一种终端接入认证网关的方法、终端及认证网关

文献发布时间：2024-04-18 19:57:31

技术领域

本发明涉及数据通信技术领域，特别是指一种终端接入认证网关的方法、终端及认证网关。

背景技术

对于物联网终端与接入认证网关的身份认证问题，目前很多解决方案。基于安全标签的单向身份认证方案，通过在数据包后端附加一定长度的安全标签实现身份认证。基于属性的群签名方法，实现用户到接入端之间的认证，在保证用户匿名性的同时，还能够追踪到违法用户。分布式物联网系统中基于证书的认证方案，将密钥存储在边缘节点中，使其容易受到克隆攻击。上述方案均无法抵抗物理攻击。

发明内容

本发明要解决的技术问题是提供一种终端接入认证网关的方法、终端及认证网关，以提高终端接入认证网关的安全性，降低对终端计算和存储能力的要求。为解决上述技术问题，本发明的技术方案如下：

一种终端接入认证网关的方法，应用于终端，包括：

接收认证网关发送的加密信息体，所述加密信息体是所述认证网关根据终端的预存信息进行加密后生成的；

根据预设映射函数以及所述加密信息体，生成第一数据信息体；

接收所述认证网关发送的第二数据信息体，所述第二数据信息体是所述认证网关在接收到所述终端发送的所述第一数据信息体并认证成功后，由所述认证网关根据所述第一数据信息体生成的；

在所述第二数据信息体认证成功的情况下，根据预设密钥以及所述加密信息体中的密钥分量，获得主密钥；

根据所述主密钥接入所述认证网关。

可选的，接收认证网关发送的加密信息体之前，包括：

向认证网关发送接入请求，所述接入请求中携带终端的第一标识，所述加密信息体是所述认证网关从认证网关数据库中的预存信息集合中查找到终端对应预存信息，并对所述预存信息进行加密后生成的，其中，所述预存信息集合包括：多个历史注册认证终端的标识集合、多个历史注册认证终端对应的加密后第一密钥分量集合、第一加密密钥集合、与所述第一加密密钥集合对应的第一预设随机数集合以及第二密钥分量集合。

可选的，当所述认证网关在接收到终端发送的接入请求后，无法从所述标识集合中查找到所述第一标识时，还包括：

向所述认证网关发送注册信息，所述注册信息包括：终端对应的第一标识信息、终端对应的至少一个加密后的第一密钥分量、终端对应的第二密钥分量、用于加密第一密钥分量的至少一个第一加密密钥以及与至少一个所述第一加密密钥对应的第一预设随机数；其中，所述第一密钥分量由所述终端在初装时的第一主密钥派生得到的，所述第二密钥分量由所述终端在初装时的第二主密钥派生得到的。

可选的，终端对应的至少一个所述加密后的第一密钥分量通过以下步骤获得：

根据所述预设映射函数以及至少一个第一预设随机数，生成至少一个第一加密密钥；

根据至少一个所述第一加密密钥对第一密钥分量进行加密处理，获得至少一个所述加密后的第一密钥分量。

可选的，根据预设映射函数以及所述加密信息体，生成第一数据信息体，包括：

根据所述预设映射函数对所述加密信息体进行解密，获得解密后的信息；

根据所述预设映射函数以及所述解密后的信息中的第一预设随机数，生成第二加密密钥；

根据预设哈希函数，对所述第二加密密钥以及所述解密后的信息中的第一标识信息进行哈希运算，得到所述第一数据信息体。

可选的，根据所述预设映射函数对所述加密信息体进行解密，获得解密后的信息，包括：

根据所述预设映射函数以及第二预设随机数，生成第一解密密钥；

根据所述第一解密密钥对所述加密信息体进行解密处理，获得所述解密后的信息。

可选的，根据预设密钥以及所述加密信息体中的密钥分量，获得主密钥，包括：

根据所述预设密钥对所述加密信息体中加密后的第一密钥分量，进行解密处理，获得解密后的第一密钥分量；

根据所述第一密钥分量以及本地存储的第三密钥分量，生成第一主密钥；

根据所述加密信息体中的第二密钥分量以及本地存储的第四密钥分量，生成第二主密钥。

一种终端，包括：

第一收发模型，接收认证网关发送的加密信息体，所述加密信息体是所述认证网关根据终端的预存信息进行加密后生成的；

第一处理模块，用于根据预设映射函数以及所述加密信息体，生成第一数据信息体；

第二收发模块，用于接收所述认证网关发送的第二数据信息体，所述第二数据信息体是所述认证网关在接收到所述终端发送的所述第一数据信息体并认证成功后，由所述认证网关根据所述第一数据信息体生成的；

第二处理模块，用于在所述第二数据信息体认证成功的情况下，根据预设密钥以及所述加密信息体中的密钥分量，获得主密钥；根据所述主密钥接入所述认证网关。

一种终端接入认证网关的方法，应用于认证网关，包括：

向终端发送加密信息体，所述加密信息体是所述认证网关根据终端的预存信息进行加密后生成的；

接收终端根据预设映射函数以及所述加密信息体生成的第一数据信息体；

根据所述第一数据信息体生成第二数据信息体；

向所述第二数据信息体发送至终端，以使终端在所述第二数据信息体认证成功的情况下，根据预设密钥以及所述加密信息体中的密钥分量，获得主密钥，并根据所述主密钥接入认证网关。

一种认证网关，包括：

第一收发模块，用于向终端发送加密信息体，所述加密信息体是所述认证网关根据终端的预存信息进行加密后生成的；接收终端根据预设映射函数以及所述加密信息体生成的第一数据信息体；

处理模块，用于根据所述第一数据信息体生成第二数据信息体；

第二收发模块，用于向所述第二数据信息体发送至终端，以使终端在所述第二数据信息体认证成功的情况下，根据预设密钥以及所述加密信息体中的密钥分量，获得主密钥，并根据所述主密钥接入认证网关。

本发明的上述方案至少包括以下有益效果：

本发明的上述方案提供的一种终端接入认证网关的方法、终端及认证网关，其中，应用于终端的接入认证网关的方法包括：接收认证网关发送的加密信息体，所述加密信息体是所述认证网关根据终端的预存信息进行加密后生成的；根据预设映射函数以及所述加密信息体，生成第一数据信息体；接收所述认证网关发送的第二数据信息体，所述第二数据信息体是所述认证网关在接收到所述终端发送的所述第一数据信息体并认证成功后，由所述认证网关根据所述第一数据信息体生成的；在所述第二数据信息体认证成功的情况下，根据预设密钥以及所述加密信息体中的密钥分量，获得主密钥；根据所述主密钥接入所述认证网关。本发明的方案可以提高终端接入认证网关的安全性，降低对终端计算核存储能力的要求。

附图说明

图1是本发明实施例提供的应用于终端侧的终端接入认证网关的方法的流程示意图；

图2是本发明一可选实施例提供的终端认证过程示意图；

图3是本发明一可选实施例提供的应用于认证网关侧的终端接入认证网关的方法流程示意图；

图4是本发明实施例提供的应用于认证网关侧的终端接入认证网关的方法的流程示意图；

图5是本发明实施例提供的终端的模块框结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

如图所示，本发明的实施例提出一种终端接入认证网关的方法，应用于终端，包括：

步骤11，接收认证网关发送的加密信息体，所述加密信息体是所述认证网关根据终端的预存信息进行加密后生成的；

步骤12，根据预设映射函数以及所述加密信息体，生成第一数据信息体；

步骤13，接收所述认证网关发送的第二数据信息体，所述第二数据信息体是所述认证网关在接收到所述终端发送的所述第一数据信息体并认证成功后，由所述认证网关根据所述第一数据信息体生成的；

步骤14，在所述第二数据信息体认证成功的情况下，根据预设密钥以及所述加密信息体中的密钥分量，获得主密钥；

步骤15，根据所述主密钥接入所述认证网关。

该实施例中，终端在接入认证网关的过程中，通过所述预设映射函数生成相关解密密钥，对所述加密信息体进行解密处理，并进一步依据解密处理后的信息生成所述第一数据信息体，同时将所述第一数据信息体发送至所述认证网关，并由所述认证网关对所述第一数据信息体进行处理、认证；

在所述第一数据信息体认证成功后，所述认证网关会根据所述第一数据信息体生成第二数据信息，并发送至终端，由终端对所述第二数据信息体进行处理、认证，在所述第二数据信息体认证成功的情况下，进一步依据所述预设密钥以及所述加密信息体获得接人所述热证网关的主密钥；

通过在所述终端与所述认证网关之间，分别进行所述第一数据信息体、所述第二数据信息体的双向认证，以保证终端接入认证网关的安全性；

这里，所述预设映射函数可以是PUF物理不可克隆函数，在所述终端与所述认证网关进行信息交互的过程中，通过该预设映射函数以及预设的随机数，可以生成唯一性、可标识性、物理不可克隆性和不可预测性的响应值，进一步的，可以依据第一预设哈希函数对该响应值进行哈希处理，对应获得唯一的加密和/或解密密钥，并通过所述加密和/或解密密钥对所述加密信息体进行处理，同时在后续用于生成第一数据信息体，在降低终端运算处理难度的同时，也保证所述终端与所述认证网关进行信息交互的安全性；

这里，所述预设密钥可以是依据所述第一预设哈希函数对解密后的所述加密信息体中的信息进行处理得到的。

本发明的一可选实施例中，在上述步骤11之前，可以包括：

步骤10，向认证网关发送接入请求，所述接入请求中携带终端的第一标识，所述加密信息体是所述认证网关从认证网关数据库中的预存信息集合中查找到终端对应预存信息，并对所述预存信息进行加密后生成的，其中，所述预存信息集合包括：多个历史注册认证终端的标识集合、多个历史注册认证终端对应的加密后第一密钥分量集合、第一加密密钥集合、与所述第一加密密钥集合对应的第一预设随机数集合以及第二密钥分量集合。

该实施例中所述第一标识为终端对应的唯一ID信息，在终端接入认证网关之前，均会向所述认证网关发送携带自身ID信息也即是第一标识的接入请求，以便于所述认证网关可以依据该第一标识，在对应的数据库中的预存信息集合中查找到与该第一标识对应的终端对应的预存信息；这里，终端对应的预存信息在后续终端与认证网关相互认证成功后，用于生成主密钥，以保证终端接入认证网关的安全性；

所述认证网关对应的数据库中存储的预存信息集合是历史认证成功的多个终端预存在所述认证网关对应的数据库中的，该预存信息集合中的每个预存信息均对应一个终端，且可以看作是该终端在接入认证网关前的注册信息，以便于后续在进行认证接入时，可以基于该预存信息进行终端与认证网关之间的相互认证，保证终端接入认证网关的安全性，同时提高认证接入的效率；

这里，所述第一预设随机数集合中每一个第一预设随机数、所述第一加密密钥集中的每一个第一加密密钥、所述加密后的第一密钥分量集中每一个加密后的第一密钥分量分别是一一对应的；第一预设随机数根据所述预设映射函数生成第一加密密钥，第一加密密钥用于对第一密钥分量进行加密处理，获得加密后的第一密钥分量。

本发明的一可选实施例中，当所述认证网关在接收到终端发送的接入请求后，无法从所述标识集合中查找到所述第一标识时，还可以包括：

步骤21，向所述认证网关发送注册信息，所述注册信息包括：终端对应的第一标识信息、终端对应的至少一个加密后的第一密钥分量、终端对应的第二密钥分量、用于加密第一密钥分量的至少一个第一加密密钥以及与至少一个所述第一加密密钥对应的第一预设随机数；其中，所述第一密钥分量由所述终端在初装时的第一主密钥派生得到的，所述第二密钥分量由所述终端在初装时的第二主密钥派生得到的。

该实施例中，当所述认证网关在接收到终端发送的接入请求后，无法从所述标识集合中查找到与该终端对应的第一标识时，说明该终端并未在所述认证网关上进行注册；因此，需要向所述认证网关发送注册信息，并将相应的信息保存至所述认证网关的数据库中作为预存信息，以便于后续进行认证接入；

这里，所述第一密钥分量由终端在初装时的第一主密钥派生得到的，所述第一主密钥同时还派生得到一个第三密钥分量；所述第二密钥分量由终端在初装时的第二主密钥派生得到的，所述第二主密钥还同时派生得到一个第四密钥分量；

其中，所述第一密钥分量在通过所述预设映射函数进行加密处理后，可以获得至少一个加密后的第一密钥分量，至少一个所述第一密钥分量与所述第二密钥分量一起作为注册信息的一部分发送至所述认证网关，并保存在所述认证网关的数据库中作为预存信息，用于生成加密信息体；

所述第四密钥、所述第三密钥分量、分量存储于本地，作为终端的预设密钥，分别与解密后的加密信息体中的第二密钥分量、加密后的第一密钥分量进行配合，生成接入认证网关的主密钥。

本发明的一可选实施例中，终端对应的至少一个所述加密后的第一密钥分量通过以下步骤获得：

步骤31，根据所述预设映射函数以及至少一个第一预设随机数，生成至少一个第一加密密钥；

步骤32，根据至少一个所述第一加密密钥对第一密钥分量进行加密处理，获得至少一个所述加密后的第一密钥分量。

该实施例中，至少一个所述第一预设随机函数可以依据实际需要进行设置，根据所述预设映射函数的唯一性，对应每一个第一预设随机数，均对应生成唯一一个响应值；通过第一预设哈希函数对该唯一响应值进行处理，获得与该第一预设随机数、该唯一响应值对应的唯一第一加密密钥，以保证在加、解密过程中的安全性；

进一步的，通过生成的至少一个所述第一加密密钥对所述第一密钥分量进行加密处理，获得至少一个所述加密后的第一密钥分量；应当知道的是，至少一个第一预设随机数、至少一份第一加密密钥、至少一个所述加密后的第一密钥分量是一一对应的，进而保证了终端与认证网关在信息交互过程中的安全性。

以下将以一具体实例，对上述终端进行注册的过程进行说明，如图2所示，包括以下步骤：

步骤021，终端在初装时生成第一主密钥KS以及第二主密钥KS_CRC；

步骤022，第一主密钥派生生成第一密钥分量KS1、第三密钥分量KS2；其中，KS=KS1⊕KS2；

步骤023，第二主密钥KS_CRC派生生成第二密钥分量KS_CRC1、第四密钥分量KS_CRC2；

步骤024，根据预设映射函数以及至少一个第一预设随机数，生成至少一个第一响应值；具体的：在终端的芯片进行函数运算：Ri=PUF（Ci），其中，Ri表示第i个第一响应值，PUF表示预设映射函数关系，Ci表示第i个第一预设随机数，i为正整数可以依据实际需要进行设置，这里，i的取值可以为4，对应的第一预设随机数可以包括：第一子随机数C1、第二子随机数C2、第三子随机数C3、第四子随机数C4，第一响应值可以包括：第一子响应值R1、第二子响应值R2、第三子响应值R3、第四子响应值R4；这里，第一预设随机数设置为4个，后续基于4个第一预设随机数对应生成4个第一加密密钥，以保证加密的安全性与可靠性；

步骤025，根据第一预设哈希函数，对至少一个所述第一响应值进行处理，获得至少一个第一加密密钥；具体的：在终端的芯片进行哈希运算：Hi=Hash（Ri），其中，Hi表示第一加密密钥，Hash表示第一预设哈希函数关系，对应的第一加密密钥可以包括：第一子加密密钥H1、第二子加密密钥H2、第三子加密密钥H3、第四子加密密钥H4；

步骤026，通过至少一个第一加密要对第一密钥分量进行加密处理；具体的：可以通过第二子加密密钥H2、第三子加密密钥H3、第四子加密密钥H4分别对第一密钥分量KS1进行加密初处理，分别获得对应的加密后的第二子密钥分量KS1-2、第三子密钥分量KS1-2、第四子密钥分量KS1-4；

步骤027，根据对应的第一标识（ID信息）、加密后的第二子密钥分量KS1-2、第三子密钥分量KS1-2、第四子密钥分量KS1-4、对应的第二子加密密钥H2、第三子加密密钥H3、第四子加密密钥H4、对应的第二子随机数C2、第三子随机数C3、第四子随机数C4、第一子加密密钥H1以及第二密钥分量KS_CRC1作为注册信息发送至认证网关，以完成注册及信息预存；对应的第三密钥分量KS2、第四密钥分量KS_CRC2以及第一子预设随机数C1存储在终端本地，用于后续生成主密钥；

步骤028，接收认证网关发送的注册成功标识信息，所述注册成功标识信息表示终端以完成注册，并将上述注册信息预存入认证网关的数据库中，以便于后续进行终端与认证网关的双向认证。

本发明的一可选实施例中，在所述认证网关接收到所述终端发送的接入请求后，通过所述接入请求中的第一标识在预存信息中进行检索，并生成与终端的第一标识对应的第三随机数，将从预存信息中的三组加密后的第一密钥分量对应的子密钥分量中任选一组、与该子密钥分量对应的子预设随机数、第二密钥分量KS_CRC1、第三随机数以及终端的第一标识作为加密信息体的前序信息，利用预存信息中的第一子加密密钥H1对该前序信息进行加密处理，获得加密信息体。

本发明的一可选实施例中，上述步骤12，可以包括：

步骤121，根据所述预设映射函数对所述加密信息体进行解密，获得解密后的信息；

在本发明的一可选实施例中，上述步骤121具体可以包括：

步骤1211，根据所述预设映射函数以及第二预设随机数，生成第一解密密钥；

步骤1212，根据所述第一解密密钥对所述加密信息体进行解密处理，获得所述解密后的信息；

这里，所述第二预设随机数可以是随机设定的，也可以是根据实际需要进行设定的；根据所述预设映射函数以及第二预设随机数，生成与所述第一预设随机数对应的第二响应值；根据第一预设哈希函数对所述第二响应值进行哈希运算，获得第一接秘密钥；进一步利用第一解密密钥对加密信息体记性解密处理，获得解密后的信息，以用于后续生成数据信息体，便于终端与认证网关之间进行相互认证；

步骤122，根据所述预设映射函数以及所述解密后的信息中的第一预设随机数，生成第二加密密钥；

步骤123，根据第一预设哈希函数，对所述第二加密密钥以及所述解密后的信息中的第一标识信息进行哈希运算，得到所述第一数据信息体。

该实施例中，由于所述第二密钥是依据所述预设映射函数对所述第一预设随机数进行映射得到的，函数关系以及变量均不变，则所述第二加密密钥与所述第一加密密钥实则为同一密钥；

以加密信息体为ID||KS_CRC1||N||C1||KS1-2为例，对上述实施例中的认证过程进行说明，在该加密信息体中：ID为终端对应在认证网关的数据库中存储的第一标识；N标识根据接入请求中的第一标识生成的第三随机数；KS1-2表示加密后的第二子密钥分量；C1表示第一子预设随机数；KS_CRC1表示第二密钥分量；如图3所示，具体包括以下步骤：

步骤031，终端向认证网关发起接入请求，接入请求中携带终端ID信息；

步骤032，认证网关检索ID信息记录，生成第三随机数N，随机抽选1组预存密钥分量，将ID、KS_CRC1、N、C1、KS1-2用第一子加密密钥H1进行加密后生成加密信息体ID||KS_CRC1||N||C1||KS1-2发送到终端；

步骤033，终端设定第二预设随机数C’，并将第二预设随机数C’作为预设映射函数的输入，在终端芯片内运算：第二响应值R’=PUF(C’)，进一步根据第一预设哈希函数运算：第一解密密钥H’=Hash（R’），并通过H’对加密信息体进行解密，获得ID、KS_CRC1、N、C1、KS1-2；

步骤034，终端根据解密后的信息中的第一子随机数C1、ID、N，在终端芯片内运算R1=PUF(C1)，H1=Hash(R1)，A=Hash(ID，N，H1)，并将A发送至认证网关；这里，A表示第一数据信息体；

步骤035，认证网关接收到第一数据信息体后，通过第二预设哈希函数计算：A’=Hash’(ID，N，H1)；其中，A’表示第三数据信息体，Hash’第二预设哈希函数的第二哈希关系，在A’与A相同的情况下，完成认证网关对终端认证；

步骤036，在认证网关通过第二预设哈希函数计算：B=Hash’(A，N，H1)，并将B发送至终端；这里B表示第二数据信息体；

步骤037，终端根据第一预设哈希函数计算：B’=Hash(A，N，H1)，其中，B’表示第四数据信息体，在B’与B相同的情况下，完成终端对认证网关认证。

本发明的上述实施例，基于PUF物理不可克隆函数生成唯一的响应值，并利用哈希函数生成对应的第一数据信息体、第二数据信息体，通过在所述终端与所述认证网关之间，分别进行所述第一数据信息体、所述第二数据信息体的双向认证，以保证终端和接入认证网关之间的通信安全，进而保证终端接入认证网关的安全性，同时可以有效抵抗物理攻击，降低对终端计算和存储能力的要求。

本发明的一可选实施例中，上述步骤14，可以包括：

步骤141，根据所述预设密钥对所述加密信息体中加密后的第一密钥分量，进行解密处理，获得解密后的第一密钥分量；

步骤142，根据所述第一密钥分量以及本地存储的第三密钥分量，生成第一主密钥；

步骤143，根据所述加密信息体中的第二密钥分量以及本地存储的第四密钥分量，生成第二主密钥。

该实施例中，这里，所述预设密钥可以是依据所述第一预设哈希函数对解密后的所述加密信息体中的第一预设随机数进行哈希运算得到的，并在终端将所述预设密钥为派生解密密钥，对解密后的所述加密信息体中的加密后第一密钥分量进行解密，第一密钥分量；

进一步的，根据解密后的所述第一密钥分量KS1、终端本地存储的第三密钥分量KS2，生成第一主密钥KS（KS=KS1⊕KS2）；根据解密后的所述加密信息体中的第二密钥分量KS_CRC1、终端本地存储的第四密钥分量KS_CRC2，生成第二主密钥KS_CRC（KS_CRC=KS_CRC1⊕KS_CRC2）；

通过将第一主密钥、第二主密钥分别派生获得对应不同的密钥分量，并对应存储在认证网关数据库以及终端本地，降低对终端的存储能力要求。

如图4所示，本发明的实施例还提供一种终端接入认证网关的方法，应用于认证网关，包括：

步骤41，向终端发送加密信息体，所述加密信息体是所述认证网关根据终端的预存信息进行加密后生成的；

步骤42，接收终端根据预设映射函数以及所述加密信息体生成的第一数据信息体；

步骤43，根据所述第一数据信息体生成第二数据信息体；

步骤44，向所述第二数据信息体发送至终端，以使终端在所述第二数据信息体认证成功的情况下，根据预设密钥以及所述加密信息体中的密钥分量，获得主密钥，并根据所述主密钥接入认证网关。

该实施例中，所述认证网关在接收到终端发送的接入请求后，通过所述接入请求中的第一标识在预存信息中进行检索，并生成与终端的第一标识对应的第三随机数，将从预存信息中的三组加密后的第一密钥分量对应的子密钥分量中任选一组、与该子密钥分量对应的子预设随机数、第二密钥分量、第三随机数以及终端的第一标识作为加密信息体的前序信息，利用预存信息中的第一子加密密钥对该前序信息进行加密处理，获得加密信息体，并发送至终端，用于终端生成第一数据信息体；

所述认证网关接收到终端发送的所述第一数据信息体，对所述第一数据信息体进行处理、认证，并在所述第一数据信息体认证成功后，所述认证网关会根据所述第一数据信息体生成第二数据信息，并发送至终端，由终端对所述第二数据信息体进行处理、认证，在所述第二数据信息体认证成功的情况下，进一步依据所述预设密钥以及所述加密信息体获得接人所述热证网关的主密钥；

通过在所述终端与所述认证网关之间，分别进行所述第一数据信息体、所述第二数据信息体的双向认证，以保证终端接入认证网关的安全性。

本发明的实施例提供的终端接入认证网关的方法、终端及认证网关，其中，应用于终端侧的方法包括：接收认证网关发送的加密信息体，加密信息体是认证网关根据终端的预存信息进行加密后生成的；根据预设映射函数以及加密信息体，生成第一数据信息体；接收认证网关发送的第二数据信息体，第二数据信息体是认证网关在接收到终端发送的第一数据信息体并认证成功后，由认证网关所述第一数据信息体生成的；在第二数据信息体认证成功的情况下，根据预设密钥以及所述加密信息体中的密钥分量，获得主密钥；根据主密钥接入所述认证网关；在所述终端与所述认证网关进行信息交互的过程中，通过预设映射函数也即是PUF物理不可克隆函数以及预设的随机数，可以生成唯一性、可标识性、物理不可克隆性和不可预测性的响应值，进一步的，可以依据第一预设哈希函数对该响应值进行哈希处理，对应获得唯一的加密和/或解密密钥，并通过所述加密和/或解密密钥对所述加密信息体进行处理，同时在后续用于生成第一数据信息体、第二数据信息体，在降低终端运算处理难度的同时，也保证所述终端与所述认证网关进行信息交互的安全性。

如图5所示，本发明的实施例还提供一种终端50，包括：

第一收发模型51，接收认证网关发送的加密信息体，所述加密信息体是所述认证网关根据终端的预存信息进行加密后生成的；

第一处理模块52，用于根据预设映射函数以及所述加密信息体，生成第一数据信息体；

第二收发模块53，用于接收所述认证网关发送的第二数据信息体，所述第二数据信息体是所述认证网关在接收到所述终端发送的所述第一数据信息体并认证成功后，由所述认证网关根据所述第一数据信息体生成的；

第二处理模块54，用于在所述第二数据信息体认证成功的情况下，根据预设密钥以及所述加密信息体中的密钥分量，获得主密钥；根据所述主密钥接入所述认证网关。

可选的，所述第一收发模块51接收认证网关发送的加密信息体之前，还具体用于：

可选的，所述第一收发模块51当所述认证网关在接收到终端发送的接入请求后，无法从所述标识集合中查找到所述第一标识时，还具体用于：

可选的，终端对应的至少一个所述加密后的第一密钥分量通过以下步骤获得：

根据所述预设映射函数以及至少一个第一预设随机数，生成至少一个第一加密密钥；

根据至少一个所述第一加密密钥对第一密钥分量进行加密处理，获得至少一个所述加密后的第一密钥分量。

可选的，所述第一处理模块52根据预设映射函数以及所述加密信息体，生成第一数据信息体，具体用于：

根据所述预设映射函数对所述加密信息体进行解密，获得解密后的信息；

根据所述预设映射函数以及所述解密后的信息中的第一预设随机数，生成第二加密密钥；

根据预设哈希函数，对所述第二加密密钥以及所述解密后的信息中的第一标识信息进行哈希运算，得到所述第一数据信息体。

可选的，所述第一处理模块52根据所述预设映射函数对所述加密信息体进行解密，获得解密后的信息，具体用于：

根据所述预设映射函数以及第二预设随机数，生成第一解密密钥；

根据所述第一解密密钥对所述加密信息体进行解密处理，获得所述解密后的信息。

可选的，所述第二处理模块54根据预设密钥以及所述加密信息体中的密钥分量，获得主密钥，具体用于：

根据所述预设密钥对所述加密信息体中加密后的第一密钥分量，进行解密处理，获得解密后的第一密钥分量；

根据所述第一密钥分量以及本地存储的第三密钥分量，生成第一主密钥；

根据所述加密信息体中的第二密钥分量以及本地存储的第四密钥分量，生成第二主密钥。

需要说明的是，该终端是与上述应用于终端侧的终端接入认证网关的方法相对应的终端，上述应用于终端侧的终端接入认证网关的方法实施例中的所有实现方式均适用于该终端的实施例中，也能达到相同的技术效果。

本发明的实施例还提供一种认证网关，包括：

处理模块，用于根据所述第一数据信息体生成第二数据信息体；

需要说明的是，该认证网关是与上述应用于认证网关侧的终端接入认证网关的方法相对应的终端，上述应用于认证网关侧的终端接入认证网关的方法实施例中的所有实现方式均适用于该终端的实施例中，也能达到相同的技术效果。

本发明的实施例还提供一种通信设备，包括：处理器、存储有计算机程序的存储器，所述计算机程序被处理器运行时，执行如上所述的方法。上述方法实施例中的所有实现方式均适用于该实施例中，也能达到相同的技术效果。

本发明的实施例还提供一种计算机可读存储介质，包括指令，当所述指令在计算机上运行时，使得计算机执行如上所述的方法。上述方法实施例中的所有实现方式均适用于该实施例中，也能达到相同的技术效果。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

此外，需要指出的是，在本发明的装置和方法中，显然，各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且，执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行，但是并不需要一定按照时间顺序执行，某些步骤可以并行或彼此独立地执行。对本领域的普通技术人员而言，能够理解本发明的方法和装置的全部或者任何步骤或者部件，可以在任何计算装置（包括处理器、存储介质等）或者计算装置的网络中，以硬件、固件、软件或者它们的组合加以实现，这是本领域普通技术人员在阅读了本发明的说明的情况下运用他们的基本编程技能就能实现的。

因此，本发明的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此，本发明的目的也可以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说，这样的程序产品也构成本发明，并且存储有这样的程序产品的存储介质也构成本发明。显然，所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。还需要指出的是，在本发明的装置和方法中，显然，各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且，执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行，但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

完整全部详细技术资料下载