[发明专利]一种设备身份认证的方法、装置和系统

权利要求书

1.一种设备身份认证的方法，其特征在于，该方法包括：

被认证设备获取预先写入所述被认证设备的设备密钥，其中所述设备密钥由认证设备和所述被认证设备预先约定；

利用所述设备密钥对第一数据进行签名和/或加密，得到第二数据，其中所述第一数据包含所述被认证设备与认证设备约定的随机数；

利用所述第二数据和所述被认证设备的身份标识，生成认证码并发送给所述认证设备。

2.根据权利要求1所述的方法，其特征在于，所述被认证设备获取预先写入所述被认证设备的设备密钥包括：

所述被认证设备从自身的安全存储中获取预先写入的设备密钥；或者，

从自身的安全存储中获取预先写入的设备密钥和身份标识。

3.根据权利要求1所述的方法，其特征在于，该方法还包括：

所述被认证设备确定与认证设备约定的随机数。

4.根据权利要求3所述的方法，其特征在于，所述被认证设备确定与认证设备约定的随机数包括：

所述被认证设备向所述认证设备请求随机数；

接收所述认证设备返回的随机数。

5.根据权利要求4所述的方法，其特征在于，接收所述认证设备返回的随机数包括：

利用服务端密钥对所述认证设备返回的加密后的随机数进行解密，其中所述服务端密钥由所述认证设备与所述被认证设备预先约定。

6.根据权利要求3所述的方法，其特征在于，所述被认证设备确定与认证设备约定的随机数包括：

所述被认证设备获取预先与所述认证设备约定的随机数种子；

基于所述随机数种子，采用预先与所述认证设备约定的算法生成随机数。

7.根据权利要求6所述的方法，其特征在于，所述随机数种子包括：所述被认证设备与认证设备预先约定的密钥信息；

预先与所述认证设备约定的算法包括：基于时间的一次性密码算法TOTP。

8.根据权利要求1所述的方法，其特征在于，利用所述设备密钥对第一数据进行签名和/或加密包括：

利用所述设备密钥对所述第一数据进行签名，得到第二数据；或者，

利用所述设备密钥对所述第一数据进行加密，得到第二数据；或者，

利用服务端密钥对所述第一数据进行加密，得到密文数据，利用所述设备密钥对所述密文数据进行签名，得到第二数据；或者，

利用所述设备密钥对所述第一数据进行签名，得到签名数据，利用服务端密钥对签名数据进行加密，得到第二数据；

其中，所述服务端密钥由所述认证设备和所述被认证设备预先约定。

9.根据权利要求1所述的方法，其特征在于，所述被认证设备的身份标识由所述认证设备生成并预先提供给所述被认证设备。

10.根据权利要求1所述的方法，其特征在于，所述获取预先写入所述被认证设备的设备密钥，利用所述设备密钥对第一数据进行签名和/或加密，以及利用所述第二数据和所述被认证设备的身份标识，生成认证码的步骤在可信执行环境下执行。

11.根据权利要求1至10任一权项所述的方法，其特征在于，所述设备密钥为设备私钥，所述认证设备保存有与所述设备私钥对应的设备公钥。

12.根据权利要求5或8所述的方法，其特征在于，所述服务端密钥为服务端公钥，所述认证设备保存有与所述服务端公钥对应的服务端私钥。

13.一种设备身份认证的方法，其特征在于，该方法包括：

认证设备接收被认证设备发送的认证码；

利用与所述被认证设备的身份标识对应的设备密钥，对所述认证码包含的第二数据进行签名验证和/或解密，其中所述设备密钥由认证设备和被认证设备预先约定；

利用所述签名验证和/或解密得到的随机数，对所述被认证设备进行认证。

14.根据权利要求13所述的方法，其特征在于，该方法还包括：

所述认证设备从所述认证码中解析得到所述被认证设备的身份标识；

利用预先存储的所述被认证设备的身份标识与设备密钥之间的对应关系，确定所述被认证设备的身份标识对应的设备密钥。