一种设备身份认证的方法、装置和系统制造方法及图纸

本发明专利技术提供了一种设备身份认证的方法、装置和系统，其中方法包括：被认证设备获取预先写入被认证设备的设备密钥，其中设备密钥由认证设备和被认证设备预先约定；利用设备密钥对第一数据进行签名和/或加密，得到第二数据，其中第一数据包含被认证设备与认证设备约定的随机数；利用第二数据和被认证设备的身份标识，生成认证码并发送给认证设备。认证设备利用与被认证设备的身份标识对应的设备密钥，对认证码包含的第二数据进行签名验证和/或解密；利用签名验证和/或解密得到的随机数，对被认证设备进行认证。本发明专利技术能够解决在认证过程中设备身份标识极易被伪造和篡改所带来的身份认证问题。

Method, device and system for equipment identity authentication

The invention provides a device and method and system for device authentication, the method comprises the following steps: certified equipment to obtain pre written by equipment key authentication equipment, including equipment key equipment and equipment to be certified by the certification of key equipment use agreed in advance; the first number according to the signature and / or encryption, get second data. The first data contains a random number to be certified equipment and equipment certification agreement; using second data and the identity authentication device, authentication code generated and sent to the authentication device. The authentication device and equipment key identity authentication device corresponding to the second data authentication code contains the signature verification and / or decryption; using signature verification and / or decrypts the random number of certified equipment certification. The invention can solve the problem of identity authentication which is easy to be forged and tampered with during the authentication process.

【技术实现步骤摘要】

本专利技术涉及计算机应用
，特别涉及一种设备身份认证的方法、装置和系统。
技术介绍
IMEI(InternationalMobileEquipmentIdentity，移动设备国际身份码)是在硬件出厂时固化在设备中的，不可更改和擦除，但由于任何人都能够获取到IMEI号，也就是说，IMEI号对外是明文存在的，所以只能解决销售过程中的设备身份问题。当设备入网后，由于IMEI号容易被应用获取，因此在进行网络身份认证时，IMEI号极易被伪造和篡改，无法满足网络上对设备的身份认证需求。
技术实现思路
有鉴于此，本专利技术提供了一种设备身份认证的方法、装置和系统，解决在认证过程中设备身份标识极易被伪造和篡改所带来的身份认证问题。具体技术方案如下：本专利技术提供了一种设备身份认证的方法，该方法包括：被认证设备获取预先写入所述被认证设备的设备密钥，其中所述设备密钥由所述认证设备和所述被认证设备预先约定；利用所述设备密钥对第一数据进行签名和/或加密，得到第二数据，其中所述第一数据包含所述被认证设备与认证设备约定的随机数；利用所述第二数据和所述被认证设备的身份标识，生成认证码并发送给所述认证设备。根据本专利技术一优选实施方式，所述被认证设备获取预先写入所述被认证设备的设备密钥包括：所述被认证设备从自身的安全存储中获取预先写入的设备密钥；或者，从自身的安全存储中获取预先写入的设备密钥和身份标识。根据本专利技术一优选实施方式，该方法还包括：所述被认证设备确定与认证设备约定的随机数。根据本专利技术一优选实施方式，所述被认证设备确定与认证设备约定的随机数包括：所述被认证设备向所述认证设备请求随机数；接收所述认证设备返回的随机数。根据本专利技术一优选实施方式，接收所述认证设备返回的随机数包括：利用服务端密钥对所述认证设备返回的加密后的随机数进行解密，其中所述服务端密钥由所述认证设备与所述被认证设备预先约定。根据本专利技术一优选实施方式，所述被认证设备确定与认证设备约定的随机数包括：所述被认证设备获取预先与所述认证设备约定的随机数种子；基于所述随机数种子，采用预先与所述认证设备约定的算法生成随机数。根据本专利技术一优选实施方式，所述随机数种子包括：所述被认证设备与认证设备预先约定的密钥信息；预先与所述认证设备约定的算法包括：基于时间的一次性密码算法TOTP。根据本专利技术一优选实施方式，利用所述设备密钥对第一数据进行签名和/或加密包括：利用所述设备密钥对所述第一数据进行签名，得到第二数据；或者，利用所述设备密钥对所述第一数据进行加密，得到第二数据；或者，利用服务端密钥对所述第一数据进行加密，得到密文数据，利用所述设备密钥对所述密文数据进行签名，得到第二数据；或者，利用所述设备密钥对所述第一数据进行签名，得到签名数据，利用服务端密钥对签名数据进行加密，得到第二数据；其中，所述服务端密钥由所述认证设备和所述被认证设备预先约定。根据本专利技术一优选实施方式，所述被认证设备的身份标识由所述认证设备生成并预先提供给所述被认证设备。根据本专利技术一优选实施方式，所述获取预先写入所述被认证设备的设备密钥，利用所述设备密钥对第一数据进行签名和/或加密，以及利用所述第二数据和所述被认证设备的身份标识，生成认证码的步骤在可信执行环境下执行。根据本专利技术一优选实施方式，所述设备密钥为设备私钥，所述认证设备保存有与所述设备私钥对应的设备公钥。根据本专利技术一优选实施方式，所述服务端密钥为服务端公钥，所述认证设备保存有与所述服务端公钥对应的服务端私钥。本专利技术还提供了一种设备身份认证的方法，该方法包括：认证设备接收被认证设备发送的认证码；利用与所述被认证设备的身份标识对应的设备密钥，对所述认证码包含的第二数据进行签名验证和/或解密，其中所述设备密钥由认证设备和被认证设备预先约定；利用所述签名验证和/或解密得到的随机数，对所述被认证设备进行认证。根据本专利技术一优选实施方式，该方法还包括：所述认证设备从所述认证码中解析得到所述被认证设备的身份标识；利用预先存储的所述被认证设备的身份标识与设备密钥之间的对应关系，确定所述被认证设备的身份标识对应的设备密钥。根据本专利技术一优选实施方式，利用与所述被认证设备的身份标识对应的设备密钥，对所述认证码包含的第二数据进行签名验证和/或解密包括：利用所述设备密钥对所述第二数据包含的第一数据进行签名，将得到的签名数据与所述第二数据包含的签名数据进行比对，如果一致，则确定签名验证通过，从所述第一数据中获取随机数，否则确定签名验证失败；或者，利用所述设备密钥对所述第二数据进行解密，得到第一数据，从所述第一数据中获取随机数；或者，利用所述设备密钥对所述第二数据包含的密文数据进行签名，将得到的签名数据与所述第二数据包含的签名数据进行比对，如果一致，则确定签名验证通过，利用服务端密钥对所述密文数据进行解密，得到随机数，否则确定签名验证失败；或者，利用服务端密钥对所述第二数据进行解密，得到签名数据和第一数据，利用所述设备密钥对所述第一数据进行签名，将签名得到的签名数据与解密得到的签名数据进行比对，如果一致，则确定签名验证通过，从所述第一数据中获取随机数，否则确定签名验证失败。根据本专利技术一优选实施方式，利用所述签名验证和/或解密得到的随机数，对所述被认证设备进行认证包括：将所述认证设备与所述被认证设备约定的随机数与所述得到的随机数进行比对，如果一致，则确定对所述被认证设备的认证通过，否则确定对所述被认证设备的认证失败。根据本专利技术一优选实施方式，该方法还包括：所述认证设备确定与所述被认证设备约定的随机数。根据本专利技术一优选实施方式，所述认证设备确定与所述被认证设备约定的随机数包括：所述认证设备接收所述被认证设备获取随机数的请求；向所述被认证设备返回随机数。根据本专利技术一优选实施方式，向所述被认证设备返回随机数包括：利用服务端密钥对所述随机数进行加密，将加密后的随机数返回给所述被认证设备，所述服务端密钥由所述认证设备和所述被认证设备预先约定。根据本专利技术一优选实施方式，所述认证设备确定与所述被认证设备约定的随机数包括：所述认证设备获取预先与所述被认证设备约定的随机数种子；基于所述随机数种子，采用预先与所述被认证设备约定的算法生成随机数。根据本专利技术一优选实施方式，所述随机数种子包括：所述认证设备与所述被认证设备预先约定的密钥信息；预先与所述被认证设备约定的算法包括：基于时间的一次性密码算法TOTP。根据本专利技术一优选实施方式，该方法还包括：所述认证设备预先针对所述被认证设备生成身份标识，并将所述被认证设备的身份标识提供给所述被认证设备。根据本专利技术一优选实施方式，所述设备密钥为设备公钥，在所述被认证设备中预先写入有与所述设备公钥对应的设备私钥。根据本专利技术一优选实施方式，所述服务端密钥为服务端私钥，在所述被认证设备中保存有与所述服务端私钥对应的服务端公钥。本专利技术还提供了一种设备身份认证的装置，该装置设置于被认证设备，该装置包括：密钥获取单元，用于获取预先写入所述被认证设备的设备密钥，其中所述设备密钥由所述认证设备和所述被认证设备预先约定；认证码生成单元，用于利用所述设备密钥对第一数据进行签名和/或加密，得到第二数据，其中所述第一数据包含所述被认本文档来自技高网...

【技术保护点】
一种设备身份认证的方法，其特征在于，该方法包括：被认证设备获取预先写入所述被认证设备的设备密钥，其中所述设备密钥由认证设备和所述被认证设备预先约定；利用所述设备密钥对第一数据进行签名和/或加密，得到第二数据，其中所述第一数据包含所述被认证设备与认证设备约定的随机数；利用所述第二数据和所述被认证设备的身份标识，生成认证码并发送给所述认证设备。

【技术特征摘要】
1.一种设备身份认证的方法，其特征在于，该方法包括：被认证设备获取预先写入所述被认证设备的设备密钥，其中所述设备密钥由认证设备和所述被认证设备预先约定；利用所述设备密钥对第一数据进行签名和/或加密，得到第二数据，其中所述第一数据包含所述被认证设备与认证设备约定的随机数；利用所述第二数据和所述被认证设备的身份标识，生成认证码并发送给所述认证设备。2.根据权利要求1所述的方法，其特征在于，所述被认证设备获取预先写入所述被认证设备的设备密钥包括：所述被认证设备从自身的安全存储中获取预先写入的设备密钥；或者，从自身的安全存储中获取预先写入的设备密钥和身份标识。3.根据权利要求1所述的方法，其特征在于，该方法还包括：所述被认证设备确定与认证设备约定的随机数。4.根据权利要求3所述的方法，其特征在于，所述被认证设备确定与认证设备约定的随机数包括：所述被认证设备向所述认证设备请求随机数；接收所述认证设备返回的随机数。5.根据权利要求4所述的方法，其特征在于，接收所述认证设备返回的随机数包括：利用服务端密钥对所述认证设备返回的加密后的随机数进行解密，其中所述服务端密钥由所述认证设备与所述被认证设备预先约定。6.根据权利要求3所述的方法，其特征在于，所述被认证设备确定与认证设备约定的随机数包括：所述被认证设备获取预先与所述认证设备约定的随机数种子；基于所述随机数种子，采用预先与所述认证设备约定的算法生成随机数。7.根据权利要求6所述的方法，其特征在于，所述随机数种子包括：所述被认证设备与认证设备预先约定的密钥信息；预先与所述认证设备约定的算法包括：基于时间的一次性密码算法TOTP。8.根据权利要求1所述的方法，其特征在于，利用所述设备密钥对第一数据进行签名和/或加密包括：利用所述设备密钥对所述第一数据进行签名，得到第二数据；或者，利用所述设备密钥对所述第一数据进行加密，得到第二数据；或者，利用服务端密钥对所述第一数据进行加密，得到密文数据，利用所述设备密钥对所述密文数据进行签名，得到第二数据；或者，利用所述设备密钥对所述第一数据进行签名，得到签名数据，利用服务端密钥对签名数据进行加密，得到第二数据；其中，所述服务端密钥由所述认证设备和所述被认证设备预先约定。9.根据权利要求1所述的方法，其特征在于，所述被认证设备的身份标识由所述认证设备生成并预先提供给所述被认证设备。10.根据权利要求1所述的方法，其特征在于，所述获取预先写入所述被认证设备的设备密钥，利用所述设备密钥对第一数据进行签名和/或加密，以及利用所述第二数据和所述被认证设备的身份标识，生成认证码的步骤在可信执行环境下执行。11.根据权利要求1至10任一权项所述的方法，其特征在于，所述设备密钥为设备私钥，所述认证设备保存有与所述设备私钥对应的设备公钥。12.根据权利要求5或8所述的方法，其特征在于，所述服务端密钥为服务端公钥，所述认证设备保存有与所述服务端公钥对应的服务端私钥。13.一种设备身份认证的方法，其特征在于，该方法包括：认证设备接收被认证设备发送的认证码；利用与所述被认证设备的身份标识对应的设备密钥，对所述认证码包含的第二数据进行签名验证和/或解密，其中所述设备密钥由认证设备和被认证设备预先约定；利用所述签名验证和/或解密得到的随机数，对所述被认证设备进行认证。14.根据权利要求13所述的方法，其特征在于，该方法还包括：所述认证设备从所述认证码中解析得到所述被认证设备的身份标识；利用预先存储的所述被认证设备的身份标识与设备密钥之间的对应关系，确定所述被认证设备的身份标识对应的设备密钥。15.根据权利要求13所述的方法，其特征在于，利用与所述被认证设备的身份标识对应的设备密钥，对所述认证码包含的第二数据进行签名验证和/或解密包括：利用所述设备密钥对所述第二数据包含的第一数据进行签名，将得到的签名数据与所述第二数据包含的签名数据进行比对，如果一致，则确定签名验证通过，从所述第一数据中获取随机数，否则确定签名验证失败；或者，利用所述设备密钥对所述第二数据进行解密，得到第一数据，从所述第一数据中获取随机数；或者，利用所述设备密钥对所述第二数据包含的密文数据进行签名，将得到的签名数据与所述第二数据包含的签名数据进行比对，如果一致，则确定签名验证通过，利用服务端密钥对所述密文数据进行解密，得到随机数，否则确定签名验证失败；或者，利用服务端密钥对所述第二数据进行解密，得到签名数据和第一数据，利用所述设备密钥对所述第一数据进行签名，将签名得到的签名数据与解密得到的签名数据进行比对，如果一致，则确定签名验证通过，从所述第一数据中获取随机数，否则确定签名验证失败。16.根据权利要求13所述的方法，其特征在于，利用所述签名验证和/或解密得到的随机数，对所述被认证设备进行认证包括：将所述认证设备与所述被认证设备约定的随机数与所述得到的随机数进行比对，如果一致，则确定对所述被认证设备的认证通过，否则确定对所述被认证设备的认证失败。17.根据权利要求16所述的方法，其特征在于，该方法还包括：所述认证设备确定与所述被认证设备约定的随机数。18.根据权利要求17所述的方法，其特征在于，所述认证设备确定与所述被认证设备约定的随机数包括：所述认证设备接收所述被认证设备获取随机数的请求；向所述被认证设备返回随机数。19.根据权利要求18所述的方法，其特征在于，向所述被认证设备返回随机数包括：利用服务端密钥对所述随机数进行加密，将加密后的随机数返回给所述被认证设备，所述服务端密钥由所述认证设备和所述被认证设备预先约定。20.根据权利要求17所述的方法，其特征在于，所述认证设备确定与所述被认证设备约定的随机数包括：所述认证设备获取预先与所述被认证设备约定的随机数种子；基于所述随机数种子，采用预先与所述被认证设备约定的算法生成随机数。21.根据权利要求20所述的方法，其特征在于，所述随机数种子包括：所述认证设备与所述被认证设备预先约定的密钥信息；预先与所述被认证设备约定的算法包括：基于时间的一次性密码算法TOTP。22.根据权利要求13至21任一权项所述的方法，其特征在于，该方法还包括：所述认证设备预先针对所述被认证设备生成身份标识，并将所述被认证设备的身份标识提供给所述被认证设备。23.根据权利要求13至21任一权项所述的方法，其特征在于，所述设备密钥为设备公钥，在所述被认证设备中预先写入有与所述设备公钥对应的设备私钥。24.根据权利要求15或19所述的方法，其特征在于，所述服务端密钥为服务端私钥，在所述被认证设备中保存有与所述服务端私钥对应的服务端公钥。25.一种设备身份认证的装置，该装置设置于被认证设备，其特征在于，
\t该装置包括：密钥获取单元，用于获取预先写入所述被认证设备的设备密钥，其中所述设备密钥由所述认证设备和所述被认证设备预...

【专利技术属性】
技术研发人员：董侃，刘敦俊，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY