[发明专利]使用对称密码技术增强MQTT协议身份认证方法、系统和设备

权利要求书

1.一种使用对称密码技术增强MQTT协议身份认证方法，其特征在于：包括下述步骤：

S1、第一次身份认证：物联网终端到物联网平台：量子密钥充注机完成将量子随机数发生器产生的量子密钥到量子安全芯片的充注、存储，同时记录存储充注安全芯片和密钥的对应关系，物联网终端调用内置集成或者外置的安全芯片内存储的量子密钥用于构造身份认证请求消息：密钥序列号+终端ID+密文到物联网平台，密文为：时变参数+终端ID+终端预设密码，物联网平台根据终端ID和密钥序列号从与量子交换密码机连接的量子密码管理服务系统获取与终端充注密钥对称的密钥进行解密，比对身份认证请求消息中的终端ID和终端预设密码，同时保存终端发送的时变参数，认证成功后根据终端ID和时变参数生成登录令牌，并向终端返回验证成功消息，如果不成功则返回不成功消息；

S2、第二次身份认证：物联网平台根据终端ID向量子密码管理服务系统申请和终端匹配的充注密钥和对应的密钥序列号，并开始构造身份认证请求消息：密钥序列号+密文，密文为：时变参数+平台ID+登录令牌，登录令牌根据第一次身份认证时终端上报的终端ID和时变参数结合产生，并将该身份认证请求消息发送至终端；终端根据密钥序列号获取与对应的充注密钥对称的密钥对身份认证请求消息进行解密，验证平台ID以及登录令牌，确定登录令牌是第一次身份认证时物联网平台根据认证时的终端ID和时变参数产生，验证成功后，终端开始向物联网平台发送消息。

2.如权利要求1所述的使用对称密码技术增强MQTT协议身份认证方法，其特征在于：每次认证结束后可以设定一个有效期。

3.如权利要求1所述的使用对称密码技术增强MQTT协议身份认证方法，其特征在于：S1、第一次身份认证，包括下述步骤：

S11、终端获取安全芯片内密钥请求，安全芯片返回芯片密钥序列号Z的密钥B；

S12、终端根据MQTT连接消息Connect内容格式构造初始身份认证请求消息：密钥序列号Z+终端ID+密文，密文为：时变参数+终端ID+终端预设密码，密文的加密方式采用对称算法完成，加密密钥为S1中取出的密钥B；

S13、终端向物联网平台对外暴露的代理地址发送步骤S12构造的身份认证请求消息；

S14、物联网平台根据所述初始身份认证请求消息中终端ID和密钥序列号Z向量子密码管理服务系统获取与密钥B对称的密钥B’；

S15、量子密码管理服务系统返回密钥B’至物联网平台，物联网平台利用密钥B’对所述初始身份认证请求消息进行解密，得到解密后的密文：时变参数+终端ID+终端预设密码，并将解密后终端ID和终端预设密码和后台存储的终端ID以及物联网平台预先存储的终端预设密码进行比较，确定终端的身份，同时利用MQTT消息中的CONNACK向终端返回验证成功消息OX00，并保存终端发过来的时变参数，如果不成功则根据MQTT手册返回非0消息。

4.如权利要求1所述的使用对称密码技术增强MQTT协议身份认证方法，其特征在于：S2、第二次身份认证，包括下述步骤：

S21、物联网平台根据终端ID从量子密码管理服务系统获取与终端匹配的芯片密钥，量子密码管理服务系统向物联网平台返回和终端匹配的芯片密钥W和芯片密钥W的序列号C；

S22、物联网平台构造向终端申请的身份认证请求消息：密钥序列号C+密文，密文为：时变参数+平台ID+登录令牌，密文的加密密钥为S21中取出的芯片密钥W，登录令牌由终端第一次身份认证保存的时变参数+终端ID共同产生，用PUBLISH搭出来物联网平台对终端身份认证机制，向终端推送第二次身份认证请求消息，身份认证请求消息放入PAYLOAD中；

S23、终端收到物联网平台推送的身份认证请求消息，根据身份认证请求消息中密钥序列号C向安全芯片内获取与序列号C对应的芯片密钥W的对称解密秘钥，安全芯片返回解密秘钥W’；

S24、终端使用解密秘钥W’对身份认证请求消息中的密文解密，通过验证平台ID和登录令牌实施解密验证，对登录令牌主要验证是否是第一次身份认证发送的时变参数和终端ID共同产生，如果通过，则终端认为物联网平台是可信的，则能够向物联网平台发送数据。