[发明专利]一种智能网关及网关通信处理方法

权利要求书

1.一种智能网关，其特征在于，包括安全元件和微控制单元，其中，

所述微控制单元，用于接收外部设备发送的网关身份认证命令；基于所接收的网关身份认证命令，向所述安全元件发送获取命令；接收所述安全元件针对所述获取命令返回的响应数据；基于所述响应数据生成响应命令，并将所述响应命令返回给所述外部设备，以使所述外部设备用所述响应命令中的响应数据对所述智能网关进行身份验证；其中，所述网关身份认证命令中包括所述外部设备生成的外部设备随机数，所述获取命令中包含所述外部设备随机数；

所述安全元件，用于接收所述微控制单元发送的获取命令，基于所述获取命令中的外部设备随机数生成外部设备随机数签名值，获得网关证书，并生成网关随机数，将所述网关证书、所述网关随机数和所述外部设备随机数签名值作为响应数据返回给所述微控制单元；

其中，所述微控制单元，还用于接收所述外部设备发送的外部设备身份认证命令，基于所接收的外部设备身份认证命令，向所述安全元件发送验证命令；接收所述安全元件针对所述验证命令返回的验证结果；

所述安全元件，还用于在接收所述微控制单元发送的验证命令后，对所述外部设备进行身份验证，向所述微控制单元返回验证结果；

其中，外部设备身份认证命令中包含外部设备证书和网关随机数签名值，所述网关随机数签名值是基于响应命令中的网关随机数生成的，所述验证命令中包含所述外部设备证书和所述网关随机数签名值，所述安全元件对所述外部设备进行身份验证，具体为：

用外部设备证书中的外部设备公钥解密所述网关随机数签名值，得到验证值，若所述网关随机数等于所得的验证值，则确定验证结果为所述外部设备通过身份验证；否则，确定验证结果为所述外部设备未通过身份验证；

其中，若所述验证结果为所述外部设备通过身份验证，

所述安全元件，还用于生成随机数作为会话密钥；用外部设备证书中的外部设备公钥对所述会话密钥进行加密计算；将加密后的会话密钥返回给所述微控制单元；

所述微控制单元，还用于向所述外部设备发送身份认证响应命令，所述身份认证响应命令中包括加密后的会话密钥；

其中，所述会话密钥包括加密会话密钥和MAC会话密钥；

其中，所述微控制单元，还用于接收所述外部设备发送的第一加密命令；基于所接收的第一加密命令，向所述安全元件发送用于解密所述第一加密命令的解密请求；接收所述安全元件针对所述解密请求返回的解密结果；其中，所述解密请求包含所述第一加密命令中的第一命令头和第一加密字段；

所述安全元件，还用于在接收到解密请求后，用所述会话密钥中的加密会话密钥解密所述解密请求中的第一加密字段，得到第一解密数据和第一MAC；并基于所述第一命令头、所述第一解密数据和所述第一MAC进行MAC验证，若MAC验证结果为通过MAC验证，则将所述第一解密数据和MAC验证结果作为解密结果；若MAC验证结果为未通过MAC验证，则将MAC验证结果作为解密结果；将所述解密结果返回给所述微控制单元。

2.根据权利要求1所述的智能网关，其特征在于，所述安全元件生成外部设备随机数签名值，具体为：

用预先存储的智能网关私钥对所述外部设备随机数做签名，得到外部设备随机数签名值。

3.根据权利要求1所述的智能网关，其特征在于，所述网关证书为采用X.509格式的公钥证书，所述网关证书包含智能网关公钥。

4.根据权利要求1所述的智能网关，其特征在于，所述安全元件基于所述第一命令头、所述第一解密数据和所述第一MAC进行MAC验证，具体为：

用所述会话密钥中的MAC会话密钥对所述第一命令头和所述第一解密数据进行加密计算，得到第一密文，并基于所得的第一密文确定第一验证码，比较第一验证码和第一MAC是否相同；若相同，则确定MAC验证结果为通过MAC验证；否则，确定MAC验证结果为未通过MAC验证。

5.根据权利要求1所述的智能网关，其特征在于，所述微控制单元还用于：

若所接收的解密结果为未通过MAC验证，清除所述会话密钥，并将所述外部设备的状态设置为未认证状态；

向所述外部设备发送身份认证请求，以使所述外部设备针对所述身份认证请求向所述微控制单元返回网关身份认证命令。