一种基于属性加密的设备安全认证方法及其相关装置与流程

1.本技术涉及网络安全技术领域，尤其涉及一种基于属性加密的设备安全认证方法及其相关装置。


背景技术：

2.为了提高信息传输安全性，通常采用设置公私钥对进行信息加密传输。现有技术大多采用设备出厂id作为设备密钥进行信息加密传输，容易因为厂商信息泄露等原因，导致批量设备密钥泄露，从而导致设备安全问题。


技术实现要素：

3.本技术提供了一种基于属性加密的设备安全认证方法及其相关装置，用于改善现有技术采用设备出厂id作为设备密钥进行信息加密传输，存在容易因为厂商信息泄露，导致批量设备密钥泄露，从而影响设备安全的技术问题。
4.有鉴于此，本技术第一方面提供了一种基于属性加密的设备安全认证方法，应用于终端设备，方法包括：
5.在接入区块链中的认证服务器进行注册时，初始化生成对称密钥和随机数，并通过认证服务器的属性标识公钥加密所述对称密钥和所述随机数得到第一加密信息；
6.发送携带有所述第一加密信息和设备出厂标识的注册认证请求给所述认证服务器，由所述认证服务器根据所述设备出厂标识对所述终端设备进行认证；
7.接收所述认证服务器在认证成功后返回的第二加密信息，通过所述对称密钥解密所述第二加密信息得到属性加密标识私钥和随机数；其中，所述属性加密标识私钥由所述认证服务器根据所述终端设备的属性信息生成，所述属性信息包括位置信息、所述终端设备所绑定用户的用户信息和所述设备出厂标识；所述第二加密信息由所述认证服务器通过自身的属性标识私钥对所述第一加密信息进行解密得到的对称密钥对所述属性加密标识私钥和解密出的随机数加密得到；
8.通过自身生成的所述随机数和解密出的随机数验证所述认证服务器的合法性，在验证所述认证服务器合法后，保存所述属性加密标识私钥。
9.可选的，所述终端设备出厂时预设有所述认证服务器的地址，所述方法还包括：
10.所述终端设备在绑定用户后，根据所述认证服务器的地址发送属性信息给所述认证服务器。
11.可选的，所述终端设备的位置信息的获取过程为：
12.所述终端设备在接入区块链时，根据自身与区块链中的目标节点的相对位置和所述目标节点的位置坐标计算所述终端设备的位置坐标，得到所述终端设备的位置信息。
13.可选的，所述通过自身生成的所述随机数和解密出的随机数验证所述认证服务器的合法性，包括：
14.比对自身生成的所述随机数和解密出的随机数是否相同；
15.若相同，则验证所述认证服务器是合法的；
16.若不相同，则验证所述认证服务器是不合法的。
17.本技术第二方面提供了一种基于属性加密的设备安全认证方法，应用于认证服务器，方法包括：
18.接收终端设备发送的注册认证请求，根据所述注册认证请求携带的设备出厂标识对所述终端设备进行认证，并通过自身的属性标识私钥对所述注册认证请求携带的第一加密信息进行解密得到对称密钥和随机数；所述第一加密信息由所述终端设备通过所述认证服务器的属性标识公钥对初始化生成的对称密钥和随机数加密生成；
19.在认证成功后，根据所述终端设备的属性信息生成所述终端设备的属性加密标识私钥，并通过解密出的对称密钥对所述属性加密标识私钥和解密出的随机数进行加密得到第二加密信息，所述属性信息包括位置信息、所述终端设备所绑定用户的用户信息和所述设备出厂标识；
20.将所述第二加密信息发送给所述终端设备，使得所述终端设备通过自身生成的所述对称密钥解密所述第二加密信息得到属性加密标识私钥和随机数，比对自身生成的所述随机数和解密出的随机数验证所述认证服务器的合法性，并在验证所述认证服务器合法后，保存所述属性加密标识私钥。
21.可选的，所述根据所述终端设备的属性信息生成所述终端设备的属性加密标识私钥，包括：
22.根据所述终端设备的属性信息给所述终端设备分配设备标识；
23.根据所述终端设备的设备标识生成所述终端设备的属性加密标识私钥。
24.本技术第三方面提供了一种终端设备，包括：
25.初始化单元，用于在接入区块链中的认证服务器进行注册时，初始化生成对称密钥和随机数，并通过认证服务器的属性标识公钥加密所述对称密钥和所述随机数得到第一加密信息；
26.发送单元，用于发送携带有所述第一加密信息和设备出厂标识的注册认证请求给所述认证服务器，由所述认证服务器根据所述设备出厂标识对所述终端设备进行认证；
27.接收单元，用于接收所述认证服务器在认证成功后返回的第二加密信息，通过所述对称密钥解密所述第二加密信息得到属性加密标识私钥和随机数；其中，所述属性加密标识私钥由所述认证服务器根据所述终端设备的属性信息生成，所述属性信息包括位置信息、所述终端设备所绑定用户的用户信息和所述设备出厂标识；所述第二加密信息由所述认证服务器通过自身的属性标识私钥对所述第一加密信息进行解密得到的对称密钥对所述属性加密标识私钥和解密出的随机数加密得到；
28.验证单元，用于通过比对自身生成的所述随机数和解密出的随机数验证所述认证服务器的合法性，在验证所述认证服务器合法后，保存所述属性加密标识私钥。
29.本技术第四方面提供了一种认证服务器，包括：
30.接收单元，用于接收终端设备发送的注册认证请求，根据所述注册认证请求携带的设备出厂标识对所述终端设备进行认证，并通过自身的属性标识私钥对所述注册认证请求携带的第一加密信息进行解密得到对称密钥和随机数；所述第一加密信息由所述终端设备通过所述认证服务器的属性标识公钥对初始化生成的对称密钥和随机数加密生成；
31.加密单元，用于在认证成功后，根据所述终端设备的属性信息生成所述终端设备的属性加密标识私钥，并通过解密出的对称密钥对所述属性加密标识私钥和解密出的随机数进行加密得到第二加密信息，所述属性信息包括位置信息、所述终端设备所绑定用户的用户信息和所述设备出厂标识；
32.发送单元，用于将所述第二加密信息发送给所述终端设备，使得所述终端设备通过自身生成的所述对称密钥解密所述第二加密信息得到属性加密标识私钥和随机数，通过自身生成的所述随机数和解密出的随机数验证所述认证服务器的合法性，并在验证所述认证服务器合法后，保存所述属性加密标识私钥。
33.本技术第五方面提供了一种基于属性加密的设备安全认证系统，包括：第三方面所述的终端设备和第四方面所述的认证服务器。
34.本技术第六方面提供了一种基于属性加密的设备安全认证设备，所述设备包括处理器以及存储器；
35.所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；
36.所述处理器用于根据所述程序代码中的指令执行第一方面任一种所述的基于属性加密的设备安全认证方法，或执行第二方面任一种所述的基于属性加密的设备安全认证方法。
37.从以上技术方案可以看出，本技术具有以下优点：
38.本技术提供了一种基于属性加密的设备安全认证方法，应用于终端设备，方法包括：在接入区块链中的认证服务器进行注册时，初始化生成对称密钥和随机数，并通过认证服务器的属性标识公钥加密对称密钥和随机数得到第一加密信息；发送携带有第一加密信息和设备出厂标识的注册认证请求给认证服务器，由认证服务器根据设备出厂标识对终端设备进行认证；接收认证服务器在认证成功后返回的第二加密信息，通过对称密钥解密第二加密信息得到属性加密标识私钥和随机数；其中，属性加密标识私钥由认证服务器根据终端设备的属性信息生成，属性信息包括位置信息、终端设备所绑定用户的用户信息和设备出厂标识；第二加密信息由认证服务器通过自身的属性标识私钥对第一加密信息进行解密得到的对称密钥对属性加密标识私钥和解密出的随机数加密得到；通过自身生成的随机数和解密出的随机数验证认证服务器的合法性，在验证认证服务器合法后，保存属性加密标识私钥。
39.本技术中，使用终端设备的位置信息、终端设备所绑定用户的用户信息、设备出厂标识这些设备属性信息来生成终端设备的私钥，可以避免对于厂商烧录同id设备或生产清单信息泄露导致的设备加密信息泄露问题，从而提高了设备安全性；并且，终端设备使用了认证服务器的属性标识公钥加密信息得到第一加密信息，只有合法服务器(拥有认证服务器的属性标识私钥)才能解密出第一加密信息得到对称密钥和随机数，所以当认证服务器使用对称秘钥加密随机数发送给终端设备，终端设备通过解密出随机数即可验证认证服务器的真伪；同时因为只有合法认证服务器才能解密出该对称密钥，使用该对称密钥来加密、分发属性加密标识私钥是安全的，从而改善了现有技术采用设备出厂id作为设备密钥进行信息加密传输，存在容易因为厂商信息泄露，导致批量设备密钥泄露，从而影响设备安全的技术问题。
附图说明
40.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。
41.图1为本技术实施例提供的一种应用于终端设备的基于属性加密的设备安全认证方法的一个流程示意图；
42.图2为本技术实施例提供的一种终端设备的位置关系示意图；
43.图3为本技术实施例提供的一种应用于认证服务器的基于属性加密的设备安全认证方法的另一个流程示意图；
44.图4为本技术实施例提供的一种终端设备的一个结构示意图；
45.图5为本技术实施例提供的一种认证服务器的一个结构示意图。
具体实施方式
46.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
47.为了便于理解，请参阅图1，本技术实施例提供了一种基于属性加密的设备安全认证方法，应用于终端设备，方法包括：
48.步骤101、在接入区块链中的认证服务器进行注册时，初始化生成对称密钥和随机数，并加密对称密钥和随机数得到第一加密信息。
49.终端设备(可以是摄像头等)在接入区块链中的认证服务器进行注册时，终端设备进行初始化，随机生成一个对称密钥和一个随机数，并可以使用认证服务器的属性标识公钥加密对称密钥和随机数，得到第一加密信息。
50.终端设备出厂时可以预设有认证服务器的地址，以便直接入网注册，适用于大规模发行物联网设备组网。终端设备在入网注册时，在联网绑定用户后，可以根据认证服务器的地址发送自身的属性信息给认证服务器，属性信息可以包括位置信息、终端设备所绑定用户的用户信息(如用户手机号、身份证号码、注册账号等)和设备出厂标识(如设备出厂id)。
51.终端设备在接入区块链时，可以通过和区块链中的固定节点的相对位置以及固定节点的位置坐标计算出终端设备的位置坐标，得到终端设备的位置信息(x,y,z)。可以参考图2，终端设备为新接入的区块链设备节点，根据新接入的区块链设备节点与区块链固定节点服务器1的相对位置l1，与区块链固定节点服务器2的相对位置l2、与区块链固定节点服务器3的相对位置l3以及区块链固定节点服务器1的位置坐标(x1,y1,z1)、区块链固定节点服务器2的位置坐标(x2,y2,z2)、区块链固定节点服务器3的位置坐标(x3,y3,z3)可以建立如下关系式：
52.l12＝(x1-x)2 (y1-y)2 (z1-z)2；
53.l22＝(x2-x)2 (y2-y)2 (z2-z)2；
54.l32＝(x3-x)2 (y3-y)2 (z3-z)2；
55.通过求解上述关系式可以计算得到新接入的区块链设备节点的位置坐标(x,y,z)，从而获取到终端设备的位置信息。
56.步骤102、发送携带有第一加密信息和设备出厂标识的注册认证请求给认证服务器，由认证服务器根据设备出厂标识对终端设备进行认证。
57.终端设备连接认证服务器后，发送携带有第一加密信息和设备出厂标识的注册认证请求给认证服务器，由认证服务器通过设备出厂标识对终端设备进行认证，验证设备合法性，并通过自身的属性标识私钥解密第一加密信息得到对称密钥和随机数；认证服务器在验证设备合法后，即认证成功后，认证服务器根据终端设备的属性信息生成终端设备的属性加密标识私钥，然后通过解密得到的对称密钥对终端设备的属性加密标识私钥和解密得到的随机数进行加密得到第二加密信息，再将第二加密信息返回给终端设备。
58.其中，根据终端设备的属性信息生成终端设备的属性加密标识私钥的过程可以为：
59.根据终端设备的属性信息给终端设备分配设备标识；根据终端设备的设备标识生成终端设备的属性加密标识私钥。
60.认证服务器可以将位置信息、用户信息和设备出厂标识组合生成该终端设备的设备标识，例如将位置信息、用户信息和设备出厂标识直接串接作为终端设备的设备标识，认证服务器可以采用sm9算法根据终端设备的设备标识生成终端设备的属性加密标识私钥，还可以生成终端设备的属性加密标识公钥，属性加密标识公钥存储在认证服务器中，而属性加密私钥需要存储在终端设备中，在认证后续通过属性加密标识公钥和属性加密标识私钥进行信息加密传输。可以理解的是，认证服务器的属性标识私钥和属性标识公钥也可以通过sm9算法根据认证服务器的属性信息(位置信息、认证服务器标识等)生成。
61.本技术实施例，利用终端设备的位置信息、绑定用户的用户信息、设备出厂标识结合在区块链中作为终端设备的属性加密标识公钥进行设备在区块链中的安全认证，是通过利用终端设备的位置信息、用户信息以及设备出厂标识这些设备属性信息作为设备公私钥对终端设备进行独有的标识化，从而避免对于厂商烧录同id设备或生产清单信息泄露导致的设备加密信息泄露问题；并且，在终端设备更换绑定用户或设备位置转移时，终端设备的属性信息更新，对应的终端设备的公私钥也会变化，从而可以避免信息泄露和混淆，同一终端设备更换绑定用户后，由于用户信息改变了，该终端设备对应的公私钥也发生了改变，同一终端设备的后一个绑定用户不会知道前一个绑定用户对应的公私钥信息，提高了终端设备的安全性。
62.步骤103、接收认证服务器在认证成功后返回的第二加密信息，通过对称密钥解密第二加密信息得到属性加密标识私钥和随机数。
63.终端设备接收到认证服务器返回的第二加密信息后，通过自身生成的对称密钥对第二加密信息进行解密，得到属性加密标识私钥和随机数。
64.步骤104、通过比对自身生成的随机数和解密出的随机数验证认证服务器的合法性，在验证认证服务器合法后，保存属性加密标识私钥。
65.终端设备比对自身生成的随机数和上述步骤解密得到的随机数是否相同，来验证认证服务器的合法性，终端设备若比对自身生成的随机数和解密得到的随机数相同，则验
证该认证服务器是合法的，若比对自身生成的随机数和解密得到的随机数不相同，则验证该认证服务器是不合法的。终端设备在验证认证服务器合法后，保存属性加密标识私钥在本地硬件存储芯片中。
66.本技术实施例中，使用终端设备的位置信息、终端设备所绑定用户的用户信息、设备出厂标识这些设备属性信息来生成终端设备的私钥，可以避免对于厂商烧录同id设备或生产清单信息泄露导致的设备加密信息泄露问题，从而提高了设备安全性；并且，终端设备使用了认证服务器的属性标识公钥加密信息得到第一加密信息，只有合法服务器(拥有认证服务器的属性标识私钥)才能解密出第一加密信息得到对称密钥和随机数，所以当认证服务器使用对称秘钥加密随机数发送给终端设备，终端设备通过解密出随机数即可验证认证服务器的真伪；同时因为只有合法认证服务器才能解密出该对称密钥，使用该对称密钥来加密、分发属性加密标识私钥是安全的，从而改善了现有技术采用设备出厂id作为设备密钥进行信息加密传输，存在容易因为厂商信息泄露，导致批量设备密钥泄露，从而影响设备安全的技术问题。
67.以上为本技术提供的应用于终端设备的一种基于属性加密的设备安全认证方法的一个实施例，以下为本技术提供的应用于认证服务器的一种基于属性加密的设备安全认证方法。
68.请参考图3，本技术实施例提供的一种基于属性加密的设备安全认证方法，应用于认证服务器，方法包括：
69.步骤301、接收终端设备发送的注册认证请求，根据注册认证请求携带的设备出厂标识对终端设备进行认证，并通过自身的属性标识私钥对注册认证请求携带的第一加密信息进行解密得到对称密钥和随机数。
70.认证服务器接收到终端设备发送的注册认证请求后，根据注册认证请求携带的设备出厂标识对终端设备进行认证，通过设备出厂标识验证终端设备的合法性，并通过自身的属性标识私钥对注册认证请求携带的第一加密信息进行解密得到对称密钥和随机数。其中，第一加密信息由终端设备通过认证服务器的属性标识公钥对初始化生成的对称密钥和随机数加密生成。
71.步骤302、在认证成功后，根据终端设备的属性信息生成终端设备的属性加密标识私钥，并通过解密出的对称密钥对属性加密标识私钥和解密出的随机数进行加密得到第二加密信息，属性信息包括位置信息、终端设备所绑定用户的用户信息和设备出厂标识。
72.认证服务器在认证终端设备合法后，根据终端设备的属性信息生成终端设备的属性加密标识私钥。具体的，认证服务器根据终端设备的属性信息给终端设备分配设备标识；根据终端设备的设备标识生成终端设备的属性加密标识私钥。
73.认证服务器可以将位置信息、用户信息和设备出厂标识组合生成该终端设备的设备标识，例如将位置信息、用户信息和设备出厂标识直接串接作为终端设备的设备标识，认证服务器可以采用sm9算法根据终端设备的设备标识生成终端设备的属性加密标识私钥，还可以生成终端设备的属性加密标识公钥，属性加密标识公钥存储在认证服务器中，而属性加密私钥需要存储在终端设备中，后续通过属性加密标识公钥和属性加密标识私钥进行信息加密传输。可以理解的是，认证服务器的属性标识私钥和属性标识公钥也可以通过sm9算法根据认证服务器的属性信息生成。
74.其中，终端设备在入网注册时，在联网绑定用户后，可以根据认证服务器的地址发送自身的属性信息给认证服务器，属性信息可以包括位置信息、终端设备所绑定用户的用户信息(如用户手机号、身份证号码、注册账号等)和设备出厂标识(如设备出厂id)。
75.终端设备在接入区块链时，可以通过和区块链中的固定节点的相对位置以及固定节点的位置坐标计算出终端设备的位置坐标，得到终端设备的位置信息(x,y,z)。可以参考图2，终端设备为新接入的区块链设备节点，根据新接入的区块链设备节点与区块链固定节点服务器1的相对位置l1，与区块链固定节点服务器2的相对位置l2、与区块链固定节点服务器3的相对位置l3以及区块链固定节点服务器1的位置坐标(x1,y1,z1)、区块链固定节点服务器2的位置坐标(x2,y2,z2)、区块链固定节点服务器3的位置坐标(x3,y3,z3)可以建立如下关系式：
76.l12＝(x1-x)2 (y1-y)2 (z1-z)2；
77.l22＝(x2-x)2 (y2-y)2 (z2-z)2；
78.l32＝(x3-x)2 (y3-y)2 (z3-z)2；
79.通过求解上述关系式可以计算得到新接入的区块链设备节点的位置坐标(x,y,z)，从而获取到终端设备的位置信息。
80.本技术实施例是通过利用终端设备的位置信息、绑定用户的用户信息以及设备出厂标识这些设备属性信息作为设备公私钥对终端设备进行独有的标识化，从而避免对于厂商烧录同id设备或生产清单信息泄露导致的设备加密信息泄露问题；并且，在终端设备更换绑定用户或设备位置转移时，终端设备的属性信息更新，对应的终端设备的公私钥也会变化，从而可以避免信息泄露和混淆，同一终端设备更换绑定用户后，由于用户信息改变了，该终端设备对应的公私钥也发生了改变，同一终端设备的后一个绑定用户不会知道前一个绑定用户对应的公私钥信息，提高了终端设备的安全性。
81.步骤303、将第二加密信息发送给终端设备，使得终端设备通过自身生成的对称密钥解密第二加密信息得到属性加密标识私钥和随机数，比对自身生成的随机数和解密出的随机数验证认证服务器的合法性，并在验证认证服务器合法后，保存属性加密标识私钥。
82.认证服务器将第二加密信息发送给终端设备，使得终端设备通过自身生成的对称密钥解密第二加密信息得到属性加密标识私钥和随机数，终端设备比对自身生成的随机数和解密得到的随机数是否相同，来验证认证服务器的合法性，若比对自身生成的随机数和解密得到的随机数相同，则验证该认证服务器是合法的，若比对自身生成的随机数和解密得到的随机数不相同，则验证该认证服务器是不合法的；终端设备在验证认证服务器合法后，保存属性加密标识私钥在本地硬件存储芯片中。
83.本技术实施例中，使用终端设备的位置信息、终端设备所绑定用户的用户信息、设备出厂标识这些设备属性信息来生成终端设备的私钥，可以避免对于厂商烧录同id设备或生产清单信息泄露导致的设备加密信息泄露问题，从而提高了设备安全性；并且，终端设备使用了认证服务器的属性标识公钥加密信息得到第一加密信息，只有合法服务器(拥有认证服务器的属性标识私钥)才能解密出第一加密信息得到对称密钥和随机数，所以当认证服务器使用对称秘钥加密随机数发送给终端设备，终端设备通过解密出随机数即可验证认证服务器的真伪；同时因为只有合法认证服务器才能解密出该对称密钥，使用该对称密钥来加密、分发属性加密标识私钥是安全的，从而改善了现有技术采用设备出厂id作为设备
密钥进行信息加密传输，存在容易因为厂商信息泄露，导致批量设备密钥泄露，从而影响设备安全的技术问题。
84.以上为本技术提供的应用于认证服务器的一种基于属性加密的设备安全认证方法的一个实施例，以下为本技术提供的一种终端设备的一个实施例。
85.请参考图4，本技术实施例提供的一种终端设备，包括：
86.初始化单元401，用于在接入区块链中的认证服务器进行注册时，初始化生成对称密钥和随机数，并通过认证服务器的属性标识公钥加密对称密钥和随机数得到第一加密信息；
87.发送单元402，用于发送携带有第一加密信息和设备出厂标识的注册认证请求给认证服务器，由认证服务器根据设备出厂标识对终端设备进行认证；
88.接收单元403，用于接收认证服务器在认证成功后返回的第二加密信息，通过对称密钥解密第二加密信息得到属性加密标识私钥和随机数；其中，属性加密标识私钥由认证服务器根据终端设备的属性信息生成，属性信息包括位置信息、终端设备所绑定用户的用户信息和设备出厂标识；第二加密信息由认证服务器通过自身的属性标识私钥对第一加密信息进行解密得到的对称密钥对属性加密标识私钥和解密出的随机数加密得到；
89.验证单元404，用于通过自身生成的随机数和解密出的随机数验证认证服务器的合法性，在验证认证服务器合法后，保存属性加密标识私钥。
90.本技术实施例中，使用终端设备的位置信息、终端设备所绑定用户的用户信息、设备出厂标识这些设备属性信息来生成终端设备的私钥，可以避免对于厂商烧录同id设备或生产清单信息泄露导致的设备加密信息泄露问题，从而提高了设备安全性；并且，终端设备使用了认证服务器的属性标识公钥加密信息得到第一加密信息，只有合法服务器(拥有认证服务器的属性标识私钥)才能解密出第一加密信息得到对称密钥和随机数，所以当认证服务器使用对称秘钥加密随机数发送给终端设备，终端设备通过解密出随机数即可验证认证服务器的真伪；同时因为只有合法认证服务器才能解密出该对称密钥，使用该对称密钥来加密、分发属性加密标识私钥是安全的，从而改善了现有技术采用设备出厂id作为设备密钥进行信息加密传输，存在容易因为厂商信息泄露，导致批量设备密钥泄露，从而影响设备安全的技术问题。
91.以上为本技术提供的一种终端设备的一个实施例，以下为本技术提供的一种认证服务器的一个实施例。
92.请参考图5，本技术实施例提供的一种认证服务器，包括：
93.接收单元501，用于接收终端设备发送的注册认证请求，根据注册认证请求携带的设备出厂标识对终端设备进行认证，并通过自身的属性标识私钥对注册认证请求携带的第一加密信息进行解密得到对称密钥和随机数；第一加密信息由终端设备通过认证服务器的属性标识公钥对初始化生成的对称密钥和随机数加密生成；
94.加密单元502，用于在认证成功后，根据终端设备的属性信息生成终端设备的属性加密标识私钥，并通过解密出的对称密钥对属性加密标识私钥和解密出的随机数进行加密得到第二加密信息，属性信息包括位置信息、终端设备所绑定用户的用户信息和设备出厂标识；
95.发送单元503，用于将第二加密信息发送给终端设备，使得终端设备通过自身生成
的对称密钥解密第二加密信息得到属性加密标识私钥和随机数，通过自身生成的随机数和解密出的随机数验证认证服务器的合法性，并在验证认证服务器合法后，保存属性加密标识私钥。
96.本技术实施例中，使用终端设备的位置信息、终端设备所绑定用户的用户信息、设备出厂标识这些设备属性信息来生成终端设备的私钥，可以避免对于厂商烧录同id设备或生产清单信息泄露导致的设备加密信息泄露问题，从而提高了设备安全性；并且，终端设备使用了认证服务器的属性标识公钥加密信息得到第一加密信息，只有合法服务器(拥有认证服务器的属性标识私钥)才能解密出第一加密信息得到对称密钥和随机数，所以当认证服务器使用对称秘钥加密随机数发送给终端设备，终端设备通过解密出随机数即可验证认证服务器的真伪；同时因为只有合法认证服务器才能解密出该对称密钥，使用该对称密钥来加密、分发属性加密标识私钥是安全的，从而改善了现有技术采用设备出厂id作为设备密钥进行信息加密传输，存在容易因为厂商信息泄露，导致批量设备密钥泄露，从而影响设备安全的技术问题。
97.本技术实施例还提供了一种基于属性加密的设备安全认证系统，包括：前述实施例中的终端设备和认证服务器；
98.终端设备，用于在接入区块链中的认证服务器进行注册时，初始化生成对称密钥和随机数，并通过认证服务器的属性标识公钥加密对称密钥和随机数得到第一加密信息；发送携带有第一加密信息和设备出厂标识的注册认证请求给认证服务器；
99.认证服务器，用于根据设备出厂标识对终端设备进行认证，并通过自身的属性标识私钥对第一加密信息进行解密得到对称密钥和随机数；在验证成功后，根据终端设备的属性信息生成终端设备的属性加密标识私钥，并通过解密出的对称密钥对属性加密标识私钥和解密出的随机数进行加密得到第二加密信息，并将第二加密信息发送给终端设备；其中，属性信息包括位置信息、终端设备所绑定用户的用户信息和设备出厂标识；
100.终端设备，还用于通过自身生成的对称密钥解密第二加密信息得到属性加密标识私钥和随机数；并通过自身生成的随机数和解密出的随机数验证认证服务器的合法性，在验证认证服务器合法后，保存属性加密标识私钥。
101.本技术实施例中，使用终端设备的位置信息、终端设备所绑定用户的用户信息、设备出厂标识这些设备属性信息来生成终端设备的私钥，可以避免对于厂商烧录同id设备或生产清单信息泄露导致的设备加密信息泄露问题，从而提高了设备安全性；并且，终端设备使用了认证服务器的属性标识公钥加密信息得到第一加密信息，只有合法服务器(拥有认证服务器的属性标识私钥)才能解密出第一加密信息得到对称密钥和随机数，所以当认证服务器使用对称秘钥加密随机数发送给终端设备，终端设备通过解密出随机数即可验证认证服务器的真伪；同时因为只有合法认证服务器才能解密出该对称密钥，使用该对称密钥来加密、分发属性加密标识私钥是安全的，从而改善了现有技术采用设备出厂id作为设备密钥进行信息加密传输，存在容易因为厂商信息泄露，导致批量设备密钥泄露，从而影响设备安全的技术问题。
102.本技术实施例还提供了一种基于属性加密的设备安全认证设备，设备包括处理器以及存储器；
103.存储器用于存储程序代码，并将程序代码传输给处理器；
104.处理器用于根据程序代码中的指令执行前述应用于终端设备的基于属性加密的设备安全认证方法，或执行应用于认证服务器的基于属性加密的设备安全认证方法。
105.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
106.本技术的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
107.应当理解，在本技术中，“至少一个(项)”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：只存在a，只存在b以及同时存在a和b三种情况，其中a，b可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，“a和b”，“a和c”，“b和c”，或“a和b和c”，其中a，b，c可以是单个，也可以是多个。
108.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
109.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
110.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
111.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以通过一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(英文全称：read-only memory，英文缩写：rom)、随机存取存储器(英文全称：randomaccess memory，英文缩写：ram)、磁碟或者光盘等各种可以存储程序代码的介质。
112.以上所述，以上实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围。