[发明专利]一种基于国密算法的物联网安全认证系统及认证方法

权利要求书

1.一种基于国密算法的物联网安全认证系统，其特征在于至少应包括身份认证模块、无线网通讯模块，其中身份认证模块是由低功耗安全MCU及其外围电路组成，无线网通信模块是由WIFI模组实现，该系统可以实现设备认证、服务器认证以及加密传输数据。

2.如权利要求1所述的基于国密算法的物联网安全认证方法，其特征在于系统设备认证采用设备私钥对设备的全球唯一ID或随机数进行签名并计算消息校验值，将签名数据通过无线通信模块发送给服务器进行验证签名，如果验证成功则设备认证成功；服务器通过获取随机数命令读取由身份认证模块生成的随机数，使用服务器私钥对随机数进行签名并计算消息校验值后将消息返回设备，设备使用服务器公钥对消息进行验签，验签成功则表示认证成功；认证成功后，系统将建立加密通道进行数据密文传输，加密通道的建立采用密钥交换技术，密钥交换成功后，使用新密钥对后续通道数据进行加密。

3.如权利要求2所述的基于国密算法的物联网安全认证方法，其特征在于无线网身份认证流程包括设备认证和服务器认证，设备认证流程如下：

S101、首先设备发起设备无线网络连接请求与服务器建立网络连接，成功建立网络连接后，

S102、服务器生成一组随机数，并将随机数通过无线通信模块发给身份认证模块；

S103、身份认证模块使用设备私钥对收到的随机数进行SM2签名，并计算消息校验值，将消息通过无线通信模块发给服务器；

S104、服务器收到消息后首先计算校验值，校验通过后使用设备公钥对签名值进行SM2验签，成功则合法接入，否则为非法设备，断开连接，如果校验失败则请求重发，重发超过3次后，判断失败，断开连接；

设备身份认证成功则表示设备已经成功连接到服务器，然后服务器连接设备，则需要进行服务器身份认证，认证流程如下：

S201、服务器连接设备；

S202、设备生成一组随机数并将随机数通过无线通信模块发送给服务器；

S203、服务器使用服务器私钥对收到的随机数进行SM2签名，并计算消息校验值，然后将消息通过无线通信模块发给设备；

S204、设备收到消息后首先计算校验值，校验通过则使用服务器公钥对签名值进行SM2验签，成功则合法接入，否则为非法服务器，断开连接；如果校验失败则请求重发，重发超过3次后，判断失败，断开连接。

4.如权利要求3所述的基于国密算法的物联网安全认证方法，其特征在于设备与服务器完成身份认证即签权后，则可以进行加密通道建立。

5.如权利要求4所述的基于国密算法的物联网安全认证方法，其特征在于加密通道的建立流程如下：

S301、服务器生成一组随机数R0，使用设备公钥对随机数SM2算法加密后将密文通过无线通信模块发送给设备；

S302、设备接收到密文，对密文使用设备私钥进行解密获得R0；

S303、设备生成一组随机数R1，使用服务器公钥对随机数SM2算法加密后将密文通过无线通信模块发送给服务器；

S304、服务器收到密文，对密文使用服务器私钥进行解密获得R0；

S305、服务器和设备建立以R0+R1为密钥的加密通道。