(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111509830.3 (22)申请日 2021.12.10 (71)申请人 武汉升升科技有限公司 地址 430000 湖北省武汉市东湖新 技术开 发区关山大道465号中国光谷创意产 业基地曙光广场一期 培训楼 （二号楼） 第三层312-B2 2号 (72)发明人 梅文祥　 (74)专利代理 机构 武汉中知诚业专利代理事务 所(普通合伙) 42271 代理人 施志勇 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01)G06F 21/14(2013.01) G16Y 20/20(2020.01) G16Y 30/10(2020.01) G16Y 40/50(2020.01) (54)发明名称 一种物联网设备注册和安全认证连接及指 令交互方法 (57)摘要 本发明提供一种物联网设备注册和安全认 证连接及指令交互方法， 包括以下步骤： 设备注 册， 安全认证， 安全连接， 指令交互； 该物联网设 备注册和安全认证连接及指令交互方法设计合 理， 能够实现一套物联网设备管理系统， 能够支 持对百万数量级的不同行业应用的物联网设备 进行统一管 理， 包括查看、 配置、 实时信息交互以 及数据统计分析， 要求安全性高， 能够满足国家 相关安全等级认证， 并发性好， 能够支持百万数 量级的设备容量， 十万级设备同时在线， 可靠性 高， 在出现故障时尽可能保证系统的可运行可恢 复。 权利要求书2页 说明书6页 附图3页 CN 114362931 A 2022.04.15 CN 114362931 A 1.一种物联网设备注 册和安全认证连接及指令交 互方法， 其特 征在于， 具体步骤如下： 步骤一： 设备注册； 在设备生产前预先分配设备唯一编号DID， 并与设备MAC和设备SN提 前导入管理云平台， 同时设备和云平台通过相同算法生成设备的独立秘钥， 分别存储在设 备安全芯片和云平台的秘钥管理系统中， 具体步骤如下： ①： 物联网安全注册管理方法， 处于开放环境的物联网设备接入管理云平台， 设备管理 中心将设备信息提前录入物联网云平台， 在物联网云平台的安全区域进行数据持久化， 作 为后面设备认证和管理的数据来源； ②： 按照平台统一命名规范预先分配设备唯一编号DID， 并与设备MAC和设备SN， 并使用 算法生成设备独立秘钥K0， 形成统一的物联网设备注册信息映射表， 作为设备对 象的管理 清单； ③： 设备平台间安全连接、 通信使用的TLS证书预制到平台和设备固件中； ④： 设备将算法硬编码到设备固件中， 并将此代码进行混淆处 理； ⑤： 完成以上安全信息注 册后， 并完成设备生产烧制， 实现设备在平台的安全注 册； 步骤二： 安全认证； 设备默认只 开放与云平台认证服务器之间的通信网络， 设备通电联 网后， 向认证服务器发送认证请求， 认证服务器通过设备唯一编号DID、 设备MAC、 设备SN、 随 机数R0及由设备安全芯片生成的认证请求字符串解密获取 的信息与云平台上存储的设备 信息状态进 行认证， 如果认证通过， 认证服务器向设备发送云平台MQTT服务地址、 平随机数 R1， 并打开设备应用的网络， 同时平台将更新设备通信连接密码， 具体步骤如下： ①： 设备初次开机后， 即会通过TCP协议向平台认证服 务器发起认证请求； ②： 设备产生 4位随机数R0； ③： 将设备主要信息调用安全芯片加密接口， 对此信息使用存储于安全芯片中的设备 独立秘钥K0进行加密计算得到设备认证信息， 然后 设备将设备DID与加密后的设备认证信 息通过TCP协议发送给认证服 务器； ④： 平台获取设备的认证请求后， 通过设备DID从设备信息表获取设备MAC、 设备SN， 同 时通过密钥管理系统获取设备独立密钥K0； ⑤： 平台使用算法及设备独立密钥K0对设备认证信息进行解密； ⑥： 平台比对设备信息表里的设备MAC、 设备SN与从认证信息里解密算法获取的设备 MAC、 设备SN； 步骤三： 安全连接； 设备通过TLS安全通道向云平台MQTT服务器发起连接请求， 建立安 全连接， 具体步骤如下： ①： 平台通过认证后， 生成四位随机数R1， 将设备本地IP， 设备型号， 设备版本， 随机数 R0， 随机数R 1更新到设备信息表； ②： 平台通过认证后， 在mqtt通信连接服务器上注册设备连接账号， DID为用户名， 使用 算法将设备DID+设备SN+随机数R0+随机数R 1计算得到的字符串更新密码； ③： 平台通过认证后， 将分配给设备的MQT T服务器地址IP端口、 随机数R 1回复给设备； 步骤四： 指令交互； 设备和平台使用MQTT协议通信， 并在MQTT协议的payload报文中使 用protobu f编码， 同时对涉及敏感字段进行单独加密， 保证通信内容只有知道报文定义者 才能解析获取， 具体步骤如下： ①： 设备使用算法将设备DID+设备SN+随机数R0+随机数R1计算得到密码， 并使用设备权　利　要　求　书 1/2 页 2 CN 114362931 A 2DID作为账号， 连接 MQTT服务器， 建立 起基于TLS的MQT T安全连接； ②： 如果设备未连接成功或连接断开， 需要重新向认证服务器发起认证请求， 然后才能 建立新的MQTT连接； ③： 设备与平台通信采用protobuf  OVER MQTT方案； ④： 设备使用MQT T消息发布/订阅传输协议与平台进行通信； ⑤： 为了保证通信安全， 设备使用预知的证书 使用TLS进行MQT T的安全连接； ⑥： 在MQTT通信报文的payl oad中使用protobuf编码， 对业 务数据进行序列化； ⑦： 对于业务报文中的敏感字段， 设备和平台在发送前就进行 单独加密。 2.根据权利要求1所述的一种物联网设备注册和安全认证连接及指令交互方法， 其特 征在于： 所述 步骤四的 ⑦中， 只有在业 务使用处才进行解密。 3.根据权利要求1所述的一种物联网设备注册和安全认证连接及指令交互方法， 其特 征在于： 步骤一的 ④中， 对代码进行混淆处 理目的在于避免泄 露。 4.根据权利要求1所述的一种物联网设备注册和安全认证连接及指令交互方法， 其特 征在于： 步骤一的 ②中， 物联网设备注册信息映射表同时录入平台密钥管理系统和 提交硬 件生产厂家在设备生产时烧 入。 5.根据权利要求1所述的一种物联网设备注册和安全认证连接及指令交互方法， 其特 征在于： 所述 步骤一的 ①中， 需要保证物联网设备的正确性和唯一 性。 6.根据权利要求1所述的一种物联网设备注册和安全认证连接及指令交互方法， 其特 征在于： 所述步骤四的 ⑥中， 只有预先约定好protobu f编码定义的平 台侧才能解析业务数 据。 7.根据权利要求1所述的一种物联网设备注册和安全认证连接及指令交互方法， 其特 征在于： 所述步骤二中的 ③中， 主要信息为设备MAC、 设备SN、 本地IP、 设备型号、 设备版本和 随机数R0 。 8.根据权利要求1所述的一种物联网设备注册和安全认证连接及指令交互方法， 其特 征在于： 所述步骤三中， 对于业务报文中的敏感字段， 设备和平台在发送前就进行单独加 密， 只有在业 务使用处才进行解密。 9.根据权利要求1所述的一种物联网设备注册和安全认证连接及指令交互方法， 其特 征在于： 步骤四的 ②中， 设备未连接成功或连接断开后将恢复初始状态。 10.根据权利要求1所述的一种物联网设备注册和安全认证连接及指令交互方法， 其特 征在于： 所述 步骤二中设备初始只开启与平台认证服 务器的网络访问， 禁止其 他网络访问。权　利　要　求　书 2/2 页 3 CN 114362931 A 3