[发明专利]一种基于国产商用密码算法的物联网设备身份认证方法

权利要求书

1.一种基于国产商用密码算法的物联网设备身份认证方法，其特征在于,其认证过程包括：

步骤S1、企业应用向发证中心注册企业信息、产品信息，并生成产品所包含每个物联网设备的身份证书IID，具体操作步骤包括：

步骤S1.1、企业应用在发证中心注册企业信息，注册过程中，企业应用同时提供自己的公钥，以便发证中心、认证中心和企业应用之间加密传输系统数据，

步骤S1.2、企业应用在发证中心注册产品信息，注册过程中，需要选择产品支持使用的多个国密加密套件，

步骤S1.3、完成步骤S1.1、步骤S1.2后，即可通过认证中心为物联网设备生成身份证书IID，随后下载该物联网设备的身份证书IID，并烧录到该物联网设备，或配置到该物联网设备集成的设备端认证SDK中；

步骤S2、物联网设备向企业应用发起身份认证请求，企业应用适配身份认证请求到认证中心，认证中心解析适配后的身份认证请求，进行物联网设备的认证，具体操作步骤包括：

步骤S2.1、物联网设备集成有设备端认证SDK，物联网设备通过设备端认证SDK发起身份认证请求，身份认证请求携带了该物联网设备的身份证书IID、设备端因子，

步骤S2.2、企业应用集成有服务端认证SDK，企业应用接收身份认证请求，并通过服务端认证SDK解析设备认证报文，并适配身份认证请求到认证中心，其中，适配后的身份认证请求追加了服务端因子，

步骤S2.3、认证中心接收企业应用适配转发的认证请求，识别物联网设备的身份证书IID，找到物联网设备对应的国密加密套件，进行认证：

（a）如果认证成功，根据物联网设备对应的国密加密套件计算后续加密通讯使用的对称密钥，并返回，

（b）如果认证失败，则直接返回报错信息；

步骤S3、认证成功后，认证中心返回对称密钥，企业应用缓存对称密钥，并将对称密钥返回给物联网设备；

步骤S4、物联网设备使用对称密钥与企业应用进行双向加密通讯。

2.根据权利要求1所述的一种基于国产商用密码算法的物联网设备身份认证方法，其特征在于，生成物联网设备身份证书IID的过程中，只能从产品支持的多个国密加密套件中选择一个。

3.根据权利要求1所述的一种基于国产商用密码算法的物联网设备身份认证方法，其特征在于，执行步骤S3认证成功后，企业应用缓存的对称密钥可以在一段时间内保持有效，超时后释放，物联网设备再连接上来的时候需要重新通过走认证流程。

4.根据权利要求1所述的一种基于国产商用密码算法的物联网设备身份认证方法，其特征在于，执行步骤S4的具体操作为：

（A）、物联网设备作为发起方，①首先检查物联网设备的身份证书IID是否失效，如果没有失效，就使用约定的对称加密算法和身份证书IID成功得到的对称密钥来加密通讯报文，随后发送给企业应用，②企业应用收到物联网设备发送的加密通讯报文后，检查身份证书IID是否失效，（a）如果没有失效，则查找缓存的加密算法和对应的对称密钥解密通讯报文，并交给上层业务，（b）如果已经失效，则直接报错返回；

（B）、企业应用作为发起方，首先检查物联网设备的身份证书IID是否失效，（a）如果没有失效，就找到缓存的对称加密算法和对称密钥，加密通讯报文，随后发送给物联网设备；物联网设备收到企业应用发送的加密通讯报文后，使用约定的加密算法和身份证书IID成功得到的对称密钥解密通讯报文，交给并上层业务，（b）如果已经失效，则报错给上层业务。

5.根据权利要求1所述的一种基于国产商用密码算法的物联网设备身份认证方法，其特征在于，企业应用根据业务需要，可以废弃物联网设备的身份证书IID，具体操作为：企业应用向发证中心注销物联网设备的身份证书IID，发证中心通知认证中心，此后，企业应用与该物联网设备之间的加密通讯将不被允许。

6.根据权利要求1所述的一种基于国产商用密码算法的物联网设备身份认证方法，其特征在于，企业应用根据业务需要，可以向发证中心发送以下禁用或注销请求：

（a）企业应用禁用某个产品时，发证中心将不再为该产品所包含的物联网设备颁发身份证书IID，但已经颁发的身份证书IID仍然正常有效，可以继续认证物联网设备；

（b）企业应用禁用物联网设备时，发证中心将不再为该物联网设备提供服务，包括通知认证中心拒绝后续的身份认证请求；

（c）企业应用注销以后，发证中心将不再为该企业提供服务，包括发证中心拒绝企业新增产品请求和为物联网设备颁发身份证书IID的请求，并通知认证中心拒绝后续的身份认证请求。