CN115412250A

CN115412250A - 一种sm9密钥生成中心认证方法、装置、设备及介质

Info

Publication number: CN115412250A
Application number: CN202110590271.7A
Authority: CN
Inventors: 王伟兵; 孙永超; 张帆; 孟奇; 李照川
Original assignee: Chaozhou Zhuoshu Big Data Industry Development Co Ltd
Current assignee: Chaozhou Zhuoshu Big Data Industry Development Co Ltd
Priority date: 2021-05-28
Filing date: 2021-05-28
Publication date: 2022-11-29
Anticipated expiration: 2041-05-28
Also published as: CN115412250B

Abstract

本说明书实施例公开了一种SM9密钥生成中心认证方法，用于实现跨密钥生成中心或者跨企业的设备身份相互认证。方法包括：当前设备与指定企业设备进行点对点联网时，获取与指定企业设备对应的SM9密钥生成中心的标识及指定企业设备的设备标识；根据SM9密钥生成中心的标识，检索预先设置在区块链网络中的可信SM9密钥生成中心清单；若确定与标识信息对应的SM9密钥生成中心可信，则获取SM9密钥生成中心的主公钥；根据主公钥和指定企业设备的设备标识，验证指定企业设备的SM9数字签名,以完成SM9密钥生成中心的认证。

Description

一种SM9密钥生成中心认证方法、装置、设备及介质

技术领域

本说明书涉及信息安全技术领域，尤其涉及一种SM9密钥生成中心认证方法、装置、设备及介质。

背景技术

标识密码算法的设计思想是以实体的有效标识作为公钥，因此用户无需申请和交换证书，从而大大降低了安全***的复杂性。SM9密码算法是一种基于双线性对的标识密码体制(identity-based cryptography,简称IBC)，算法的理论基础和数学工具是有限域群上的椭圆曲线的点群运算的性质及双线性对运算特性。基于标识的密码体制假设存在一个可信的密钥生成中心(Key Generation Center，简称KGC)作为***的中心，用户可以利用自身标识向KGC申请私钥。

随着物联网的发展点对点的身份认证情况越来越多，标识密码体制很适合进行设备身份认证。但目前SM9并没有形成覆盖全国的KGC体系，且不同的企业或机构可能自建或使用了不同的KGC，这就导致不同企业的设备进行点对点通信时，无法验证对方设备的数字签名，无法相互认证设备身份。并且，物联网设备的计算能力、存储能力有限，不可能像服务器一样来对用户清单和权限进行管理，使得跨企业的设备认证无法顺利完成。

针对上述问题，现需要一种轻量的设备之间的互联认证方法，以解决点对点互联的跨企业设备身份认证的问题。

发明内容

本说明书一个或多个实施例提供了一种SM9密钥生成中心认证方法、装置及设备，用于解决如下技术问题：现需要一种轻量的设备之间的互联认证方法，以解决点对点互联的跨企业设备身份认证的问题。

本说明书一个或多个实施例采用下述技术方案：

本说明书一个或多个实施例提供一种SM9密钥生成中心认证方法，包括：

当前设备与指定企业的设备进行点对点联网时，获取与指定企业设备对应的SM9密钥生成中心的标识及所述指定企业设备的设备标识；

根据所述SM9密钥生成中心的标识，检索预先设置在区块链网络中的可信SM9密钥生成中心清单；若确定与所述标识信息对应的SM9密钥生成中心可信，则获取所述SM9密钥生成中心的主公钥；

根据所述主公钥和所述指定企业设备的设备标识验证对方的SM9数字签名,以完成所述SM9密钥生成中心的认证。

可选地，本说明书一个或多个实施例中所述当前设备与指定企业的设备进行点对点联网时，获取与指定企业设备对应的SM9密钥生成中心的标识及所述指定企业设备的设备标识之前，所述方法还包括：

通过设备标识向SM9密钥生成中心申请SM9私钥，以便根据所述SM9私钥进行SM9数字签名。

可选地，本说明书一个或多个实施例中所述通过设备标识向SM9密钥生成中心申请SM9私钥，以便根据所述SM9私钥进行SM9数字签名之前，所述方法还包括：

判断所述设备标识是否被撤销，并将撤销的设备标识注册到所述区块链网络的撤销标识智能合约中。

可选地，本说明书一个或多个实施例中，SM9密钥生成中心的标识所述若确定与所述标识信息对应的SM9密钥生成中心可信，则获取所述SM9密钥生成中心的主公钥之前，所述方法还包括：

在所述区块链网络中预先部署已认证智能合约以及自定义智能合约，以生成可信SM9密钥生成中心清单。

可选地，本说明书一个或多个实施例中，所述在所述区块链网络中预先部署已认证智能合约以及自定义智能合约，以生成可信SM9密钥生成中心清单，具体包括：

基于预先设定的密钥生成中心认证机构，对企业的SM9密钥生成中心进行评估，获得可信的SM9密钥生成中心；其中，所述企业与所述SM9密钥生成中心一一对应；

将所述可信的SM9密钥生成中心注册到区块链网络，并写入部署在所述区块链网络的已认证智能合约形成全局可信清单；

将企业自建SM9密钥生成中心或其他SM9密钥生成中心注册到区块链网络，并写入区块链网络的所述自定义智能合约，以形成自定义可信清单；

根据所述自定义可信清单补充所述全局可信清单，以生成所述可信SM9密钥生成中心清单。

可选地，本说明书一个或多个实施例中，所述可信SM9密钥生成中心清单至少包括以下登记内容：SM9密钥生成中心名称、SM9密钥生成中心主公钥。

可选地，本说明书一个或多个实施例中，所述根据所述主公钥和所述指定企业设备的设备标识，验证所述指定企业设备的SM9数字签名,以完成所述SM9密钥生成中心的认证之前，所述方法还包括：

通过所述区块链网络中的撤销标识智能合约检索指定企业设备的设备标识；

若通过所述撤销标识智能合约检索到所述设备标识存在于所述撤销标识智能合约，则认证失败；

若通过所述撤销标识智能合约不能检索到所述设备标识，则进行后续数字签名的检验。

本说明书一个或多个实施例提供一种SM9密钥生成中心认证装置，所述装置包括：

标识获取单元，当前设备与指定企业的设备进行点对点联网时，获取与指定企业设备对应的SM9密钥生成中心的标识及所述指定企业设备的设备标识；

主公钥查询单元，用于根据所述SM9密钥生成中心的标识，检索预先设置在区块链网络中的可信SM9密钥生成中心清单；若确定与所述标识信息对应的SM9密钥生成中心可信，则获取所述SM9密钥生成中心的主公钥；

认证单元，用于根据所述主公钥和所述指定企业设备的设备标识，验证所述指定企业设备的SM9数字签名,以完成所述SM9密钥生成中心的认证。

可选地，本说明书一个或多个实施例中，所述装置还包括：

私钥申请单元，用于通过设备标识向SM9密钥生成中心申请SM9私钥，以便根据所述SM9私钥进行SM9数字签名。

可选地，本说明书一个或多个实施例中，所述装置还包括：

清单生成单元，用于在所述区块链网络中预先部署已认证智能合约以及自定义智能合约，以生成可信SM9密钥生成中心清单。

可选地，本说明书一个或多个实施例中，所述清单生成单元还用于：

将企业自建SM9密钥生成中心或其他SM9密钥生成中心注册到区块链网络，并写入部署在所述区块链网络的所述自定义智能合约，以形成自定义可信清单；

根据所述自定义可信清单补充所述全局可信清单，以生成所述可信SM9密钥生成中心清单。其中，所述可信SM9密钥生成中心清单至少包括以下登记内容：SM9密钥生成中心名称、SM9密钥生成中心主公钥。

可选地，本说明书一个或多个实施例中，所述装置还包括：

撤销验证单元，用于通过所述区块链网络中的撤销标识智能合约检索指定企业设备的设备标识；

本说明书一个或多个实施例提供一种SM9密钥生成中心认证设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

根据所述主公钥和所述指定企业设备的设备标识，验证所述指定企业设备的SM9数字签名,以完成所述SM9密钥生成中心的认证。

本说明书一个或多个实施例提供的一种非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：

本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果：

在密钥生成中心认证机构的维护下，通过区块链网络的智能合约，实现了全局可信密钥生成中心的登记，并允许企业定义自己的可信密钥生成中心，从而实现了跨密钥生成中心的数字签名的交叉验证。使得物联网设备在进行点对点互联时，支撑了设备身份的跨企业、跨SM9密钥生成中心即KGC的相互认证。同时充分利用了SM9标识密码体制的轻量化密钥分发，和区块链的数据共享、不可篡改机制，提高了物联网跨企业互联的安全性。通过将SM9标识密码算法与区块链技术的结合，构建了多个SM9密钥生成中心之间的可信数据共享桥梁，使得SM9支持了分层治理架构，扩展了SM9密码的使用范围。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1为本说明书一个或多个实施例提供的一种SM9密钥生成中心认证方法的流程示意图；

图2为本说明书一个或多个实施例提供的一种跨企业应用场景下的设备身份认证的流程示意图；

图3为本说明书一个或多个实施例提供的一种跨密钥生成中心应用场景下的设备身份认证的流程示意图；

图4为本说明书一个或多个实施例提供的一种SM9密钥生成中心认证装置的内部结构示意图；

图5为本说明书一个或多个实施例提供的一种SM9密钥生成中心认证设备的内部结构示意图；

图6为本说明书一个或多个实施例提供的一种非易失性存储介质的内部结构示意图。

具体实施方式

本说明书实施例提供一种SM9密钥生成中心认证方法、装置、设备以及介质。

为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。

标识密码算法的设计思想是以实体的有效标识(如邮件地址、手机号码、身份证码、车架号、设备编号等)作为公钥，用户无需申请和交换证书，从而大大降低安全***的复杂性。基于标识的密码体制假设存在一个可信的密钥生成中心(KGC，Key GenerationCenter)作为***的中心，用户可以利用自身标识向KGC申请私钥。

SM9标识密码标准，由国家密码管理局于2016年3月28日发布，相关标准为“GM/T0044-2016SM9标识密码算法”。SM9算法主要包括四部分：数字签名算法、密钥交换协议、密钥封装机制、公钥加密算法，其中SM9签名算法收录于ISO/IEC 14888-3:2018《信息安全技术带附录的数字签名第3部分：基于离散对数的机制》,成为一种国际标准。SM9密码算法是一种基于双线性对的标识密码体制(identity-based cryptography,IBC)，算法的理论基础和数学工具是有限域群上的椭圆曲线的点群运算的性质及双线性对运算特性。

当一个物联网设备接入网络时，经常发生的联网动机有三种：第一是数据上传，将自身产生的数据上传到服务器；第二是数据下行，服务器将配置、指令、参数、管理等数据下发到设备；第三是设备之间的点对点互联。随着物联网的不断发展，第三种的情况越来越多。物联网设备的计算能力、存储能力有限，不可能像服务器一样有一个强大的数据库来管理用户清单和权限。标识密码体制很适合进行设备身份认证，但因为SM9并没有形成覆盖全国的KGC体系，不同的企业或机构可能自建或使用了不同的KGC。这导致不同企业的设备进行点对点通信时，无法使用设备标识和SM9的密钥来验证对方的数字签名，导致无法相互认证设备身份。

为解决上述问题，本说明书实施例提供了一种SM9密钥生成中心认证方法。通过密钥生成中心认证机构对各企密钥生成中心的身份进行统一的认证，并将通过认证的密钥生成中心注册到区块链中，结合企业在区块链上定义的自己信任的密钥生成中心作为补充，形成权威加个性化的可信清单。同时利用区块链的智能合约，实现了精准的数据权限控制。从而解决了物联网设备进行点对点互联时，无法管理用户清单和权限实现身份认证的问题。同时将可信SM9密钥生成中心清单注册到区块链上，利用区块链实现了多方之间可信数据的共享，使得密钥生成中心的主公钥可以在区块链网络上实现共享，以便跨密钥生成中心的SM9数字签名互认，进而实现了覆盖全国的跨企业的设备身份相互认证。解决了现有技术中使用SM9密码算法不支持跨KGC设备进行点对点互联的问题，以及对不同设备进行点对点通信时，无法使用设备标识+SM9私钥来验证对方的数字签名导致无法实现相互认证设备身份的问题。

本说明书中一个或多个实施例的执行主体为当前设备的执行单元。

以下结合附图，详细说明本说明书提供的技术方案。

如图1所示，本说明书一个或多个实施例提供了一种SM9密钥生成中心认证方法的方法流程示意图。

由图1可知，在本说明书一个或多个实施例中，基于区块链的SM9密钥生成中心认证方法的方法，包括以下步骤：

S101:当前设备与指定企业的设备进行点对点联网时，获取与指定企业设备对应的SM9密钥生成中心的标识及所述指定企业设备的设备标识。

在本说明书一个或多个实施例中，当前设备与指定企业的设备进行点对点联网时，获取与指定企业设备对应的SM9密钥生成中心的标识及所述指定企业设备的设备标识之前，所述方法还包括：

在本说明书一个或多个实施例中，所述通过设备标识向SM9密钥生成中心申请SM9私钥，以便根据所述SM9私钥进行SM9数字签名之前，所述方法还包括：

当设备利用设备标识向SM9密钥生成中心申请私钥时，SM9密钥生成中心对企业身份进行审核后。SM9密钥生成中心根据设备标识生成与设备标识相对应的私钥，将生成后的私钥发送到企业中对应的设备当中。企业收到SM9私钥后将其装入到对应的设备中，使得设备的SM9私钥与SM9客户端配置在一起，以便用于之后的SM9数字签名、加密通信、密钥交换等步骤。

其中，需要说明的是设备标识为设备的身份ID内置有对应的编码信息。设备标识不需要向区块链进行注册，只要是可信SM9密钥生成中心生成的私钥，数字签名的验证都会成功。实际应用中，在进行设备身份互认证过程时，可能会遇到设备宕机、设备故障、设备报废、设备丢失等问题，此时的设备处于不可用状态，相应的设备标识也会被撤销。所以需要在进行设备身份互认之前增加一个撤销标识智能合约，从而将获取的设备标识的撤销情况注册到区块链网络的撤销标识智能合约中。利用区块链网络的共享性，使得设备在进行身份认证时可以查看参与认证的设备标识是否是有效的。

当两个不同企业的设备进行点对点联网时，首先要进行设备标识的交换，互相获取对方设备SM9密钥生成中心的标识。其中，需要说明的是SM9密钥生成中心的标识可以是对SM9密钥生成中心的编号，以便根据编号获得可信SM9密钥生成中心清单中，与编号相对应SM9密钥生成中心的名称和SM9密钥生成中心的主公钥。使得设备SM9密钥生成中心在后续设备身份认证过程中，可以根据标识简便的得到SM9密钥生成中心的可信性验证结果。

S102：根据所述SM9密钥生成中心的标识，检索预先设置在区块链网络中的可信SM9密钥生成中心清单；若确定与所述标识信息对应的SM9密钥生成中心可信，则获取所述SM9密钥生成中心的主公钥。

在本说明书一个或多个实施例中，SM9密钥生成中心的标识所述若确定与所述标识信息对应的SM9密钥生成中心可信，则获取所述SM9密钥生成中心的主公钥之前，所述方法还包括：

在本说明书一个或多个实施例中，所述在所述区块链网络中预先部署已认证智能合约以及自定义智能合约，以生成可信SM9密钥生成中心清单，具体包括：

通过将不在所述全局可信清单的SM9密钥生成中心的企业自建SM9密钥生成中心或其他SM9密钥生成中心注册到区块链网络，并写入部署在所述区块链网络的所述自定义智能合约，以形成自定义可信清单；

在本说明书一个或多个实施例中，所述可信SM9密钥生成中心清单至少包括以下登记内容：SM9密钥生成中心名称、SM9密钥生成中心主公钥。

通过预先设定的密钥生成中心认证机构，对SM9密钥生成中心的合法性、诚信度、服务能力进行评估。经过认证机构的评估后，将可信的SM9密钥生成中心注册到区块链网络，并写入部署在区块链网络中的已认证智能合约中，形成认证机构评估后的全局可信清单，使得密钥生成认证机构将通过认证的SM9密钥生成中心进行链上的登记和主公钥的公示，使得可信SM9密钥生成中心及其主公钥可以在区块链网络上进行共享。

其中，需要说明的是，区块链网络是一种不可改的分布式共享账本，在区块链中，数据只能追加不能删除或修改，写入区块链的数据必须带有数字签名，意味着链上数据的所有权、控制权和责任主体明确。且新型区块链是可编程的，也就是利用智能合约可以将业务规则编码到区块链中，规则像数据一样不能删除或修改，代码在调用时自动执行，不能跳过，由于数据保存在多方，链上数据不可篡改，所以利用区块链可实现多方之间的可信数据共享，利用区块链中部署的智能合约还可以实现精准的数据权限控制。

在现实应用中，会遇到某些企业自建的SM9密钥生成中心，并没有被密钥生成中心认证机构认证并注册到区块链全局可信清单的情况，然而有的企业与未被认证的企业之间可能存在很长时间的合作，从而信任这些未被认证机构评估的企业。此时，如果与未被认证机构的认证的企业的设备进行互认，仅通过全局可信清单就无法实现两个企业中的设备身份互认证。所以，当企业发现自己自建或者选择的SM9密钥生成中心，不在区块链网络的全局清单时。可以将自己信任的或者自己建立的SM9密钥生成中心，注册到区块链网络中的自定义智能合约，以生成自定义可信清单。自定义可信清单作为认证机构生成的全局可信清单的补充，形成权威加个性化的可信SM9密钥生成中心。其中，需要说明的是，一个企业仅存在一个与之对应的SM9密钥生成中心，一个企业中可以存在若干设备，所述若干设备共用一个企业的SM9密钥生成中心的主公钥，且密钥生成中心可以根据不同设备的不同设备标识，为设备分配唯一的私钥。

当两个企业的设备进行点对点联网时，首先要进行设备标识的交换从而得到对方的身份ID，其次需要相互获取对方设备的SM9密钥生成中心标识。在取得对方设备的SM9密钥生成中心标识后，到区块链中去检索，看是否存在于全局可信清单或者自定义可信清单中。如果在清单中，就说明对方设备的SM9密钥生成中心是可信的，需要返回对应的主公钥。以便通过后续通信或者数据交换流程双方进行数字签名的发送和验证时，可以使用对方设备的SM9密钥生成中心来验证数字签名的有效性。

其中，需要说明的是，注册在清单中的SM9密钥生成中心可以以标识信息或者编号的形式，与登记在清单中的SM9密钥生成中心名称、SM9密钥生成中心主公钥相关联。以便设备点对点互联进行身份认证时，可以通过标识快速检索到可信SM9密钥生成中心清单中对应的SM9密钥生成中心。例如：当前设备和指定企业进行点对点互联时，获取到与指定设备对应的SM9密钥生成中心的标识，其中标识为编号1，那么就可以在区块网络中的可信SM9密钥生成中心清单中检索是否存在编号1，若可以检索到编号1，那么就获得与编号1相对应的SM9密钥生成中心登记的名称和主公钥等信息。

S103：根据所述主公钥验证对方的SM9数字签名,以完成所述SM9密钥生成中心的认证。

在本说明书一个或多个实施例中，所述根据所述主公钥验证对方的SM9数字签名,以完成所述SM9密钥生成中心的认证之前，所述方法还包括：

通过所述区块链网络中的撤销标识智能合约检索指定企业的设备标识；

进行身份互认证的两个设备，在根据主公钥验证对方SM9数字签名时，首先要确认指定企业的设备是否是可用的，即通过预先注册的撤销标识智能合约检索指定企业的设备标识，获得对方设备的撤销情况，如果通过所述撤销标识智能合约检索到所述设备标识存在于所述撤销标识智能合约，那么进行验证的对方设备已经不存在，所以认证失败。如果若通过所述撤销标识智能合约不能检索到所述对方设备标识所述对方设备标识存在于所述撤销标识智能合约，那么通过获取到的对方设备的SM9密钥生成中心的主公钥验证其数字签名，如果验证成功则身份认证成功。通过撤销标识智能合约的部署，弥补了SM9算法不支持标识及私钥的撤销问题，从而优化了跨SM9密钥生成中心进行设备身份认证的过程。

如图2所示为本说明书一个或多个实施例提供的一种跨企业应用场景下的设备身份认证的流程示意图。

由图2可见，在本说明书一个或多个实施例中，当两个企业的设备进行跨企业的设备身份认证之前，首先将通过SM9密钥生成中心认证机构评估的全局可信清单，和企业自定义的可信清单注册到区块链网络中。以实现利用区块链网络的特性，达到区块链上SM9密钥生成中心主公钥的共享目的。其次，设备通过该企业的SM9密钥生成中心申请私钥，以进行数字签名。当两个企业的设备需要进行跨企业的设备身份认证时，通过设备标识的交换获得进行身份认证的设备ID,同时根据区块链获取共享在链上的对方设备的主公钥，通过主公钥对所述设备的数字签名进行验证，以完成跨企业的设备身份认证。该过程充分利用了SM9标识密码体制的轻量化密钥分发，和区块链的数据共享、不可篡改机制，提高了物联网跨企业互联的安全性、便利性。

如图3所示为本说明书一个或多个实施例提供的一种跨密钥生成中心应用场景下的设备身份认证的流程示意图。

由图3可知，在本说明书一个或多个实施例中，认证机构对SM9密钥生成中心进行评估后，会得到可信SM9密钥生成中心清单，在可信SM9密钥生成中心清单可以对验证为可信的SM9密钥生成中心进行编号作为SM9密钥生成中心的标识，例如：编号1、编号2、编号3。这些标识会链接对应其各自的登记信息，例如：假设编号1对应的SM9密钥生成中心的名称为：第一SM9密钥生成中心，假设对应的SM9密钥生成中心的主公钥为：917452688e8f14ab273c0945c3690c66e5dd09678b86f734。那么当设备在区块链中查询到对应的编号后，可以获得登记在清单中的相应的SM9密钥生成中心的名称、主公钥等。当获得可信SM9密钥生成中心清单后将其注册到区块链网络当中，并通过SM9密钥生成中心申请设备的私钥，如设备A通过SM密钥生成中心1申请设备A的私钥，设备B通过SM密钥生成中心2申请设备B的私钥,当设备A和设备B进行身份互认证时，首先要交换双方的设备标识，以使当前设备获得进行身份认证的设备的身份ID。然后，要获取对方设备发放SM9私钥的SM9密钥生成中心的主公钥，从而利用所述主公钥完成数字签名的检验，如果量身完成数字签名的验证且验证成功，则完成跨SM密钥生成中心的设备身份的相互认证。其中，SM9标识密码国家标准仅定义单一密钥中心的标准。通过与区块链技术的结合，构建了多个KGC之间可信数据共享桥梁，实际上使SM9支持类似公钥基础设施的分层治理架构，大大拓展了SM9标识密码的使用范围，使SM9成为一个分布式体系。

由图4可知，在本说明书一个或多个实施例中，一种SM9密钥生成中心认证装置，所述装置包括：

标识获取单元501，当前设备与指定企业的设备进行点对点联网时，获取与指定设备对应的SM9密钥生成中心的标识及所述指定设备的设备标识；

主公钥查询单元502，用于根据所述SM9密钥生成中心的标识，检索预先设置在区块链网络中的可信SM9密钥生成中心清单；若确定与所述标识信息对应的SM9密钥生成中心可信，则获取所述SM9密钥生成中心的主公钥；

认证单元503，用于根据所述主公钥和所述指定企业设备的设备标识验证对方的SM9数字签名,以完成所述SM9密钥生成中心的认证。

在本说明书一个或多个实施例中，所述装置还包括：

判断所述设备标识是否被撤销，并将撤销的设备标识注册到所述区块链网络的撤销标识智能合约中。在本说明书一个或多个实施例中，所述装置还包括：

在本说明书一个或多个实施例中，所述清单生成单元还用于：

在本说明书一个或多个实施例中，所述装置还包括：

撤销验证单元，用于通过所述区块链网络中的撤销标识智能合约检索指定企业的设备标识；

如图5所示，本说明书一个或多个实施例提供了一种SM9密钥生成中心认证设备，其特征在于，所述设备包括：

至少一个处理器501；以及，

与所述至少一个处理器501通信连接的存储器502；其中，

所述存储器502存储有可被所述至少一个处理器501执行的指令，所述指令被所述至少一个处理器501执行，以使所述至少一个处理器501能够：

当前设备与指定企业的设备进行点对点联网时，获取与指定设备对应的SM9密钥生成中心的标识及所述指定设备的设备标识；

如图6所示，本说明书一个或多个实施例中提供了一种非易失性存储介质，存储有计算机可执行指令601，所述可执行指令601包括：

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

以上所述仅为本说明书的一个或多个实施例而已，并不用于限制本说明书。对于本领域技术人员来说，本说明书的一个或多个实施例可以有各种更改和变化。凡在本说明书的一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书的权利要求范围之内。

Claims

1.一种SM9密钥生成中心认证方法，其特征在于，所述方法包括：

当前设备与指定企业设备进行点对点联网时，获取与指定企业设备对应的SM9密钥生成中心的标识及所述指定企业设备的设备标识；

2.根据权利要求1所述的一种SM9密钥生成中心认证方法，其特征在于，所述当前设备与指定企业的设备进行点对点联网时，获取与指定企业设备对应的SM9密钥生成中心的标识及所述指定企业设备的设备标识之前，所述方法还包括：

3.根据权利要求2所述的一种SM9密钥生成中心认证方法，其特征在于，所述通过设备标识向SM9密钥生成中心申请SM9私钥，以便根据所述SM9私钥进行SM9数字签名之前，所述方法还包括：

4.根据权利要求1所述的一种SM9密钥生成中心认证方法，其特征在于，所述若确定与所述标识信息对应的SM9密钥生成中心可信，则获取所述SM9密钥生成中心的主公钥之前，所述方法还包括：

5.根据权利要求4所述的一种SM9密钥生成中心认证方法，其特征在于，所述在所述区块链网络中预先部署已认证智能合约以及自定义智能合约，以生成可信SM9密钥生成中心清单，具体包括：

6.根据权利要求1所述的一种SM9密钥生成中心认证方法，其特征在于，所述可信SM9密钥生成中心清单至少包括以下登记内容：SM9密钥生成中心清单名称、SM9密钥生成中心清单主公钥。

7.根据权利要求3所述的一种SM9密钥生成中心认证方法，其特征在于，所述根据所述主公钥和所述指定企业设备的设备标识，验证所述指定企业设备的SM9数字签名,以完成所述SM9密钥生成中心的认证之前，所述方法还包括：

8.一种SM9密钥生成中心认证装置，其特征在于，所述装置包括：

主公钥查询单元，用于获得所述SM9密钥生成中心的标识后，检索预先设置在区块链网络中的可信SM9密钥生成中心清单；若确定与所述标识信息对应的SM9密钥生成中心可信，则获取所述SM9密钥生成中心的主公钥；

认证单元，用于根据所述主公钥和所述指定设备的设备标识，验证所述指定企业设备的SM9数字签名,以完成所述SM9密钥生成中心的认证。

9.一种SM9密钥生成中心认证设备，其特征在于，所述设备包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

10.一种非易失性存储介质，存储有计算机可执行指令，所述可执行指令包括：