一种基于国密算法的物联网安全认证系统及认证方法与流程

本发明属于通讯的技术领域，特别涉及基于国密算法的物联网安全通信系统。

背景技术：

随着互联网的迅猛发展，云计算、智能家居，智能楼宇等新型互联网技术日益被人们所熟知并接收。其中，云计算解决方案以其高可伸缩性、成本低廉、运维便利等优点被越来越多的企业采纳。在云计算技术大规模普及的互联网背景下，地下黑色产业链也随着互联网大潮不断发展完善，因而云计算供应商的技术可靠性以及云计算服务的安全性也成为了众多云计算供应商和企业it管理人员关注的重点。所以在云计算、智能家居和智能楼宇中增加无线网身份认证可以非常有效的保障用户安全接入，提高系统的安全性。

现有的基于无线网登录的系统身份认证普遍采用用户名密码认证或者动态码认证方式，已经无法有效的解决云计算中多租户安全威胁、虚拟化安全威胁、云服务滥用等问题。

如专利申请201610450080.x公开了一种身份认证方法、及系统，其中方法应用于包含云服务器以及终端设备的云计算网络包括：所述终端设备显示一段随机生成的文字信息并提示所述终端设备的当前的用户读所述文字信息；对音频数据进行特征提取得到语音特征；在所述终端设备中显示提示信息，提示所述用户输入所述用户设置的密码类型；确定所述用户为所述用户身份信息所对应的用户身份；向所述云服务器发送服务请求，携带所述用户身份的信息且指定了云计算服务的具体内容；确定所述虚拟机在运行过程中服务参数是否有被修改，若有并且不是所述终端设备发送的新的服务请求导致的修改，则确定所述虚拟机存在安全风险。具有极高的安全性并且方便使用。

然而，上述方法是通过语音特征进行身份认证，安全防护等级不高，迫切需要进一步改进。

技术实现要素：

针对上述问题，本发明提出了一种基于国密算法的物联网安全认证系统及认证方法，该系统及方法结合身份认证提高用户通过无线网络登录服务器或者云端的安全性，防止非法登录，同时采用国密局发布的国密算法作为身份认证过程中的算法，进一步提高了系统的安全性。

本发明的另一个目的是提供一种基于国密算法的物联网安全认证系统及认证方法，该系统及方法结合现有通讯工具的特点，通过设备(例如手机)和服务器的相互认证，可以有效的保证系统的安全性。

本发明的再一个目的是提供一种基于国密算法的物联网安全认证系统及认证方法，该系统及方法建立特定的加密通道，采用密文交换密钥的方式，提高了密钥的复杂度和安全性。

基于此，本发明是这样实现的：

一种基于国密算法的物联网安全认证系统，至少应包括身份认证模块、无线网通讯模块，其中身份认证模块是由低功耗安全mcu及其外围电路组成，无线网通信模块是由wifi模组实现，该系统可以实现设备认证、服务器认证以及加密传输数据。认证方法是：系统设备认证采用设备私钥对设备的全球唯一id或随机数进行签名并计算消息校验值，将签名数据通过无线通信模块发送给服务器进行验证签名，如果验证成功则设备认证成功；服务器通过获取随机数命令读取由身份认证模块生成的随机数，使用服务器私钥对随机数进行签名并计算消息校验值后将消息返回设备，设备使用服务器公钥对消息进行验签，验签成功则表示认证成功；认证成功后，系统将建立加密通道进行数据密文传输，加密通道的建立采用密钥交换技术，密钥交换成功后，使用新密钥对后续通道数据进行加密。

无线网身份认证流程包括设备认证和服务器认证。设备认证流程如下：

s101、首先设备发起设备无线网络连接请求与服务器建立网络连接，成功建立网络连接后，

s102、服务器生成一组随机数(或者使用设备id)，并将随机数通过无线通信模块发给身份认证模块；

s103、身份认证模块使用设备私钥对收到的随机数进行sm2签名，并计算消息校验值，将消息通过无线通信模块发给服务器；

s104、服务器收到消息后首先计算校验值，校验通过后使用设备公钥对签名值进行sm2验签，成功则合法接入，否则为非法设备，断开连接，如果校验失败则请求重发，重发超过3次后，判断失败，断开连接；

设备身份认证成功则表示设备已经成功连接到服务器，然后服务器连接设备，则需要进行服务器身份认证，认证流程如下：

s201、服务器连接设备；

s202、设备生成一组随机数并将随机数通过无线通信模块发送给服务器；

s203、服务器使用服务器私钥对收到的随机数进行sm2签名，并计算消息校验值，然后将消息通过无线通信模块发给设备；

s204、设备收到消息后首先计算校验值，校验通过则使用服务器公钥对签名值进行sm2验签，成功则合法接入，否则为非法服务器，断开连接；如果校验失败则请求重发，重发超过3次后，判断失败，断开连接；

设备与服务器完成身份认证即签权后，则可以进行加密通道建立。

加密通道的建立流程如下：

s301、服务器生成一组随机数r0，使用设备公钥对随机数sm2算法加密后将密文通过无线通信模块发送给设备；

s302、设备接收到密文，对密文使用设备私钥进行解密获得r0；

s303、设备生成一组随机数r1，使用服务器公钥对随机数sm2算法加密后将密文通过无线通信模块发送给服务器；

s304、服务器收到密文，对密文使用服务器私钥进行解密获得r0；

s305、服务器和设备建立以r0+r1为密钥的加密通道。

本发明该系统及方法结合身份认证提高用户通过无线网络登录服务器或者云端的安全性，防止非法登录，同时采用国密局发布的国密算法作为身份认证过程中的算法，进一步提高了系统的安全性。与现有登录服务器方案相比，本发明通过设备和服务器的相互认证，可以有效的保证系统的安全性，并且加密通道的建立，采用密文交换密钥的方式，提高了密钥的复杂度和安全性。

附图说明

图1为本发明所实施的安全认证系统框图。

图2为本发明所实施的无线网身份认证流程图。

图3为本发明所实施的加密通道的建立流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图1为本发明所实现的基于国密算法的物联网安全认证系统，图中所示，该系统至少应包括身份认证模块、无线网通讯模块，其中身份认证模块是由低功耗安全mcu及其外围电路组成，无线网通信模块是由wifi模组实现，该系统可以实现设备认证、服务器认证以及加密传输数据。

认证方法是：系统设备认证采用设备私钥对设备的全球唯一id或随机数数进行签名并计算消息校验值，将签名数据通过无线通信模块发送给服务器进行验证签名，如果验证成功则设备认证成功；服务器通过获取随机数命令读取由身份认证模块生成的随机数，使用服务器私钥对随机数进行签名并计算消息校验值后将消息返回设备，设备使用服务器公钥对消息进行验签，验签成功则表示认证成功；认证成功后，系统将建立加密通道进行数据密文传输，加密通道的建立采用密钥交换技术，密钥交换成功后，使用新密钥对后续通道数据进行加密。

图2为基于国密算法的无线网身份认证流程包括设备认证和服务器认证。设备认证流程如下：

s101、首先设备发起设备无线网络连接请求与服务器建立网络连接，成功建立网络连接后，

s102、服务器生成一组随机数(或者使用设备id)，并将随机数通过无线通信模块发给身份认证模块；

s103、身份认证模块使用设备私钥对收到的随机数进行sm2签名，并计算消息校验值，将消息通过无线通信模块发给服务器；

s104、服务器收到消息后首先计算校验值，校验通过后使用设备公钥对签名值进行sm2验签，成功则合法接入，否则为非法设备，断开连接，如果校验失败则请求重发，重发超过3次后，判断失败，断开连接；

设备身份认证成功则表示设备已经成功连接到服务器，然后服务器连接设备，则需要进行服务器身份认证，认证流程如下：

s201、服务器连接设备；

s202、设备生成一组随机数并将随机数通过无线通信模块发送给服务器；

s203、服务器使用服务器私钥对收到的随机数进行sm2签名，并计算消息校验值，然后将消息通过无线通信模块发给设备；

s204、设备收到消息后首先计算校验值，校验通过则使用服务器公钥对签名值进行sm2验签，成功则合法接入，否则为非法服务器，断开连接；如果校验失败则请求重发，重发超过3次后，判断失败，断开连接；

设备与服务器完成身份认证即签权后，则可以进行加密通道建立。

如图3所示，加密通道的建立流程如下：

s301、服务器生成一组随机数r0，使用设备公钥对随机数sm2算法加密后将密文通过无线通信模块发送给设备；

s302、设备接收到密文，对密文使用设备私钥进行解密获得r0；

s303、设备生成一组随机数r1，使用服务器公钥对随机数sm2算法加密后将密文通过无线通信模块发送给服务器；

s304、服务器收到密文，对密文使用服务器私钥进行解密获得r0；

s305、服务器和设备建立以r0+r1为密钥的加密通道。

本发明的特点在于：

一、安全的身份认证方法；

二、通过交换密钥方式建立加密通道；

三、签名和加密算法不限于sm2、sm4；

四、通信消息校验值可选；

五、密钥r0、r1的组合方式不限、长度不限。

总之，与现有登录服务器方案相比，本发明通过设备和服务器的相互认证，可以有效的保证系统的安全性，并且加密通道的建立，采用密文交换密钥的方式，提高了密钥的复杂度和安全性。

本发明还可用于蓝牙设备、lora设备，北斗定位设备、gps设备、蜂窝通信设备等无线通信设备的身份认证和加密通道建立。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。