(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210094983.4 (22)申请日 2022.01.26 (65)同一申请的已公布的文献号 申请公布号 CN 114500049 A (43)申请公布日 2022.05.13 (73)专利权人 北京邮电大 学 地址 100876 北京市海淀区西土城路10号 专利权人 北京海联捷讯科技股份有限公司 (72)发明人 罗红　陈春丽　陈帅霖　孙岩　 杨雪梅　 (74)专利代理 机构 北京金咨知识产权代理有限 公司 11612 专利代理师 宋教花 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/66(2006.01)H04L 67/1097(2022.01) H04L 9/32(2006.01) G16Y 30/10(2020.01) G16Y 40/50(2020.01) (56)对比文件 CN 113079159 A,2021.07.0 6 CN 111316267 A,2020.0 6.19 CN 112600892 A,2021.04.02 WO 20171 10193 A1,2017.0 6.29 CN 10949 2380 A,2019.0 3.19 US 2019289013 A1,2019.09.19 US 2020267161 A1,2020.08.20 US 2019375 373 A1,2019.12.12 CN 111355745 A,2020.0 6.30 黄泽源等. “基于区块链的物联网安全技 术 研究”. 《移动通信》 .2018, 审查员 肖云鹏 (54)发明名称 物联网系统内的可移动终端设备身份认证 方法和系统 (57)摘要 本发明提供一种物联网系统内的可移动终 端设备身份认证方法和系统， 该方法包括： 物联 网系统存储移动设备身份认证信息的框架为基 于区块链的边缘计算网络认证信息存储框架， 包 含第一级区块链和第二级区块链； 由边缘计算网 络的网关接收来自终端设备的身份认证请求， 并 转发给边缘计算网络的边缘服务器； 边缘服务器 基于其第二级区块链账本存储的全局身份认证 信息确定终端设备所处的边缘计算网络信息和 状态信息， 并返回给网关； 网关基于其第一区块 链账本存储的内部身份认证信息和接收到的边 缘计算网络信息以及状态信息， 检查终端设备的 身份凭证， 完成终端设备的身份认证。 本发明能 降低区块链共识的资源消耗， 对跨越边缘计算网 络的终端设备进行身份认证 。 权利要求书2页 说明书14页 附图9页 CN 114500049 B 2022.11.11 CN 114500049 B 1.一种物联网系统内的可移动终端设备身份认证方法， 其特征在于， 所述物联网系统 包括多个边缘计算网络， 每个边缘计算网络内包含多个可移动终端设备、 网关和边缘服务 器； 所述物联网系统存储移动设备身份认证信息的框架 为基于区块链的边缘计算网络认证 信息存储框架， 包含第一级区块链和第二级区块链， 所述第一级区块链的节点包括每个边 缘计算网络内部的网关和边缘服务器， 各网关和边缘服务器通过第一级区块链账本存储、 共享所属的边缘计算网络内部共享的终端设备 的内部身份认证信息， 所述第二级 区块链 的节点包括整个物联网范围内所有的边缘服务器， 通过第二级区块链账本存储、 共享整个 物联网系统范围内终端设备的全局身份认证信息； 由边缘计算网络的网关接收来自终端设备的身份认证请求， 并转发给所述边缘计算网 络的边缘服务器； 接收到所述身份认证请求的边缘服务器基于其第二级区块链账本存储的全局身份认 证信息确定终端设备 所处的边 缘计算网络信息和状态信息， 并返回给 所述网关； 所述网关基于其第一区块链账本存储的内部身份认证信息和接收到的边缘计算网络 信息以及状态信息， 检查所述终端设备的身份凭证， 完成所述终端设备的身份认证。 2.根据权利要求1所述的方法， 其特征在于， 当终端设备出现异常状态， 设备所接入的 边缘计算网络立刻断开与终端设备的连接， 并向所述边缘计算网络的边缘服务器发送数 据， 通报出现异常状态的终端设备的边缘计算网络信息和状态信息， 当异常状态解除之后， 所述边缘服务器在第二级区块链更新第二级区块链账本， 设备 可重新接入系统； 所述异常状态包 含： 检测出异常流 量， 不能提供正确的认证资料。 3.根据权利要求1所述的方法， 其特征在于， 所述身份认证信息包括以下一种或多种： 终端设备ID、 终端设备签名和身份凭据。 4.根据权利要求1所述的方法， 其特征在于， 所述边缘计算网络信 息包含终端设备的公 钥和身份凭证， 当终端设备首次连接到物联网系统时， 其身份凭证为用户预先注册申请分 配给终端设备的随机口令； 所述状态信息初始值 为null， 标记终端设备 连接状态是否出现异常； 在所述身份认证方法中， 网关和终端设备的通讯方式为对称加密方式。 5.根据权利要求1所述的方法， 其特征在于， 当已注册的可移动终端设备首次接入物联 网系统的第一 边缘计算网络的第一网关， 终端设备身份认证的内容包括： 所述第一网关接收携带了终端设备ID和签名的身份认证请求； 第一网关向随机一个所属边 缘计算网络内的第一 边缘服务器转发这条身份认证请求； 所述第一 边缘服务器通过第二区块链账本检查 这条身份认证请求； 若通过， 第一网关通过对称加密方法进行验证， 若失败则结束 身份认证流 程； 若通过， 第一边缘服务器共识所述终端设备的身份认证信息， 若失败则结束身份认证 流程； 第一网关生成一个对称密钥和一个身份凭据， 并在第一级区块链共识； 第一网关将 所述对称密钥和身份凭据返回给终端设备， 终端设备身份认证完成。 6.根据权利要求1所述的方法， 其特征在于， 当已接入的终端设备在第 一边缘计算网络 内部从第一网关移动到第二网关， 终端设备身份认证的过程包括： 所述第二网关接收携带了终端设备ID和签名的身份认证请求；权　利　要　求　书 1/2 页 2 CN 114500049 B 2第二网关向随机一个所属边 缘计算网络内的第一 边缘服务器转发这条身份认证请求； 所述第一 边缘服务器根据第二级区块链账本检查所述身份认证请求； 若通过， 第二网关通过加密方式进行验证； 若通过， 第二网关通过第一级区块链账本对终端设备身份进行认证； 若通过， 第二网关生成一个新的对称密钥和一个新的身份凭据， 并在第一级区块链共 识； 第二网关讲 所述对称密钥和身份凭据返回给终端设备， 终端设备身份认证完成。 7.根据权利要求1所述的方法， 其特征在于， 当已接入的设备从第 一边缘计算网络的第 二网关移动到第二 边缘计算网络的第三网关， 终端设备身份认证的过程包括： 所述第三网关接收携带了终端设备ID和签名的身份认证请求； 第三网关向随机一个第二 边缘计算网络内的第二 边缘服务器转发这条身份认证请求； 所述第二 边缘服务器根据第二级区块链账本检查所述身份认证请求； 若检查到终端设备不在原本的第 一边缘计算网络 内， 则向第 一边缘计算网络的任一边 缘服务器索要其第一级区块链账本上 的记录， 同时第三网关中止此次验证过程， 将终端设 备的公钥和身份凭据返回给第三网关； 第三网关接收到终端设备的公钥和身份凭据， 对终端设备进行身份验证； 若通过， 第三网关生成一个新的对称密钥和一个新的身份凭据， 并在第二边缘计算网 络的第一级区块链共识； 第三网关讲 所述对称密钥和身份凭据返回给终端设备， 终端设备身份认证完成。 8.根据权利要求7所述的方法， 其特征在于， 所述当已接入的设备从第 一边缘计算网络 的第二网关移动到第二 边缘计算网络的第三网关， 终端设备身份认证的过程还 包括： 在所述终端设备身份认证完成后， 所述第 三网关将认证成功的结果返回给第 二边缘服 务器， 第二 边缘服务器在第二级区块链上对终端设备的身份认证信息发起共识； 所述第一边缘计算网络内的第一边缘服务器接收到设备离开第一边缘计算网络的通 知， 在第一 边缘计算网络的第一级区块链发起共识。 9.一种物联网系统内的可移动终端设备身份认证系统， 包括处理器和存储器， 其特征 在于， 所述存储器中存储有计算机指令， 所述处理器用于执行所述存储器中存储的计算机 指令， 当所述计算机指令被处理器执行时该系统实现如权利要求 1至8中任一项 所述方法的 步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器 执行时实现如权利要求1至8中任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 114500049 B 3