(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111342775.3 (22)申请日 2021.11.12 (71)申请人 新开普电子股份有限公司 地址 450000 河南省郑州市高新 技术产业 开发区迎 春街18号 (72)发明人 焦征海　宋德志　张强松　谷长远　 陈飞飞　 (74)专利代理 机构 郑州睿信知识产权代理有限 公司 41119 代理人 王凯迪 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种终端接入物联网的安全认证方法 (57)摘要 本发明提供了一种终端接入物联网的安全 认证方法， 属于物联网安全认证领域。 包括如下 步骤： 1)终端接入物联网时， 终端基于设定算法 生成终端私钥和终端公钥， 并传输终端公钥至物 联网； 2)物联网首次接收到终端信息时， 物联网 基于与终端相同的算法生成网端私钥和网端公 钥， 并传输网端公钥至终端； 物联网根据网端私 钥和自终端获得的终端公钥， 基于秘钥交换算法 生成通信秘钥； 3)终端根据终端私钥和自物联网 获得的网端公钥， 基于秘钥交换算法生成通信秘 钥； 4)物联网和终端通过通信秘钥对业务报文进 行加密传输和接收解密。 本发明有效抵御数据被 监听、 破解、 篡改、 伪造等风险， 有效保障终端接 入物联网系统整个过程的安全可靠 。 权利要求书1页 说明书3页 附图1页 CN 114172692 A 2022.03.11 CN 114172692 A 1.一种终端接入物联网的安全认证方法， 其特 征在于， 包括如下步骤： 1)终端接入物联网时， 终端基于设定算法生成终端私钥和终端公钥， 并传输终端公钥 至物联网； 2)物联网首次接收到终端信息时， 物联网基于与终端相同的算法生成网端私钥和网端 公钥， 并传输网端公钥至终端； 物联网根据网端私钥和自终端获得的终端公钥， 基于秘钥交 换算法生成通信秘钥； 3)终端根据终端私钥和自物联网获得的网端公钥， 基于 秘钥交换算法生成通信秘钥； 4)物联网和终端通过通信秘钥对业 务报文进行加密 传输和接收解密。 2.根据权利要求1所述的终端接入物联网的安全认证方法， 其特征在于， 终端还基于签 名算法生成签名终端私钥和签名终端公钥； 当终端在物联网注册时， 传输自己签名终端公钥至物联网， 获得签名网端公钥； 终端传 输终端公钥至物联网时， 利用签名终端私钥对终端公钥签名后发送给物联网； 物联网用签 名终端公钥解签， 以验证终端 身份合法。 3.根据权利要求2所述的终端接入物联网的安全认证方法， 其特征在于， 物联网还基于 签名算法生成签名网端私钥和签名网端公钥， 并公布签名网端公钥； 当终端在物联网注册 时， 终端获得签名网端公钥； 物联网传输网端公钥至终端时， 利用签名网端私钥对网端公钥签名后发送给终端； 终 端用签名网端公钥解签， 以验证物联网身份合法。 4.根据权利要求3所述的终端接入物联网的安全认证方法， 其特征在于， 步骤1)中终端 还传输终端信息至物联网， 步骤2)中物联网根据接收到的终端信息返回网端公钥； 所述终 端信息包括MAC地址和终端编号。 5.根据权利要求4所述的终端接入物联网的安全认证方法， 其特征在于， 所述设定算法 为基于DH的秘钥交换算法， 所述基于DH的秘钥交换算法包括Curve25 519算法。 6.根据权利要求5所述的终端接入物联网的安全认证方法， 其特征在于， 步骤4)中， 在 发送业务报文时还进行消息 完整性验证。 7.根据权利要求6所述的终端接入物联网的安全认证方法， 其特征在于， 所述消息完整 性验证包括： 对加密传输前 的业务报文通过信息摘要算法生成加密前特征码， 对接 收解密 后的业务报文通过信息摘要算法生成解密后特征码， 通过比较加密前特征码和解密后特征 码以确定传输前后的业 务报文相一 致。 8.根据权利要求7所述的终端接入物联网的安全认证方法， 其特征在于， 所述签名算法 为Ed25519算法。 9.根据权利要求8所述的终端接入物联网的安全认证方法， 其特征在于， 所述加密传输 和接收解密过程采用AES算法。 10.根据权利要求8所述的终端接入物联网的安全认证方法， 其特征在于， 所述信息摘 要算法为SHA算法。权　利　要　求　书 1/1 页 2 CN 114172692 A 2一种终端接入物联网的安全认证方 法 技术领域 [0001]本发明涉及一种终端接入物联网的安全认证方法， 属于物联网安全认证领域。 背景技术 [0002]随着物联网的快速发展， 越来越多的终端设备接入物联网系统， 构建出各种物联 网应用， 服务于人们的生活工作。 这就要求 终端设备必须安全 可靠的接入物联网系统， 保证 各种业务系统的安全正常运行。 终端设备与 物联网之 间的安全可靠 关系的前提是经过了安 全认证。 [0003]目前针对物联网和终端设备的安全认证方法有很多， 例如采用自定义加密算法、 使用HTTPS加密通道和 使用对称秘钥AES/DES/3DES等方式。 其中自定义算法的安全可靠性 无法保证， 大部分自定义算法依赖于算法保密性， 而不是密钥的保密性， 安全级别较低。 且 自定义算法不利于第三方实现。 使用HTTPS加密通道实现步骤复杂， 占用资源 大， 速度慢， 由 于物联网设备一般自身资源受限， 不利于在终端设备上实现。 使用对称密钥AES/DES/3DES 的安全性较高， 密钥的管理和分发比较困难。 如果密钥 在分发过程中被拦截捕获， 那么整个 安全系统就会 存在泄露的隐患。 发明内容 [0004]本发明的目的在于提供一种终端接入物联网的安全认证方法， 用于解决对称秘钥 在分发过程中发生泄 露的问题。 [0005]为了实现上述目的， 本发明提供了一种终端接入物联网的安全认证方法， 包括如 下步骤： [0006]1)终端接入物联网时， 终端基于设定算法生成终端私钥和终端公钥， 并传输终端 公钥至物联网； [0007]2)物联网首次接收到终端信息时， 物联 网基于与终端相同的算法生成网端私钥和 网端公钥， 并传输网端公钥至终端； 物联网根据网端私钥和自终端获得的终端公钥， 基于秘 钥交换算法生成通信秘钥； [0008]3)终端根据终端私钥和自物联网获得的网端公钥， 基于秘钥交换算法生成通信秘 钥； [0009]4)物联网和终端通过通信秘钥对业 务报文进行加密 传输和接收解密。 [0010]本发明的有益效果是： 提供了一种安全度极高得包含密钥分发、 终端验证、 报文加 密验证等各个通讯环节的系统性终端接入物联网安全解决方案， 可有效抵御数据被监听、 破解、 篡改、 伪造等 风险， 有效保障终端接入物联网系统整个过程的安全可靠 。 [0011]进一步地， 在上述终端接入物联网的安全认证方法中， 终端还基于签名算法生成 签名终端私钥和签名终端公钥； 当终端在物联网注册时， 传输自己签名终端公钥至物联网， 获得签名网端公钥； 终端传输终端公钥至物联网时， 利用签名终端私钥对终端公钥签名后 发送给物联网； 物联网用签名终端公钥解签， 以验证终端 身份合法。说　明　书 1/3 页 3 CN 114172692 A 3