(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210282480.X (22)申请日 2022.03.22 (65)同一申请的已公布的文献号 申请公布号 CN 114374522 A (43)申请公布日 2022.04.19 (73)专利权人 杭州美创科技有限公司 地址 310013 浙江省杭州市拱 墅区丰潭路 508号天行国际中心7号楼12层 (72)发明人 刘隽良　王月兵　柳遵梁　覃锦端　 刘聪　 (74)专利代理 机构 杭州知学知识产权代理事务 所(普通合伙) 33356 专利代理师 张雯 (51)Int.Cl. H04L 9/32(2006.01)H04L 9/00(2022.01) H04L 9/40(2022.01) (56)对比文件 US 2021182436 A1,2021.0 6.17 CN 109862041 A,2019.0 6.07 CN 111931158 A,2020.1 1.13 审查员 卢志飞 (54)发明名称 一种可信设备认证方法、 装置、 计算机设备 及存储介质 (57)摘要 本发明实施例公开了一种可信设备认证方 法、 装置、 计算机设备及存储介质。 方法包括： 获 取设备请求； 判断设备请求是否是进行身份注 册； 若是， 则获取硬件因素哈希信息； 下 发ID凭证 信息至设备， 以使设备对ID凭证信息进行数据完 整性和来源不可否认性的确认， 并对ID凭证信息 进行解密处理， 以得到APPID， 保存APPID； 若否， 则获取设备通过APPID发起的交互认证请求数 据； 对交互认证请求数据生 成硬件因素知识挑战 问题； 进行加密， 形成签名密文， 并发送至签名密 文， 以使终端根据签名密文进行应答知识挑战， 并提供对应哈希证明， 以生成应答密文； 根据应 答密文进行认证。 通过 实施本发 明实施例的方法 可实现从注册阶段到认证阶段全流程主机与服 务器间交 互数据的保密性和完整性保护。 权利要求书3页 说明书16页 附图9页 CN 114374522 B 2022.06.28 CN 114374522 B 1.一种可信设备认证方法， 其特 征在于， 包括： 获取设备请求； 判断所述设备请求是否是进行身份注 册； 若所述设备请求是进行身份注 册， 则获取来自设备的硬件因素哈希信息； 根据所述硬件因素哈希信息下发ID凭证信 息至设备， 以使所述设备对所述ID凭证信息 进行数据完整性和来源不可否认性的确认， 并对所述ID凭证信息进行解密处理， 以得到 APPID， 保存AP PID； 若所述设备请求 不是进行身份注 册， 则获取设备通过AP PID发起的交 互认证请求数据； 对所述交 互认证请求数据生成对应的硬件因素知识 挑战问题； 对所述硬件因素知识挑战问题进行加密， 形成签名密文， 并发送所述签名密文， 以使所 述设备根据所述签名密文 进行应答知识 挑战， 并提供对应哈希证明， 以生成应答密文； 根据所述应答密文 进行认证， 且当认证通过时， 构建与设备的数据交 互与通信； 其中， 所述硬件 因素哈希信息包括由设备采集的主板序列 号、 中央处理器CPUID、 MAC地 址、 硬盘序列号后对应生 成的主板序列号哈希数据、 中央处理器CPUID哈希数据、 MAC地址哈 希数据以及硬盘序列号哈希数据， 结合生成的本地对称密钥以及第一时间戳， 使用服务端 公钥加密操作后形成的信息； 所述根据 所述硬件因素哈希信息下发ID凭证信 息至设备， 以使所述设备对所述ID凭证 信息进行数据完整性和来源不可否认性的确认， 并对所述ID凭证信息进行解密处理， 以得 到APPID， 保存AP PID， 包括： 根据自身私钥对所述硬件因素哈希信息进行解密， 以得到主板序列号哈希数据、 中央 处理器CPUID哈希数据、 MAC地址哈希数据、 硬盘序列号哈希数据、 本地对称密钥以及第一时 间戳； 当第一时间戳合法时， 按照特定存储顺序存储所述主板序列号哈希数据、 中央处理器 CPUID哈希数据、 MAC地址哈希数据、 硬 盘序列号哈希数据； 保存所述本地对称密钥； 生成APP ID以及第二时间戳； 根据所述本地对称密钥对所述APPID以及第二时间戳进行加密， 并使用自身私钥进行 数字签名操作， 以生成ID凭证信息； 下发所述ID凭证信息至设备， 以使所述设备通过服务端公钥 对所述ID凭证信息进行校 验， 当所述ID凭证信息校验通过时， 通过本地对称密钥进行所述ID凭证信息解密， 获得 AppID以及第二时间戳的明文数据， 并判定第二时间戳的合法性， 当第二时间戳合法时， 保 存AppID； 所述对所述交 互认证请求数据生成对应的硬件因素知识 挑战问题， 包括： 通过自身私钥对所述交互认证请求数据进行解密， 以得到APPID以及与第三时间戳相 关的密文； 根据所述AP PID确定所述本地对称密钥； 使用所述本地对称密钥对与第三时间戳相关的密文 进行解密； 当解密成功时， 验证所述第三时间戳的合法性； 当第三时间戳合法时， 采用随机选择算法从主板序列号、 中央处理器CPUID、 MAC地址、权　利　要　求　书 1/3 页 2 CN 114374522 B 2硬盘序列号四项硬件名称中随机 选择若干项， 以生成对应的硬件因素知识 挑战问题。 2.根据权利要求1所述的可信设备认证方法， 其特征在于， 所述对所述硬件因素知识挑 战问题进 行加密， 形成签名密 文， 并发送所述签名密 文， 以使所述设备根据所述签名密 文进 行应答知识 挑战， 并提供对应哈希证明， 以生成应答密文， 包括： 生成一次性对称通信密钥以及第四 时间戳； 采用所述本地对称密钥对所述一次性对称通信密钥以及所述硬件因素知识挑战问题 进行加密， 以得到密文内容； 使用自身密钥对所述密文内容以及第四 时间戳进行 数据签名， 以得到签名密文； 下发所述签名密文至所述设备， 以使所述设备使用所述服务端公钥进行所述签名密文 进行签名验证操作， 以得到所述第四时间戳以及密文内容， 当时间戳合法时， 使用所述本地 对称密钥进行所述密 文内容进 行解密， 以得到所述一次性对称通信密钥以及所述硬件因素 知识挑战问题， 根据所述硬件因素知识挑战问题进行对应硬件的挑战应答哈希数据， 并生 成第五时间戳， 使用所述一次性对称通信密钥对所述挑战应答哈希数据以及所述第五时间 戳进行加密， 以生成应答密文。 3.根据权利要求2所述的可信设备认证方法， 其特征在于， 所述根据所述应答密文进行 认证， 且当认证通过时， 构建与设备的数据交 互与通信， 包括： 采用所述一 次性对称通信密钥对所述应答密文进行解密， 以得到所述挑战应答哈希数 据以及所述第五时间戳； 对所述第五时间戳进行合法性验证； 当所述第五时间戳合法时， 验证所述挑战应答哈希数据 是否与所述硬件因素知识挑战 问题的实际答案相符； 当所述挑战应答哈希数据与 所述硬件因素知识挑战问题的实际答案相符， 则确定所述 设备为合法注册设备， 并允许所述设备在认证有效期内进行网络接入， 以构建与设备 的数 据交互与通信。 4.一种可信设备认证装置， 其特 征在于， 包括： 设备请求获取 单元， 用于获取设备请求； 判断单元， 用于判断所述设备请求是否是进行身份注 册； 哈希信息获取单元， 用于若所述设备请求是进行身份注册， 则获取来自设备的硬件因 素哈希信息； ID处理单元， 用于根据所述硬件因素哈希信息下发ID凭证信息至设备， 以使所述设备 对所述ID凭证信息进 行数据完整性和来源不可否认性的确认， 并对所述ID凭证信息进 行解 密处理， 以得到AP PID， 保存AP PID； 认证数据获取单元， 用于若所述设备请求是进行身份注册， 则获取设备通过APPID发起 的交互认证请求数据； 问题生成单 元， 用于对所述交 互认证请求数据生成对应的硬件因素知识 挑战问题； 问题处理单元， 用于对所述硬件因素知识挑战问题进行加密， 形成签名密文， 并发送所 述签名密文， 以使 所述设备根据所述签名密 文进行应答知识挑战， 并提供对应哈希证明， 以 生成应答密文； 认证单元， 用于根据 所述应答密文进行认证， 且当认证通过时， 构建与设备的数据交互权　利　要　求　书 2/3 页 3 CN 114374522 B 3