基于设备身份标识的轻量级认证方法及网关与流程

本发明属于物联网技术领域，更具体地，涉及一种基于设备身份标识的轻量级认证方法及网关。

背景技术：

现有的认证协议框架包括pki、cpk和ibe等多种结构。pki证书技术已成为应用于各个领域的安全通信功能实现的一个成熟技术。为验证用户身份，pki框架要求通信用户在与对方通信前申请对方证书以及验证证书的有效性，较大增加了通信，时间和运算开销，对于功能简单，硬件设施简陋的物联网设备，难以支撑pki认证技术的正常运行，尽管存在一些对pki框架的轻量级设计，但都无法弥补证书与信任链的本质缺陷。郭萍提出一种轻量级证书方法(郭萍,张宏,周未,曹雪.基于轻量级ca无线传感器网络双向认证方案[j].小型微型计算机系统,2013)，只设置一个信任机构对用户自己生成的公私密钥对进行签名信任，降低了证书使用开销。但是其安全性降低，无法察觉中间人攻击；简单的合法验证和密钥托管的缺失导致协议可能出现攻击者注册成功的漏洞。因此，智能电网场景需要轻量级的认证协议来实现物联网设备的安全接入。cpk通过组合密码矩阵缩短了公钥生成时间，也不需要第三方证明的层次化ca机构链。虽然原则上规模很小的矩阵通过组合生产出数量极为庞大的公私钥对，但是如果恶意攻击者收集足够多的密文信息，可能会通过线性组合逆操作导致密钥容易被破解(周加法,马涛,李益发.pki、cpk、ibc性能浅析[j].信息工程大学学报,2005)。相比于pki证书技术和cpk体系，ibc框架提出用户信息与用户公钥的一一映射关系，不需要数字证书进行绑定；其数学基础是椭圆曲线双线性对，相比于其他加密方式，安全性高，不容易被破解，更加适应智能电厂应用场景。yan等人提出了使用基于身份的分层加密技术(yanl,rongc,zhaog.strengthencloudcomputingsecuritywithfederalidentitymanagementusinghierarchicalidentity-basedcryptography[j].lecturenotesincomputerscience,2009)加强多个体管理的云计算安全，协调不同云之间的标识管理系统；然而标识之间有重复出现的字段，因为标识与设备公钥具有一定的函数关系，所以标识的重复字段可能导致提高密钥破解的可能性，同时，标识形成并没有发挥ibc框架的轻量级优势。dong提出一种轻量级公钥认证框架(dongx，wangl，caoz.newpublickeycrypto-systemwithlightcertificationauthority[eb/ol].http://eprint.iacr.org/2006/154)用来解决物联网的终端计算能力有限的问题。但是这种轻量级公钥认证框架只是适用于规模比较小的网络中，不适用设备灵活接入安全系统的场景。sungchul提出一种用户身份标识与用户密钥一对一的关系(sungchull.,ju-yeonj.andyoohwank.,“methodforsecurerestfulwebservice".inieee/acis,14thinternationalconferenceoncomputerandinformationscience(icis2015))。但是没有考虑这些网络信息是否可以被复制。综合而说，现有的ibc轻量级设计及电网场景应用仍然有缺陷，非对称加密算法复杂；相对于规范的用户信息，如邮箱地址等，现有的物联网设备信息(ip地址)容易仿冒；相比于智能用户准入验证机制的交互性，物联网设备接入系统时无法实现合法身份验证。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

现有的轻量级注册认证中存在安全性不足的问题。

技术实现要素：

有鉴于此，本发明实施例提供了一种基于设备身份标识的轻量级认证方法及网关，至少解决现有技术中安全性不足的问题。

第一方面，本发明实施例提供了一种基于设备身份标识的轻量级认证方法，包括：注册方法和认证方法；

所述注册方法包括：

响应于注册申请请求，获取发送注册申请请求终端的身份信息；

基于所述身份信息生成终端id公钥；

基于所述终端id公钥得到终端的加密私钥和加签公钥；

获取与终端协商得到的会话密钥；

基于所述会话密钥对所述加密私钥和加签公钥进行加密，得到第一加密信息；

将所述第一加密信息发送至终端。

可选的，所述获取发送注册申请请求终端的身份信息，包括：

对发送注册申请请求的终端进行指纹采集；

基于指纹采集的信息得到所述身份信息。

可选的，所述获取发送注册申请请求终端的身份信息的步骤之后，还包括：

基于所述身份信息判断所述终端是否符合设定的注册条件。

可选的，所述会话密钥为：

网关与终端采用协商密钥算法生成。

可选的，所述网关与终端采用协商密钥算法生成的会话密钥，包括：

网关基于密钥协商算法得到第一随机数，向终端发送包含第一随机数的网关信息；

网关接收来自终端的反馈信息，所述反馈信息包括使用会话密钥加密的第二加密信息和第二随机数，所述会话密钥为基于第一随机数和第二随机数生成，所述第二随机数为终端基于终端id生成，生成所述第二随机数的密钥协商算法与生成第一随机数的密钥协商算法相同；

网关基于所述第二随机数对所述第二加密信息信息解密得到会话密钥。

可选的，所述网关信息，包括：

ida，idb，ar1，网关时间戳和s1，ida为网关id，idb为终端id，ar1为第一随机数，m1为ida、idb和ar1的mac值，s1为网关对m1的签名。

可选的，所述反馈信息，包括：

e1和ar2，e1为使用会话密钥加密的包括ida、idb、网关时间戳+1和第二随机数mac值的信息，ar2为第二随机数。

可选的，所述网关基于所述第二随机数对所述第二加密信息信息解密得到会话密钥，包括：

通过ar2获得会话密钥并解密信息e1；

验证网关时间戳和第二随机数mac值是否正确；

如正确，则用会话密钥加密包括ida、idb、keypair、网关时间戳+2，和s2的e2信息，keypair为加密私钥和加签公钥，s2为对m2的签名，m2为ida、idb、keypair和网关时间戳+2的mac值；

使用签名算法为e2信息的mac值添加数字签名。

可选的，所述将所述第一加密信息发送至终端，包括：

接收来自终端的结束信号e3，对所述结束信号e3进行解密，基于解密得到的信息判断与终端会话是否结束；

所述终端生成结束信号e3包括，终端使用会话密钥解密e2信息，对解密e2信息中的时间戳有效性进行验证，得到keypair后生成结束信号e3。

可选的，所述认证方法，包括：

响应于认证请求，获取发送认证请求的终端身份信息；

基于所述身份信息生成终端id；

基于所述终端id确认所述终端是否成功注册；

接收成功注册终端的认证请求报文，并产生第一通信密钥；

基于认证请求报文和所述第一通信密钥生成认证请求回复报文；

接收基于所述认证请求回复报文得到的认证报文，所述认证报文为基于所述认证回复报文得到的，所述认证报文使用第二通信密钥加密；

基于所述认证报文对终端身份进行认证。

可选的，所述基于所述终端id确认所述终端是否成功注册，包括：

访问预配置的数据库，确认终端身份是否合法且所述终端是否成功注册。

可选的，所述接收成功注册终端的认证请求报文，并产生第一通信密钥，包括：

发送网关时间戳t给成功注册的终端；

所述认证请求报文为：

所述终端基于所述网关时间戳t、随机数ra和参数ra生成；

所述随机数ra和参数ra为所述终端基于所述网关时间戳t生成；

所述认证请求报文为：

authenticationrequest/syn＝e(id,t,ra,h(ra)),ra,sig(mac)，authenticationrequest为认证请求命令，syn为同步序列编号，e为认证请求信息，id为终端id，h(ra)为参数ra的哈希值，sig(mac)为对e(id，t，ra，h(ra))的mac值的签名；

所述接收成功注册终端的认证请求报文，并产生第一通信密钥，包括：

使用终端公钥解签验证，并用第一解密私钥解密认证请求报文，验证得到的时间戳的有效性和认证请求报文的完整性；

验证后产生随机数rb和协商密钥参数rb，并通过随机数rb和协商密钥参数rb得到第一通信密钥；

所述认证请求回复报文为：

authenticationrespond:ack/syn＝e(id,t,ra,rb,h(rb)),rb,sig1(mac)；

ack为确认字符，id为终端id，h(rb)为参数rb的哈希值，sig1(mac)为e(id,t,ra,rb,h(rb))的mac值的签名；

所述认证报文为：

使用所述第二通信密钥对认证报文信息进行加密得到；

所述终端收到所述认证请求回复报文后，使用网关公钥解签验证，并用第二解密私钥解密所述认证请求回复报文，验证时间戳的有效性和所述认证请求回复报文的完整性以及随机数ra是否变化，如随机数ra无变化则生成认证报文信息，并通过参数ra和收到的参数rb得到第二通信密钥。

可选的，所述认证报文为：

authenticationrespond:ack＝e(id,t,rb,h(rb)),sig2(mac)；

id为终端id，sig2(mac)为e(id,t,rb,h(rb))的mac值的签名。

第二方面，本发明实施例还提供了一种网关，该网关包括：

存储器，存储有可执行指令；

处理器，所述处理器运行所述存储器中的所述可执行指令，以实现第一方面任一项所述的基于设备身份标识的轻量级认证方法。

本发明基于终端的身份信息生成终端id公钥，从而得到终端的加密私钥和加签公钥，在加密私钥和加签公钥的传输通信中，使用与终端协商得到的会话密钥对通信进行加密，从而保证加密私钥和加签公钥传输安全，达到提高轻量级注册认证中安全性的目的。

在认证过程中，基于终端的身份信息生成终端id，并基于终端id验证终端是否成功注册，并接收成功注册的终端的认证请求报文，产生第一通信密钥，使用第一通信密钥对基于认证请求报文产生的认证请求回复信息进行加密，然后接收终端基于认证请求回复报文产生的认证报文，认证报文使用第二通信密钥加密，从而完成认证，在认证过程中首先对终端注册进行验证，在与验证成功的终端通信中使用第一通信密钥和第二通信密钥对相应报文进行加密，保证了报文传输中的安全性，达到提高轻量级注册认证中安全性的目的。

本发明的其它特征和优点将在随后具体实施方式部分予以详细说明。

附图说明

通过结合附图对本发明示例性实施方式进行更详细的描述，本发明的上述以及其它目的、特征和优势将变得更加明显，其中，在本发明示例性实施方式中，相同的参考标号通常代表相同部件。

图1示出了本发明的一个实施例的基于设备身份标识的轻量级认证方法中注册方法的流程图；

图2和图3示出了本发明的一个实施例的基于设备身份标识的轻量级认证方法中注册方法的原理框图；

图4示出了本发明的一个实施例的基于设备身份标识的轻量级认证方法中认证方法的流程图；

图5和图6示出了本发明的一个实施例的基于设备身份标识的轻量级认证方法中认证方法的原理框图。

具体实施方式

下面将更详细地描述本发明的优选实施方式。虽然以下描述了本发明的优选实施方式，然而应该理解，可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。

syn(synchronizesequencenumbers)：同步序列编号。是tcp/ip建立连接时使用的握手信号。

ack(acknowledgecharacter)是确认字符，在数据通信中，接收站发给发送站的一种传输类控制字符，表示发来的数据已确认接收无误。

实施例一：

如图1所示，一种基于设备身份标识的轻量级认证方法，包括：注册方法和认证方法；

注册方法，包括：

步骤s101：响应于注册申请请求，获取发送注册申请请求终端的身份信息；

步骤s102：基于所述身份信息生成终端id公钥；

步骤s103：基于所述终端id公钥得到终端的加密私钥和加签公钥；

步骤s104：获取与终端协商得到的会话密钥；

步骤s105：基于所述会话密钥对所述加密私钥和加签公钥进行加密，得到第一加密信息；

步骤s106：将所述第一加密信息发送至终端，从而完成终端在网关的注册。

在一个具体的应用场景中，运载于网关与终端设备的交互过程中,当终端设备没有实现合法注册或者注册被注销后，需要向网关申请注册。终端连接网关，向网关发送注册申请。

网关接收到有终端申请注册的请求，对该终端进行指纹采集，获得设备的身份信息。通过人工审核确定该设备是否可以注册，也可以网关根据设定的注册条件自动审核确定该设备是否可以注册，当确认后，网关发挥密钥生成中心(pkg)角色通过设备的身份信息，生成终端id公钥，并且使用密钥生成算法，为该终端生成加密私钥和加签私钥。

为了将不能泄露的加密私钥和加签公钥发送给终端，网关和终端会采用协商密钥算法生成这次会话共用的加密解密密钥(会话密钥)。并基于加密解密密钥将加密私钥和加签私钥发送至终端。

可选的，所述获取发送注册申请请求终端的身份信息，包括：

对发送注册申请请求的终端进行指纹采集；

基于指纹采集的信息得到所述身份信息。

可选的，所述获取发送注册申请请求终端的身份信息的步骤之后，还包括：

基于所述身份信息判断所述终端是否符合设定的注册条件。

网关检测到有终端申请注册的请求，对该终端进行指纹采集，获得设备的身份信息(设备品牌，类型，mac地址和ip地址)。身份信息获取，包括标语数据采集、标语信息处理和匹配识别；标语数据采集为：向所述终端发送探测报文，接收所述终端反馈的不同种类的协议标语信息；所述标语信息处理为：排除所述标语信息中的非关键因素后，对所述标语信息进行分词，得到分词列表；所述匹配识别为：利用所述分词列表在预配置设备信息库中搜索设备信息，生成设备信息列表。设备身份信息采集包括三个部分，标语数据采集、标语信息处理和匹配识别。标语数据采集依靠探测主机向终端发送探测报文(特定协议和端口)完成，由终端反馈的不同种类的协议标语信息组成。标语信息处理利用自然语言处理(nlp)方式，除去非关键因素后，对标语信息进行分词，得到分词列表。匹配识别过程通过自动化方法利用获得的分词列表在设备信息库中搜索设备的品牌、型号信息。生成设备信息列表后，通过人工审核确定该设备是否可以注册，当确认后，网关通过设备的身份信息。网关采用sm3的hash算法生成终端id公钥，并且采用sm9的密钥生成算法，为该终端生成加密私钥和加签公钥。

可选的，所述会话密钥为：

网关与终端采用协商密钥算法生成。

网关和终端会采用diffie-hellman协议协商会话共用的会话密钥。

可选的，所述网关与终端采用协商密钥算法生成的会话密钥，包括：

网关基于密钥协商算法得到第一随机数，向终端发送包含第一随机数的网关信息；

网关接收来自终端的反馈信息，所述反馈信息包括使用会话密钥加密的第二加密信息和第二随机数，所述会话密钥为基于第一随机数和第二随机数生成，所述第二随机数为终端基于终端id生成，生成所述第二随机数的密钥协商算法与生成第一随机数的密钥协商算法相同；

网关基于所述第二随机数对所述第二加密信息信息解密得到会话密钥。

可选的，所述网关信息，包括：

ida，idb，ar1，网关时间戳和s1，ida为网关id，idb为终端id，ar1为第一随机数，m1为ida、idb和ar1的mac值，s1为网关对m1的签名。

可选的，所述反馈信息，包括：

e1和ar2，e1为使用会话密钥加密的包括ida、idb、网关时间戳+1和第二随机数mac值的信息，ar2为第二随机数。

可选的，所述网关基于所述第二随机数对所述第二加密信息信息解密得到会话密钥，包括：

通过ar2获得会话密钥并解密信息e1；

验证网关时间戳和第二随机数mac值是否正确；

如正确，则用会话密钥加密包括ida、idb、keypair、网关时间戳+2，和s2的e2信息，keypair为加密私钥和加签公钥，s2为对m2的签名，m2为ida、idb、keypair和网关时间戳+2的mac值；

使用签名算法为e2信息的mac值添加数字签名。

可选的，所述将所述第一加密信息发送至终端，包括：

接收来自终端的结束信号e3，对所述结束信号e3进行解密，基于解密得到的信息判断与终端会话是否结束；

所述终端生成结束信号e3包括，终端使用会话密钥解密e2信息，对解密e2信息中的时间戳有效性进行验证，得到keypair后生成结束信号e3。

在一个具体的应用场景中，如图2和图3所示，为了将不能泄露的加密私钥和加签公钥发送给终端，网关和终端会采用协商密钥算法生成这次会话共用的加密解密密钥。网关借用密钥协商算法得到ar1，向b发送(ida，idb，ar1，网关时间戳，s1)。m1为(ida，idb，ar1)的mac值，s1为网关对m1的签名。

终端收到网关信息后，得知终端id(idb)并借助密钥协商协议生成ar2。通过ar1，ar2获得会话密钥key。并用key加密信息(ida，idb，网关时间戳+1，mac(ar2))，得到(e1，ar2)。

网关收到信息后，通过ar2获得会话密钥key并解密信息e1。验证时间戳和mac(ar2)的正确性后，用key加密信息(ida，idb，keypair，网关时间戳+2，s2)得到e2并发送给用户b。s2为网关对m2的签名。m2为(ida，idb，keypair，网关时间戳+2)的mac值。同时，使用签名算法为该信息的mac值添加数字签名。

终端收到信息，使用key解密e2，验证时间戳的有效性以及解签验证。获得keypair并保存好，通过加密算法发送结束信号e3。

7.网关收到信息e3，使用sm9算法解密信息，判断结束。

本实施例具体以下效果：

1、减少了非对称加密机制的使用，降低了加密运算的复杂度，减少了设备计算开销；认证通信次数缩减到3次，降低了通信流量开销。

2、通过算法实现和测试，可以检测到假冒攻击、重放攻击和反射攻击，并从理论上分析平行会话和中间人攻击的不可行性。

3、需要验证终端设备的接入请求，以保证设备接入安全系统的合法性。

实施例二：

如图4所示，一种基于设备身份标识的轻量级认证方法，中认证方法，包括：

步骤s401：响应于认证请求，获取发送认证请求的终端身份信息；

步骤s402：基于所述身份信息生成终端id；

步骤s403：基于所述终端id确认所述终端是否成功注册；

步骤s404：接收成功注册终端的认证请求报文，并产生第一通信密钥；

步骤s405：基于认证请求报文和所述第一通信密钥生成认证请求回复报文；

步骤s406：接收基于所述认证请求回复报文得到的认证报文，所述认证报文为基于所述认证回复报文得到的，所述认证报文使用第二通信密钥加密；

步骤s407：基于所述认证报文对终端身份进行认证。

在一个具体的应用场景中，运载于网关与终端设备的交互过程中，终端连接网关，终端向网关发起认证请求的信息。

网关接收到有终端认证请求的信息，对该终端进行指纹采集，获得设备的身份信息。通过访问数据库，确认终端身份合法并且已经注册成功。数据库为终端向网关注册后产生的，所有注册成功的终端的信息都保存在数据库内。当确认后，通过sm3的hash函数获得该终端的id。

对该终端进行指纹采集为，获得设备的身份信息(设备品牌，类型，mac地址和ip地址)。身份信息获取，包括标语数据采集、标语信息处理和匹配识别；标语数据采集为：向所述终端发送探测报文，接收所述终端反馈的不同种类的协议标语信息；所述标语信息处理为：排除所述标语信息中的非关键因素后，对所述标语信息进行分词，得到分词列表；所述匹配识别为：利用所述分词列表在预配置设备信息库中搜索设备信息，生成设备信息列表。设备身份信息采集包括三个部分，标语数据采集、标语信息处理和匹配识别。标语数据采集依靠探测主机向终端发送探测报文(特定协议和端口)完成，由终端反馈的不同种类的协议标语信息组成。标语信息处理利用自然语言处理(nlp)方式，除去非关键因素后，对标语信息进行分词，得到分词列表。匹配识别过程通过自动化方法利用获得的分词列表在设备信息库中搜索设备的品牌、型号信息，生成设备信息列表。

可选的，所述基于所述终端id确认所述终端是否成功注册，包括：

访问预配置的数据库，确认终端身份是否合法且所述终端是否成功注册。

预配置的数据库为终端向网关注册后产生的，所有注册成功的终端的信息都保存在数据库内。

可选的，所述接收成功注册终端的认证请求报文，并产生第一通信密钥，包括：

发送网关时间戳t给成功注册的终端。

可选的，所述认证请求报文为：

所述终端基于所述网关时间戳t、随机数ra和参数ra生成；

所述随机数ra和参数ra为所述终端基于所述网关时间戳t生成。

可选的，所述认证请求报文为：

authenticationrequest/syn＝e(id,t,ra,h(ra)),ra,sig(mac)，authenticationrequest为认证请求命令，syn为同步序列编号，e为认证请求信息，id为终端id，h(ra)为参数ra的哈希值，sig(mac)为对e(id，t，ra，h(ra))的mac值的签名。

可选的，所述接收成功注册终端的认证请求报文，并产生第一通信密钥，包括：

使用终端公钥解签验证，并用第一解密私钥解密认证请求报文，验证得到的时间戳的有效性和认证请求报文的完整性；终端公钥和第一解密私钥为终端在注册过程中产生的。

验证后产生随机数rb和协商密钥参数rb，并通过随机数rb和协商密钥参数rb得到第一通信密钥。

可选的，所述认证请求回复报文为：

authenticationrespond:ack/syn＝e(id,t,ra,rb,h(rb)),rb,sig1(mac)；

ack为确认字符，id为终端id，h(rb)为参数rb的哈希值，sig1(mac)为e(id,t,ra,rb,h(rb))的mac值的签名。

可选的，所述认证报文为：

使用所述第二通信密钥对认证报文信息进行加密得到；

所述终端收到所述认证请求回复报文后，使用网关公钥解签验证，并用第二解密私钥解密所述认证请求回复报文，验证时间戳的有效性和所述认证请求回复报文的完整性以及随机数ra是否变化，如随机数ra无变化则生成认证报文信息，并通过参数ra和收到的参数rb得到第二通信密钥。网关公钥和第二解密私钥为终端在终端在注册过程中产生的。

可选的，所述认证报文为：

authenticationrespond:ack＝e(id,t,rb,h(rb)),sig2(mac)；

id为终端id，sig2(mac)为e(id,t,rb,h(rb))的mac值的签名。

在一个具体的应用场景中，如图5和图6所示，网关确认终端身份合法并且已经注册成功后。向终端发送会话协议开始的顺序t(网关时间戳)，然后等待终端发送认证报文。该数据库运载在网关设备中，也可以使用数据库服务器。

终端收到网关确认的时间戳后，发起认证，生成终端的随机数ra和协商密钥中的参数ra，发送认证请求报文authenticationrequest/syn＝e(id,t,ra,h(ra)),ra,sig(mac)。其中密文使用网关公钥加密，签名使用终端签名私钥。该密文通过sm9的加密算法实现。sm9的加密算法需要加密者使用接收者的加密公钥信息加密该明文。

网关收到消息后，使用终端公钥解签验证，并用网关的解密私钥解密密文，验证时间戳的有效性和请求的完整性。验证后产生网关的随机数rb和协商密钥参数rb，并通过收到的ra和参数rb计算接下来通信的会话密钥。并发送认证回复报文authenticationrespond:ack/syn＝e(id,t,ra,rb,h(rb)),rb,sig(mac)。该密文由生成的会话密钥通过对称加密算法生成。解密操作是通过sm9的解密算法实现。接收者想要获得明文，需要使用自己的解密私钥解密密文。因此这对加密解密算法是非对称加密算法。在该步骤中，会话密钥的生成采用了sm9算法中的协商会话密钥算法。在此算法中，协商者需要生成自己的随机数与对方协商，这些随机数并不是通过明文传输，而是载在一个椭圆曲线群运算中发送给对方，借助于椭圆曲线群运算的单向性。

终端收到网关的报文后，使用网关公钥解签验证，并用终端的解密私钥解密密文，验证时间戳的有效性和请求的完整性以及随机数ra是否有变化。网关身份被认证。并通过收到的rb和自己产生的ra计算接下来通信的会话密钥。并发送认证回复报文authenticationrespond:ack＝e(id,t,rb,h(rb)),sig(mac)。该密文由生成的会话密钥通过对称加密算法生成。

网关收到报文后，使用终端公钥解签验证，并用网关的解密私钥解密密文，验证时间戳的有效性和请求的完整性以及随机数rb是否有变化。终端身份被认证。

本实施例具体以下效果：

1、减少了非对称加密机制的使用，降低了加密运算的复杂度，减少了设备计算开销；认证通信次数缩减到3次，降低了通信流量开销。

2、通过算法实现和测试，可以检测到假冒攻击、重放攻击和反射攻击，并从理论上分析平行会话和中间人攻击的不可行性。

3、需要验证终端设备的接入请求，以保证设备接入安全系统的合法性。

实施例三：

本发明实施例提供一种网关包括存储器和处理器,

存储器，存储有可执行指令；

处理器，处理器运行存储器中的可执行指令，以实现基于设备身份标识的轻量级认证方法。

该存储器用于存储非暂时性计算机可读指令。具体地，存储器可以包括一个或多个计算机程序产品，该计算机程序产品可以包括各种形式的计算机可读存储介质，例如易失性存储器和/或非易失性存储器。该易失性存储器例如可以包括随机存取存储器(ram)和/或高速缓冲存储器(cache)等。该非易失性存储器例如可以包括只读存储器(rom)、硬盘、闪存等。

该处理器可以是中央处理单元(cpu)或者具有数据处理能力和/或指令执行能力的其它形式的处理单元，并且可以控制网关中的其它组件以执行期望的功能。在本发明的一个实施例中，该处理器用于运行该存储器中存储的该计算机可读指令。

本领域技术人员应能理解，为了解决如何获得良好用户体验效果的技术问题，本实施例中也可以包括诸如通信总线、接口等公知的结构，这些公知的结构也应包含在本发明的保护范围之内。

有关本实施例的详细说明可以参考前述各实施例中的相应说明，在此不再赘述。

本发明实施例提供一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行时实现基于设备身份标识的轻量级认证方法。

根据本发明实施例的计算机可读存储介质，其上存储有非暂时性计算机可读指令。当该非暂时性计算机可读指令由处理器运行时，执行前述的本发明各实施例方法的全部或部分步骤。

上述计算机可读存储介质包括但不限于：光存储介质(例如：cd－rom和dvd)、磁光存储介质(例如：mo)、磁存储介质(例如：磁带或移动硬盘)、具有内置的可重写非易失性存储器的媒体(例如：存储卡)和具有内置rom的媒体(例如：rom盒)。

以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。