一种物联网安全认证方法和系统与流程

本申请涉及安全认证技术领域，尤其涉及一种物联网安全认证方法和系统。

背景技术：

物联网是新一代信息技术的重要组成部分，也是“信息化”时代的重要发展阶段。其英文名称是：“internetofthings(iot)”。顾名思义，物联网就是物物相连的互联网。这有两层意思：其一，物联网的核心和基础仍然是互联网，是在互联网基础上的延伸和扩展的网络；其二，其用户端延伸和扩展到了任何物品与物品之间，进行信息交换和通信，也就是物物相息。物联网通过智能感知、识别技术与普适计算等通信感知技术，广泛应用于网络的融合中，也因此被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。物联网是互联网的应用拓展，与其说物联网是网络，不如说物联网是业务和应用。因此，应用创新是物联网发展的核心，以用户体验为核心的创新2.0是物联网发展的灵魂。

随着物联网的高速发展，物联网的安全认证也愈发重要。目前，物联网的安全认证基本上采取以下几种方式：软件认证和硬件模块认证。

所谓软件认证，是预先约定好一种软件协议，通过终端设备的操作系统和后台服务器进行软件安全认证，其算法实现、密钥存储都在系统的软件实现。

所谓硬件认证，是在终端设备中额外加载一个安全硬件，比如ese安全芯片等。该安全硬件主要用于存储密钥，提供安全算法，进行身份认证等功能，由于将所有协议和关键数据放入了一个安全硬件中，外界没有可破解的通道。在安全等级上比软件认证要高很多。

软件认证的缺点主要在于安全性低，软件认证的安全级别最高是eal2+，其核心认证算法是由软件实现，关键数据和密钥信息只存储在软件存储区内，并且现有的操作系统和软件均存在很多安全漏洞。

现有的硬件认证方案虽然具有较高的安全性，但由于终端设备需要单独加载一个专门的安全硬件，导致在终端设备的硬件模块的发行、安装和使用理都需要额外的管理，而且需要在原有终端设备产品中重新进行元器件布局设计，从而将安全硬件设计在终端设备内。如此，现有的硬件认证方案存在以下缺点：需要在原有的终端设备上增加一个单独硬件认证模块，会增加很多额外的成本。

技术实现要素：

有鉴于此，本申请实施例提供了一种物联网安全认证方法和系统，以解决现有的软件认证方案以及硬件认证方案存在的上述问题。

为了解决上述技术问题，本申请采用了如下技术方案：

一种物联网安全认证系统，包括：终端设备和安全认证模块，其中，所述安全认证模块与所述终端设备相连；

所述终端设备用于向所述安全认证模块发送安全认证请求，并接收所述安全认证模块发送的安全认证结果；

所述安全认证模块用于接收所述终端设备发送的安全认证请求，并根据所述安全认证请求对所述终端设备进行安全认证，并把安全认证结果发送至所述终端设备。

可选地，所述安全认证模块为sim智能卡。

可选地，所述安全认证模块为蓝牙sim卡模块。

可选地，所述安全认证模块上设置有spi接口、蓝牙接口、uart接口和i2c接口中的至少一种接口，所述安全认证模块与所述终端设备之间通过所述spi接口、蓝牙接口、uart接口和i2c接口中的至少一种接口相连。

可选地，所述系统还包括通讯模块，所述安全认证模块与所述通讯模块相连；

所述通讯模块用于向所述安全认证模块发送网络鉴权请求，并接收所述安全认证模块发送的网络鉴权处理结果，并根据所述网络鉴权处理结果登录物联网与否；

所述安全认证模块还用于接收所述通讯模块发送的网络鉴权请求，并根据所述网络鉴权请求对所述通讯模块进行网络鉴权处理，然后将网络鉴权处理结果发送至所述通讯模块，以使所述通讯模块登录物联网与否。

可选地，所述安全认证模块上设置有7816接口，所述安全认证模块与所述通讯模块之间通过所述7816接口相连。

可选地，所述通讯模块与所述终端设备分别为相互独立的设备。

可选地，所述通讯模块集成在所述终端设备上。

一种物联网安全认证方法，所述方法应用于上述任一技术方案所述的系统，所述方法包括：

安全认证模块接收终端设备发送的安全认证请求；

安全认证模块根据所述安全认证请求对所述终端设备进行安全认证，得到安全认证结果；

安全认证模块将所述安全认证结果发送至所述终端设备。

可选地，所述方法应用于设置有通讯模块的系统，所述方法还包括：

安全认证模块接收所述通讯模块发送的网络鉴权请求；

安全认证模块根据所述网络鉴权请求对所述通讯模块进行网络鉴权处理；

安全认证模块将网络鉴权处理结果发送至所述通讯模块，以使所述通讯模块登录物联网与否。

相较于现有技术，本申请具有以下有益效果：

基于以上技术方案可知，本申请实施例提供的物联网安全认证系统包括终端设备和安全认证模块。安全认证模块与终端设备之间进行通讯连接，当安全认证模块接收到终端设备发送的安全认证请求后，能够据此安全认证请求对终端设备进行安全认证，并把安全认证结果发送至终端设备。因安全认证模块为硬件设备，因此，基于本申请提供的系统进行的安全认证方法为硬件认证方法，所以，该认证方法具有较高的安全性。此外，在本申请提供的系统中，安全认证模块不属于终端设备内部的模块，不会对终端设备的内部元器件的设计造成影响，因此，基于该系统的安全认证方法不会增加终端设备的成本。

附图说明

图1为本申请实施例一提供的一种物联网安全认证系统结构图；

图2为本申请实施例二提供的一种物联网安全认证方法流程图；

图3为本申请实施例三提供的一种物联网安全认证系统结构图；

图4为本申请实施例四提供的一种物联网安全认证方法信令图。

具体实施方式

由于物联网软件认证方式无论采用何种安全算法和协议，都存在被攻破的风险，安全漏洞较多；而带有单独模块的硬件认证，虽然相对安全，但在模块发行、数据写入等一系列环节的存在较大的安全问题。更重要的是，增加硬件载体或改造通讯模组会相应增加额外的成本，而如何降低成本正是移动设备生产发行中不得不考虑的问题。

基于上述问题，本申请实施例提供了一种物联网安全认证系统和方法，在本申请提供的系统中，主要包括安全认证模块和终端设备两个部分，其中，安全认证模块不属于终端设备内部的模块，不会对终端设备的内部元器件的设计造成影响，因而基于该系统的安全认证方法不会增加终端设备的成本。

下面结合说明书附图对本申请的优选实施例进行清楚、完整的描述。显然，所描述的实施例是本申请的一部分实施例，而不是全部实施例。基于本申请的实施例，本领域普通技术人员在没有创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

实施例一

图1是本申请实施例一提供一种物联网安全认证系统，该系统包括：终端设备11和安全认证模块12，其中，所述安全认证模块12与所述终端设备11相连；

所述终端设备11，用于向所述安全认证模块12发送安全认证请求，并接收所述安全认证模块12发送的安全认证结果；

所述安全认证模块12，用于接收所述终端设备11发送的安全认证请求，并根据所述安全认证请求对所述终端设备11进行安全认证，并把安全认证结果发送至所述终端设备11。

作为本申请的一个具体实施例，所述终端设备11可以是固定终端，也可以是移动终端，对此不做限制。作为示例，固定终端可以为智能家居中的门锁。移动终端可以为智能手机。

可选的，所述安全认证模块12可以为sim智能卡，也可以为蓝牙sim卡模块。

可选的，安全认证模块12上设置有用于与所述终端设备11相连的接口，例如spi接口、蓝牙接口、uart接口和i2c接口中的一种或多种。

以上为本申请实施例一提供的物联网安全认证系统。该系统中包含有终端设备11和安全认证模块12，安全认证模块12根据终端设备11发送的安全认证请求，对终端设备11进行安全认证，并向其反馈安全认证结果，进而为终端设备11提供安全服务。因安全认证模块12为硬件设备，所以该系统具有较高的安全性。此外，在该系统中，安全认证模块12不属于终端设备11内部的模块，安全认证模块12设置有与终端设备11相连的接口，并不会对终端设备11的内部元器件的设计造成影响，因此，该系统不会增加终端设备11的成本。

基于上述实施例一所提供的物联网安全认证系统，本申请还提供了一种物联网安全认证方法，具体参见以下实施例。

实施例二

请参见图2，本申请实施例二提供的物联网安全认证方法包括以下步骤：

s201：安全认证模块12接收终端设备11发送的安全认证请求。

安全服务是安全认证模块12提供的服务之一，终端设备11通过spi、蓝牙、uart等接口连接安全认证模块12并发起安全认证请求，该安全认证请求是用于向安全认证模块12申请该安全服务的。安全认证请求包括加解密请求、身份认证请求和其他认证请求等。

s202：安全认证模块12根据所述安全认证请求对所述终端设备11进行安全认证，得到安全认证结果。

安全认证模块12与终端设备11间协定有服务协议。协议中包括产生pki密钥对，存储密钥，进行国密、rsa、ecc、aes、des等多种安全算法的加解密和签名验签，进行身份认证等，安全认证模块12根据服务协议，响应安全认证请求，提供给终端设备11对应的安全服务。

s203：安全认证模块12将所述安全认证结果发送至所述终端设备11。

安全服务结束后，安全认证模块12通过spi、蓝牙、uart、i2c等接口中的至少一种接口，将安全认证结果反馈给终端设备11。除此之外，还可以使用7816接口通过短信或网络方式反馈结果。

以上为本申请实施例二提供的物联网安全认证方法的具体实现方式。该方法通过安全认证模块12与终端设备11间的交互，实现了安全认证模块对终端设备的安全认证。因安全认证模块12为硬件设备，因此，基于本申请实施例一提供的物联网安全认证系统进行的安全认证方法为硬件认证方法。进而，该认证方法相比软件认证方法，具有更高的安全性。此外，由于在本申请实施例一提供的物联网安全认证系统中，安全认证模块12不属于终端设备11内部的模块，不会对终端设备的内部元器件的设计造成影响，因此，上述实施例二提供的安全认证方法不会增加终端设备11的成本。

为了更清楚地理解本申请实施例提供的物联网安全认证方法的具体实现方式。下面以终端设备为智能家居中的门锁为例描述本申请实施例提供的物联网安全认证方法的具体实现方式。

在具体场景下，该物联网安全认证方法具体包括：门锁向安全认证模块发送身份认证请求，安全认证模块根据用户输入的指纹数据及相关算法，识别用户是否有权打开门锁进入房间，产生身份认证结果。安全认证模块将该结果发送至门锁，门锁根据该身份认证结果，开锁或维持锁住状态。

下面以终端设备为智能手机为例描述本申请实施例提供的物联网安全认证方法的具体实现方式。

在具体场景下，该物联网安全认证方法具体包括：智能手机向安全认证模块发送某app支付功能的解密请求，安全认证模块根据用户键入的密码及相关算法，识别用户输入的密码是否与原设置与该app支付功能密码一致，进而产生解密结果。安全认证模块将该结果发送至智能手机中，智能手机根据该解密结果，实现该app支付交易成功与否。

此外，在安全认证系统中，除安全服务功能外，登网功能的是安全认证系统的另一重要功能。然而，现有的物联网软件认证不具备登网功能；而现有的物联网硬件安全认证模块虽然具备较高的安全性，但只能解决安全认证功能需求而不具备登网的功能，或者需要改造通讯模块才能实现联网功能，然而改造通讯模块会额外增加成本。

基于此，为了使得物联网安全认证系统具有登网功能，本申请实施例还提供了物联网安全认证系统的另一种实现方式。具体参见实施例三。

实施例三

参见图3，本申请实施例提供的一种物联网安全认证系统包括终端设备31、安全认证模块和通讯模块33；

在本申请实施例中，终端设备31可以与图1所示的系统中的终端设备11的功能和结构相同，为了简要起见，在此不再详细描述。

安全认证模块32除了具有图1所示的安全认证模块12的功能外，即用于接收所述终端设备31发送的安全认证请求，并根据所述安全认证请求对所述终端设备31进行安全认证，并把安全认证结果发送至所述终端设备31。

此外，安全认证模块32还可以具有以下功能：用于接收所述通讯模块33发送的网络鉴权请求，并根据所述网络鉴权请求对所述通讯模块33进行网络鉴权处理，然后将网络鉴权处理结果发送至所述通讯模块33，以使所述通讯模块33登录物联网与否。

通讯模块33用于向安全认证模块32发送网络鉴权请求，并接收安全认证模块32发送的网络鉴权处理结果，并根据所述网络鉴权处理结果登录物联网与否。

可选的，通讯模块33可以为通讯模组、通讯dtu、基带芯片等。

可选的，通讯模块33可以是一个单独的模块设备，例如通讯dtu，与所述终端设备31为相互独立的设备；此外，通讯模块33也可集成在所述终端设备31上。

为了实现与通讯模块33的连接，在安全认证模块32上还可以设置有用于与通讯模块33相连的7816接口。

在本申请实施例中，安全认证模块32可以为sim智能卡，也可以为蓝牙sim卡模块。以sim智能卡为例，由于sim卡支持网络鉴权以使通讯模块33登陆移动网络，同时支持产生pki密钥对，存储关键秘钥，支持国密、rsa、ecc、aes、des等多种安全算法，因此sim卡除登网外还具备身份认证和加解密等安全认证功能。

以上为本申请实施例三提供的具有联网功能的物联网安全认证系统。该系统中包含有终端设备31，安全认证模块32及通讯模块33，其中，安全认证模块32根据终端设备31发送的安全认证请求，对终端设备31进行安全认证，并向其反馈安全认证结果，进而为终端设备31提供安全服务。除此之外，系统中安全认证模块32可根据接收到的通讯模块33的网络鉴权请求，实现对通讯模块33的网络鉴权处理，通讯模块33根据安全认证模块32反馈的网络鉴权处理结果，实现物联网登录与否。由于安全认证模块32上分别设置有与终端设备31及通讯模块33相匹配的接口，因此该系统在不改造通讯模块和终端设备的前提下，通过安全认证模块，既能够为通讯模块的联网提供服务，又能够为终端设备提供安全服务，功能丰富强大，且无需增加终端设备成本，相比现有的物联网安全认证系统具有明显优势。

基于上述实施例三所提供的具有联网功能的物联网安全认证系统，本申请还提供了一种物联网安全认证方法，具体参见实施例四。

实施例四

参见图4，本申请实施例四提供了一种可实现登网功能的物联网安全认证方法的具体实现方式。如图4所示，该具体实现方式包括以下步骤：

s401：安全认证模块32接收终端设备31发送的安全认证请求。

安全服务是安全认证模块32提供的服务之一，终端设备31通过spi、蓝牙、uart、i2c等接口连接安全认证模块32发起安全认证请求，该安全认证请求用于向安全认证模块32申请该安全服务。

s402：安全认证模块32根据所述安全认证请求对所述终端设备31进行安全认证，得到安全认证结果。

安全认证模块32与终端设备31间协定有服务协议。协议中包括产生pki密钥对，存储密钥，进行国密、rsa、ecc、aes、des等多种安全算法的加解密和签名验签，进行身份认证等，安全认证模块32根据服务协议，提供给终端设备31对应的安全服务。

s403：安全认证模块32将所述安全认证结果发送至所述终端设备31。

安全服务结束后，安全认证模块32通过spi、蓝牙、uart、i2c等接口，将安全认证结果反馈给终端设备31。此外，也可以使用7816接口通过短信或网络方式反馈结果。

进一步地，为了实现登网功能，所述方法还可以包括以下步骤：

s404：安全认证模块32接收所述通讯模块33发送的网络鉴权请求。

通讯模块33开机后，通讯模块33通过7816接口，向安全认证模块32发送的网络鉴权请求，用于向安全认证模块32验证通讯模块33是否拥有登网权利。在实际业务场景中，在需要发送短信、通过或者连接移动网络时，通讯模块33会随时向安全认证模块32发起网络鉴权请求。

s405：安全认证模块32根据所述网络鉴权请求对所述通讯模块33进行网络鉴权处理。

进一步地，网络鉴权处理流程结束后将得到鉴权成功或失败的鉴权结果。

s406：安全认证模块32将网络鉴权处理结果发送至所述通讯模块33，以使所述通讯模块33登录物联网与否。

若鉴权处理结果表示鉴权成功，则通讯模块33能够成功联网。

以上为本申请实施例四提供的物联网安全认证方法的具体实现方式。需要说明的是，在该具体实现方式中，安全认证过程和登网过程是两个相互独立的过程，两者之间不存在依存关系，因此，在本申请实施例中，不限定s401-s403以及s404-s406的执行顺序。也就是说，可以先执行s401-s403，然后再执行s404-s406，也可以先执行s404-s406，再执行s401-s403。

另外，在不需要联网和安全认证时，安全认证模块32处于待命状态，根据服务需要进入步骤s401-s403或步骤s404-s406。

以上为本申请实施例四提供的具有登网功能的物联网安全认证方法的具体实现方式。该方法通过安全认证模块32与终端设备31间的交互，及安全认证模块32与通讯模块33间的交互，分别实现了安全认证模块32对终端设备31的安全认证，及为通讯模块33提供网络鉴权服务。因安全认证模块32为硬件设备，因此，基于本申请实施例三提供的具有登网功能的物联网安全认证系统进行的安全认证方法为硬件认证方法。进而，该认证方法相比软件认证方法，具有更高的安全性。此外，由于在本申请实施例三提供的物联网安全认证系统中，安全认证模块32不属于终端设备31内部的模块，不会对终端设备的内部元器件的设计造成影响，因此，上述实施例四提供的安全认证方法不会增加终端设备31的成本。进一步地，该安全认证方法能与网络鉴权服务并行开展，丰富了实施例三所提供的物联网安全认证系统的功用。

以上所述仅为本申请的优选实施例，并与用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的景深和原则之内，所做的任何修改、等同替换、改进等，均在本申请的保护范围之内。