基于物联网的双向认证方法及其系统与流程

1.本发明涉及物联网技术，具体地涉及一种基于物联网的双向认证方法及其系统。


背景技术：

2.在使用网约车时，一般需要对车辆身份进行认证，现有技术中车辆身份认证主要是通过车型和车牌号进行的，例如乘客约车成功后，平台会将在其上注册的车型和车牌发送给用户，车辆到达后，乘客通过观察车辆车型和车牌进行确认。而，对于乘客身份认证的方法通常仅仅是乘客说出约车人的手机尾号即可。
3.那么存在的问题是，通过车型和车牌号确认车辆的情况下，乘客无法识别是否为套牌或者伪造车牌。而通过报出手机尾号来确认乘车人身份的情况下，他人也可以报出注册乘客的手机尾号，导致无法真正确认乘客的身份。


技术实现要素：

4.鉴于上述问题，本发明旨在提出一种能够对两者设备的身份(例如车辆身份和乘客身份)进行双重认证的基于物联网的双向认证方法及其系统。
5.本发明一方面的基于物联网的双向认证方法，其特征在于，该方法通过设置于第一设备终端的标签模块、第二设备终端、第一设备管理平台、以及物联网设备身份认证平台来实现，其中，所述标签模块中预置有标签模块的标签id和与该标签id对应的密钥，在物联网设备身份认证平台中预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系，该方法包括以下步骤：
6.标签模块基于规定触发动作生成第一验证码，对于第一验证码采用与标签id对应的密钥进行加密生成第一验证码密文；
7.物联网设备身份认证平台对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，并且物联网设备身份认证平台生成第二验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证码密文；
8.标签模块对于所述第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码，判断所述解密后的第一验证码是否与所述基于规定触发动作生成的第一验证码一致，以实现对于第一设备终端的身份认证；以及
9.标签模块将所述解密后的第二验证码发送给第二设备终端，第二设备终端采用设备私钥签名第二验证码，物联网设备身份认证平台根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证。
10.可选地，所述基于规定触发动作包括以下的任意一项：
11.所述第二设备终端扫描所述标签模块提供的二维码以建立所述第二设备终端和所述第一设备终端的所述标签模块之间的通信连接；
12.所述第二设备终端通过非接方式靠近所述标签模块以建立所述第二设备终端和
所述第一设备终端的所述标签模块之间的通信连接。
13.可选地，所述第二设备终端的设备私钥存储在第二设备终端的tee中。
14.可选地，所述第一设备终端是车辆终端，所述第二设备终端是乘客终端。
15.本发明一方面的基于物联网的双向认证方法，其特征在于，该方法在第一设备终端的标签模块上实现，其中，所述标签模块中预置有标签模块的标签id和与该标签id对应的密钥，在物联网设备身份认证平台中预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系，该方法包括以下步骤：
16.基于规定触发动作生成第一验证码，对于第一验证码采用与标签id对应的密钥进行加密生成第一验证码密文；
17.对于接收到的第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码，判断所述解密后的第一验证码是否与所述基于规定触发动作件生成的第一验证码一致，以实现对于第一设备终端的身份认证，其中，所述第二验证码密文是物联网设备身份认证平台对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，并且物联网设备身份认证平台生成第二验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证码密文；以及
18.将所述解密后的第二验证码发送给第二设备终端，其中，第二设备终端采用设备私钥签名第二验证码，物联网设备身份认证平台根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证。
19.可选地，所述基于规定触发动作包括以下的任意一项：
20.所述第二设备终端扫描所述标签模块提供的二维码以建立所述第二设备终端和所述第一设备终端的所述标签模块之间的通信连接；
21.所述第二设备终端通过非接方式靠近所述标签模块以建立所述第二设备终端和所述第一设备终端的所述标签模块之间的通信连接。
22.本方面一方面的基于物联网的双向认证方法，其特征在于，该方法在物联网设备身份认证平台实现，其中，标签模块中预置有标签模块的标签id和与该标签id对应的密钥，在物联网设备身份认证平台中预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系，该方法包括以下步骤：
23.接收第一验证码密文，对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，并且生成第二验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证码密文，其中，所述第一验证码密文是标签模块基于规定触发动作生成第一验证码并且对于第一验证码采用与标签id对应的密钥进行加密而生成；以及
24.接收采用设备私钥签名第二验证码，根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证，其中，其中，标签模块对于所述第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码，判断所述解密后的第一验证码是否与所述基于规定触发动作件生成的第一验证码一致，以实现对于第一设备终端的身份认证，并且，其中，标签模块将所述解密后的第二验证码发送给第二设备终端，第二设备终端采用设备私钥签名第二验证码。
25.本发明一方面的基于物联网的双向认证系统，其特征在于，包括：设置于第一设备终端的标签模块、第二设备终端、第一设备管理平台、以及物联网设备身份认证平台，
26.其中，所述标签模块中预置有标签模块的标签id和与该标签id对应的密钥，其中，所述物联网设备身份认证平台中预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系，
27.所述标签模块基于规定触发动作生成第一验证码，对于第一验证码采用与标签id对应的密钥进行加密生成第一验证码密文，
28.所述物联网设备身份认证平台对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，并且物联网设备身份认证平台生成第二验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证码密文，
29.所述标签模块对于所述第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码，判断所述解密后的第一验证码是否与所述基于规定触发动作件生成的第一验证码一致，以实现对于第一设备终端的身份认证，
30.所述标签模块将所述解密后的第二验证码发送给第二设备终端，第二设备终端采用设备私钥签名第二验证码，物联网设备身份认证平台根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证。
31.可选地，所述基于规定触发动作包括以下的任意一项：
32.所述第二设备终端扫描所述标签模块提供的二维码以建立所述第二设备终端和所述第一设备终端的所述标签模块之间的通信连接；
33.所述第二设备终端通过非接方式靠近所述标签模块以建立所述第二设备终端和所述第一设备终端的所述标签模块之间的通信连接。
34.可选地，所述第一设备终端是车辆终端，所述第二设备终端是乘客终端。
35.可选地，所述标签模块包括：
36.第一存储模块，预置有标签模块的标签id和与该标签id对应的密钥；
37.第一验证码生成模块，基于规定触发动作生成第一验证码；
38.第一加密解密模块，对于所述第一验证码采用与标签id对应的密钥进行加密生成第一验证码密文，对于所述第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码；以及
39.第一认证模块，判断所述解密后的第一验证码是否与所述基于规定触发动作件生成的第一验证码一致，以实现对于第一设备终端的身份认证；
40.第一发送模块，将所述解密后的第二验证码发送给第二设备终端。
41.可选地，所述物联网设备身份认证平台包括：
42.第二存储模块，预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系；
43.第二验证码生成模块，用于生成第二验证码；
44.第二加密解密模块，对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证码密文；以及
45.第二认证模块，根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证。
46.可选地，所述第二设备终端包括tee，
47.所述tee包括：
48.存储模块，用于存储设备私钥存储；以及
49.签名运算模块，采用所述设备私钥签名第二验证码。
50.本发明的标签模块，其特征在于，包括：
51.第一存储模块，预置有标签模块的标签id和与该标签id对应的密钥；
52.第一验证码生成模块，基于规定触发动作生成第一验证码；
53.第一加密解密模块，对于所述第一验证码采用与标签id对应的密钥进行加密生成第一验证码密文，对于所述第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码；以及
54.第一认证模块，判断所述解密后的第一验证码是否与所述基于规定触发动作件生成的第一验证码一致，以实现对于第一设备终端的身份认证；以及
55.第一发送模块，将所述解密后的第二验证码发送给第二设备终端，
56.本发明的物联网设备身份认证平台，其特征在于，包括：
57.第二存储模块，预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系；
58.第二验证码生成模块，用于生成第二验证码；
59.第二加密解密模块，对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证码密文；以及
60.第二认证模块，根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证。
61.本发明的计算机可读介质，其上存储有计算机程序，其特征在于，
62.该计算机程序被处理器执行时实现所述的基于物联网的双向认证方法。
63.本发明的计算机设备，包括存储模块、处理器以及存储在存储模块上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现所述的基于物联网的双向认证方法。
附图说明
64.图1是表示本发明的基于物联网的双向认证方法的概要流程图。
65.图2是本发明的基于物联网的双向认证方法的一个具体实施方式的流程图。
66.图3是表示本发明的基于物联网的双向认证系统的结构框图。
具体实施方式
67.下面介绍的是本发明的多个实施例中的一些，旨在提供对本发明的基本了解。并不旨在确认本发明的关键或决定性的要素或限定所要保护的范围。
68.出于简洁和说明性目的，本文主要参考其示范实施例来描述本发明的原理。但是，
本领域技术人员将容易地认识到，相同的原理可等效地应用于所有类型的基于物联网的双向认证方法及其系统，并且可以在其中实施这些相同的原理，以及任何此类变化不背离本专利申请的真实精神和范围。
69.而且，在下文描述中，参考了附图，这些附图图示特定的示范实施例。在不背离本发明的精神和范围的前提下可以对这些实施例进行电、机械、逻辑和结构上的更改。此外，虽然本发明的特征是结合若干实施/实施例的仅其中之一来公开的，但是如针对任何给定或可识别的功能可能是期望和/或有利的，可以将此特征与其他实施/实施例的一个或多个其他特征进行组合。因此，下文描述不应视为在限制意义上的，并且本发明的范围由所附权利要求及其等效物来定义。
70.诸如“具备”和“包括”之类的用语表示除了具有在说明书和权利要求书中有直接和明确表述的单元(模块)和步骤以外，本发明的技术方案也不排除具有未被直接或明确表述的其它单元(模块)和步骤的情形。
71.图1是表示本发明的基于物联网的双向认证方法的概要流程图。
72.作为基于物联网的双向认证方法的示例，以下将以认证车辆身份和乘客身份为例进行说明。例如，在示例中，本发明的双向认证方法主要通过车辆标签模块(设置在车辆上)、乘客终端(例如乘客手机)、车辆管理平台(例如，网约车平台)以及物联网设备身份认证平台来实现。
73.如图1所示，本发明的基于物联网的双向认证方法主要包括以下步骤：
74.第一验证码生成加密步骤s100：车辆标签模块基于规定触发条件被触发生成第一验证码，并用车辆标签模块中预置的密钥加密该第一验证码，生成第一验证码密文，其中，车辆标签模块中预置有标签id和与该id对应的密钥，同时，标签id和密钥的对应关系也预先存储在物联网设备身份认证平台中，乘客终端将第一验证码密文和读取的标签id通过车辆管理平台转发到物联网设备身份认证平台；
75.第一验证码解密步骤s200：物联网设备身份认证平台根据预先存储的标签id和密钥的对应关系，基于标签id找到对应的密钥，用该密钥解密第一验证码密文，获得第一验证码；
76.第二验证码生成加密步骤s300：物联网设备身份认证平台生成第二验证码，采用密钥加密第二验证码和第一验证码解密步骤s200中解密获得的第一验证码，得到第二验证码密文，物联网设备身份认证平台将标签id和第二验证码密文通过车辆管理平台、乘客终端转发到车辆标签模块；
77.第二验证码解密步骤s400：车辆标签模块采用预先存储的密钥解密第二验证码密文之后，得到第一验证码和第二验证码；
78.基于第一验证码的认证步骤(即车辆身份认证步骤)s500：车辆标签模块比较第二验证码解密步骤s400解密出来的第一验证码和第一验证码生成加密步骤s100中生成的第一验证码是否相同，若两者相同，则表示车辆身份认证成功；
79.基于第二验证码的认证步骤(即乘客身份认证步骤)s600：车辆标签模块将解密后的第二验证码发送给乘客终端，乘客终端采用设备私钥签名第二验证码，将签名后的第二验证码和设备id通过车辆管理平台转发到物联网设备身份认证平台，物联网设备身份认证平台根据设备id获得乘客终端预先在物联网设备身份认证平台绑定时存储的设备公钥和
第二验证码生成加密步骤s300中生成的第二验证码对设备签名后的第二验证码进行验签，如果签名验证通过，则表示乘客身份认证成功；以及
80.认证结果通知步骤s700：物联网设备身份认证平台将验证结果发送给车辆管理平台，车辆管理平台将验证结果通知给车辆的司机。
81.接着，对于本发明的基于物联网的双向认证方法的一个具体实施方式进行说明。在该实施方式中作为双向认证包括车辆身份认证和乘客身份认证
82.图2是本发明的基于物联网的双向认证方法的一个具体实施方式的流程图。
83.如图2所示，本发明的基于物联网的双向认证方法的一个具体实施方式包括以下流程：
84.步骤s1：基于规定触发动作乘客终端获取车辆标签模块中的标签，获得标签id，例如作为规定触发动作可以列举的是扫描车辆加密标签模块提供的二维码等，或者利用nfc“靠一靠”获得车辆标签模块中的标签；
85.步骤s2：车辆标签模块根据所述规定触发动作而被触发生成第一验证码，这里记做a，并用车辆标签模块中预置的密钥k加密该第一验证码a，生成第一验证码密文，这里记做(a)，这里将第一验证码密文(a)发送到乘客终端，其中，车辆标签模块中预置有标签id和与该id对应的密钥k，同时，标签id和密钥k的对应关系也预先存储在物联网设备身份认证平台中，例如，在车辆标签模块出厂时，在物联网设备身份认证平台中存储标签id和密钥k的对应关系并且将标签id和该标签id对应的密钥k写入车辆标签模块中；
86.步骤s3：乘客终端将第一验证码密文(a)和所获取的标签id发送到网约车平台；
87.步骤s4：网约车平台将第一验证码密文(a)和获取的标签id转发到物联网设备身份认证平台；
88.步骤s5：物联网设备身份认证平台根据预先存储的标签id和密钥k的对应关系，基于标签id找到对应的密钥k，用该密钥k解密第一验证码密文(a)，获得第一验证码a'，然后，物联网设备身份认证平台生成第二验证码b，采用密钥k加密第一验证码a'和第二验证码b，得到第二验证码密文(a'+b)，将标签id和第二验证码密文(a'+b)通过网约车平台转发到乘客终端；
89.步骤s6：乘客终端将标签id和第二验证码密文(a'+b)发送到车辆加密标签；
90.步骤s7：车辆标签模块采用预先存储的密钥k解密第二验证码密文(a'+b)之后，得到第一验证码a'和第二验证码b，车辆标签模块比较解密出来的第一验证码a'和步骤2中生成的第一验证码a是否相同，若两者相同，则说明车辆标签模块中的标签已得到验证，即完成了车辆身份的验证，此后，将解密后的第二验证码b发送给乘客终端；
91.步骤s8：乘客终端采用设备私钥签名第二验证码b，得到签名后的第二验证码b；
92.步骤s9：乘客终端将签名后的第二验证码b和设备id一起发送给网约车平台，同时，乘客终端向网约车平台发出乘车确认通知，这里的乘车确认通知也是从乘客终端向网约车平台发出通知以表示到此为止已完成了对车辆标签的验证，之后将开始进行乘客终端设备的验证；
93.步骤s10：网约车平台将签名后的第二验证码b和设备id发送到物联网设备身份认证平台；
94.步骤s11：设备id物联网设备身份认证平台根据设备id获得乘客终端预先在物联
网设备身份认证平台绑定时存储的设备公钥和步骤5中生成的第二验证码b对设备签名后的第二验证码b进行验签，如果签名验证通过，则表示基于乘客身份验证成功；
95.步骤s12：物联网设备身份认证平台将验证结果发送给网约车平台；以及
96.步骤s13：网约车平台进行行程确认并将验证结果通知给车辆的司机。
97.在图示的步骤s1～13之前还进一步包括：初始化设置步骤。其中，所述初始化设置步骤具体包括：
98.在车辆标签模块中预先写入标签id和与该标签id对应的密钥k；
99.在物联网设备身份认证平台中预先存储标签id和密钥k的对应关系；以及
100.在物联网设备身份认证平台中预先存储设备id和设备公钥的对应关系；以及
101.在乘客终端中预置与设备公钥对应的设备私钥(安装在乘客终端的tee中的)。
102.如上所述，根据本发明的基于物联网的车辆和乘客身份的认证方法，网约车平台对车辆进行认证后，对车辆发放对应的加密标签，在认证时，可以通过对加密标签进行认证来实现对车辆身份的认证。另一方面，对于乘客的身份认证，需要乘客终端支持tee，在乘客注册网约车平台时，将网约车平台账号与乘客终端的设备进行绑定，乘客只有采用绑定过的设备进行网约车的使用，才能够通过上述的乘客身份认证。
103.图3是表示本发明的基于物联网的双向认证系统的结构框图。
104.如图3所示，本发明的基于物联网的双向认证系统包括：设置于第一设备终端的标签模块100、第二设备终端200、第一设备管理平台300、以及物联网设备身份认证平台400。
105.标签模块100中预置有标签模块的标签id和与该标签id对应的密钥，其中，所述物联网设备身份认证平台中预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系，标签模块100基于规定触发动作生成第一验证码，对于第一验证码采用与标签id对应的密钥进行加密生成第一验证码密文。标签模块100将生成的第一验证码密文通过第二设备终端200、第一设备管理平台300转发到物联网设备身份认证平台400。
106.物联网设备身份认证平台400对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，并且物联网设备身份认证平台400生成第二验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证码密文。物联网设备身份认证平台400将生成的第二验证码密文通过第一设备管理平台300转发到标签模块100。
107.标签模块100对于所述第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码，判断所述解密后的第一验证码是否与所述基于规定触发动作件生成的第一验证码一致，以实现对于第一设备终端的身份认证。
108.标签模块100将所述解密后的第二验证码发送给第二设备终端200，第二设备终端200采用设备私钥签名第二验证码，物联网设备身份认证平台400根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证。
109.其中，作为一个示例，第一设备终端是车辆终端，第二设备终端是乘客终端。
110.其中，标签模块100包括：
111.第一存储模块110，预置有标签模块的标签id和与该标签id对应的密钥；
112.第一验证码生成模块120，基于规定触发动作生成第一验证码；
113.第一加密解密模块130，对于所述第一验证码采用与标签id对应的密钥进行加密生成第一验证码密文，对于所述第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码；以及
114.第一认证模块140，判断所述解密后的第一验证码是否与所述基于规定触发动作件生成的第一验证码一致，以实现对于第一设备终端的身份认证；
115.第一发送模块150，将所述解密后的第二验证码发送给第二设备终端，
116.其中，所述物联网设备身份认证平台400包括：
117.第二存储模块410，预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系；
118.第二验证码生成模块420，用于生成第二验证码；
119.第二加密解密模块430，对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证码密文；以及
120.第二认证模块440，根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证。
121.所述第二设备终端200包括tee，其中，所述tee包括：
122.存储模块210，用于存储设备私钥存储；以及
123.签名运算模块220，采用所述设备私钥签名第二验证码。
124.通过在使用网约车的场景下应用本发明的基于物联网的双向认证方法及其系统，乘客只需要通过乘客终端对于设置在车辆上的车辆标签模块中的加密标签进行一次读取操作，就能够实现对于车辆身份和乘客身份的双向认证。
125.以上例子主要说明了本发明的基于物联网的双向认证方法及其系统。尽管只对其中一些本发明的具体实施方式进行了描述，但是本领域普通技术人员应当了解，本发明可以在不偏离其主旨与范围内以许多其他的形式实施。因此，所展示的例子与实施方式被视为示意性的而非限制性的，在不脱离如所附各权利要求所定义的本发明精神及范围的情况下，本发明可能涵盖各种的修改与替换。

技术特征：
1.一种基于物联网的双向认证方法，其特征在于，该方法通过设置于第一设备终端的标签模块、第二设备终端、第一设备管理平台、以及物联网设备身份认证平台来实现，其中，所述标签模块中预置有标签模块的标签id和与该标签id对应的密钥，在物联网设备身份认证平台中预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系，该方法包括以下步骤：标签模块基于规定触发动作生成第一验证码，对于第一验证码采用与标签id对应的密钥进行加密生成第一验证码密文；物联网设备身份认证平台对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，并且物联网设备身份认证平台生成第二验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证码密文；标签模块对于所述第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码，判断所述解密后的第一验证码是否与所述基于规定触发动作生成的第一验证码一致，以实现对于第一设备终端的身份认证；以及标签模块将所述解密后的第二验证码发送给第二设备终端，第二设备终端采用设备私钥签名第二验证码，物联网设备身份认证平台根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证。2.如权利要求1所述的基于物联网的双向认证方法，其特征在于，所述基于规定触发动作包括以下的任意一项：所述第二设备终端扫描所述标签模块提供的二维码以建立所述第二设备终端和所述第一设备终端的所述标签模块之间的通信连接；所述第二设备终端通过非接方式靠近所述标签模块以建立所述第二设备终端和所述第一设备终端的所述标签模块之间的通信连接。3.如权利要求1所述的基于物联网的双向认证方法，其特征在于，所述第二设备终端的设备私钥存储在第二设备终端的tee中。4.如权利要求1所述的基于物联网的双向认证方法，其特征在于，所述第一设备终端是车辆终端，所述第二设备终端是乘客终端。5.一种基于物联网的双向认证方法，其特征在于，该方法在第一设备终端的标签模块上实现，其中，所述标签模块中预置有标签模块的标签id和与该标签id对应的密钥，在物联网设备身份认证平台中预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系，该方法包括以下步骤：基于规定触发动作生成第一验证码，对于第一验证码采用与标签id对应的密钥进行加密生成第一验证码密文；对于接收到的第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码，判断所述解密后的第一验证码是否与所述基于规定触发动作件生成的第一验证码一致，以实现对于第一设备终端的身份认证，其中，所述第二验证码密文是物联网设备身份认证平台对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，并且物联网设备身份认证平台生成第二验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证
码密文；以及将所述解密后的第二验证码发送给第二设备终端，其中，第二设备终端采用设备私钥签名第二验证码，物联网设备身份认证平台根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证。6.如权利要求5所述的基于物联网的双向认证方法，其特征在于，所述基于规定触发动作包括以下的任意一项：所述第二设备终端扫描所述标签模块提供的二维码以建立所述第二设备终端和所述第一设备终端的所述标签模块之间的通信连接；所述第二设备终端通过非接方式靠近所述标签模块以建立所述第二设备终端和所述第一设备终端的所述标签模块之间的通信连接。7.一种基于物联网的双向认证方法，其特征在于，该方法在物联网设备身份认证平台实现，其中，标签模块中预置有标签模块的标签id和与该标签id对应的密钥，在物联网设备身份认证平台中预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系，该方法包括以下步骤：接收第一验证码密文，对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，并且生成第二验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证码密文，其中，所述第一验证码密文是标签模块基于规定触发动作生成第一验证码并且对于第一验证码采用与标签id对应的密钥进行加密而生成；以及接收采用设备私钥签名第二验证码，根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证，其中，其中，标签模块对于所述第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码，判断所述解密后的第一验证码是否与所述基于规定触发动作件生成的第一验证码一致，以实现对于第一设备终端的身份认证，并且，其中，标签模块将所述解密后的第二验证码发送给第二设备终端，第二设备终端采用设备私钥签名第二验证码。8.一种基于物联网的双向认证系统，其特征在于，包括：设置于第一设备终端的标签模块、第二设备终端、第一设备管理平台、以及物联网设备身份认证平台，其中，所述标签模块中预置有标签模块的标签id和与该标签id对应的密钥，其中，所述物联网设备身份认证平台中预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系，所述标签模块基于规定触发动作生成第一验证码，对于第一验证码采用与标签id对应的密钥进行加密生成第一验证码密文，所述物联网设备身份认证平台对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，并且物联网设备身份认证平台生成第二验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证码密文，所述标签模块对于所述第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码，判断所述解密后的第一验证码是否与所述基于规定触发动作件生成的第一验证码一致，以实现对于第一设备终端的身份认证，
所述标签模块将所述解密后的第二验证码发送给第二设备终端，第二设备终端采用设备私钥签名第二验证码，物联网设备身份认证平台根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证。9.如权利要求8所述的基于物联网的双向认证系统，其特征在于，所述基于规定触发动作包括以下的任意一项：所述第二设备终端扫描所述标签模块提供的二维码以建立所述第二设备终端和所述第一设备终端的所述标签模块之间的通信连接；所述第二设备终端通过非接方式靠近所述标签模块以建立所述第二设备终端和所述第一设备终端的所述标签模块之间的通信连接。10.如权利要求8所述的基于物联网的双向认证系统，其特征在于，所述第一设备终端是车辆终端，所述第二设备终端是乘客终端。11.如权利要求8所述的基于物联网的双向认证系统，其特征在于，所述标签模块包括：第一存储模块，预置有标签模块的标签id和与该标签id对应的密钥；第一验证码生成模块，基于规定触发动作生成第一验证码；第一加密解密模块，对于所述第一验证码采用与标签id对应的密钥进行加密生成第一验证码密文，对于所述第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码；以及第一认证模块，判断所述解密后的第一验证码是否与所述基于规定触发动作件生成的第一验证码一致，以实现对于第一设备终端的身份认证；第一发送模块，将所述解密后的第二验证码发送给第二设备终端。12.如权利要求11所述的基于物联网的双向认证系统，其特征在于，所述物联网设备身份认证平台包括：第二存储模块，预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系；第二验证码生成模块，用于生成第二验证码；第二加密解密模块，对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证码密文；以及第二认证模块，根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证。13.如权利要求12所述的基于物联网的双向认证系统，其特征在于，所述第二设备终端包括tee，所述tee包括：存储模块，用于存储设备私钥存储；以及签名运算模块，采用所述设备私钥签名第二验证码。14.一种标签模块，其特征在于，包括：第一存储模块，预置有标签模块的标签id和与该标签id对应的密钥；第一验证码生成模块，基于规定触发动作生成第一验证码；
第一加密解密模块，对于所述第一验证码采用与标签id对应的密钥进行加密生成第一验证码密文，对于所述第二验证码密文采用与标签id对应的密钥进行解密得到解密后的第一验证码和第二验证码；以及第一认证模块，判断所述解密后的第一验证码是否与所述基于规定触发动作件生成的第一验证码一致，以实现对于第一设备终端的身份认证；以及第一发送模块，将所述解密后的第二验证码发送给第二设备终端。15.一种物联网设备身份认证平台，其特征在于，包括：第二存储模块，预置标签模块的标签id和密钥的第一对应关系以及第二设备终端的设备id和设备公钥之间的第二对应关系；第二验证码生成模块，用于生成第二验证码；第二加密解密模块，对于所述第一验证码密文根据所述第一对应关系获得对应的密钥进行解密得到解密后的第一验证码，对于解密后的第一验证码和所述第二验证码采用与标签id对应的密钥进行加密生成第二验证码密文；以及第二认证模块，根据所述第二对应关系获得设备公钥进行验签，以实现对于第二设备终端的身份认证。16.一种计算机可读介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1～7任意一项所述的基于物联网的双向认证方法。17.一种计算机设备，包括存储模块、处理器以及存储在存储模块上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1～7任意一项所述的基于物联网的双向认证方法。

技术总结
本发明涉及一种基于物联网的双向认证方法及其系统。该方法包括：标签模块生成第一验证码并加密生成第一验证码密文；物联网设备身份认证平台对于第一验证码密文得到解密后的第一验证码，物联网设备身份认证平台生成第二验证码，对于解密后的第一验证码和第二验证码加密生成第二验证码密文；标签模块得到解密后的第一验证码和第二验证码，判断所述解密后的第一验证码是否与生成的第一验证码一致，以实现对于第一设备终端的身份认证；以及标签模块将所述解密后的第二验证码发送给第二设备终端，第二设备终端采用设备私钥签名第二验证码，物联网设备身份认证平台根据基于设备公钥进行验签，以实现对于第二设备终端的身份认证。证。证。


技术研发人员：戚文彬 杨阳 曾望年 张琦 侯腾 徐智劼 姜铁城 秦杰
受保护的技术使用者：中国银联股份有限公司
技术研发日：2022.12.27
技术公布日：2023/7/19