CN112565213B - 认证方法及装置、存储介质、电子装置 - Google Patents

认证方法及装置、存储介质、电子装置 Download PDF

Info

Publication number
CN112565213B
CN112565213B CN202011340219.8A CN202011340219A CN112565213B CN 112565213 B CN112565213 B CN 112565213B CN 202011340219 A CN202011340219 A CN 202011340219A CN 112565213 B CN112565213 B CN 112565213B
Authority
CN
China
Prior art keywords
client
internet
request message
certificate
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011340219.8A
Other languages
English (en)
Other versions
CN112565213A (zh
Inventor
杨喜迎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qingdao Haier Technology Co Ltd
Haier Smart Home Co Ltd
Original Assignee
Qingdao Haier Technology Co Ltd
Haier Smart Home Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qingdao Haier Technology Co Ltd, Haier Smart Home Co Ltd filed Critical Qingdao Haier Technology Co Ltd
Priority to CN202011340219.8A priority Critical patent/CN112565213B/zh
Publication of CN112565213A publication Critical patent/CN112565213A/zh
Application granted granted Critical
Publication of CN112565213B publication Critical patent/CN112565213B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00388Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks code verification carried out according to the challenge/response method

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种认证方法及装置、存储介质、电子装置,其中,上述方法包括:向客户端发送应答报文,以指示客户端根据数字安全证书对应答报文中包括的设备随机数进行验证,其中,设备随机数为锁具在接收到客户端发送的挑战请求报文后,对从挑战请求报文中获取到的随机数进行签名所得到的设备随机数;在验证结果指示锁具为合法设备的情况下,接收客户端发送的鉴权请求报文;根据锁具中保存的数字安全证书对鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对鉴权请求报文中包括的物联网授权码进行验证,以确定客户端是否为合法用户,采用上述方案,解决了相关技术中,锁具与客户端身份认证方式安全等级较低等问题。

Description

认证方法及装置、存储介质、电子装置
技术领域
本发明涉及通信领域,具体而言,涉及一种认证方法及装置、存储介质、电子装置。
背景技术
随着科学技术的进步和人工智能的发展,智能算法也越来越多的应用到日常生活中,其中,锁具在用户安全性、识别、管理性方面更加智能化简便化,使得智能锁具的应用越来越广泛,锁具的安全性成为更加关注的问题。
相关技术中,智能锁具与客户端蓝牙通信通常采用专用钥匙(Pass key)和Justwork身份认证方式,但是上述身份认证方式安全等级较低,无法真正解决身份认证问题。
针对相关技术中,锁具与客户端身份认证方式安全等级较低等问题,尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种认证方法及装置、存储介质、电子装置,以至少解决相关技术中,锁具与客户端身份认证方式安全等级较低等问题。
根据本发明实施例的一个方面,提供了一种认证方法,包括:向客户端发送应答报文,以指示所述客户端根据数字安全证书对所述应答报文中包括的设备随机数进行验证,其中,所述设备随机数为所述锁具在接收到所述客户端发送的挑战请求报文后,对从所述挑战请求报文中获取到的随机数进行签名所得到的设备随机数;在验证结果指示所述锁具为合法设备的情况下,接收所述客户端发送的鉴权请求报文;根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户。
在一个示例性实施例中,在所述应答报文中还包括设备证书链的情况下,指示所述客户端根据数字安全证书对所述应答报文中包括的设备随机数进行验证,包括:向所述客户端发送指示信息,以指示所述客户端根据所述数字安全证书对所述应答报文中的设备证书链进行验证,其中,在验证通过的情况下,从所述设备证书链中获取设备证书公钥,其中,所述锁具中写入有所述设备证书链;指示所述客户端根据所述设备证书公钥对所述应答报文中包括的设备随机数进行验证,以确定所述锁具是否为合法设备。
在一个示例性实施例中,接收所述客户端发送的鉴权请求报文,包括:接收所述客户端响应物联网平台发送的授权应答报文所发送的鉴权请求报文,其中,所述物联网平台响应所述客户端发送的授权请求报文向所述客户端发送所述授权应答报文,所述授权请求报文包括以下至少之一:所述设备随机数,客户端公钥,所述物联网平台使用物联网平台私钥对所述客户端公钥以及所述设备随机数进行签名得到所述物联网平台证书和所述物联网授权码,所述授权应答报文包括:所述物联网平台证书和所述物联网授权码。
在一个示例性实施例中,接收所述客户端发送的鉴权请求报文之前,所述方法还包括:在所述授权请求报文包括所述客户端生成的第一会话密钥的情况下,通过所述客户端将所述第一会话密钥,所述设备随机数,以及所述客户端公钥发送至所述物联网平台,其中,通过客户端私钥对设备公钥进行加密计算,得到所述第一会话密钥。
在一个示例性实施例中,接收所述客户端发送的鉴权请求报文,并根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户之后,所述方法还包括:在确定所述客户端为合法用户的情况下,根据锁具对应的设备私钥对所述客户端公钥进行迪菲-赫尔曼交换算法,或椭圆曲线迪菲-赫尔曼秘钥交换算法计算,以生成第二会话密钥,并将所述第二会话密钥保存在所述锁具中。
在一个示例性实施例中,接收所述客户端发送的鉴权请求报文,并根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户之后,所述方法还包括:在确认所述客户端为合法用户的情况下,通过所述锁具向所述客户端发送密钥协商确认报文,以指示所述客户端与所述锁具之间进行会话。
根据本发明实施例的另一个方面,还提供了一种认证装置,应用于锁具,包括:发送模块,用于向客户端发送应答报文,以指示所述客户端根据数字安全证书对所述应答报文中包括的设备随机数进行验证,其中,所述设备随机数为所述锁具在接收到所述客户端发送的挑战请求报文后,对从所述挑战请求报文中获取到的随机数进行签名所得到的设备随机数;接收模块,用于在验证结果指示所述锁具为合法设备的情况下,接收所述客户端发送的鉴权请求报文;验证模块,用于根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户。
在一个示例性实施例中,所述发送模块,还用于向所述客户端发送指示信息,以指示所述客户端根据所述数字安全证书对所述应答报文中的设备证书链进行验证,其中,在验证通过的情况下,从所述设备证书链中获取设备证书公钥,其中,所述锁具中写入有所述设备证书链;指示所述客户端根据所述设备证书公钥对所述应答报文中包括的设备随机数进行验证,以确定所述锁具是否为合法设备。
根据本发明实施例的又一方面,还提供了一种计算机可读的存储介质,该计算机可读的存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述认证方法。
根据本发明实施例的又一方面,还提供了一种电子装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,上述处理器通过计算机程序执行上述的认证方法。
在本发明实施例中,向客户端发送应答报文,以指示客户端根据数字安全证书对应答报文中包括的设备随机数进行验证,其中,设备随机数为锁具在接收到客户端发送的挑战请求报文后,对从挑战请求报文中获取到的随机数进行签名所得到的设备随机数;在验证结果指示锁具为合法设备的情况下,接收客户端发送的鉴权请求报文;根据锁具中保存的数字安全证书对鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对鉴权请求报文中包括的物联网授权码进行验证,以确定客户端是否为合法用户,即客户端对设备随机数进行验证,验证锁具是否为合法设备,以及根据锁具中保存的数字安全证书对鉴权请求报文中包括的物联网平台证书进行验证,物联平台公钥对鉴权请求报文中包括的物联网授权码进行验证,以确定客户端是否为合法用户,进而实现了客户端与锁具的双向认证过程,采用上述技术方案,解决了相关技术中,锁具与客户端身份认证方式安全等级较低等问题,进而提高锁具与客户端身份认证方式的安全等级。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种认证方法的锁具的硬件结构框图;
图2是根据本发明实施例的认证方法的流程图;
图3是根据本发明具体实施例的认证方法的基础框架图;
图4是根据本发明具体实施例的认证方法的基本流程图;
图5是根据本发明实施例的认证装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请实施例所提供的方法实施例可以在锁具或者类似的运算装置中执行。以运行在锁具上为例,图1是本发明实施例的一种认证方法的锁具的硬件结构框图。如图1所示,锁具可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,在一个示例性实施例中,上述锁具还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述锁具的结构造成限定。例如,锁具还可包括比图1中所示更多或者更少的组件,或者具有与图1所示等同功能或比图1所示功能更多的不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的认证方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至锁具。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括锁具的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种认证方法,应用于上述锁具,图2是根据本发明实施例的认证方法的流程图,该流程包括如下步骤:
步骤S202,向客户端发送应答报文,以指示所述客户端根据数字安全证书对所述应答报文中包括的设备随机数进行验证,其中,所述设备随机数为所述锁具在接收到所述客户端发送的挑战请求报文后,对从所述挑战请求报文中获取到的随机数进行签名所得到的设备随机数;
步骤S204,在验证结果指示所述锁具为合法设备的情况下,接收所述客户端发送的鉴权请求报文;
步骤S206,根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户。
本发明通过上述步骤,锁具向客户端发送应答报文,以指示客户端根据数字安全证书对应答报文中包括的设备随机数进行验证,其中,设备随机数为锁具在接收到客户端发送的挑战请求报文后,对从挑战请求报文中获取到的随机数进行签名所得到的设备随机数;在验证结果指示锁具为合法设备的情况下,锁具接收客户端发送的鉴权请求报文;锁具根据锁具中保存的数字安全证书对鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对鉴权请求报文中包括的物联网授权码进行验证,以确定客户端是否为合法用户,即客户端对设备随机数进行验证,验证锁具是否为合法设备,以及锁具根据锁具中保存的数字安全证书对鉴权请求报文中包括的物联网平台证书进行验证,物联平台公钥对鉴权请求报文中包括的物联网授权码进行验证,以确定客户端是否为合法用户,进而实现了客户端与锁具的双向认证过程,采用上述技术方案,解决了相关技术中,锁具与客户端身份认证方式安全等级较低等问题,进而提高锁具与客户端身份认证方式的安全等级。
在本发明实施例中,所述锁具中增加了安全芯片,在安全芯片中写入数字安全证书、设备证书链以及对应的设备私钥,锁具与客户端优先选择通过蓝牙进行连接,在完成蓝牙安全配对后建立蓝牙连接,但不限于蓝牙连接,本发明对此不做限定。
步骤S202也可以理解为,在客户端使用锁具时,客户端向锁具发送挑战请求报文,挑战请求报文中包括随机数,锁具对挑战请求报文中的随机数进行签名得到设备随机数,并将设备随机数放入应答报文中,锁具将应答报文发送给客户端,客户端使用数字安全证书对设备随机数进行验证,验证锁具是否为合法设备。
步骤S204和步骤S206可以理解为,在客户端验证锁具为合法设备的情况下,客户端向锁具发送鉴权请求报文,鉴权请求报文包括:物联网平台证书、物联网授权码,锁具收到鉴权请求报文后,锁使用数字安全证书对鉴权请求报文中包括的物联网平台证书进行验证,确定物联网平台证书是否合法,在确定物联网平台证书是合法的情况下,使用物联平台公钥对鉴权请求报文中包括的物联网授权码进行验证,确定客户端是否为合法用户。
需要说明的是,在客户端验证锁具为不合法设备的情况下,结束验证,不再进行后续步骤。
锁具向客户端发送的应答报文不仅包括设备随机数,还包括设备证书链,所述应答报文还指示所述客户端根据数字安全证书对所述应答报文中包括的设备随机数进行验证,指示所述客户端根据所述数字安全证书对所述应答报文中的设备证书链进行验证,其中,在验证通过的情况下,从所述设备证书链中获取设备证书公钥,其中,所述锁具中写入有所述设备证书链;指示所述客户端根据所述设备证书公钥对所述应答报文中包括的设备随机数进行验证,以确定所述锁具是否为合法设备。
也就是说,客户端接收应答报文之后,使用数字安全证书对设备证书链进行验证,验证通过后得到设备证书公钥,然后使用设备证书公钥对设备随机数进行验证确定锁具是否为合法设备。
在确定所述锁具为合法设备的情况下,接收所述客户端发送的鉴权请求报文,在一个发明实施例中,接收所述客户端响应物联网平台发送的授权应答报文所发送的鉴权请求报文,其中,所述物联网平台响应所述客户端发送的授权请求报文向所述客户端发送所述授权应答报文,所述授权请求报文包括以下至少之一:所述设备随机数,客户端公钥,所述物联网平台使用物联网平台私钥对所述客户端公钥以及所述设备随机数进行签名得到所述物联网平台证书和所述物联网授权码,所述授权应答报文包括:所述物联网平台证书和所述物联网授权码。
也就是说,客户端将设备随机数,客户端公钥组成授权请求报文发送给物联网平台,物联网平台验证客户端身份合法后,物联网平台使用物联网平台私钥对所述客户端公钥以及所述设备随机数进行签名得到所述物联网平台证书和所述物联网授权码,并将物联网平台证书和所述物联网授权码组成授权应答报文发送给客户端。
在一个发明实施例中,接收所述客户端发送的鉴权请求报文之前,在所述授权请求报文包括所述客户端生成的第一会话密钥的情况下,通过所述客户端将所述第一会话密钥,所述设备随机数,以及所述客户端公钥发送至所述物联网平台,其中,通过客户端私钥对设备公钥进行迪菲-赫尔曼交换算法,或椭圆曲线迪菲-赫尔曼秘钥交换算法计算,得到所述第一会话密钥。
在确定所述锁具为合法设备的情况下,客户端生成临时客户端公钥和客户端私钥,使用客户端私钥私钥对设备公钥进行迪菲-赫尔曼交换算法,或椭圆曲线迪菲-赫尔曼秘钥交换算法计算得到第一会话密钥,然后客户端将第一会话密钥Kt、客户端公钥、设备随机数拼接后发送给物联平台进行授权请求,需要说明的是,第一会话密钥保存在客户端本地。
接收所述客户端发送的鉴权请求报文,并根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户之后,在确定所述客户端为合法用户的情况下,根据锁具对应的设备私钥对所述客户端公钥进行迪菲-赫尔曼交换算法,或椭圆曲线迪菲-赫尔曼秘钥交换算法计算,以生成第二会话密钥,并将所述第二会话密钥保存在所述锁具中。其中,第一会话密钥和第二会话密钥均发送至物联网平台,保存在物联网平台。
接收所述客户端发送的鉴权请求报文,并根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户之后,在确认所述客户端为合法用户的情况下,通过所述锁具向所述客户端发送密钥协商确认报文,以指示所述客户端与所述锁具之间进行会话。
在确认锁具在确定所述锁具为合法设备之后,确认客户端为合法用户的情况下,锁具向所述客户端发送密钥协商确认报文,客户端收到锁具发送的密钥协商确认报文后,客户端与锁具之间进行会话,完成认证。
需要说明的是,客户端收到锁具发送的密钥协商确认报文后,还将设备序列号和第二会话密钥上传给物联平台,物联网平台确认客户端合法身份后,保存或者更新后台中设备序列号、客户端、第一会话密钥和第二会话密钥的绑定关系。
为了更好的理解上述认证方法的过程,以下再结合可选实施例对上述认证方法流程进行说明,但不用于限定本发明实施例的技术方案。
为了更好的理解本发明的技术方案,先对本发明中出现的名词进行解释说明。
物联网数字安全证书:通过特定的算法,为物联网设备的可信身份标识,具备不可篡改、不可伪造、全球唯一的安全属性。旨在对物联网设备实现安全的身份验证,提供设备间的互信能力,保证设备间连接的安全、可信。
安全芯片:包括安全硬件和安全软件两个部分。安全硬件包括安全的运行环境、安全存储、安全算法、安全接口等;安全软件提供安全的交互机制,确保SE与上位机之间命令和数据的交互安全,基于SE对数据进行安全处理、安全计算、安全存储等安全功能,可实现设备的身份认证、数据传输加密、敏感信息保护等功能。
SSL证书:数字证书的一种,遵守SSL协议,由受信任的的数字证书颁发机构CA在验证服务器身份后颁发,具有服务器身份验证和数据传输加密的功能。一个有效、可信的SSL数字证书包括一个公共密钥(即公钥)和一个私用密钥(即私钥)。
图3是根据本发明具体实施例的认证方法的基础框架图,如图3所示,认证方法的基础框架主要分为四部分:物联平台(相当于上述实施例中的物联网平台)、APP(相当于上述实施例中的客户端)、网关、智能门锁(相当于上述实施例中的锁具)。具体连接方式如下:
智能门锁通过蓝牙与APP或网关连接,APP和网关与物联网平台通过WiFi连接,进而实现智能门锁通过APP或网关与物联平台连接。需要说明的是,智能门锁内置安全芯片,在安全芯片内预置数字安全证书;APP具有加密算法工具;物联网平台预置SSL证书。
图4是根据本发明具体实施例的认证方法的基本流程图,如图4所示,具体步骤如下:
需要说明的是,实现本发明可选实施例的技术方案需要一些前置条件,具体包括:
(1)智能门锁增加安全芯片;
(2)在安全芯片中写入CA证书、设备证书链以及对应的私钥;
(3)智能门锁与APP完成蓝牙安全配对并建立蓝牙连接,APP与物联平台完成HTTPS连接。
步骤S401:APP生成随机数,并设置协商状态字段Ta为缺省值(协商会话密钥),组成挑战请求报文发送给智能门锁;
步骤S402:智能门锁收到挑战请求报文后检查状态字段Ta为缺省值(协商会话密钥),使用设备私钥对APP随机数进行SHA256签名,同时生成设备随机数;智能门锁将挑战应答报文中标识状态字段Td设置成缺省值(需要协商会话密钥),然后将设备序列号、设备证书链、APP随机数、签名值、设备随机数、挑战应答报文签名值,放进挑战应答报文中返回给APP;
步骤S403:APP收到设备挑战应答报文后,检查标识状态字段Td的缺省值是需要协商会话密钥;使用数字安全证书对设备证书链进行验证,验证通过后得到设备证书公钥,然后使用设备证书公钥对设备随机数进行验证确定设备是否是合法设备;在确定设备是合法设备后,APP生成临时APP私钥和APP公钥,使用APP私钥对设备公钥进行DH/ECDH计算得到会话密钥Kt,并对会话密钥Kt进行本地安全保存;然后APP将会话密钥Kt、APP公钥、设备随机数拼接后组成授权请求报文发送给物联平台进行授权请求;
需要说明的是,APP生成临时APP私钥和APP公钥,APP私钥和APP公钥可以为RSA2048/ECC256/SM2私钥和RSA2048/ECC256/SM2公钥,本发明实施例对此不做限定。
步骤S404:物联平台通过账号验证APP用户身份合法性后,使用物联平台私钥对APP的公钥和设备随机数进行SHA256签名,将签名结果作为物联授权码和物联平台证书,将物联授权码和物联平台证书组成授权应答报文发给APP;
步骤S405:APP收到物联平台发送的授权应答报文后,然后将APP公钥、物联平台证书和授权码组成鉴权请求报文发送给智能门锁;
步骤S406:智能门锁使用安全芯片中存放的数字安全证书,对物联平台公钥证书进行验证,确认是合法的物联平台证书。然后使用物联平台公钥对物联平台授权进行验证,验证通过后,确认APP已经得到物联平台授权,APP的使用者是合法用户;然后智能门锁使用设备私钥对APP公钥进行DH/ECDH计算,得到会话密钥Kt进行保存;智能门锁组成会话密钥协商确认报文,发送给APP;
步骤S407:APP收到智能门锁协商确认报文后,将设备序列号和会话密钥Kt上传给物联平台,物联平台确认用户合法性身份后,保存/更新后台中设备序列号、协商用户和会话密钥的绑定关系。
需要说明的是,智能门锁与APP首次协商流程或者会话密钥Kt已失效需要重新协商时,需要APP向物联平台申请授权码,才能完成。
在本发明实施例中,智能门锁与APP完成通信,在智能门锁与APP通信过程中,使用Just Works的蓝牙配对方式,通过安全芯片的配合,在实现APP端和设备端双向身份认证的同时采用数字证书、非对称算法和对称算法技术,能够协商出会话密钥,使用会话密钥Kt和对称加密算法建立加密通信链路,在软件层面实现蓝牙的安全通信,解决了相关技术中,智能门锁与APP蓝牙通信中采用的pass key和justwork方式安全等级较低,无法安全进行身份认证问题,进而达到金融级安全。其中,采用签名算法,保证了智能门锁与APP双方的身份认证的合法;采用对称算法,确保了通信数据的安全。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例的方法。
在本实施例中还提供了一种认证装置,应用于锁具,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本发明实施例的认证装置的结构框图;如图5所示,包括:
发送模块52,用于向客户端发送应答报文,以指示所述客户端根据数字安全证书对所述应答报文中包括的设备随机数进行验证,其中,所述设备随机数为所述锁具在接收到所述客户端发送的挑战请求报文后,对从所述挑战请求报文中获取到的随机数进行签名所得到的设备随机数;
接收模块54,用于在验证结果指示所述锁具为合法设备的情况下,接收所述客户端发送的鉴权请求报文;
验证模块56,用于根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户。
本发明通过上述模块,向客户端发送应答报文,以指示客户端根据数字安全证书对应答报文中包括的设备随机数进行验证,其中,设备随机数为锁具在接收到客户端发送的挑战请求报文后,对从挑战请求报文中获取到的随机数进行签名所得到的设备随机数;在验证结果指示锁具为合法设备的情况下,接收客户端发送的鉴权请求报文,并根据锁具中保存的数字安全证书对鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对鉴权请求报文中包括的物联网授权码进行验证,以确定客户端是否为合法用户,即客户端对设备随机数进行验证,验证锁具是否为合法设备,以及根据锁具中保存的数字安全证书对鉴权请求报文中包括的物联网平台证书进行验证,物联平台公钥对鉴权请求报文中包括的物联网授权码进行验证,以确定客户端是否为合法用户,进而实现了客户端与锁具的双向认证过程,采用上述技术方案,解决了相关技术中,锁具与客户端身份认证方式安全等级较低等问题,进而提高锁具与客户端身份认证方式的安全等级。
在本发明实施例中,所述智能门锁增加了安全芯片,在安全芯片中写入数字安全证书、设备证书链以及对应的设备私钥,锁具与客户端优先选择通过蓝牙进行连接,在完成蓝牙安全配对后建立蓝牙连接,但不限于蓝牙连接,本发明对此不做限定。
也可以理解为,在客户端使用锁具时,客户端向锁具发送挑战请求报文,挑战请求报文中包括随机数,锁具对挑战请求报文中的随机数进行签名得到设备随机数,并将设备随机数放入应答报文中,锁具通过发送模块将应答报文发送给客户端,客户端使用数字安全证书对设备随机数进行验证,验证锁具是否为合法设备。在客户端验证锁具为合法设备的情况下,客户端向锁具发送鉴权请求报文,鉴权请求报文包括:物联网平台证书、物联网授权码,锁具使用数字安全证书对鉴权请求报文中包括的物联网平台证书进行验证,确定物联网平台证书是合法的之后,验证模块使用物联平台公钥对鉴权请求报文中包括的物联网授权码进行验证,确定客户端是否为合法用户。
需要说明的是,在客户端验证锁具为不合法设备的情况下,结束验证,不再进行后续步骤。
在一个发明实施例中,发送模块,还用于向所述客户端发送指示信息,以指示所述客户端根据所述数字安全证书对所述应答报文中的设备证书链进行验证,其中,在验证通过的情况下,从所述设备证书链中获取设备证书公钥,其中,所述锁具中写入有所述设备证书链;指示所述客户端根据所述设备证书公钥对所述应答报文中包括的设备随机数进行验证,以确定所述锁具是否为合法设备。
也就是说,客户端接收应答报文之后,使用数字安全证书对设备证书链进行验证,验证通过后得到设备证书公钥,然后使用设备证书公钥对设备随机数进行验证确定锁具是否为合法设备。
在一个发明实施例中,接收模块,还用于接收所述客户端响应物联网平台发送的授权应答报文所发送的鉴权请求报文,其中,所述物联网平台响应所述客户端发送的授权请求报文向所述客户端发送所述授权应答报文,所述授权请求报文包括以下至少之一:所述设备随机数,客户端公钥,所述物联网平台使用物联网平台私钥对所述客户端公钥以及所述设备随机数进行签名得到所述物联网平台证书和所述物联网授权码,所述授权应答报文包括:所述物联网平台证书和所述物联网授权码。
也就是说,客户端将设备随机数,客户端公钥组成授权请求报文发送给物联网平台,物联网平台验证客户端身份合法后,物联网平台使用物联网平台私钥对所述客户端公钥以及所述设备随机数进行签名得到所述物联网平台证书和所述物联网授权码,并将物联网平台证书和所述物联网授权码组成授权应答报文发送给客户端。
在一个发明实施例中,所述发送模块,还用于在所述授权请求报文包括所述客户端生成的第一会话密钥的情况下,通过所述客户端将所述第一会话密钥,所述设备随机数,以及所述客户端公钥发送至所述物联网平台,其中,通过客户端私钥对设备公钥进行迪菲-赫尔曼交换算法,或椭圆曲线迪菲-赫尔曼秘钥交换算法计算,得到所述第一会话密钥。
在确定所述锁具为合法设备的情况下,客户端生成临时客户端公钥和客户端私钥,使用客户端私钥私钥对设备公钥进行迪菲-赫尔曼交换算法,或椭圆曲线迪菲-赫尔曼秘钥交换算法计算得到第一会话密钥,然后客户端将第一会话密钥Kt、客户端公钥、设备随机数拼接后发送给物联平台进行授权请求,需要说明的是,第一会话密钥保存在客户端本地。
在一个发明实施例中,所述接收模块,还用于接收所述客户端发送的鉴权请求报文,并根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户之后,在确定所述客户端为合法用户的情况下,根据锁具对应的设备私钥对所述客户端公钥进行迪菲-赫尔曼交换算法,或椭圆曲线迪菲-赫尔曼秘钥交换算法计算,以生成第二会话密钥,并将所述第二会话密钥保存在所述锁具中。其中,第一会话密钥和第二会话密钥均发送至物联网平台,保存在物联网平台。
在一个发明实施例中,所述验证模块,还用于接收所述客户端发送的鉴权请求报文,并根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户之后,在确认所述客户端为合法用户的情况下,通过所述锁具向所述客户端发送密钥协商确认报文,以指示所述客户端与所述锁具之间进行会话。
在确认锁具在确定所述锁具为合法设备之后,确认客户端为合法用户的情况下,锁具向所述客户端发送密钥协商确认报文,客户端收到锁具发送的密钥协商确认报文后,客户端与锁具之间进行会话,完成认证。
需要说明的是,客户端收到锁具发送的密钥协商确认报文后,还将设备序列号和第二会话密钥上传给物联平台,物联网平台确认客户端合法身份后,保存或者更新后台中设备序列号、客户端、第一会话密钥和第二会话密钥的绑定关系。
本发明的实施例还提供了一种存储介质,该存储介质包括存储的程序,其中,上述程序运行时执行上述任一项的方法。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S1,向客户端发送应答报文,以指示所述客户端根据数字安全证书对所述应答报文中包括的设备随机数进行验证,其中,所述设备随机数为所述锁具在接收到所述客户端发送的挑战请求报文后,对从所述挑战请求报文中获取到的随机数进行签名所得到的设备随机数;
S2,在验证结果指示所述锁具为合法设备的情况下,接收所述客户端发送的鉴权请求报文;
S3,根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,向客户端发送应答报文,以指示所述客户端根据数字安全证书对所述应答报文中包括的设备随机数进行验证,其中,所述设备随机数为所述锁具在接收到所述客户端发送的挑战请求报文后,对从所述挑战请求报文中获取到的随机数进行签名所得到的设备随机数;
S2,在验证结果指示所述锁具为合法设备的情况下,接收所述客户端发送的鉴权请求报文;
S3,根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种认证方法,其特征在于,包括:
向客户端发送应答报文,以指示所述客户端根据数字安全证书对所述应答报文中包括的设备随机数进行验证,其中,所述设备随机数为锁具在接收到所述客户端发送的挑战请求报文后,对从所述挑战请求报文中获取到的随机数进行签名所得到的设备随机数;
在验证结果指示所述锁具为合法设备的情况下,接收所述客户端发送的鉴权请求报文;
根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户。
2.根据权利要求1所述的方法,其特征在于,指示所述客户端根据数字安全证书对所述应答报文中包括的设备随机数进行验证,包括:
向所述客户端发送指示信息,以指示所述客户端根据所述数字安全证书对所述应答报文中的设备证书链进行验证,其中,在验证通过的情况下,从所述设备证书链中获取设备证书公钥,其中,所述锁具中写入有所述设备证书链;
指示所述客户端根据所述设备证书公钥对所述应答报文中包括的设备随机数进行验证,以确定所述锁具是否为合法设备。
3.根据权利要求1所述的方法,其特征在于,接收所述客户端发送的鉴权请求报文,包括:
接收所述客户端响应物联网平台发送的授权应答报文所发送的鉴权请求报文,其中,所述物联网平台响应所述客户端发送的授权请求报文向所述客户端发送所述授权应答报文,所述授权请求报文包括:所述设备随机数,客户端公钥,所述物联网平台使用物联网平台私钥对所述客户端公钥以及所述设备随机数进行签名得到所述物联网平台证书和所述物联网授权码,所述授权应答报文包括:所述物联网平台证书和所述物联网授权码。
4.根据权利要求3所述的方法,其特征在于,接收所述客户端发送的鉴权请求报文之前,所述方法还包括:
在所述授权请求报文包括所述客户端生成的第一会话密钥的情况下,通过所述客户端将所述第一会话密钥,所述设备随机数,以及所述客户端公钥发送至所述物联网平台,其中,通过客户端私钥对设备公钥进行迪菲-赫尔曼交换算法,或椭圆曲线迪菲-赫尔曼秘钥交换算法计算,得到所述第一会话密钥。
5.根据权利要求1所述的方法,其特征在于,接收所述客户端发送的鉴权请求报文,并根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户之后,所述方法还包括:
在确定所述客户端为合法用户的情况下,根据锁具对应的设备私钥对所述客户端公钥进行迪菲-赫尔曼交换算法,或椭圆曲线迪菲-赫尔曼秘钥交换算法计算,以生成第二会话密钥,并将所述第二会话密钥保存在所述锁具中。
6.根据权利要求1所述的方法,其特征在于,接收所述客户端发送的鉴权请求报文,并根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户之后,所述方法还包括:
在确认所述客户端为合法用户的情况下,通过所述锁具向所述客户端发送密钥协商确认报文,以指示所述客户端与所述锁具之间进行会话。
7.一种认证装置,应用于锁具,其特征在于,包括:
发送模块,用于向客户端发送应答报文,以指示所述客户端根据数字安全证书对所述应答报文中包括的设备随机数进行验证,其中,所述设备随机数为所述锁具在接收到所述客户端发送的挑战请求报文后,对从所述挑战请求报文中获取到的随机数进行签名所得到的设备随机数;
接收模块,用于在验证结果指示所述锁具为合法设备的情况下,接收所述客户端发送的鉴权请求报文;
验证模块,用于根据所述锁具中保存的数字安全证书对所述鉴权请求报文中包括的物联网平台证书进行验证,以及根据物联平台公钥对所述鉴权请求报文中包括的物联网授权码进行验证,以确定所述客户端是否为合法用户。
8.根据权利要求7所述的装置,其特征在于:
所述发送模块,还用于向所述客户端发送指示信息,以指示所述客户端根据所述应答报文中的设备证书链进行验证,其中,在验证通过的情况下,从所述设备证书链中获取设备证书公钥,其中,所述锁具中写入有所述设备证书链;指示所述客户端根据所述设备证书公钥对所述应答报文中包括的设备随机数进行验证,以确定所述锁具是否为合法设备。
9.一种计算机可读的存储介质,其特征在于,所述计算机可读的存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至6任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至6任一项中所述的方法。
CN202011340219.8A 2020-11-25 2020-11-25 认证方法及装置、存储介质、电子装置 Active CN112565213B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011340219.8A CN112565213B (zh) 2020-11-25 2020-11-25 认证方法及装置、存储介质、电子装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011340219.8A CN112565213B (zh) 2020-11-25 2020-11-25 认证方法及装置、存储介质、电子装置

Publications (2)

Publication Number Publication Date
CN112565213A CN112565213A (zh) 2021-03-26
CN112565213B true CN112565213B (zh) 2022-10-14

Family

ID=75043650

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011340219.8A Active CN112565213B (zh) 2020-11-25 2020-11-25 认证方法及装置、存储介质、电子装置

Country Status (1)

Country Link
CN (1) CN112565213B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112995213B (zh) * 2021-04-23 2021-08-03 北京紫光安芯科技有限公司 一种安全认证方法及其应用装置
CN113232624B (zh) * 2021-06-22 2022-10-14 广州小鹏汽车科技有限公司 车辆控制方法、装置、电子控制器以及车辆
CN113486375B (zh) * 2021-07-16 2024-04-19 青岛海尔科技有限公司 设备信息的存储方法和装置、存储介质及电子装置
CN113613227B (zh) * 2021-08-09 2023-10-24 青岛海尔科技有限公司 蓝牙设备的数据传输方法和装置、存储介质及电子装置
CN113839787B (zh) * 2021-11-29 2022-03-04 军事科学院系统工程研究院网络信息研究所 一种双向认证的局域网安全接入协议方法和系统
CN114244509A (zh) * 2021-12-17 2022-03-25 北京国泰网信科技有限公司 使用移动终端进行sm2一次一密双向认证开锁的方法
US20230231712A1 (en) * 2022-01-14 2023-07-20 Micron Technology, Inc. Embedded tls protocol for lightweight devices

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8947200B2 (en) * 2011-11-17 2015-02-03 Utc Fire & Security Corporation Method of distributing stand-alone locks
SG11201405282RA (en) * 2012-04-01 2014-09-26 Authentify Inc Secure authentication in a multi-party system
US8646060B1 (en) * 2013-07-30 2014-02-04 Mourad Ben Ayed Method for adaptive authentication using a mobile device
US9600949B2 (en) * 2014-07-30 2017-03-21 Master Lock Company Llc Wireless key management for authentication
CN106375348B (zh) * 2016-11-17 2019-12-27 新华三技术有限公司 一种Portal认证方法和装置
CN108881304B (zh) * 2018-07-27 2020-09-29 恒宝股份有限公司 一种对物联网设备进行安全管理的方法及系统
CA3112774A1 (en) * 2018-09-14 2020-03-19 Spectrum Brands, Inc. Authentication of internet of things devices, including electronic locks
CN109712278B (zh) * 2018-11-27 2021-07-13 深圳市小石安防科技有限公司 智能门锁身份认证方法、系统、可读存储介质及移动终端
CN109801415A (zh) * 2018-12-29 2019-05-24 海南新软软件有限公司 一种基于椭圆加密算法的加密锁及加密锁的开锁方法
CN110086864B (zh) * 2019-04-23 2021-10-08 厦门中锐电力科技有限公司 一种利用锁具双密钥进行离线管控的方法
CN110798475B (zh) * 2019-11-05 2021-08-03 北谷电子有限公司上海分公司 一种安全认证方法、装置、设备和存储介质
CN111147472B (zh) * 2019-12-23 2023-02-28 全球能源互联网研究院有限公司 一种边缘计算场景下的智能电表轻量级认证方法及系统

Also Published As

Publication number Publication date
CN112565213A (zh) 2021-03-26

Similar Documents

Publication Publication Date Title
CN112565213B (zh) 认证方法及装置、存储介质、电子装置
CN107277061B (zh) 基于iot设备的端云安全通信方法
US10943005B2 (en) Secure authentication of devices for internet of things
EP3529965B1 (en) System and method for configuring a wireless device for wireless network access
CN109428874B (zh) 基于服务化架构的注册方法及装置
EP1865656A1 (en) Provision of secure communications connection using third party authentication
EP3700124B1 (en) Security authentication method, configuration method, and related device
CN108270554B (zh) 一种终端配对方法及系统
CN102893646A (zh) 用于中继节点管理和授权的方法和装置
CN110808991B (zh) 一种安全通信连接的方法、系统、电子设备及存储介质
CN110690966B (zh) 终端与业务服务器连接的方法、系统、设备及存储介质
JP6997886B2 (ja) コアネットワ-クへの非3gpp装置アクセス
US20180287787A1 (en) Method and system for providing security for the first time a mobile device makes contact with a device
CN112640387B (zh) 用于无线连接的非si设备、si设备、方法和计算机可读介质和/或微处理器可执行介质
CN112672342B (zh) 数据传输方法、装置、设备、系统和存储介质
CN108352982B (zh) 通信装置、通信方法及记录介质
CN109076058A (zh) 一种移动网络的认证方法和装置
CN113615124A (zh) 与无线设备的认证有关的方法和装置
CN112040484A (zh) 密码更新方法及装置、存储介质、电子装置
EP3281431B1 (en) Uicc key provisioning
CN108259157B (zh) 一种ike协商中身份认证的方法及网络设备
CN113098830B (zh) 通信方法及相关产品
CN106304400A (zh) 无线网络的ip地址分配方法和系统
CN112751664B (zh) 一种物联网组网方法、装置和计算机可读存储介质
WO2012068801A1 (zh) 移动终端的认证方法及移动终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant