[发明专利]一种设备身份认证的方法、装置和系统

说明书

【技术领域】

本发明涉及计算机应用技术领域，特别涉及一种设备身份认证的方法、装置和系统。

【背景技术】

IMEI(International Mobile Equipment Identity，移动设备国际身份码)是在硬件出厂时固化在设备中的，不可更改和擦除，但由于任何人都能够获取到IMEI号，也就是说，IMEI号对外是明文存在的，所以只能解决销售过程中的设备身份问题。当设备入网后，由于IMEI号容易被应用获取，因此在进行网络身份认证时，IMEI号极易被伪造和篡改，无法满足网络上对设备的身份认证需求。

【发明内容】

有鉴于此，本发明提供了一种设备身份认证的方法、装置和系统，解决在认证过程中设备身份标识极易被伪造和篡改所带来的身份认证问题。

具体技术方案如下：

本发明提供了一种设备身份认证的方法，该方法包括：

被认证设备获取预先写入所述被认证设备的设备密钥，其中所述设备密钥由所述认证设备和所述被认证设备预先约定；

利用所述设备密钥对第一数据进行签名和/或加密，得到第二数据，其中所述第一数据包含所述被认证设备与认证设备约定的随机数；

利用所述第二数据和所述被认证设备的身份标识，生成认证码并发送给所述认证设备。

根据本发明一优选实施方式，所述被认证设备获取预先写入所述被认证设 备的设备密钥包括：

所述被认证设备从自身的安全存储中获取预先写入的设备密钥；或者，

从自身的安全存储中获取预先写入的设备密钥和身份标识。

根据本发明一优选实施方式，该方法还包括：

所述被认证设备确定与认证设备约定的随机数。

根据本发明一优选实施方式，所述被认证设备确定与认证设备约定的随机数包括：

所述被认证设备向所述认证设备请求随机数；

接收所述认证设备返回的随机数。

根据本发明一优选实施方式，接收所述认证设备返回的随机数包括：

利用服务端密钥对所述认证设备返回的加密后的随机数进行解密，其中所述服务端密钥由所述认证设备与所述被认证设备预先约定。

根据本发明一优选实施方式，所述被认证设备确定与认证设备约定的随机数包括：

所述被认证设备获取预先与所述认证设备约定的随机数种子；

基于所述随机数种子，采用预先与所述认证设备约定的算法生成随机数。

根据本发明一优选实施方式，所述随机数种子包括：所述被认证设备与认证设备预先约定的密钥信息；

预先与所述认证设备约定的算法包括：基于时间的一次性密码算法TOTP。

根据本发明一优选实施方式，利用所述设备密钥对第一数据进行签名和/或加密包括：

利用所述设备密钥对所述第一数据进行签名，得到第二数据；或者，

利用所述设备密钥对所述第一数据进行加密，得到第二数据；或者，

利用服务端密钥对所述第一数据进行加密，得到密文数据，利用所述设备密钥对所述密文数据进行签名，得到第二数据；或者，

利用所述设备密钥对所述第一数据进行签名，得到签名数据，利用服务端密钥对签名数据进行加密，得到第二数据；

其中，所述服务端密钥由所述认证设备和所述被认证设备预先约定。

根据本发明一优选实施方式，所述被认证设备的身份标识由所述认证设备生成并预先提供给所述被认证设备。

根据本发明一优选实施方式，所述获取预先写入所述被认证设备的设备密钥，利用所述设备密钥对第一数据进行签名和/或加密，以及利用所述第二数据和所述被认证设备的身份标识，生成认证码的步骤在可信执行环境下执行。

根据本发明一优选实施方式，所述设备密钥为设备私钥，所述认证设备保存有与所述设备私钥对应的设备公钥。

根据本发明一优选实施方式，所述服务端密钥为服务端公钥，所述认证设备保存有与所述服务端公钥对应的服务端私钥。

本发明还提供了一种设备身份认证的方法，该方法包括：

认证设备接收被认证设备发送的认证码；

利用与所述被认证设备的身份标识对应的设备密钥，对所述认证码包含的第二数据进行签名验证和/或解密，其中所述设备密钥由认证设备和被认证设备预先约定；

利用所述签名验证和/或解密得到的随机数，对所述被认证设备进行认证。

根据本发明一优选实施方式，该方法还包括：