(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211125240.5 (22)申请日 2022.09.16 (71)申请人 国网江西省电力有限公司电力科 学 研究院 地址 330096 江西省南昌市青山湖区民营 科技园民强路8 8号 申请人 国家电网有限公司 (72)发明人 肖勇才　杨浩　徐建　刘旷也　 章玲玲　 (74)专利代理 机构 南昌丰择知识产权代理事务 所(普通合伙) 36137 专利代理师 吴称生 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01)H04L 9/32(2006.01) G07C 9/00(2020.01) (54)发明名称 一种物联网设备认证与密钥协商方法 (57)摘要 本发明涉及通信技术领域， 具体涉及一种物 联网设备认证与密钥协商 方法。 该方法用于访客 终端与中心服务器 之间的身份认证和密钥交换； 在预设的中心服务器中含有预先填写的加密 的 访客注册信息以及访问时间段， 所述注册信息包 含访客终端的设备信息以及访客的身份信息， 访 客终端与中心服务器之间有共用的根密钥； 通过 引入通信双方产生的随机数计算认证令牌， 用于 生成认证令牌的随机数在传递过程中均进行了 加密保护， 并且， 访客的注册信息采用动态加密， 保证每次通信过程使用的密钥都不相同， 有效防 止密钥在信道传输过程中泄露的风险； 并采用身 份信息和访客终端双层认证， 能够有效防止身份 信息或访客终端其中一方遗失或泄露后造成的 安全风险。 权利要求书2页 说明书4页 附图1页 CN 115208702 A 2022.10.18 CN 115208702 A 1.一种物联网设备认证与密钥协商方法， 用于访客终端与中心服务器之间的身份认证 和密钥交换； 在预设的中心服务器中含有预先填写的访客注册信息以及访问时间段， 所述 注册信息包含存储在访客终端本地的访客 终端的设备信息IDa以及访客的身份信息IDb， 访 客终端与中心服 务器之间有共用的根密钥K； 其特 征在于， 所述方法的认证流 程步骤包括： 步骤 （1） ， 中心服务器通过智能门锁设备M1接收到访客的身份信息认证请求信号后， 检 验访客的身份信息IDb是否与中心 服务器预存储的身份信息相符， 若相符则启动认证流程， 若不相符则认证终止； 步骤 （2） ， 中心服务器判断当前时间点是否在预设的访问时间段内， 若在访问时间段 内， 则进行 下一步认证， 若不在 访问时间段内， 则认证终止； 步骤 （3） ， 中心服务器生成随机数Rs， 并利用密钥派生算法计算认证密钥K1， 然后使用 对称密码算法计算认证令牌AUTNs， 并将随机数Rs、 认证密钥K1和认证令牌AUTNs发给访客 终端； 步骤 （4） ， 访客终端收到中心服务器发来的信息后， 使用认证密钥K1对认证令牌AUTNs 进行逆运算解密获得随机数Rs'和解密后的访客终端的设备信息IDa'， 然后比较随机数Rs' 与随机数Rs是否一致， 同时比较解密后的访客 终端的设备信息IDa'与存储在访客 终端本地 的访客终端的设备信息IDa是否一致， 若均一致则中心 服务器身份认证成功， 进入 下一步认 证， 若不一致则认证失败， 认证终止； 步骤(5)， 访客终端生成随机数Ra， 并利用密钥派生算法计算认证密钥K2， 然后使用对 称密码算法计算认证令牌AUTNa， 将随机数Ra、 认证密钥K2和认证令牌AUTNa发送给中心服 务器； 步骤(6)， 中心服务器收到访客终端发来的认证令牌AUTNa后， 使用认证密钥K2执行逆 运算解密认证令牌AUTNa获得随机数Ra'和随机数Rs''， 比较随机数Ra'与随机数Ra是否一 致， 同时比较随机数Rs''与随机数Rs是否一致， 若均一致则 访客终端身份认证成功， 若比较 不一致， 则认证失败； 步骤 （7） ， 若步骤(6)认证成功， 则中心服务器向智能门锁设备M1发送认证成功的信号； 若步骤(6)认证失败， 则认证终止； 步骤 （8） ， 需要开启智能门锁设备M2时， 重复步骤 （1）~步骤 （6） ， 若步骤(6)认证失败， 则 认证终止； 若步骤(6)认证成功， 则中心服务器生成临时随机字段Rc作为临时密码， 并利用 密钥派生 算法计算 通信密钥Kc， 再将通信密钥Kc发送给访客终端； 步骤 （9） ， 访客终端利用根密钥K对通信密钥Kc进行解密， 获得解密后的临时密码Rc'； 访客通过智能门锁设备M2将解密后的临时密码Rc'传递给中心服务器， 中心服务器比较解 密后的临时密码Rc'与临时随机字段Rc是否一致； 若一致， 则认证成功， 中心服务器向智能 门锁设备M2发送 认证成功的信号； 若比较不 一致， 则认证失败， 认证终止 。 2.根据权利要求1所述的物联网设备认证与密钥协商方法， 其特征在于， 步骤 （3） 中， 计 算认证密钥K1前， 先根据存储在访客 终端本地的访客 终端的设备信息IDa、 随机数Rs以及当 前时间节点生成访客终端的动态ID信息IDat， 再利用密钥派生算法计算认证密钥K1， 然后 使用对称密码算法计算认证令牌AUTNs； 则步骤 （4） 中， 使用认证密钥K1对认证令牌AUTNs进 行逆运算解密获得随机数Rs'和二进制字符串IDat'， 此时先通过逆运算将二进制字符串 IDat'转化为解密后的访客终端的设备信息IDa'， 再来比较随机数Rs'与随机数Rs是否一权　利　要　求　书 1/2 页 2 CN 115208702 A 2致， 同时比较解密后的访客 终端的设备信息IDa'与存储在访客 终端本地的访客 终端的设备 信息IDa是否一 致。 3.根据权利要求2所述的物联网设备认证与密钥协商方法， 其特征在于， 生成动态ID信 息IDat的方式为将时间节 点+存储在访客终端本地的访客 终端的设备信息IDa+随机数R a组 合后通过短除法转 化为二进制字符串。 4.根据权利要求1所述的物联网设备认证与密钥协商方法， 其特征在于， 访客的身份信 息IDb包括指纹信息、 瞳孔信息和临时门禁卡信息中的一种或多种。权　利　要　求　书 2/2 页 3 CN 115208702 A 3