[发明专利]一种物联网安全认证芯片及基于该芯片的访问控制方法

权利要求书

1.一种物联网安全认证芯片，其特征在于，包括中央处理器、算法模块、存储模块、输入/输出模块、随机数发生器及初始化模块，该算法模块、存储模块、输入/输出模块、随机数发生器及初始化模块分别与中央处理器连接；在该初始化模块设有外接的触发开关，用于触发芯片内初始化模块的工作；在该输入/输出模块设有用于与外部设备或电路的数据交换接口。

2.根据权利要求1所述的物联网安全认证芯片，其特征在于，所述的中央处理器根据算法模块、存储模块、输入/输出模块、随机数发生器、及初始化模块提供的数据进行运算，并最终将运算结果通过输入/输出模块向芯片以外的设备或电路输出；所述的算法模块包含了以硬件形式固化在模块中的，对称或非对称加解密算法程序；存储模块用于存储与芯片认证相关的数据；所述的输入/输出模块负责芯片与外部设备或电路的数据交换；所述的随机数发生器用于产生随机数；所述的初始化模块负责在芯片被初次设置或再次重置成工作状态时，产生并存储芯片本身的工作主密钥（Master Key），以及在芯片用于访问安全认证应用时，为合法访问设备产生所需的访问唯一标识（ID）及访问密钥（Key）。

3.一种基于权利要求1所述的物联网安全认证芯片实现在物联网上对单一设备的访问控制方法，其特征在于，在所述的物联网安全认证芯片安装到某一设备后，进入工作状态时，首先对物联网安全认证芯片进行初始化，然后进行安全认证。

4.根据权利要求3所述的方法，其特征在于，所述的初始化包括以下步骤：

第一步、产生工作主密钥（Master Key）：这一步的动作由所述的触发开关提供控制信号；该工作主密钥（Master Key）由芯片中的随机数发生器随机产生，并安全的保存于初始化模块的安全存储单元（SE）中；

第二步、随后，芯片通过所述的输入/输出模块送出生成工作主密钥成功信号，否则送出失败信号；当安装芯片的设备在以后需要重新初始化时，同样按第一步执行；

第三步、为有访问需求的其他设备，产生并分配设备访问唯一标识（ID）及访问密钥（Key），这一步的动作也由触发开关提供控制信号，设备的访问唯一标识（ID）由芯片中的随机数发生器产生，并在产生后作为参数，与工作主密钥（Master Key）同时经算法模块中的对称算法或非对称算法运算生成访问密钥（Key）；

第四步、随后，芯片通过所述的输入/输出模块送出成功信号，并将产生后的设备访问唯一标识（ID）及访问密钥（Key），通过芯片的输入/输出模块送交有访问需求的其他设备，否则送出失败信号。

5.根据权利要求4所述的方法，其特征在于，重复执行所述的第三和第四步，为多个有访问需求的其他设备产生及分配设备访问唯一标识（ID）及访问密钥（Key）。

6.根据权利要求3所述的方法，其特征在于，所述的安全认证包括以下步骤：

第一步、其他设备发送访问请求：安装了芯片的设备接入物联网后，当任何网上的其他设备希望访问该设备时，芯片将收到该其他设备的访问请求，包括该其他设备的访问唯一标识（ID）；

第二步、芯片产生随机数：当芯片收到其他设备的访问请求后，芯片的随机数发生器产生一个随机数，并将该随机数送回有访问请求的该其他设备；

第三步、其他设备产生运算结果：该其他设备在收到随机数后，将以设备访问唯一标识（ID）、访问密钥（Key）及该随机数作为参数，使用对称或非对称加解密算法进行运算，并将运算结果送回安装了芯片的设备；

第四步、芯片运算获得访问密钥（Key）：芯片在收到该其他设备的运算结果后，以第一步得到的设备访问唯一标识（ID）作为参数，与工作主密钥（Master Key）同时经算法模块中的对称或非对称算法运算获得该其他设备的访问密钥（Key）；

第四步、芯片对其他设备进行认证：芯片以第一步得到的该其他设备的访问唯一标识（ID）、第四步运算获得的访问密钥（Key）及第二步芯片为其产生的随机数为参数，通过芯片算法模块中的对称或非对称加解密算法进行运算；

在得到运算结果后，再与该其他设备在第三步送回芯片的运算结果相比较，如果结果一致则认证通过，否则认证失败；

第五步、认证结果的输出：认证通过与失败的信号同样通过芯片的输入/输出模块，输出给安装芯片的设备，并送交有访问需求的其他设备；安装芯片的设备，在收到芯片认证通过的信号后，将允许有访问请求的其他设备访问，否则就拒绝访问。