(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210856442.0 (22)申请日 2022.07.19 (71)申请人 深圳市证通电子股份有限公司 地址 518100 广东省深圳市光明区玉塘街 道田寮社区同观大道3号证通电子产 业园二期-101 申请人 深圳市证通金信科技有限公司 (72)发明人 付庆　龚志勇　曾培恒　程胜春　 余君　何道敬　李大为　 (74)专利代理 机构 深圳市世纪恒程知识产权代 理事务所 4 4287 专利代理师 付海萍 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) (54)发明名称 基于鸿蒙系统的终端身份认证方法、 装置、 设备及介质 (57)摘要 本发明公开了基于鸿蒙系统的终端身份认 证方法、 装置、 设备及介质， 该方法应用于鸿蒙终 端认证系统， 所述鸿蒙终端认证系统至少包括终 端管理系统、 密管中心和预设数量的分布式的终 端设备， 包括： 通过与所述终端管理系统实现本 地连接的所述密管中心生 成签名主密钥对； 获取 所述终端设备的设备ID， 并根据所述设备ID确定 所述终端设备的可信终端列表； 基于所述可信终 端列表， 并根据预设的SM9身份认证算法和所述 签名主密钥对对应的签名私钥， 实现所述终端设 备的身份认证， 保障了终端设备的安全性， 提升 了终端设备身份认证的认证效率， 实现了安全、 低成本、 高效的多终端 身份认证 。 权利要求书2页 说明书10页 附图6页 CN 115361134 A 2022.11.18 CN 115361134 A 1.一种基于鸿蒙系统的终端身份认证方法， 其特征在于， 所述方法应用于鸿蒙终端认 证系统， 所述鸿蒙终端认证系统至少包括终端管理系统、 密管中心和预设数量的分布式的 终端设备， 所述方法包括： 通过与所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对； 获取所述终端设备的设备ID， 并根据所述设备ID确定所述终端设备的可信终端列表； 基于所述可信终端列表， 并根据预设的SM9身份认证算法和所述签名主密钥对对应的 签名私钥， 实现所述终端设备的身份认证。 2.如权利要求1所述的基于鸿蒙系统的终端身份认证方法， 其特征在于， 所述基于所述 可信终端列表， 并根据预设的S M9身份认证算法和所述签名主密钥对对应的签名私钥， 实现 所述终端设备的身份认证， 包括： 基于预设的ID分组策略， 根据所述终端设备对应的所述可信终端列表确 认所述终端设 备对应的合法ID终端设备； 基于所述SM9身份认证算法的随机数认证算法， 根据所述签名主密钥对对所述合法ID 终端设备进行身份认证， 确定所述终端设备的合法身份。 3.如权利要求2所述的基于鸿蒙系统的终端身份认证方法， 其特征在于， 所述终端设备 至少包括主控设备和从设备， 所述基于预设的ID分组策略， 根据所述终端设备对应的所述可信终端列表确认所述终 端设备对应的合法ID终端设备， 包括： 获取所述从设备的用户ID； 基于所述ID分组策略， 获取所述主控设备对应的可信终端列表， 所述可信终端列表为 所述主控设备信赖的从设备的用户ID； 基于所述从设备的用户ID与 所述可信终端列表进行匹配， 确认所述从设备对应的合法 ID终端设备。 4.如权利要求3所述的基于鸿蒙系统的终端身份认证方法， 其特征在于， 所述基于所述 SM9身份认证算法 的随机数认证算法， 根据所述签名主密钥对对所述合法ID终端设备进行 身份认证， 确定所述终端设备的合法身份， 包括： 基于所述随机数认证算法， 确定所述主控设备的待签名数据， 所述主控设备的待签名 数据至少包括主控设备随机数和时间戳； 获取所述主设备的用户私钥和密管中心签名主公钥， 并基于所述用户私钥和密管中心 签名主公钥对所述主控设备的待签名数据进行计算， 确定所述主控设备的签名值； 通过所述从设备对所述主控设备的签名值进行验证， 确定所述主控设备的合法身份。 5.如权利要求4所述的基于鸿蒙系统的终端身份认证方法， 其特征在于， 所述基于所述 SM9身份认证算法 的随机数认证算法， 根据所述签名主密钥对对所述合法ID终端设备进行 身份认证， 确定所述终端设备的合法身份， 还 包括： 基于所述随机数认证算法， 确定所述从设备的待签名数据， 所述从设备的待签名数据 至少包括从设备随机数和时间戳； 获取所述从设备的用户私钥和密管中心签名主公钥， 并基于所述用户私钥和密管中心 签名主公钥对所述从设备的待签名数据进行计算， 确定所述从设备的签名值； 通过所述主控设备对所述从设备的签名值进行验证， 确定所述从设备的合法身份。权　利　要　求　书 1/2 页 2 CN 115361134 A 26.如权利要求1所述的基于鸿蒙系统的终端身份认证方法， 其特征在于， 在所述通过与 所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对之后， 所述方法还包 括： 判断所述终端设备的终端状态； 若所述终端设备的终端状态为激活状态， 则向所述终端管理系统发起进行身份认证的 认证指令； 若所述终端设备的终端状态为待激活状态， 则通过所述终端管理系统采用预设的交易 协议， 获取 所述密管中心对所述终端设备生成的用户私钥； 将所述用户私钥和所述终端设备对应的可信终端列表返回所述终端设备； 将所述终端设备当前的终端状态更新 为激活状态。 7.如权利要求5所述的基于鸿蒙系统的终端身份认证方法， 其特征在于， 在所述获取所 述终端设备的设备ID， 并根据所述设备ID确定所述终端设备的可信终端列表之前， 所述方 法还包括： 获取所述终端设备的密钥更新指令； 基于所述密钥更新指令， 查询所述终端管理系统对应的数据库， 向所述终端设备返回 对应的无效终端设备ID列表； 基于所述无效终端设备ID列表， 删除所述终端设备中无效的可信列表， 更新所述终端 设备对应的可信终端列表。 8.一种终端 身份认证装置， 其特 征在于， 所述终端 身份认证装置包括： 密钥生成模块， 用于通过与 所述终端管理系统实现本地连接的所述密管中心生成签名 主密钥对； 可信终端确定模块， 用于获取所述终端设备的设备ID， 并根据所述设备ID确定所述终 端设备的可信终端列表； 身份认证模块， 用于基于所述可信终端列表， 并根据预设的SM9身份认证算法和所述签 名主密钥对 对应的签名私钥， 实现所述终端设备的身份认证。 9.一种设备， 其特征在于， 所述设备包括存储器、 处理器及存储在所述存储器上并可在 所述处理器上运行的身份认证程序， 所述身份认证程序被所述处理器执行时实现如权利要 求1‑7中任一项所述的基于鸿蒙系统的终端 身份认证方法。 10.一种介质， 所述介质为计算机可读存储介质， 其特征在于， 所述计算机可读存储介 质上存储有身份认证程序， 所述身份认证程序被处理器执行时实现如权利要求 1至7中任一 项所述的基于鸿蒙系统的终端 身份认证方法的步骤。权　利　要　求　书 2/2 页 3 CN 115361134 A 3