[发明专利]一种基于简化数字证书的物联网身份认证系统

权利要求书

1.一种基于简化数字证书的物联网身份认证系统，其特征在于，包括：物联网终端设备、应用服务器以及证书管理中心；

所述证书管理中心被配置为：为所述物联网终端设备签发终端证书；为所述应用服务器签发服务器证书；以及为自身签发签发者证书；所述终端证书、服务器证书及签发者证书为简化的数字证书；所述简化的数字证书包括签发者唯一标识、持有者唯一标识、持有者签名公钥、加密公钥、有效期、签名算法以及签发者对证书的签名；

所述物联网终端设备被配置为：向所述应用服务器发送认证请求，所述认证请求中包括终端随机数序列；

所述应用服务器被配置为：响应所述认证请求，生成服务器随机数序列，使用自身的签名私钥对所述终端随机数序列及所述服务器随机数序列进行签名，得到第一签名值；将所述第一签名值以及所述服务器证书发送至所述物联网终端设备；

所述物联网终端设备还被配置为：通过所述第一签名值、所述服务器证书以及所述签发者证书对所述应用服务器的身份进行认证，如果应用服务器身份认证成功，使用自身的签名私钥对所述终端随机数序列和所述服务器随机数序列进行签名，得到第二签名值，将所述第二签名值以及所述终端证书发送至所述应用服务器；

所述应用服务器还被配置为：通过所述第二签名值、所述终端证书以及所述签发者证书对所述物联网终端设备的身份进行认证，如果物联网终端设备身份认证成功，向所述物联网终端设备发送通知消息，以通知所述物联网终端设备认证成功。

2.根据权利要求1所述的基于简化数字证书的物联网身份认证系统，其特征在于，还包括硬件密码模块，所述物联网终端设备还被配置为：存储所述终端证书以及所述签发者证书；存储自身的身份签名以及签名私钥；所述应用服务器还被配置为：存储所述服务器证书以及所述签发者证书；所述硬件密码模块被配置为：存储所述应用服务器的身份签名及签名私钥。

3.根据权利要求1所述的基于简化数字证书的物联网身份认证系统，其特征在于，所述物联网终端设备还被配置为：对所述服务器证书的有效期进行验证，如果有效期处于生效状态，有效期验证通过，使用所述签发者证书中的签名公钥和所述服务器证书中指定的签名算法，对所述服务器证书中包括的签发者对证书的签名进行数字签名验证运算；如果有效期处于未生效或已失效状态，有效期验证未通过，应用服务器身份认证失败。

4.根据权利要求3所述的基于简化数字证书的物联网身份认证系统，其特征在于，所述物联网终端设备还被配置为：如果签发者对证书的签名的数字签名验证运算结果表明服务器证书的签名有效，服务器证书验证通过，使用所述服务器证书中的签名公钥和所述服务器证书中指定的签名算法，对所述第一签名值进行数字签名验证运算；如果签发者对证书的签名的数字签名验证运算结果表明服务器证书的签名无效，服务器证书验证未通过，应用服务器身份认证失败。

5.根据权利要求4所述的基于简化数字证书的物联网身份认证系统，其特征在于，所述物联网终端设备还被配置为：如果第一签名值的数字签名验证运算结果表明第一签名值有效，第一签名值验证通过，应用服务器身份认证成功；如果第一签名值的数字签名验证运算结果表明第一签名值无效，第一签名值验证未通过，应用服务器身份认证失败。

6.根据权利要求1所述的基于简化数字证书的物联网身份认证系统，其特征在于，所述应用服务器还被配置为：对所述终端证书的有效期进行验证，如果有效期处于生效状态，有效期验证通过，使用所述签发者证书中的签名公钥和所述终端证书中指定的签名算法，对所述终端证书中包括的签发者对证书的签名进行数字签名验证运算；如果有效期处于未生效或已失效状态，有效期验证未通过，物联网终端设备身份认证失败。

7.根据权利要求6所述的基于简化数字证书的物联网身份认证系统，其特征在于，所述应用服务器还被配置为：如果签发者对证书的签名的数字签名验证运算结果表明终端证书的签名有效，终端证书验证通过，向所述证书管理中心查询所述终端证书的状态；如果签发者对证书的签名的数字签名验证运算结果表明终端证书的签名无效，终端证书验证未通过，物联网终端设备身份认证失败。