[0001] 本发明涉及安全认证方法，尤其涉及一种云安全认证方法。

[0002] 现如今，智能设备如会议室的智能电视、智能化的加热和空调系统、互联网连接的电灯、智能设备控制的生产过程、智能手表和健身器材几乎可以说是无处不在。而这些还仅仅只是现在企业物联网(Internet of Things，IoT)的非常小的一部分。在更大的部分，几乎所有的物理对象都能够被智能化的连接到网络。

[0003] 随着物联网和工业4.0的发展，安全问题已经成为阻碍行业应用推广的关键性因素，如何解决海量物联网设备接入互联网所带来的安全隐患，安全企业也提出了各种针对性的解决方案，在一定程度上解决了物联网的安全问题。但这种基于传统的安全策略的方案只是从互联网简单的移植到物联网，未能解决物联网安全的根本问题。

[0004] 现有的物联网安全主要采用设备接入认证和数据加密两种方式。设备的接入认证类似于传统网络中的认证登录，是进入系统的入口校验，采用的认证方式有“用户名+口令”、动态口令和基于PKI数字签名等几种最常用模式，其安全性以数字签名最高，但这种基于边界防护的安全模型，只要攻破了这层防护而非法进入系统，就可以为所欲为，这是传统安全模型的缺陷，也最易受到黑客攻击。安全企业也开始认识到了单一的接入认证对提升安全性非常有限，于是提出了数据加密或数据链路加密，以增加系统的安全性。数据的加密只对防止数据泄密有效，也对非法篡改数据有一定的作用，但对于指令的重放攻击却束手无策,同时采用加密芯片，对于智能设备而言成本较高。目前智能设备和云端服务器的联网通信前，普遍不存在设备和云端网络的双方认证过程，存在安全风险。

[0029] 下面，结合附图以及具体实施方式，对本发明做进一步描述，需要说明的是，在不相冲突的前提下，以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。

[0030] 一种云安全认证设备，如图1所示，包括内存储有设备私钥与云公钥的电子设备；其中，设备私钥用于对设备签名加密得到设备认证数据包；云公钥用于对云认证数据进行解密；应当理解，在设备生产制造时，可以选择把设备私钥与云公钥烧录进设备存储模块，也可以采用数据更新的方式在设备更新时进行改写。云端存储有云私钥与设备公钥，其中，云私钥用于对云端签名加密得到云认证数据包，设备公钥用于对设备认证数据包进行解密；在一实施例中，如图7所示，云端与认证设备通过WIFI、Zigbee、RS485、蓝牙直接连接，或者通过APP、智能终端间接连接。

[0031] 一种云安全认证方法，如图1-图6所示，包括以下步骤：

[0032] 云端认证，认证设备利用存储于认证设备内的设备私钥进行签名得到设备认证数据包，认证设备发送设备认证数据包至云端，云端接收设备认证数据包后利用存储于云端的设备公钥对设备认证数据包进行验签；

[0033] 认证设备认证，云端设备利用存储于云端的云私钥进行签名得到云认证数据包，云端发送云认证数据包至认证设备，认证设备接收云认证数据包后利用存储于认证设备内的云公钥进行验签。

[0034] 具体的，在一实施例中，步骤云端认证还包括：利用随机函数生成第一随机数据，认证设备利用设备私钥对第一随机数据进行签名加密得到第一签名数据，其中，设备认证数据包包括第一随机数据、第一签名数据、设备ID。一般的，如图3、图4所示，设备认证数据包格式顺序为第一随机数据+第一签名数据+设备ID；云端利用设备公钥对第一签名数据进行签名解密得到第一解密数据，判断第一解密数据与第一随机数据是否相同；若相同则云端认证成功并跳转至步骤认证设备认证。其中，如图3、图4所示，salt1为认证设备内的随机函数生成的随机数据，随机数据salt1经过设备私钥签名加密生成signature1；云端接收到设备认证数据包后提取出signature1并利用设备公钥进行解密，得到第一解密数据，当第一解密数据与随机数据salt1相同时，则本次云端认证通过。

[0035] 具体的，在一实施例中，步骤认证设备认证还包括：利用随机函数生成第二随机数据，云端利用云私钥对第二随机数据进行签名加密得到第二签名数据，其中，云认证数据包包括第二随机数据、第二签名数据。相应的，云认证数据包还包括云ID；如图5、图6所示，云认证数据包格式顺序为第二随机数据+第二签名数据+云ID；认证设备利用云公钥对第二签名数据进行签名解密得到第二解密数据，判断第二解密数据与第二随机数据是否相同；其中，如图5、图6所示，salt2为云端的随机函数生成的随机数据，随机数据salt2经过云私钥签名加密生成signature2；认证设备接收到云认证数据包后提取出signature2并利用云公钥进行解密，得到第二解密数据，当第二解密数据与随机数据salt2相同时，则本次认证设备认证通过。应当理解，云端认证与认证设备认证为相互关联步骤，但步骤访问顺序可以为先云端认证，云端认证通过后再进行认证设备认证；也可为先认证设备认证，认证设备认证通过后再进行云端认证。两次认证都通过后，则云端与认证设备建立相互通信。

[0036] 本发明提供一种云安全认证方法，包括以下步骤，云端认证，认证设备利用存储于认证设备内的设备私钥进行签名得到设备认证数据包，认证设备发送设备认证数据包至云端，云端接收设备认证数据包后利用存储于云端的设备公钥对设备认证数据包进行验签；认证设备认证，云端设备利用存储于云端的云私钥进行签名得到云认证数据包，云端发送云认证数据包至认证设备，认证设备接收云认证数据包后利用存储于认证设备内的云公钥进行验签。本发明还涉及一种云安全认证设备。本发明提高设备认证的安全性，同时认证成本低，无需增加硬件成本。

[0037] 以上，仅为本发明的较佳实施例而已，并非对本发明作任何形式上的限制；凡本行业的普通技术人员均可按说明书附图所示和以上而顺畅地实施本发明；但是,凡熟悉本专业的技术人员在不脱离本发明技术方案范围内，利用以上所揭示的技术内容而做出的些许更动、修饰与演变的等同变化，均为本发明的等效实施例；同时,凡依据本发明的实质技术对以上实施例所作的任何等同变化的更动、修饰与演变等，均仍属于本发明的技术方案的保护范围之内。