一种物联网设备注册和认证方法与流程

本发明涉及物联网技术领域，特别涉及一种物联网设备注册和认证方法。

背景技术：

物联网设备越来越普及，因此对于物联网设备的安全管理越来越迫切。

现有的认证手段，更多依赖云端对远程终端进行验证，再通过云端控制物联网设备。这种方式需要建立云端同远程终端的安全通讯链路，同时默认物联网设备与云端的通讯链路安全可靠。在用户的使用环境中，物联网设备与云端之间的通信并非无懈可击，云端采用的传统的用户名、密码验证也不能保护远程终端和物联网设备的通信安全，导致物联网设备的安全比较薄弱。

技术实现要素：

本发明提供了一种物联网设备注册和认证方法，解决现有技术物联网设备的安全比较薄弱的问题。

本发明提供了一种物联网设备注册方法，包括：

预先选取许可入网设备作为物联网设备的控制终端，所述控制终端与物联网设备具有配对的厂商公钥和厂商私钥；

所述控制终端和所述物联网设备建立直连安全通讯链路；

物联网设备进入注册模式后，所述控制终端和所述物联网设备利用厂商公钥和厂商私钥进行身份注册绑定。

优选地，所述控制终端和所述物联网设备利用厂商公钥和厂商私钥进行身份注册绑定包括：

所述控制终端给所述物联网设备发送注册请求；

所述物联网设备给所述控制终端发送挑战值、或者发送挑战值和物联网设备信息；

所述控制终端接收到挑战值、或者挑战值和物联网设备信息之后，生成控制终端公钥和控制终端私钥，然后利用厂商私钥对挑战值、控制终端公钥进行私钥签名发送给所述物联网设备；

所述物联网设备利用厂商公钥对接收的私钥签名信息进行验签，在验签成功后比对所述挑战值是否一致；

如果是，则通知所述控制终端身份注册绑定成功。

优选地，在身份注册绑定成功后，所述注册方法还包括：

所述控制终端与云端具有配对的厂商公钥和厂商私钥；

所述控制终端利用厂商私钥对物联网设备信息、控制终端设备信息、控制终端公钥进行私钥签名发送给所述云端，以在云端进行身份注册绑定或同步云端的身份注册绑定信息。

优选地，在身份注册绑定成功后，所述注册方法还包括：

所述物联网设备在满足预设条件后关闭注册模式。

优选地，所述控制终端具有生物特征认证功能，所述注册方法还包括：

在使用控制终端私钥之前，控制终端先进行生物特征认证，在生物特征认证通过后，允许所述控制终端使用控制终端私钥。

相应地，本发明还提供了一种物联网设备直连认证方法，包括：

控制终端和物联网设备建立直连通讯链路，且物联网设备上存储有控制终端公钥；

控制终端利用控制终端私钥和挑战值在所述物联网设备上进行认证；

在认证通过后，所述控制终端给所述物联网设备发送操作指令报文。

优选地，所述控制终端利用控制终端私钥和挑战值在所述物联网设备上进行认证包括：

所述控制终端给所述物联网设备发送认证请求；

所述物联网设备接收到所述认证请求后，给所述控制终端发送挑战值；

所述控制终端利用控制终端私钥对所述挑战值进行私钥签名后发送给所述物联网设备；

所述物联网设备利用控制终端公钥对私钥签名信息进行验签，在验签成功后比对所述挑战值是否一致，如果是，则通知所述控制终端认证通过。

相应地，本发明还提供了一种物联网设备远端认证方法，包括：

物联网设备和云端分别存储有控制终端公钥，且控制终端、物联网设备和云端相互通讯连接；

所述控制终端通过控制终端私钥签名信息在所述云端进行认证；

所述云端在认证通过后，将控制终端私钥签名信息发送给所述物联网设备进行验签；

所述物联网设备在验签成功后通知所述云端验签成功；

所述云端通知所述控制终端验签成功；

所述控制终端在验签成功后经由所述云端给所述物联网设备发送操作指令报文。

优选地，所述控制终端通过控制终端私钥签名信息在所述云端进行认证包括：

所述控制终端给所述云端发送认证请求；

所述云端接收到所述认证请求后，给所述控制终端发送挑战值；

所述控制终端利用控制终端私钥对所述挑战值进行私钥签名后发送给所述云端；

所述云端利用控制终端公钥对私钥签名信息进行验签，在验签成功后比对所述挑战值是否一致，如果是，则认证通过。

优选地，所述控制终端在验签成功后，私钥签名所述操作指令报文，然后经由所述云端发送给所述物联网设备。

本发明提供的一种物联网设备注册和认证方法，包括：预先选取许可入网设备作为物联网设备的控制终端，所述控制终端与物联网设备具有配对的厂商公钥和厂商私钥；所述控制终端和所述物联网设备建立直连安全通讯链路；物联网设备进入注册模式后，所述控制终端和所述物联网设备利用厂商公钥和厂商私钥进行身份注册绑定。由于控制终端为许可入网设备，控制终端联网的安全性比较高，且控制终端与物联网设备具有配对的厂商公钥和厂商私钥，因此，在控制终端和物联网设备之间建立直连安全通讯链路之后，控制终端可以利用厂商公钥和厂商私钥在物联网设备上进行身份注册绑定，以保证物联网设备的安全性。

进一步地，本发明实施例提供的物联网设备注册方法，所述控制终端和所述物联网设备建立直连安全通讯链路，然后控制终端利用厂商私钥对挑战值、控制终端公钥进行私钥签名发送给所述物联网设备进行身份注册绑定，无需采用用户名、密码的注册方式，且安全度更高。

进一步地，本发明实施例提供的物联网设备注册方法，还可以在云端进行身份注册绑定以便于后续进行远端控制，此外，如果物联网设备已经在云端上进行过身份注册绑定，则通过数据同步来使得云端同步身份注册绑定信息，使得云端存储的相关信息为最新信息，提升物联网设备的安全性。

进一步地，本发明实施例提供的物联网设备认证方法，在身份注册绑定成功后，注册方法还包括：所述物联网设备在满足预设条件后关闭注册模式，例如在达到设定时长后制动关闭注册模式。这样可以仅在用户希望进行控制终端身份注册绑定时才开启注册模式，其它时刻不开启注册模式，可以有效提升物联网设备的安全度。此外，还可以设定在满足预设条件后自动关闭注册模式的功能，这样可以避免用户忘记关闭注册模式导致其暴露在不安全的环境中。

进一步地，本发明实施例提供的物联网设备认证方法，所述控制终端具有生物特征认证功能，所述注册方法还包括：在使用控制终端私钥之前，控制终端先进行生物特征认证，在生物特征认证通过后，允许所述控制终端使用控制终端私钥。例如，所述控制终端为具有指纹认证功能的移动电话，这样，可以在手机需要利用控制终端私钥进行签名之前先进行用户身份认证，当指纹认证通过时，至少表明用户希望利用控制终端私钥进行相应操作，这样就可以有效提升私钥使用的安全性，进而提升物联网设备的安全性。

进一步地，本发明实施例提供的物联网设备直连认证方法，提供了一种通过直连认证的方式来提升物联网设备的安全度的方法，其中，在控制终端和物联网设备间建立通讯链路之后，利用控制终端私钥和挑战值在所述物联网设备上进行认证，提升了物联网设备的安全度。

进一步地，本发明实施例提供的物联网设备远端认证方法，首先，所述控制终端通过控制终端私钥签名信息在所述云端进行认证，在认证通过后，经由所述云端将控制终端私钥签名信息发送给所述物联网设备进行验签，以保证物联网设备接收的信息的安全可靠性，这样可以有效提升物联网设备的安全度。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为根据本发明实施例提供的物联网设备注册方法的第一种流程图；

图2为根据本发明实施例提供的物联网设备注册方法的第二种流程图；

图3为根据本发明实施例提供的物联网设备直连认证方法的第一种流程图；

图4为根据本发明实施例提供的物联网设备直连认证方法的第二种流程图；

图5为根据本发明实施例提供的物联网设备远端认证方法的第一种流程图；

图6为根据本发明实施例提供的物联网设备远端认证方法的第二种流程图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的参数或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本发明提供的一种物联网设备注册和认证方法，采用了控制终端的安全认证能力，在注册阶段，控制终端首先同物联网设备线下直连，控制终端在安全域中生成控制终端公私和控制终端私钥，控制终端公私直连发送给物联网设备，控制终端私钥保存于控制终端的安全域中。如果后期需要进行云端连接，控制终端再将控制终端公钥、物联网设备信息发送至云端保存。

在注册完成之后，操作指令报文可以使用之前生成的控制终端私钥签名，通过云端或直连发送给物联网设备，再使用控制终端公钥进行验签，验签成功后即可保证连接的安全可靠性，这样就可以安全的对物联网设备进行控制。

此外，在注册及使用过程中，可以使用手机中已有的生物特征认证功能对控制终端私钥签的使用进行授权，只有生物特征认证通过时，才允许使用私钥对操作进行签名。

为了更好的理解本发明的技术方案和技术效果，以下将结合流程示意图对具体的实施例进行详细的描述。如图1所示，根据本发明实施例提供的物联网设备注册方法的第一种流程图，该方法可以包括以下步骤：

步骤s01，预先选取许可入网设备作为物联网设备的控制终端，所述控制终端与物联网设备具有配对的厂商公钥和厂商私钥。

在本实施例中，许可入网设备提供由用户实现接入协议所必需的功能。该许可入网设备可以将话音、文字、数据和图像信息转变为电信号或电磁信号发出去，并将接收到的电或电磁信号复原为原来的话音、文字、数据和图像信息。具体地，控制终端可以为电话机、电报机、移动电话、数据终端机、平板电脑、微计算机、传真机、电视机、办公室自动化系统、计算机系统等。

优选地，控制终端为智能移动电话(智能手机)，已通过3c认证、srmc认证和cta认证等，所述控制终端与物联网设备具有配对的厂商公钥和厂商私钥，厂商可以为联想、华为、小米、中兴等，例如，华为的智能手机具有华为配置的华为手机公钥和手机私钥，华为会将华为手机公钥发送给移动服务厂商、上下游相应的厂商以及合作厂商等，以便于手机与这些厂商的设备进行通讯。这样使得移动电话与物联网设备、云端之间的通讯安全度可以得到一定保障。

步骤s02，所述控制终端和所述物联网设备建立直连安全通讯链路。

具体地，控制终端可以通过硬线连接，或者蓝牙、wifi等无线的直连安全通讯链路，例如局域网等，直连安全通讯链路确保了控制终端在物联网设备上进行注册时的安全可靠性。

步骤s03，物联网设备进入注册模式后，所述控制终端和所述物联网设备利用厂商公钥和厂商私钥进行身份注册绑定。

具体地，可以通过挑战值、用户名等信息进行身份注册绑定。其中，物联网设备的软件中设置有模式选择功能，例如，注册模式，工作模式，休眠模式等，在此不再列举，其中，注册模式开启时，才允许其他设备在开启注册模式的物联网设备上进行注册，注册模式关闭时，则禁止进行注册，且正在注册过程中的操作也会被中断。

本发明提供的一种物联网设备注册方法，包括：预先选取许可入网设备作为物联网设备的控制终端，所述控制终端与物联网设备具有配对的厂商公钥和厂商私钥；所述控制终端和所述物联网设备建立直连安全通讯链路；物联网设备进入注册模式后，所述控制终端和所述物联网设备利用厂商公钥和厂商私钥进行身份注册绑定。由于控制终端为许可入网设备，控制终端联网的安全性比较高，且控制终端与物联网设备具有配对的厂商公钥和厂商私钥，因此，在控制终端和物联网设备之间建立直连安全通讯链路之后，可以利用厂商公钥和厂商私钥进行身份注册绑定以保证设备的安全性。

如图2所示，为根据本发明实施例提供的物联网设备注册方法的第二种流程图，通过该流程图可以完成身份注册绑定。其中，所述控制终端和所述物联网设备利用厂商公钥和厂商私钥进行身份注册绑定包括：

步骤a，所述控制终端给所述物联网设备发送注册请求。例如，发送注册请求报文等。

步骤b，所述物联网设备给所述控制终端发送挑战值、或者发送挑战值和物联网设备信息。

其中，上述挑战值是所述物联网设备生成的一个随机数，该随机数用于后续物联网设备验证：请求注册的设备是否为之前发送注册请求的设备，如果有多个设备请求注册，则可以根据挑战值判断是哪个设备。该物联网设备信息可以为设备硬件信息，例如mac地址、cpu号等唯一硬件信息，该物联网设备信息可以用于后续在云端进行注册绑定，或者更新云端的注册绑定信息等。

步骤c，所述控制终端接收到挑战值、或者挑战值和物联网设备信息之后，生成控制终端公钥和控制终端私钥，然后利用厂商私钥对挑战值、控制终端公钥进行私钥签名发送给所述物联网设备。这样使得所述物联网设备可以获得所述控制终端生成的控制终端公钥，以便于所述物联网设备利用控制终端公钥与控制终端进行加密通讯。

步骤d，所述物联网设备利用厂商公钥对接收的私钥签名信息进行验签，在验签成功后比对所述挑战值是否一致。由于物联网设备中存储有控制终端的厂商公钥，因此可以通过厂商公钥验签接收的私钥签名信息，当验签成功时，则可以获取私钥签名信息中的挑战值、控制终端公钥等信息。然后再将验签后获取的挑战值与先前发送给控制终端的挑战值进行比对，如果一致，则表明控制设备身份正确，注册绑定成功。需要说明的是，可能存在多对一注册绑定的情形，例如，多个控制终端请求在同一个物联网设备上进行注册绑定，则挑战值还可以用于对控制终端进行区分：不同的控制终端接收到唯一的挑战值，每个控制终端对挑战值进行私钥签名时则表明了自身的身份，避免注册时造成混乱。

步骤e，如果是，则通知所述控制终端身份注册绑定成功。

在另一个实施例中，为了便于后续控制终端对物联网设备进行远端操控，需要在云端上进行身份注册及绑定，对于已经进行在云端注册过的物联网设备，则需要对云端的注册信息进行数据更新，具体地，在身份注册绑定成功后，所述注册方法还包括：

步骤f，所述控制终端与云端具有配对的厂商公钥和厂商私钥。例如，控制终端的厂商可以预先将厂商公钥发送给所述云端以便于云端存储厂商公钥，进行后续身份认证或同步注册绑定信息等。

步骤g，所述控制终端利用厂商私钥对物联网设备信息、控制终端设备信息、控制终端公钥进行私钥签名发送给所述云端，以在云端进行身份注册绑定或同步云端的身份注册绑定信息。具体地，如果云端不存在该物联网设备的相关注册信息，则对物联网设备信息、控制终端设备信息进行注册绑定，并存储对应的控制终端公钥；如果云端存在该物联网设备的相关注册信息，则同步云端的身份注册绑定信息。

此外，为了提升物联网设备的安全性，在注册完成或满足设定条件下，可以关闭注册模式，具体地，在身份注册绑定成功后，所述注册方法还包括：所述物联网设备在满足预设条件后关闭注册模式。其中，该预设条件包括但不限于以下任意一种或多种：用户手动关闭注册模式、注册模式开启超过设定阈值、物联网发送了注册完成信息、物联网发送了注册完成信息超过设定时长等，在此不再一一列举，这样可以有效避免物联网设备在非用户意愿的情况下与其他设备进行注册绑定。

在其它实施例中，所述控制终端具有生物特征认证功能，所述注册方法还包括：在使用控制终端私钥之前，控制终端先进行生物特征认证，在生物特征认证通过后，允许所述控制终端使用控制终端私钥。

其中，生物特征认证包括但不限于以下任意一种或多种：指纹认证、声纹认证、声纹密码认证、虹膜认证、面部特征认证等。相应的，为了实现上述生物特征认证，所述控制终端应当具备相应的传感器，例如压力传感器、摄像头、麦克风等，以及相应的认证软件，在此不再详述。

在一个优选地实施例中，所述控制终端为具有指纹认证功能的移动电话。在控制终端需要使用私钥签名功能之前，需要先进行指纹认证，例如，在使用私钥签名功能之前，先弹出提示框：请进行指纹认证，在指纹认证成功后，允许所述控制终端使用控制终端私钥进行私钥签名。

在本发明实施例中，给出了控制终端在物联网设备、云端进行身份注册绑定的具体方法，有助于提升物联网设备的安全性。

如图3所示，为根据本发明实施例提供的物联网设备直连认证方法的第一种流程图。

在本实施例中，该物联网设备直连认证方法包括：

步骤s31，控制终端和物联网设备建立直连通讯链路，且物联网设备上存储有控制终端公钥。

具体地，控制终端可以通过硬线连接，或者蓝牙、wifi等无线方式建立直连通讯链路，在如上所述的物联网设备注册过程中，控制终端已经将控制终端公钥发送给物联网设备。

步骤s32，控制终端利用控制终端私钥和挑战值在所述物联网设备上进行认证。

需要说明的是，与注册流程中一样，所述控制终端可以具有生物特征认证功能，所述直连认证方法还包括：在使用控制终端私钥之前，控制终端先进行生物特征认证，在生物特征认证通过后，允许所述控制终端使用控制终端私钥。优选地，所述控制终端为具有指纹认证功能的移动电话。

步骤s33，在认证通过后，所述控制终端给所述物联网设备发送操作指令报文。

具体地，可以利用厂商私钥对操作指令报文进行私钥签名发送给物联网设备，也可以采用控制终端私钥签名对操作指令报文进行私钥签名发送给物联网设备，当然，在建立安全通讯链路能保证连接及信息传输安全时，也可以直接发送操作指令报文。

在本发明实施例中，提供了物联网设备的直连认证方法，可以有效保障物联网设备的安全性。

如图4所示，为根据本发明实施例提供的物联网设备直连认证方法的第二种流程图。

在本实施例中，提供了一种物联网设备直连认证的具体方法，其中，所述控制终端利用控制终端私钥和挑战值在所述物联网设备上进行认证包括：

步骤a，所述控制终端给所述物联网设备发送认证请求。

步骤b，所述物联网设备接收到所述认证请求后，给所述控制终端发送挑战值。挑战值可以为物联网设备随机生成的一个随机数。

步骤c，所述控制终端利用控制终端私钥对所述挑战值进行私钥签名后发送给所述物联网设备。

步骤d，所述物联网设备利用控制终端公钥对私钥签名信息进行验签，在验签成功后比对所述挑战值是否一致，如果是，则通知所述控制终端认证通过。

如图5所示，为根据本发明实施例提供的物联网设备远端认证方法的第一种流程图。

在本实施中，该物联网设备远端认证方法可以包括：

步骤s51，物联网设备和云端分别存储有控制终端公钥，且控制终端、物联网设备和云端相互通讯连接。

具体地，如上述所述的注册流程中，控制终端将生成的控制终端公钥分别发送给了物联网设备和云端，因此，物联网设备和云端分别存储有控制终端公钥；此外，控制终端、物联网设备和云端相互通讯连接。

步骤s52，所述控制终端通过控制终端私钥签名信息在所述云端进行认证。例如，所述控制终端将控制终端私钥签名信息发送给所述云端，所述云端利用存储的控制终端公钥对私钥签名信息进行验签，如果能正确解密私钥签名信息，则认证通过。当然，还可以进一步验证私钥签名信息中的内容是否正确，在内容正确时认证通过。

步骤s53，所述云端在认证通过后，将控制终端私钥签名信息发送给所述物联网设备进行验签。具体地，所述云端在验签成功后，将接收的控制终端私钥签名信息发送给所述物联网设备，所述物联网设备利用存储的控制终端公钥对私钥签名信息进行验签，如果能正确解密私钥签名信息，则验签成功。

步骤s54，所述物联网设备在验签成功后通知所述云端验签成功。

步骤s55，所述云端通知所述控制终端验签成功。

步骤s56，所述控制终端在验签成功后经由所述云端给所述物联网设备发送操作指令报文。

需要说明的是，控制终端给物联网设备发送操作指令报文时，可以每发送一次操作指令报文即进行一轮认证和验签，也可以在一段时间之后再进行一轮认证和验签，或者是在云端或物联网设备进行重启后进行一轮认证和验签，在此不做限定。在一个具体实施例中，所述控制终端在验签成功后，私钥签名所述操作指令报文，然后经由所述云端发送给所述物联网设备。

需要说明的是，与注册流程中一样，所述控制终端可以具有生物特征认证功能，所述直连认证方法还包括：在使用控制终端私钥之前，控制终端先进行生物特征认证，在生物特征认证通过后，允许所述控制终端使用控制终端私钥。优选地，所述控制终端为具有指纹认证功能的移动电话。

在本实施例中，所述控制终端在云端进行认证后，再由云端在物联网设备上进行验签，在验签成功后才可以由控制终端对物联网设备进行远端操控，能有效保障物联网设备的安全性。

如图6所示，为根据本发明实施例提供的物联网设备远端认证方法的第二种流程图。

在本实施例中，所述控制终端通过控制终端私钥签名信息在所述云端进行认证包括：

步骤a、所述控制终端给所述云端发送认证请求。

步骤b、所述云端接收到所述认证请求后，给所述控制终端发送挑战值。挑战值可以为云端随机生成的一个随机数。

步骤c、所述控制终端利用控制终端私钥对所述挑战值进行私钥签名后发送给所述云端。

步骤d、所述云端利用控制终端公钥对私钥签名信息进行验签，在验签成功后比对所述挑战值是否一致，如果是，则认证通过。

其他步骤同上一实施例，在此不再详述。

相应地，本发明还提供了相对于上述物联网设备注册、认证方法的物联网，该物联网可以包括：

相互通讯连接的控制终端和云端，所述控制终端和物联网设备以直连安全通讯链路连接或通讯连接，所述控制终端与所述物联网设备具有配对的厂商公钥和厂商私钥，所述控制终端具有控制终端公钥和控制终端私钥，所述物联网设备和所述云端存储有控制终端公钥。

所述物联网设备用于对所述控制终端进行身份注册绑定，以及对控制终端私钥签名信息进行认证，控制终端在认证通过后与物联网设备连接，以发送操作指令报文。

所述云端用于对所述控制终端和所述物联网设备利用厂商公钥和厂商私钥进行身份注册绑定和身份注册绑定信息更新，以及转发认证结果、私钥签名信息、操作指令报文等。

在一个具体实施中，所述控制终端具有生物特征认证功能，所述控制终端在使用控制终端私钥之前先进行生物特征认证，在生物特征认证通过后，允许使用控制终端私钥。优选地，所述控制终端为具有指纹认证功能的移动电话。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的用于多操作端远程操控单操作对象的系统中的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者系统程序(如计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网的网站上下载得到，也可以在载体信号上提供，或者以任何其他形式提供。