在所述终端设备被授权进行入网协商之前,所述方法还包括:
通过自有协议向所述网关设备发送携带有配网请求的第一请求数据;所述配网请求中包含所述终端设备的MAC地址;
接收所述网关设备通过自有协议发送的携带有配网决定的响应数据。
在一实施例中,所述双向身份验证方法还包括:
通过自有协议向所述网关设备发送的携带有配网请求的第二请求数据;其中,所述第二请求数据中包含所述终端设备的MAC地址和由公钥加密的随机数。
在一实施例中,所述向网关设备发送标识信息,包括:
通过自有协议向所述网关设备发送携带有配网请求的第三请求数据;其中,所述第三请求数据中包含由所述随机数加密标识信息得到的设备信息和由所述公钥加密的设备信息。
在一实施例中,在接收所述网关设备发送的联网凭证之前,所述方法还包括:
接收所述网关设备发送的与所述第三请求数据对应的响应数据;
采用所述公钥对与所述第三请求数据对应的响应数据进行解密,得到由与所述公钥对应的私钥加密后的会话密钥和加密后的第一哈希值;
采用所述随机数对所述加密后的会话密钥进行解密,得到所述会话密钥;
采用所述会话密钥对所述加密后的第一哈希值进行解密,得到所述第一哈希值;
对发送给所述网关设备的所有数据进行哈希运算,得到第二哈希值;
若验证所述第一哈希值与所述第二哈希值相同,则向所述网关设备发送所述第一哈希值的验证结果。
此外,为实现上述目的,本发明还提供了一种网关设备,包括:
接收模块,用于当待入网的终端设备被授权进行入网协商时,获取所述终端设备的标识信息;
标识转发模块,用于将所述终端设备的标识信息发送给云服务器进行设备身份的合法性验证;
第一验证模块,用于若所述终端设备为在云服务器预登记的合法设备,则所述网关设备与所述终端设备分别对相互之间交互的数据进行对比验证;
凭证发送模块,用于当网关设备与终端设备验证相互之间交互的数据被验证为一致时,网关设备向终端设备发送联网凭证,以使所述终端设备连入网关设备;其中,在所述终端设备连入所述网关设备之前,所述网关设备与所述终端设备之间采用自有协议传输数据。
此外,为实现上述目的,本发明还提供了一种终端设备,包括:
标识发送模块,用于当所述终端设备被授权进行入网协商时,向网关设备发送标识信息,以使所述网关设备将所述标识信息发送给云服务器进行设备身份的合法性验证;
凭证发送模块,用于接收所述网关设备发送的联网凭证;
联网模块,用于采用所述联网凭证连入所述网关设备;
其中,在所述终端设备连入所述网关设备之前,所述终端设备与所述网关设备之间采用自有协议传输数据。
此外,为实现上述目的,本发明还提供了一种双向身份验证系,包括用户终端、终端设备、网关设备和云服务器;
所述用户终端,用于向所述网关设备发送用户反馈的配网决定;
所述终端设备,用于根据所述用户终端发送的配网决定,向所述网关设备发送标识信息,以及接收所述网关设备发送的联网凭证;
所述网关设备,用于将获取的标识信息发送给云服务器,以及在接收到所述云服务器发送的合法性验证通过结果时,与所述终端设备分别对相互之间交互的数据进行对比验证,当与终端设备验证相互之间交互的数据被验证为一致时,向终端设备发送联网凭证;
所述云服务器,用于根据接收的所述标识信息对所述终端设备的设备身份进行合法性验证,以及在验证所述终端设备为在云服务器预登记的合法设备时,将合法性验证通过结果发送给所述网关设备。
此外,为实现上述目的,本发明还提供了一种双向身份验证设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的双向身份验证程序,所述双向身份验证程序被所述处理器执行时实现上述的双向身份验证方法的步骤。
此外,为实现上述目的,本发明还提供了一种存储介质,其上存储有双向身份验证程序,该双向身份验证程序被处理器执行时实现上述的双向身份验证方法步骤。
本申请实施例中提供的一种双向身份验证方法、系统、设备及存储介质的技术方案,至少具有如下技术效果或优点:
由于采用了当待入网的终端设备被授权进行入网协商时,获取终端设备的标识信息;将终端设备的标识信息发送给云服务器进行设备身份的合法性验证;若终端设备为在云服务器预登记的合法设备,则网关设备与终端设备分别对相互之间交互的数据进行对比验证;当网关设备与终端设备验证相互之间交互的数据被验证为一致时,网关设备向终端设备发送联网凭证,以使终端设备连入网关设备的技术方案,解决现有的快速配网方法安全性能较差,容易导致信息泄露的问题,实现了在完成快速配网的功能前提下,能够有效的保护网关的密码不被泄漏,保证了整个配网流程的安全性。
附图说明
图1为本发明实施例方案涉及的硬件运行环境的结构示意图;
图2为本发明双向身份验证方法第一实施例的流程示意图;
图3为本发明双向身份验证方法第二实施例的流程示意图;
图4为本发明双向身份验证方法第三实施例的流程示意图;
图5为本发明双向身份验证方法第一实施例中步骤S210的流程示意图;
图6为本发明双向身份验证方法第一实施例中步骤S220的流程示意图;
图7为本发明双向身份验证方法第四实施例的流程示意图;
图8为本发明双向身份验证方法第五实施例的流程示意图;
图9为本发明双向身份验证方法第六实施例的流程示意图;
图10为本发明双向身份验证方法的时序图;
图11为本发明网关设备功能模块意图;
图12为本发明终端设备功能模块意图;
图13为本发明双向身份验证系统的交互示意图。
具体实施方式
为了更好的理解上述技术方案,下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明提供一种双向身份验证设备。如图1所示,图1为本发明实施例方案涉及的硬件运行环境的结构示意图。
需要说明的是,图1即可为双向身份验证设备的硬件运行环境的结构示意图。
如图1所示,该双向身份验证设备可以包括:处理器1001,例如CPU,存储器1005,用户接口1003,网络接口1004,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,双向身份验证设备还可以包括RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。
本领域技术人员可以理解,图1中示出的双向身份验证设备结构并不构成对双向身份验证设备限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及双向身份验证程序。其中,操作系统是管理和控制双向身份验证设备硬件和软件资源的程序,双向身份验证程序以及其它软件或程序的运行。
在图1所示的双向身份验证设备中,用户接口1003主要用于连接终端,与终端进行数据通信;网络接口1004主要用于后台服务器,与后台服务器进行数据通信;处理器1001可以用于调用存储器1005中存储的双向身份验证程序。
在本实施例中,双向身份验证设备包括:存储器1005、处理器1001及存储在所述存储器上并可在所述处理器上运行的双向身份验证程序,其中:
应用于网关设备时,处理器1001调用存储器1005中存储的双向身份验证程序时,执行以下操作:
当待入网的终端设备被授权进行入网协商时,获取所述终端设备的标识信息;
将所述终端设备的标识信息发送给云服务器进行设备身份的合法性验证;
若所述终端设备为在云服务器预登记的合法设备,则所述网关设备与所述终端设备分别对相互之间交互的数据进行对比验证;
当网关设备与终端设备验证相互之间交互的数据被验证为一致时,网关设备向终端设备发送联网凭证,以使所述终端设备连入网关设备;
其中,在所述终端设备连入所述网关设备之前,所述网关设备与所述终端设备之间采用自有协议传输数据。
应用于网关时,设备处理器1001调用存储器1005中存储的双向身份验证程序时,还执行以下操作:
接收所述待入网的终端设备通过自有协议发送的携带有配网请求的第一请求数据;
对所述第一请求数据进行解析得到配网请求,并将所述配网请求发送给用户终端,供用户反馈配网决定;所述配网请求中包含终端设备的MAC地址;
若接收到用户确认入网的配网决定以及与所述配网决定对应的MAC地址,则通过自有协议向待入网的终端设备反馈携带有所述配网决定的响应数据;
将所述与所述配网决定对应的MAC地址设置为可协商配网的MAC地址。
应用于网关设备时,处理器1001调用存储器1005中存储的双向身份验证程序时,还执行以下操作:
接收所述终端设备通过自有协议发送的携带有配网请求的第二请求数据;
所述第二请求数据包含所述终端设备的MAC地址;
若所述终端设备的MAC地址属于可协商配网的MAC地址,则授权所述终端设备进行入网协商。
应用于网关设备时,处理器1001调用存储器1005中存储的双向身份验证程序时,还执行以下操作:
接收所述待入网的终端设备通过自有协议发送的携带有配网请求的第三请求数据;所述第三请求数据中包含由随机数加密标识信息得到的设备信息和由公钥加密的设备信息;
采用与所述公钥对应的私钥对所述加密的设备信息进行解密,得到所述设备信息;
采用所述随机数对所述设备信息进行解密,得到所述标识信息。
应用于网关设备时,处理器1001调用存储器1005中存储的双向身份验证程序时,还执行以下操作:
采用与所述公钥对应的私钥对所述加密的随机数进行解密,得到所述随机数。
应用于网关设备时,处理器1001调用存储器1005中存储的双向身份验证程序时,还执行以下操作:
根据接收到的终端设备发送的所有数据进行哈希运算,得到第一哈希值;
生成会话密钥,并使用所述随机数对所述会话密钥进行加密;
采用所述会话密钥对所述第一哈希值进行加密;
使用所述私钥对加密后的会话密钥和加密后的第一哈希值一起进行加密,并将加密结果附加在对应于所述第三请求数据的响应数据中发送给所述待入网的终端设备;
接收所述终端设备对解密得到的第一哈希值的验证结果。
应用于终端设备时,处理器1001调用存储器1005中存储的双向身份验证程序时,还执行以下操作:
当所述终端设备被授权进行入网协商时,向网关设备发送标识信息,以使所述网关设备将所述标识信息发送给云服务器进行设备身份的合法性验证;
接收所述网关设备发送的联网凭证,采用所述联网凭证连入所述网关设备;
其中,在所述终端设备连入所述网关设备之前,所述终端设备与所述网关设备之间采用自有协议传输数据。
应用于终端设备时,处理器1001调用存储器1005中存储的双向身份验证程序时,还执行以下操作:
通过自有协议向所述网关设备发送携带有配网请求的第一请求数据;所述配网请求中包含所述终端设备的MAC地址;
接收所述网关设备通过自有协议发送的携带有配网决定的响应数据。
应用于终端设备时,处理器1001调用存储器1005中存储的双向身份验证程序时,还执行以下操作:
通过自有协议向所述网关设备发送的携带有配网请求的第二请求数据;其中,所述第二请求数据中包含所述终端设备的MAC地址和由公钥加密的随机数。
应用于终端设备时,处理器1001调用存储器1005中存储的双向身份验证程序时,执行以下操作:
通过自有协议向所述网关设备发送携带有配网请求的第三请求数据;其中,所述第三请求数据中包含由所述随机数加密标识信息得到的设备信息和由所述公钥加密的设备信息。
应用于终端设备时,处理器1001调用存储器1005中存储的双向身份验证程序时,还执行以下操作:
接收所述网关设备发送的与所述第三请求数据对应的响应数据;
采用所述公钥对与所述第三请求数据对应的响应数据进行解密,得到由与所述公钥对应的私钥加密后的会话密钥和加密后的第一哈希值;
采用所述随机数对所述加密后的会话密钥进行解密,得到所述会话密钥;
采用所述会话密钥对所述加密后的第一哈希值进行解密,得到所述第一哈希值;
对发送给所述网关设备的所有数据进行哈希运算,得到第二哈希值;
若验证所述第一哈希值与所述第二哈希值相同,则向所述网关设备发送所述第一哈希值的验证结果。
本发明实施例提供了双向身份验证的实施例,需要说明的是,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。该双向身份验证方法应用于网关设备、云服务器以及终端设备。
如图2所示,在本申请的第一实施例中,本申请的双向身份验证方法,该方法由网关设备执行,包括以下步骤:
步骤S210:当待入网的终端设备被授权进行入网协商时,获取终端设备的标识信息。
在本实施例中,终端设备是指入网需要进行身份认证的一类智能设备,如智能门锁、智能冰箱等。终端设备入网之前需要向用户的用户终端发送配网请求,用户通过用户终端授权终端设备入网后,终端设备获取自身的标识信息,然后将标识信息发送至网关设备,网关设备获取终端设备的标识信息。其中,标识信息可以是设备序列号、设备串号等。
步骤S220:将终端设备的标识信息发送给云服务器进行设备身份的合法性验证。
在本实施例中,云服务器的数据库中预登记有多个标识信息,每个标识信息具有对应的终端设备,预登记的标识信息用于云服务器对接收到的待验证标识信息进行验证,待验证标识信息验证通过,则表明与待验证标识信息对应的终端设备为合法设备。
具体的,云服务器接收到网关设备发送的待验证标识信息后,将待验证标识信息作为搜索条件从数据库中搜索预登记的标识信息,如果数据库中可以搜索到预登记的标识信息,且验证预登记的标识信息与待验证标识信息相同,待验证标识信息对应的终端设备的设备身份合法性验证通过,云服务器将该设备身份合法性验证通过结果发送给网关设备。
步骤S230:若终端设备为在云服务器预登记的合法设备,则网关设备与终端设备分别对相互之间交互的数据进行对比验证。
在本实施例中,网关设备接收到云服务器发送的设备身份合法性验证通过结果,网关设备确定所接收的标识信息对应的终端设备为合法设备,从而完成网关设备对终端设备的设备身份验证,然后网关设备与终端设备分别对相互之间交互的数据进行对比验证,以使得网关设备根据两者之间交互数据的对比验证结果确定是否向终端设备发送联网凭证。
具体的,网关设备获取终端设备发送的所有数据,得到第一验证数据,并将第一验证数据发送给终端设备,终端设备接收到第一验证数据后,获取其发送给网关设备所有数据,得到第二验证数据。如果终端设备验证第二验证数据与第一验证数据相同,将第二验证数据发送给网关设备,如果网关设备验证第一验证数据与第二验证数据相同,即网关设备与终端设备相互之间交互的数据对比验证完成。
步骤S240:当网关设备与终端设备验证相互之间交互的数据被验证为一致时,网关设备向终端设备发送联网凭证,以使终端设备连入网关设备。
在本实施例中,当网关设备验证第一验证数据与第二验证数据相同时,网关设备向终端设备发送联网凭证,终端设备采用联网凭证即可连入网关设备,从而实现终端设备与网关设备之间的正常数据传输。其中,联网凭证包括网关设备的服务集标识(SSID)和密码。
需要说明的是,在终端设备连入网关设备之前,网关设备与终端设备之间采用自有协议传输数据。
其中,自有协议是指在Beacon(信标)、Probe Request(探测请求帧)、ProbeResponse(探测响应帧)中存在的一个字段,即“IE字段”,“IE字段”里的内容是自定义的。如表1所示,表1为自定义IE字段的格式。
表1
Figure BDA0002728803690000131
表1其中,ElementID为单元标识符,取值为0xDD,Length字段表示OUI+Vendor-specific content的长度,最大长度255。
OUI为标识字段,可以根据具体待入网设备厂商决定,不同的厂商对应不同的OUI,以作区别,如TCL公司的自定义标识为0x55,0xAA,0x1A。
Vendor Specific content字段为填入待传送的加密字段,如加密后的网关设备的服务集标识(SSID)、密码等。
本实施例根据上述技术方案,由于采用了当待入网的终端设备被授权进行入网协商时,获取终端设备的标识信息;将终端设备的标识信息发送给云服务器进行设备身份的合法性验证;若终端设备为在云服务器预登记的合法设备,则网关设备与终端设备分别对相互之间交互的数据进行对比验证;当网关设备与终端设备验证相互之间交互的数据被验证为一致时,网关设备向终端设备发送联网凭证,以使终端设备连入网关设备的技术方案,解决现有的快速配网方法安全性能较差,容易导致信息泄露的问题,实现了在完成快速配网的功能前提下,能够有效的保护网关的密码不被泄漏,保证了整个配网流程的安全性。
如图3所示,本申请的第二实施例中,在待入网的终端设备被授权进行入网协商之前,本申请的双向身份验证方法包括以下步骤:
步骤S310:接收待入网的终端设备通过自有协议发送的携带有配网请求的第一请求数据。
在本实施例中,在终端设备未入网前需要用户手动去操作终端设备,使得终端设备向网关设备发送携带有配网请求的第一请求数据,第一请求数据由终端设备通过自有协议发送。
步骤S320:对第一请求数据进行解析得到配网请求,并将配网请求发送给用户终端,供用户反馈配网决定;配网请求中包含终端设备的MAC地址。
MAC地址:Media Access Control Address,直译为媒体存取控制位址,也称为局域网地址(LAN Address),MAC位址,以太网地址(Ethernet Address)或物理地址(PhysicalAddress),它是一个用来确认网络设备位置的位址。
在本实施例中,网关设备对接收到的第一请求数据进行解析,得到配网请求,配网请求中包含终端设备的MAC地址。网关设备将配网请求发送给用户终端,用户终端接收到配网请求会显示终端设备的MAC地址,用户通过用户终端可以看到是否进行终端设备授权入网的提示信息,如果用户通过用户终端授权终端设备入网,则用户终端向网关设备发送用户确认入网的配网决定以及与配网决定对应的MAC地址。
步骤S330:若接收到用户确认入网的配网决定以及与配网决定对应的MAC地址,则通过自有协议向待入网的终端设备反馈携带有配网决定的响应数据。
在本实施例中,用户通过用户终端授权终端设备入网,网关设备接收到用户确认入网的配网决定以及与配网决定对应的MAC地址时,向终端设备发送携带有配网决定的响应数据,终端设备根据响应数据可确定自己已被用户授权入网。
步骤S340:将与配网决定对应的MAC地址设置为可协商配网的MAC地址。
在本实施例中,网关设备接收到与配网决定对应的MAC地址,将该MAC地址设置为可协商配网的MAC地址。可协商配网的MAC地址为待入网终端设备的MAC地址的集合,用于与网关设备再次接收到的待终端设备的MAC地址进行比对,判断网关设备此次所接收到的待入网终端设备的MAC地址与可协商配网的MAC地址中的MAC地址是否存在一致对应的关系,进而决定是否允许终端设备进行入网协商。
上述方法采用了接收待入网的终端设备通过自有协议发送的携带有配网请求的第一请求数据,对第一请求数据进行解析得到配网请求,并将配网请求发送给用户终端,供用户反馈配网决定;配网请求中包含终端设备的MAC地址,若接收到用户确认入网的配网决定以及与配网决定对应的MAC地址,则通过自有协议向待入网的终端设备反馈携带有配网决定的响应数据的技术方案,实现对终端设备入网协商进行了严格的限制,避免了不合法终端设备占用入网接口的问题。
如图4所示,本申请的第三实施例中,本申请的双向身份验证方法,还包括以下步骤:
步骤S350:接收终端设备通过自有协议发送的携带有配网请求的第二请求数据。
在本实施例中,网关设备接收终端设备发送的携带有配网请求的第二请求数据,第二请求数据由终端设备通过自有协议发送,第二请求数据也包含终端设备的MAC地址。
步骤S360:若终端设备的MAC地址属于可协商配网的MAC地址,则授权终端设备进行入网协商。
在本实施例中,网关设备对第二请求数据进行解析,得到终端设备的MAC地址,如果该MAC地址与可协商配网的MAC地址中的MAC地址存在一致对应的关系,如当前终端设备的MAC地址为60:21:C0:30:0B:28,可协商配网的MAC地址中存在的MAC地址也为60:21:C0:30:0B:28,即该终端设备的MAC地址属于可协商配网的MAC地址,进一步的,网关设备授权终端设备进行入网协商。
上述方法采用了接收待入网的终端设备通过自有协议发送的携带有配网请求的第一请求数据,对第一请求数据进行解析得到配网请求,并将配网请求发送给用户终端,供用户反馈配网决定;配网请求中包含终端设备的MAC地址,若接收到用户确认入网的配网决定以及与配网决定对应的MAC地址,则通过自有协议向待入网的终端设备反馈携带有配网决定的响应数据,将与配网决定对应的MAC地址设置为可协商配网的MAC地址的技术方案,提高了网关设备判断待入网的网终端设备是否为合法设备的准确性。
如图5所示,本申请的双向身份验证方法的步骤S210,具体包括以下步骤:
步骤S211:接收待入网的终端设备通过自有协议发送的携带有配网请求的第三请求数据。
在本实施例中,待入网的终端设备被网关设备授权进行入网协商时,终端设备与网关设备互相之间的身份认证已经完成,接下需要终端设备与网关设备互相之间进行会话密钥协商。
具体的,终端设备通过自有协议向网关设备发送携带有配网请求的第三请求数据,第三请求数据中包含由随机数加密标识信息得到的设备信息和由公钥加密的设备信息,网关设备对接收第三请求数据进行逐步解密处理。
步骤S212:采用与公钥对应的私钥对加密的设备信息进行解密,得到设备信息。
具体的,网关设备接收到第三请求数据后,获得由终端设备的公钥加密的设备信息。网关设备获取与终端设备的公钥对应的私钥对加密的设备信息进行解密,得到终端设备的设备信息。其中,私钥预先存储在网关设备中。
步骤S213:采用随机数对设备信息进行解密,得到标识信息。
具体的,由于设备信息是终端设备通过随机数对标识信息加密后获得的,网关设备得到设备信息和随机数后,采用随机数对设备信息进行解密,得到标识信息。
上述方法采用了接收待入网的终端设备通过自有协议发送的携带有配网请求的第三请求数据,采用与公钥对应的私钥对加密的设备信息进行解密,得到设备信息,采用随机数对设备信息进行解密,得到标识信息的技术方案,避免了在解密加密的设备信息过程中数据的遗漏,提高了获取终端设备的标识信息的准确性。
进一步的,第二请求数据中还包含由公钥加密的随机数,获取终端设备的标识信息,还包括:采用与公钥对应的私钥对加密的随机数进行解密,得到随机数。
具体的,网关设备接收到的第二请求数据中除了包含终端设备的MAC地址之外,还包含由公钥加密的随机数。网关设备采用私钥对加密的随机数进行解密,可得到随机数。网关设备解密得到终端设备的设备信息时,采用随机数解密设备信息,得到标识信息。其中,网关设备接收第二请求数据时,可以在获取终端设备的MAC地址时对加密的随机数进行解密得到随机数;或者网关设备在接收到第三请求数据时,对加密的随机数进行解密得到随机数,本申请不限定得到随机数的先后顺序。
如图6所示,本申请的双向身份验证方法的步骤S220,具体包括以下步骤:
步骤S221:根据接收到的终端设备发送的所有数据进行哈希运算,得到第一哈希值。
网关设备接收到云服务器发送的设备身份合法性验证通过结果,确定所接收的标识信息对应的终端设备为合法设备后,获取终端设备发送的所有数据,并对终端设备发送的所有数据进行哈希运算,得到第一哈希值。其中,终端设备发送的所有数据包括第一请求数据、第二请求数据和第三请求数据。
步骤S222:生成会话密钥,并使用随机数对会话密钥进行加密。
网关设备得到第一哈希值后,网关设备生成会话密钥,并采用随机数对会话密钥进行加密。其中,会话密钥作为第一哈希值的加密工具。
步骤S223:采用会话密钥对第一哈希值进行加密。
采用会话密钥对第一哈希值进行加密,可以在数据传输中保证数据的安全性,以及对终端设备解密到的第一哈希值正确性进行验证。
步骤S224:使用私钥对加密后的会话密钥和加密后的第一哈希值一起进行加密,并将加密结果附加在对应于第三请求数据的响应数据中发送给待入网的终端设备。
网关设备分别得到加密的会话密钥和加密的第一哈希值后,并采用私钥对已经加密的会话密钥和第一哈希值再进行加密,得到加密结果作为响应数据发送给终端设备,以供终端设备进行解密和数据验证。其中,响应数据与第三请求数据对应。
步骤S225:接收所述终端设备对解密得到的第一哈希值的验证结果。
终端设备接收到网关设备发送的对应于第三请求数据的响应数据,并对该对应于第三请求数据的响应数据进行解密,得到第一哈希值的验证结果。之后,终端生设备获取发送给网关设备的所有数据,也对发送给网关设备的所有数据进行哈希运算,得到第二哈希值,然后将第二哈希值与第一哈希值进行比较,以验证第一哈希值与第二哈希值是否相同。当终端生设备验证第一哈希值和第二哈希值相同时,将采用会话秘钥加密第一哈希值的验证结果,将加密的第一哈希值的验证结果作为第四请求数据发送给网关设备。其中,终端生设备获取发送给网关设备的所有数据包括第一请求数据、第二请求数据和第三请求数据。
上述方法采用了根据接收到的终端设备发送的所有数据进行哈希运算,得到第一哈希值,生成会话密钥,并使用所述随机数对所述会话密钥进行加密,采用所述会话密钥对所述第一哈希值进行加密,使用所述私钥对加密后的会话密钥和加密后的第一哈希值一起进行加密,并将加密结果附加在对应于所述第三请求数据的响应数据中发送给所述待入网的终端设备,接收所述终端设备对解密得到的第一哈希值的验证结果的技术方案,提高了响应数据传输过程中的安全等级。
如图7所示,在本申请的第四实施例中,本申请的双向身份验证方法,该方法由终端设备执行,包括以下步骤:
步骤S410:当终端设备被授权进行入网协商时,向网关设备发送标识信息,以使网关设备将标识信息发送给云服务器进行设备身份的合法性验证。
在本实施例中,终端设备被网关设备授权进行入网协商时,终端设备获取自身的标识信息(包括序列号、串号等),并将标识信息发送给向网关设备,网关设备对接收到的标识信息不做任何处理,进而将标识信息转发给云服务器进行终端设备的设备身份的合法性验证。其中,云服务器的数据库中预登记有多个标识信息,每个标识信息具有对应的终端设备,预登记的标识信息用于云服务器对接收到的待验证标识信息进行验证,待验证标识信息验证通过,则与待验证标识信息对应的终端设备为合法设备。
步骤S420:接收网关设备发送的联网凭证,采用联网凭证连入网关设备。
在本实施例中,网关设备确定授权进行入网协商的终端设备为合法设备,且网关设备验证其与终端设备相互之间交互的数据通过时,向终端设备发送联网凭证,终端设备接收网关设备发送的联网凭证,并采用联网凭证连入网关设备,从而实现终端设备与网关设备之间的正常数据传输。其中,联网凭证包括网关设备的服务集标识(SSID)和密码。
其中,在终端设备连入网关设备之前,终端设备与网关设备之间采用自有协议传输数据。
本实施例根据上述技术方案,由于采用了当终端设备被授权进行入网协商时,向网关设备发送标识信息,以使网关设备将标识信息发送给云服务器进行设备身份的合法性验证,接收网关设备发送的联网凭证,采用联网凭证连入网关设备的技术方案,保证了终端设备连入网关设备整个过程在数据传输的安全性。
如图8所示,在本申请的第五实施例中,本申请的双向身份验证方法,包括以下步骤:
步骤510:通过自有协议向网关设备发送携带有配网请求的第一请求数据。
在本实施例中,用户手动操作终端设备后触发配网请求,终端设备向网关设备发送携带有配网请求的第一请求数据。其中,配网请求中包含终端设备的MAC地址,第一请求数据由终端设备通过自有协议发送。
步骤520:接收网关设备通过自有协议发送的携带有配网决定的响应数据。
网关设备接收到第一请求数据,获取配网请求,将配网请求发送给用户终端,等待用户通过用户终端授权终端设备入网。网关设备接收到用户确认入网的配网决定以及与配网决定对应的MAC地址时,向终端设备发送携带有配网决定的响应数据,终端设备接收网关设备通过自有协议发送的携带有配网决定的响应数据,终端设备根据响应数据可确定自己已被用户授权入网。
进一步的,本申请的双向身份验证方法,还包括:通过自有协议向网关设备发送的携带有配网请求的第二请求数据;其中,第二请求数据中包含终端设备的MAC地址和由公钥加密的随机数。
具体的,终端设备确定自身被用户授权入网时,生成随机数,通过预存储的公钥对随时数进行加密,将加密后的随机数和端设备的MAC地址作为第二请求数据发送给网关设备。其中,第二请求数据携带有配网请求,且终端设备通过自有协议发送第二请求数据。
进一步的,本申请的双向身份验证方法,还包括:通过自有协议向网关设备发送携带有配网请求的第三请求数据;其中,第三请求数据中包含由随机数加密标识信息得到的设备信息和由公钥加密的设备信息。
具体的,网关设备授权终端设备进行入网协商时,向终端设备发送与第二申请对的响应数据,该响应数据中携带有通过网关设备采用私钥加密的状态数据,加密的状态数据即为网关设备授权终端设备进行入网协商的信息,终端设备使用公钥对加密的状态数据进行解密,可以提取到被网关设备授权进行入网协商的信息。然后,终端设备使用随机数对设备标识进行加密,得到设备信息,接着再使用公钥对设备信息进行加密,得到加密的设备信息,进而将加密的设备信息作为第三请求数据发送给网关设备。其中,第三请求数据携带有配网请求,且终端设备通过自有协议发送第三请求数据。
如图9所示,在本申请的第六实施例中,本申请的双向身份验证方法,在接收网关设备发送的联网凭证之前,还包括以下步骤:
步骤610:接收网关设备发送的与第三请求数据对应的响应数据。
网关设备根据云服务器发送的设备身份合法性验证通过结果,确定终端设备为合法设备后,采用随机数对自身生成的会话密钥进行加密,以及采用会话密钥对计算得到第一哈希值进行加密,接着将使用私钥对加密的会话密钥和加密的第一哈希值一起进行加密,得到与第三请求数据对应的响应数据,然后将该响应数据发生给终端设备,终端设备接收网关设备发送的与第三请求数据对应的响应数据。其中,第一哈希值由网关设备通过对其接收终端设备发送的所有数据进行哈希运算得到,网关设备接收终端设备发送的所有数据包括第一请求数据、第二请求数据和第三请求数据。
步骤620:采用公钥对与第三请求数据对应的响应数据进行解密,得到由与公钥对应的私钥加密后的会话密钥和加密后的第一哈希值。
终端生设备采用公钥对与第三请求数据对应的响应数据进行解密,得到加密的会话密钥和加密的第一哈希值。
步骤630:采用随机数对加密后的会话密钥进行解密,得到会话密钥。
终端生设备采用随机数对加密后的会话密钥进行解密,得到会话密钥。
步骤640:采用会话密钥对加密后的第一哈希值进行解密,得到第一哈希值。
终端生设备采用解密得到的会话密钥对加密后的第一哈希值进行解密,从而得到会话密钥。
步骤650:对发送给网关设备的所有数据进行哈希运算,得到第二哈希值。
终端生设备获取发送给网关设备的所有数据,也对发送给网关设备的所有数据进行哈希运算,得到第二哈希值,然后将第二哈希值与第一哈希值进行比较,以验证第一哈希值与第二哈希值是否相同。其中,终端生设备获取发送给网关设备的所有数据包括第一请求数据、第二请求数据和第三请求数据。
步骤660:若验证第一哈希值与第二哈希值相同,则向网关设备发送第一哈希值的验证结果。
终端生设备验证第一哈希值和第二哈希值相同后,采用会话秘钥加密第一哈希值的验证结果,将加密的第一哈希值的验证结果作为第四请求数据发送给网关设备。其中,第四请求数据携带有配网请求,且终端设备通过自有协议发送第四请求数据。
上述方法采用了接收网关设备发送的与第三请求数据对应的响应数据,采用公钥对与第三请求数据对应的响应数据进行解密,得到由与公钥对应的私钥加密后的会话密钥和加密后的第一哈希值,采用随机数对加密后的会话密钥进行解密,得到会话密钥,采用会话密钥对加密后的第一哈希值进行解密,得到第一哈希值,对发送给网关设备的所有数据进行哈希运算,得到第二哈希值,若验证第一哈希值与第二哈希值相同,则向网关设备发送第一哈希值的验证结果的技术方案,不仅避免了数据传输过程中数据遗漏现象的发生,还提高了数据传输时的安全性。
如图10所示,为了本领域人员更加清楚上述实施过程,结合例子说明如下:
在本实施例中终端设备以智能门锁为例,用户终端以手机为例。
用户操作智能门锁,智能门锁向网关设备发送携带配网请求的第一请求数据,配网请求包含智能门锁的MAC地址,网关设备将配网请求发送给用户端,手机接收到配网请求会显示智能门锁的MAC地址,用户通过手机可以看到是否进行智能门锁授权入网的提示信息,如果用户通过手机授权智能门锁入网,则手机向网关设备发送用户确认入网的配网决定以及与配网决定对应的MAC地址,网关设备将智能门锁的MAC地址设置为可协商配网的MAC地址,并向智能门锁发送携带配网决定的第一响应数据。
智能门锁接收第一响应数据后,生成随机数,采用预存储的公钥加密随机数,并将加密的随机数和自身的MAC地址作为第二请求数据,发送第二请求数据给网关设备。网关设备解析第二请求数据,得到智能门锁的MAC地址,以及采用私钥解密加密的随机数,得到随机数。当网关设备判断智能门锁的MAC地址为可协商配网的MAC地址时,授权智能门锁进行入网协商。然后采用私钥加密授权智能门锁进行入网信息,将加密的授权智能门锁进行入网信息作为第二响应数据发送给智能门锁。
智能门锁采用公钥解密第二响应数据,得到网关设备授权自身进行入网信息,智能门锁确定自身被网关设备授权进行入网协商后,获取自身的标识信息,采用随机数加密标识信息,得到设备信息,采用公钥加密设备信息得到加密的设备信息,将加密的设备信息作为第三请求数据发送给网关设备。
网关设备采用私钥解密第三请求数据得到设备信息,采用随机数解密设备信息得到标识信息,然后加密标识信息发送给云服务器进行设备终端的设备身份合法性验证,云服务器根据预登记的设备标识信息与接收的标识信息进行对比,当云服务器接收的标识信息与预登记的标识信息存在对应关系时,该标识信息对应的智能门锁的设备身份的合法性验证通过,云服务器将设备身份的合法性验证通过的信息发送给网关设备。
网关设备接收云服务器发送的设备身份的合法性验证通过的信息,然后生成会话密钥,采用随机数加密会话密钥,并计算第一请求数据,第二请求数据和第三请求数据的第一哈希值,采用会话密钥加密第一哈希值,采用私钥对加密的第一哈希值和加密的会话密钥一起加密,得到第三响应数据,发送第三响应数据给智能门锁。
智能门锁接收第三响应数据,采用公钥解密第三响应数据,得到加密的会话密钥和加密的第一哈希值,采用随机数解密加密的会话密钥,得到会话密钥,采用会话密钥解密加密的第一哈希值,得到第一哈希值。然后计算第一请求数据,第二请求数据和第三请求数据的第二哈希值,将第二哈希值和第一哈希值进行对比,如果验证第一哈希值与第二哈希值相同,即得到第一哈希值的验证结果,进而采用会话密钥加密第一哈希值的验证结果,将加密的第一哈希值的验证结果作为第四请求数据发送给网关设备。
网关设备采用会话密钥解密第四请求数据,得到第一哈希值的验证结果后,获取密联网凭证,并采用会话密钥加密联网凭证,将加密的联网凭证作为第四响应数据发送给智能门锁。
智能门锁采用会话密钥解密加密的第四响应数据,得到联网凭证,使用联网凭证接入网关设备,以实现登陆云服务器。
如图11所示,进一步的,本发明还提供了一种网关设备,包括:
标识接收模块700,用于当待入网的终端设备被授权进行入网协商时,获取所述终端设备的标识信息;
标识转发模块701,用于将所述终端设备的标识信息发送给云服务器进行设备身份的合法性验证;
第一验证模块702,用于若所述终端设备为在云服务器预登记的合法设备,则所述网关设备与所述终端设备分别对相互之间交互的数据进行对比验证;
凭证发送模块703,用于当网关设备与终端设备验证相互之间交互的数据被验证为一致时,网关设备向终端设备发送联网凭证,以使所述终端设备连入网关设备;其中,在所述终端设备连入所述网关设备之前,所述网关设备与所述终端设备之间采用自有协议传输数据。
如图12所示,进一步的,所述网关设备,还包括:
第一请求接收模块705,用于接收所述待入网的终端设备通过自有协议发送的携带有配网请求的第一请求数据;
配网请求发送模块706,用于对所述第一请求数据进行解析得到配网请求,并将所述配网请求发送给用户终端,供用户反馈配网决定;所述配网请求中包含终端设备的MAC地址;
第一响应发送模块707,还用于若接收到用户确认入网的配网决定以及与所述配网决定对应的MAC地址,则通过自有协议向待入网的终端设备反馈携带有所述配网决定的响应数据;
地址配置模块708,用于将所述与所述配网决定对应的MAC地址设置为可协商配网的MAC地址。
如图13所示,进一步的,所述网关设备,还包括:
第二请求接收模块709,用于接收所述终端设备通过自有协议发送的携带有配网请求的第二请求数据;所述第二请求数据包含所述终端设备的MAC地址;
入网协商模块710,用于若所述终端设备的MAC地址属于可协商配网的MAC地址,则授权所述终端设备进行入网协商。
进一步的,所述标识接收模块700,包括:
接收单元,用于接收所述待入网的终端设备通过自有协议发送的携带有配网请求的第三请求数据;所述第三请求数据中包含由随机数加密标识信息得到的设备信息和由公钥加密的设备信息;
第一解密单元,用于采用与所述公钥对应的私钥对所述加密的设备信息进行解密,得到所述设备信息;
第二解密单元,用于采用所述随机数对所述设备信息进行解密,得到所述标识信息。
进一步的,所述第二请求数据中还包含由公钥加密的所述随机数,所述标识接收模块700,还包括:
第三解密单元,用于采用与所述公钥对应的私钥对所述加密的随机数进行解密,得到所述随机数。
进一步的,所述第一验证模块702,包括:
第一计算单元,用于根据接收到的终端设备发送的所有数据进行哈希运算,得到第一哈希值;
密钥生成单元,用于生成会话密钥,并使用所述随机数对所述会话密钥进行加密;
第一加密单元,用于采用所述会话密钥对所述第一哈希值进行加密;
第一发送单元,使用所述私钥对加密后的会话密钥和加密后的第一哈希值一起进行加密,并将加密结果附加在对应于所述第三请求数据的响应数据中发送给所述待入网的终端设备;
第一接收单元,用于接收所述终端设备对解密得到的第一哈希值的验证结果。
本发明网关设备具体实施方式与上述由网关设备执行的双向身份验证方法的各实施例基本相同,在此不再赘述。
进一步的,本发明还提供了一种终端设备,包括:
标识发送模块800,用于当所述终端设备被授权进行入网协商时,向网关设备发送标识信息,以使所述网关设备将所述标识信息发送给云服务器进行设备身份的合法性验证;
凭证发送模块801,用于接收所述网关设备发送的联网凭证;
联网模块802,用于采用所述联网凭证连入所述网关设备;
其中,在所述终端设备连入所述网关设备之前,所述终端设备与所述网关设备之间采用自有协议传输数据。
进一步的,所述终端设备,还包括:
第一请求发送模块803,用于通过自有协议向所述网关设备发送携带有配网请求的第一请求数据;所述配网请求中包含所述终端设备的MAC地址;
第一响应接收模块804,用于接收所述网关设备通过自有协议发送的携带有配网决定的响应数据。
进一步的,所述终端设备,还包括:
第二请求发送模块805,用于通过自有协议向所述网关设备发送的携带有配网请求的第二请求数据;其中,所述第二请求数据中包含所述终端设备的MAC地址和由公钥加密的随机数。
进一步的,在向网关设备发送标识信息方面,所述标识发送模块800具体用于通过自有协议向所述网关设备发送携带有配网请求的第三请求数据;其中,所述第三请求数据中包含由所述随机数加密标识信息得到的设备信息和由所述公钥加密的设备信息。
进一步的,所述终端设备,还包括:
第三响应接收模块806,用于接收所述网关设备发送的与所述第三请求数据对应的响应数据;
第一解密模块807,用于采用所述公钥对与所述第三请求数据对应的响应数据进行解密,得到由与所述公钥对应的私钥加密后的会话密钥和加密后的第一哈希值;
第二解密模块808,用于采用所述随机数对所述加密后的会话密钥进行解密,得到所述会话密钥;
第三解密模块809,用于采用所述会话密钥对所述加密后的第一哈希值进行解密,得到所述第一哈希值;
运算模块810,用于对发送给所述网关设备的所有数据进行哈希运算,得到第二哈希值;
验证结果发送模块811,用于若验证所述第一哈希值与所述第二哈希值相同,则向所述网关设备发送所述第一哈希值的验证结果。
本发明终端设备具体实施方式与上述由终端设备执行的双向身份验证方法的各实施例基本相同,在此不再赘述。
进一步的,一种双向身份验证系统,包括用户终端、终端设备、网关设备和云服务器;
所述用户终端,用于向所述网关设备发送用户反馈的配网决定;
所述终端设备,用于根据所述用户终端发送的配网决定,向所述网关设备发送标识信息,以及接收所述网关设备发送的联网凭证;
所述网关设备,用于将获取的标识信息发送给云服务器,以及在接收到所述云服务器发送的合法性验证通过结果时,与所述终端设备分别对相互之间交互的数据进行对比验证,当与终端设备验证相互之间交互的数据被验证为一致时,向终端设备发送联网凭证;
所述云服务器,用于根据接收的所述标识信息对所述终端设备的设备身份进行合法性验证,以及在验证所述终端设备为在云服务器预登记的合法设备时,将合法性验证通过结果发送给所述网关设备。
本发明双向身份验证系统具体实施方式与上述双向身份验证方法的各实施例基本相同,在此不再赘述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
应当注意的是,在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发
明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (17)

1.一种双向身份验证方法,其特征在于,应用于网关设备,所述双向身份验证方法包括:
当待入网的终端设备被授权进行入网协商时,获取所述终端设备的标识信息;
将所述终端设备的标识信息发送给云服务器进行设备身份的合法性验证;
若所述终端设备为在云服务器预登记的合法设备,则所述网关设备与所述终端设备分别对相互之间交互的数据进行对比验证;
当网关设备与终端设备验证相互之间交互的数据被验证为一致时,网关设备向终端设备发送联网凭证,以使所述终端设备连入网关设备。
2.如权利要求1所述的方法,其特征在于,在所述终端设备连入所述网关设备之前,所述网关设备与所述终端设备之间采用自有协议传输数据。
3.如权利要求2所述的方法,其特征在于,在待入网的终端设备被授权进行入网协商之前,所述方法还包括:
接收所述待入网的终端设备通过自有协议发送的携带有配网请求的第一请求数据;
对所述第一请求数据进行解析得到所述配网请求,并将所述配网请求发送给用户终端,供用户反馈配网决定;所述配网请求中包含终端设备的MAC地址;
若接收到用户确认入网的配网决定以及与所述配网决定对应的MAC地址,则通过自有协议向待入网的终端设备反馈携带有所述配网决定的响应数据;
将所述与所述配网决定对应的MAC地址设置为可协商配网的MAC地址。
4.如权利要求3所述的方法,其特征在于,还包括:
接收所述终端设备通过自有协议发送的携带有配网请求的第二请求数据;
所述第二请求数据包含所述终端设备的MAC地址;
若所述终端设备的MAC地址属于可协商配网的MAC地址,则授权所述终端设备进行入网协商。
5.如权利要求4所述的方法,其特征在于,所述获取所述终端设备的标识信息,包括:
接收所述待入网的终端设备通过自有协议发送的携带有配网请求的第三请求数据;所述第三请求数据中包含由随机数加密标识信息得到的设备信息和由公钥加密的设备信息;
采用与所述公钥对应的私钥对所述加密的设备信息进行解密,得到所述设备信息;
采用所述随机数对所述设备信息进行解密,得到所述标识信息。
6.如权利要求5所述的方法,其特征在于,所述第二请求数据中还包含由公钥加密的所述随机数;
所述获取所述终端设备的标识信息,还包括:
采用与所述公钥对应的私钥对所述加密的随机数进行解密,得到所述随机数。
7.如权利要求5所述的方法,其特征在于,所述网关设备与终端设备分别对相互之间交互的数据进行对比验证,包括:
根据接收到的终端设备发送的所有数据进行哈希运算,得到第一哈希值;
生成会话密钥,并使用所述随机数对所述会话密钥进行加密;
采用所述会话密钥对所述第一哈希值进行加密;
使用所述私钥对加密后的会话密钥和加密后的第一哈希值一起进行加密,并将加密结果附加在对应于所述第三请求数据的响应数据中发送给所述待入网的终端设备;
接收所述终端设备对解密得到的第一哈希值的验证结果。
8.一种双向身份验证方法,其特征在于,应用于终端设备,所述双向身份验证方法包括:
当所述终端设备被授权进行入网协商时,向网关设备发送标识信息,以使所述网关设备将所述标识信息发送给云服务器进行设备身份的合法性验证;
接收所述网关设备发送的联网凭证,采用所述联网凭证连入所述网关设备;
其中,在所述终端设备连入所述网关设备之前,所述终端设备与所述网关设备之间采用自有协议传输数据。
9.如权利要求8所述的方法,其特征在于,在所述终端设备被授权进行入网协商之前,所述方法还包括:
通过自有协议向所述网关设备发送携带有配网请求的第一请求数据;所述配网请求中包含所述终端设备的MAC地址;
接收所述网关设备通过自有协议发送的携带有配网决定的响应数据。
10.如权利要求9所述的方法,其特征在于,所述方法还包括:
通过自有协议向所述网关设备发送的携带有配网请求的第二请求数据;其中,所述第二请求数据中包含所述终端设备的MAC地址和由公钥加密的随机数。
11.如权利要求10所述的方法,其特征在于,所述向网关设备发送标识信息,包括:
通过自有协议向所述网关设备发送携带有配网请求的第三请求数据;其中,所述第三请求数据中包含由所述随机数加密标识信息得到的设备信息和由所述公钥加密的设备信息。
12.如权利要求11所述的方法,其特征在于,在接收所述网关设备发送的联网凭证之前,所述方法还包括:
接收所述网关设备发送的与所述第三请求数据对应的响应数据;
采用所述公钥对与所述第三请求数据对应的响应数据进行解密,得到由与所述公钥对应的私钥加密后的会话密钥和加密后的第一哈希值;
采用所述随机数对所述加密后的会话密钥进行解密,得到所述会话密钥;
采用所述会话密钥对所述加密后的第一哈希值进行解密,得到所述第一哈希值;
对发送给所述网关设备的所有数据进行哈希运算,得到第二哈希值;
若验证所述第一哈希值与所述第二哈希值相同,则向所述网关设备发送所述第一哈希值的验证结果。
13.一种网关设备,其特征在于,包括:
接收模块,用于当待入网的终端设备被授权进行入网协商时,获取所述终端设备的标识信息;
标识转发模块,用于将所述终端设备的标识信息发送给云服务器进行设备身份的合法性验证;
第一验证模块,用于若所述终端设备为在云服务器预登记的合法设备,则所述网关设备与所述终端设备分别对相互之间交互的数据进行对比验证;
凭证发送模块,用于当网关设备与终端设备验证相互之间交互的数据被验证为一致时,网关设备向终端设备发送联网凭证,以使所述终端设备连入网关设备;其中,在所述终端设备连入所述网关设备之前,所述网关设备与所述终端设备之间采用自有协议传输数据。
14.一种终端设备,其特征在于,包括:
标识发送模块,用于当所述终端设备被授权进行入网协商时,向网关设备发送标识信息,以使所述网关设备将所述标识信息发送给云服务器进行设备身份的合法性验证;
凭证发送模块,用于接收所述网关设备发送的联网凭证;
联网模块,用于采用所述联网凭证连入所述网关设备;
其中,在所述终端设备连入所述网关设备之前,所述终端设备与所述网关设备之间采用自有协议传输数据。
15.一种双向身份验证系统,其特征在于,包括用户终端、终端设备、网关设备和云服务器;
所述用户终端,用于向所述网关设备发送用户反馈的配网决定;
所述终端设备,用于根据所述用户终端发送的配网决定,向所述网关设备发送标识信息,以及接收所述网关设备发送的联网凭证;
所述网关设备,用于将获取的标识信息发送给云服务器,以及在接收到所述云服务器发送的合法性验证通过结果时,与所述终端设备分别对相互之间交互的数据进行对比验证,当与终端设备验证相互之间交互的数据被验证为一致时,向终端设备发送联网凭证;
所述云服务器,用于根据接收的所述标识信息对所述终端设备的设备身份进行合法性验证,以及在验证所述终端设备为在云服务器预登记的合法设备时,将合法性验证通过结果发送给所述网关设备。
16.一种双向身份验证设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的双向身份验证程序,所述双向身份验证程序被所述处理器执行时实现如权利要求1-12任一项所述的双向身份验证方法的步骤。
17.一种存储介质,其特征在于,其上存储有双向身份验证程序,所述双向身份验证程序被处理器执行时实现权利要求1-12任一所述的双向身份验证方法的步骤。
CN202011115567.5A 2020-10-16 2020-10-16 双向身份验证方法、系统、设备及存储介质 Active CN112351000B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011115567.5A CN112351000B (zh) 2020-10-16 2020-10-16 双向身份验证方法、系统、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011115567.5A CN112351000B (zh) 2020-10-16 2020-10-16 双向身份验证方法、系统、设备及存储介质

Publications (2)

Publication Number Publication Date
CN112351000A true CN112351000A (zh) 2021-02-09
CN112351000B CN112351000B (zh) 2024-02-09

Family

ID=74362089

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011115567.5A Active CN112351000B (zh) 2020-10-16 2020-10-16 双向身份验证方法、系统、设备及存储介质

Country Status (1)

Country Link
CN (1) CN112351000B (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113079015A (zh) * 2021-03-11 2021-07-06 国电南瑞科技股份有限公司 一种电力数据防伪造加密验证方法及系统
CN113347069A (zh) * 2021-04-23 2021-09-03 宁波奥克斯电气股份有限公司 一种家电设备的配网方法、装置、家电设备及服务器
CN113709849A (zh) * 2021-06-03 2021-11-26 青岛海尔科技有限公司 待入网设备的入网方法和装置、存储介质及电子装置
CN113825135A (zh) * 2021-09-18 2021-12-21 江苏亨鑫众联通信技术有限公司 微基站架构搭建认证方法、fpga及单元产品
CN113873511A (zh) * 2021-07-16 2021-12-31 天翼智慧家庭科技有限公司 一种基于远程验证的Zigbee安全入网方法和系统
CN114221822A (zh) * 2022-01-12 2022-03-22 杭州涂鸦信息技术有限公司 配网方法、网关设备以及计算机可读存储介质
CN114666155A (zh) * 2022-04-08 2022-06-24 深圳市欧瑞博科技股份有限公司 设备接入方法、系统、装置、物联网设备和网关设备
CN114915487A (zh) * 2022-06-09 2022-08-16 中国电信股份有限公司 终端认证方法、系统、装置、设备及存储介质
WO2022174652A1 (zh) * 2021-02-18 2022-08-25 天翼数字生活科技有限公司 智能终端自动发现配网方法及系统
CN115002770A (zh) * 2022-05-24 2022-09-02 矩阵时光数字科技有限公司 一种基于量子密钥的近场通信系统
CN115348076A (zh) * 2022-08-12 2022-11-15 天翼数字生活科技有限公司 一种基于属性加密的设备安全认证方法及其相关装置
CN115412887A (zh) * 2021-05-27 2022-11-29 北京小米移动软件有限公司 配网方法、装置、系统、设备及存储介质
CN115580415A (zh) * 2022-12-12 2023-01-06 南方电网数字电网研究院有限公司 区块链中数据交互认证方法、装置与系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656481A (zh) * 2016-10-28 2017-05-10 美的智慧家居科技有限公司 身份认证方法、装置以及系统
CN106921963A (zh) * 2017-01-22 2017-07-04 海尔优家智能科技(北京)有限公司 一种智能设备接入无线局域网的方法及装置
US20180007551A1 (en) * 2015-04-30 2018-01-04 Hangzhou H3C Technologies Co., Ltd. Wireless access authentication
CN108881224A (zh) * 2018-06-19 2018-11-23 南方电网科学研究院有限责任公司 一种配电自动化系统的加密方法及相关装置
US20190173670A1 (en) * 2016-08-04 2019-06-06 Huawei Technologies Co., Ltd. Authentication method, server, terminal, and gateway
CN110891299A (zh) * 2019-11-15 2020-03-17 北京小米移动软件有限公司 配网方法及装置、电子设备及存储介质
CN111092869A (zh) * 2019-12-10 2020-05-01 中盈优创资讯科技有限公司 终端接入办公网络安全管控方法及认证服务器
CN111245607A (zh) * 2020-01-07 2020-06-05 杭州涂鸦信息技术有限公司 一种组网方法及系统、配网设备、客户端和服务端
CN111510426A (zh) * 2020-03-06 2020-08-07 珠海格力电器股份有限公司 物联网配网加密方法、装置、系统、电子设备及存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180007551A1 (en) * 2015-04-30 2018-01-04 Hangzhou H3C Technologies Co., Ltd. Wireless access authentication
US20190173670A1 (en) * 2016-08-04 2019-06-06 Huawei Technologies Co., Ltd. Authentication method, server, terminal, and gateway
CN106656481A (zh) * 2016-10-28 2017-05-10 美的智慧家居科技有限公司 身份认证方法、装置以及系统
CN106921963A (zh) * 2017-01-22 2017-07-04 海尔优家智能科技(北京)有限公司 一种智能设备接入无线局域网的方法及装置
CN108881224A (zh) * 2018-06-19 2018-11-23 南方电网科学研究院有限责任公司 一种配电自动化系统的加密方法及相关装置
CN110891299A (zh) * 2019-11-15 2020-03-17 北京小米移动软件有限公司 配网方法及装置、电子设备及存储介质
CN111092869A (zh) * 2019-12-10 2020-05-01 中盈优创资讯科技有限公司 终端接入办公网络安全管控方法及认证服务器
CN111245607A (zh) * 2020-01-07 2020-06-05 杭州涂鸦信息技术有限公司 一种组网方法及系统、配网设备、客户端和服务端
CN111510426A (zh) * 2020-03-06 2020-08-07 珠海格力电器股份有限公司 物联网配网加密方法、装置、系统、电子设备及存储介质

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022174652A1 (zh) * 2021-02-18 2022-08-25 天翼数字生活科技有限公司 智能终端自动发现配网方法及系统
CN113079015A (zh) * 2021-03-11 2021-07-06 国电南瑞科技股份有限公司 一种电力数据防伪造加密验证方法及系统
CN113347069A (zh) * 2021-04-23 2021-09-03 宁波奥克斯电气股份有限公司 一种家电设备的配网方法、装置、家电设备及服务器
CN113347069B (zh) * 2021-04-23 2022-09-09 宁波奥克斯电气股份有限公司 一种家电设备的配网方法、装置、家电设备及服务器
CN115412887A (zh) * 2021-05-27 2022-11-29 北京小米移动软件有限公司 配网方法、装置、系统、设备及存储介质
CN113709849A (zh) * 2021-06-03 2021-11-26 青岛海尔科技有限公司 待入网设备的入网方法和装置、存储介质及电子装置
CN113873511B (zh) * 2021-07-16 2024-11-05 天翼数字生活科技有限公司 一种基于远程验证的Zigbee安全入网方法和系统
CN113873511A (zh) * 2021-07-16 2021-12-31 天翼智慧家庭科技有限公司 一种基于远程验证的Zigbee安全入网方法和系统
CN113825135A (zh) * 2021-09-18 2021-12-21 江苏亨鑫众联通信技术有限公司 微基站架构搭建认证方法、fpga及单元产品
CN114221822A (zh) * 2022-01-12 2022-03-22 杭州涂鸦信息技术有限公司 配网方法、网关设备以及计算机可读存储介质
CN114221822B (zh) * 2022-01-12 2023-10-27 杭州涂鸦信息技术有限公司 配网方法、网关设备以及计算机可读存储介质
CN114666155A (zh) * 2022-04-08 2022-06-24 深圳市欧瑞博科技股份有限公司 设备接入方法、系统、装置、物联网设备和网关设备
CN114666155B (zh) * 2022-04-08 2024-04-16 深圳市欧瑞博科技股份有限公司 设备接入方法、系统、装置、物联网设备和网关设备
CN115002770A (zh) * 2022-05-24 2022-09-02 矩阵时光数字科技有限公司 一种基于量子密钥的近场通信系统
CN114915487B (zh) * 2022-06-09 2023-10-03 中国电信股份有限公司 终端认证方法、系统、装置、设备及存储介质
CN114915487A (zh) * 2022-06-09 2022-08-16 中国电信股份有限公司 终端认证方法、系统、装置、设备及存储介质
CN115348076B (zh) * 2022-08-12 2024-02-06 天翼数字生活科技有限公司 一种基于属性加密的设备安全认证方法、系统及其相关装置
CN115348076A (zh) * 2022-08-12 2022-11-15 天翼数字生活科技有限公司 一种基于属性加密的设备安全认证方法及其相关装置
CN115580415A (zh) * 2022-12-12 2023-01-06 南方电网数字电网研究院有限公司 区块链中数据交互认证方法、装置与系统

Also Published As

Publication number Publication date
CN112351000B (zh) 2024-02-09

Similar Documents

Publication Publication Date Title
CN112351000B (zh) 双向身份验证方法、系统、设备及存储介质
US10554420B2 (en) Wireless connections to a wireless access point
US11308196B2 (en) Authentication of a device
EP3723399A1 (en) Identity verification method and apparatus
CN106161032B (zh) 一种身份认证的方法及装置
CN111783068B (zh) 设备认证方法、系统、电子设备及存储介质
US9338164B1 (en) Two-way authentication using two-dimensional codes
JP4507623B2 (ja) ネットワーク接続システム
WO2017028593A1 (zh) 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质
CN110177354A (zh) 一种车辆的无线控制方法及系统
US9979725B1 (en) Two-way authentication using two-dimensional codes
US20180184290A1 (en) Embedded Certificate Method for Strong Authentication and Ease of Use for Wireless IoT Systems
US20190053052A1 (en) Systems and Methods for Authentication
US20140181929A1 (en) Method and apparatus for user authentication
CN110545252B (zh) 一种认证和信息保护的方法、终端、控制功能实体及应用服务器
CN113556227B (zh) 网络连接管理方法、装置、计算机可读介质及电子设备
CN113920616B (zh) 车辆与蓝牙钥匙安全连接的方法、蓝牙模块、蓝牙钥匙
CN110719173A (zh) 一种信息处理方法及装置
WO2022116209A1 (zh) 物联网设备接入认证方法、装置、设备及存储介质
JP2023162296A (ja) コアネットワークへの非3gppデバイスアクセス
CN104935435A (zh) 登录方法、终端及应用服务器
CN101944216A (zh) 双因子在线交易安全认证方法及系统
WO2018099407A1 (zh) 账户认证登录方法及装置
CN106790036B (zh) 一种信息防篡改方法、装置、服务器和终端
CN109451504B (zh) 物联网模组鉴权方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant