本發明提供了一種設備認證的方法、服務接入控制的方法、設備及存儲介質，其中，所述設備認證的方法中，認證請求設備在分布式賬本中發布認證請求交易，認證應答設備在分布式賬本中讀取所述認證請求交易并進行認證，從而在認證握手過程中，不需要第三方認證中心管理或協調設備參與，降低了認證系統的部署開銷，提高了認證和接入服務控制的效率。

技術領域

本發明涉及設備認證技術領域，具體涉及一種設備認證的方法、服務接入控制的方法、設備及存儲介質。

背景技術

對設備進行認證，對于保證信息訪問和交易的安全非常重要。例如，工業監控系統中的安全服務，環境監測系統中的安全服務，通常都需要識別一個合法的用戶或設備，從而允許合法的用戶或設備接入，以獲取大量的監控終端數據或測量終端數據(例如攝像頭、空氣/水質量測量傳感器)。又例如，在家用或辦公智能系統中，需要識別合法用戶/設備，從而可以控制終端或接入終端數據。現有技術的認證方法，通常需要依賴可信的第三方服務器或專門的安全信道。

其中，可信的第三方服務器可以是公鑰基礎設施(PKI，Public?KeyInfrastructure)系統的證書授權中心(CA，Certificate?Authority)，或局域網中維護所有設備認證信息的本地認證服務器。第三方管理服務器的處理能力限制了認證效率。隨著智能移動終端的日益普及和物聯網(IOT，Internet?of?Things)技術的快速發展，在包含大量移動終端或IOT設備的系統中，如果驗證每個設備都要通過與第三方服務器交互，則第三方服務器會成為性能瓶頸，因此在現有很多應用中，只進行單向認證，即對服務提供設備進行認證，而不對服務請求設備進行認證。此外，PKI中的CA需要實名認證終端，實名認證在IOT系統通常沒有必要，這帶來了額外開銷。

安全信道通常需要特定的硬件支持，例如設備需要安裝移動蜂窩網絡的用戶識別模塊(SIM，Subscriber?Identification?Module)，或需要提前部署的加密系統，因此提高了認證系統的部署成本，因此也不適合大規模應用。

因此，亟需一種實現成本較低的認證方法，來實現對設備的認證。

發明內容

本發明的至少一個實施例提供了一種設備認證的方法、服務接入控制的方法、設備及存儲介質，用以通過較低成本實現設備認證以及服務接入控制。

根據本發明的一個方面，至少一個實施例提供了一種設備認證的方法，包括：

第一設備生成認證請求信息；

所述第一設備生成認證請求交易，將所述認證請求交易發送至第一設備頻道，所述認證請求交易包括所述第一設備的公鑰和所述認證請求信息的第一哈希值，所述第一設備頻道建立在分布式賬本上；

所述第一設備生成包括有所述認證請求信息和所述第一設備頻道的設備頻道信息的認證請求消息，并利用所述第一設備的私鑰對所述認證請求消息進行數字簽名后發送至第二設備；

所述第一設備接收所述第二設備返回的認證應答消息，所述認證應答消息用于指示第一設備認證是否成功。

此外，根據本發明的至少一個實施例，所述認證請求交易還包括生成所述認證請求交易時的第一時間戳；所述認證請求信息包括隨機數和所述第一設備的設備識別信息，所述設備識別信息包括設備標識、MAC地址、IP地址、設備品牌和設備類型中的至少一項。

此外，根據本發明的至少一個實施例，在所述分布式賬本為區塊鏈時，所述設備頻道信息包括第一設備的區塊鏈賬戶地址和所述第一設備頻道上最后一個交易的哈希值；

在所述分布式賬本為埃歐塔IOTA時，所述設備頻道信息包括掩碼認證消息MAM頻道的標識ID和所述MAM頻道上的首個交易的地址。

此外，根據本發明的至少一個實施例，所述方法還包括：

所述第一設備更新所述第一設備的公鑰和私鑰；