[发明专利]物联网系统内的可移动终端设备身份认证方法和系统

权利要求书

1.一种物联网系统内的可移动终端设备身份认证方法，其特征在于，所述物联网系统包括多个边缘计算网络，每个边缘计算网络内包含多个可移动终端设备、网关和边缘服务器；所述物联网系统存储移动设备身份认证信息的框架为基于区块链的边缘计算网络认证信息存储框架，包含第一级区块链和第二级区块链，所述第一级区块链的节点包括每个边缘计算网络内部的网关和边缘服务器，各网关和边缘服务器通过第一级区块链账本存储、共享所属的边缘计算网络内部共享的终端设备的内部身份认证信息，所述第二级 区块链的节点包括整个物联网范围内所有的边缘服务器，通过第二级区块链账本存储、共享整个物联网系统范围内终端设备的全局身份认证信息；

由边缘计算网络的网关接收来自终端设备的身份认证请求，并转发给所述边缘计算网络的边缘服务器；

接收到所述身份认证请求的边缘服务器基于其第二级区块链账本存储的全局身份认证信息确定终端设备所处的边缘计算网络信息和状态信息，并返回给所述网关；

所述网关基于其第一区块链账本存储的内部身份认证信息和接收到的边缘计算网络信息以及状态信息，检查所述终端设备的身份凭证，完成所述终端设备的身份认证。

2.根据权利要求1所述的方法，其特征在于，当终端设备出现异常状态，设备所接入的边缘计算网络立刻断开与终端设备的连接，并向所述边缘计算网络的边缘服务器发送数据，通报出现异常状态的终端设备的边缘计算网络信息和状态信息，当异常状态解除之后，所述边缘服务器在第二级区块链更新第二级区块链账本，设备可重新接入系统；

所述异常状态包含：检测出异常流量，不能提供正确的认证资料。

3.根据权利要求1所述的方法，其特征在于，所述身份认证信息包括以下一种或多种：终端设备ID、终端设备签名和身份凭据。

4.根据权利要求1所述的方法，其特征在于，所述边缘计算网络信息包含终端设备的公钥和身份凭证，当终端设备首次连接到物联网系统时，其身份凭证为用户预先注册申请分配给终端设备的随机口令；

所述状态信息初始值为null，标记终端设备连接状态是否出现异常；

在所述身份认证方法中，网关和终端设备的通讯方式为对称加密方式。

5.根据权利要求1所述的方法，其特征在于，当已注册的可移动终端设备首次接入物联网系统的第一边缘计算网络的第一网关，终端设备身份认证的内容包括：

所述第一网关接收携带了终端设备ID和签名的身份认证请求；

第一网关向随机一个所属边缘计算网络内的第一边缘服务器转发这条身份认证请求；

所述第一边缘服务器通过第二区块链账本检查这条身份认证请求；

若通过，第一网关通过对称加密方法进行验证，若失败则结束身份认证流程；

若通过，第一边缘服务器共识所述终端设备的身份认证信息，若失败则结束身份认证流程；

第一网关生成一个对称密钥和一个身份凭据，并在第一级区块链共识；

第一网关将 所述对称密钥和身份凭据返回给终端设备，终端设备身份认证完成。

6.根据权利要求1所述的方法，其特征在于，当已接入的终端设备在第一边缘计算网络内部从第一网关移动到第二网关，终端设备身份认证的过程包括：

所述第二网关接收携带了终端设备ID和签名的身份认证请求；

第二网关向随机一个所属边缘计算网络内的第一边缘服务器转发这条身份认证请求；

所述第一边缘服务器根据第二级区块链账本检查所述身份认证请求；

若通过，第二网关通过加密方式进行验证；

若通过，第二网关通过第一级区块链账本对终端设备身份进行认证；

若通过，第二网关生成一个新的对称密钥和一个新的身份凭据，并在第一级区块链共识；

第二网关讲所述对称密钥和身份凭据返回给终端设备，终端设备身份认证完成。