终端匹配方法和系统、计算机设备

本发明涉及物联网技术领域，特别是涉及一种终端匹配方法和系统、计算机设备。

目前，物联网设备已广泛应用在军事国防、环境监测、医疗健康、工业以及高危领域的数据监控等领域。其应用价值和科研价值已受到世界各国的高度关注。由于物联网设备的体系结构是开放的，其自身的一些特点决定了网络的安全性较差，不法分子可以容易地窃听、截获和伪造传输的信息，因此安全性成为了物联网设备急需解决的关键问题之一。

包括感知层、网络层和应用层的三元对等架构是一种物联网信息安全领域普适性的实体认证方法，三元对等架构属于密码学认证，通过自身携带的密钥对信息加解密。其提出的多次传递和调用可信校验机制，适用于实体间的双重双向身份认证，并对实现诸如合法终端访问合法网络的通信和网络安全、防止信息未经授权使用、误用等信息安全问题起到支撑作用。传统方案中，感知层的终端设备、网络层的管理平台与可信第三方(如认证服务器)之间通过数字证书进行匹配认证，而依赖数字证书的匹配认证过程容易被破解或窃听，安全性低。

基于此，有必要针对传统三元对等架构中终端设备、管理平台与可信第三方之间匹配认证过程的安全性低的技术问题，提供一种终端匹配方法和系统、计算机设备。

一种终端匹配方法，包括：

终端根据认证服务器的认证密钥和认证公钥生成身份校验密文，将所述身份校验密文发送至管理服务器；其中，所述管理服务器将所述身份校验密文发送至认证服务器；

所述认证服务器对所述身份校验密文进行解密，获取身份校验明文和终端检验参数，若由所述身份校验明文和终端检验参数确定的第三哈希值与生成元的乘积等于所述身份校验密文携带的第一密文，则构建校验申请响应信息，并将所述校验申请响应信息发送至管理服务器；

所述管理服务器识别所述校验申请响应信息中的终端身份信息，若识别到的终端身份信息与预存的终端身份信息一致，则构建为接入请求响应信息，将所述接入请求响应信息发送至终端，并在接收所述终端根据接入请求响应信息反馈的匹配确认信息后进行终端匹配。

上述终端匹配方法中，终端可以根据认证服务器的认证密钥和认证公钥生成身份校验密文，使认证服务器可以对所述身份校验密文进行解密，获取身份校验明文和终端检验参数，依据上述身份校验明文和终端检验参数构建校验申请响应信息，并将所述校验申请响应信息发送至管理服务器，使管理服务器可以识别所述校验申请响应信息中的终端身份信息，若识别到的终端身份信息与预存的终端身份信息一致，则构建为接入请求响应信息，将所述接入请求响应信息发送至终端，并在接收所述终端根据接入请求响应信息反馈的匹配确认信息后进行终端匹配，在完成上述终端匹配的过程中，需要分别在终端、认证服务器和管理服务器上进行身份确认和校验，具有较高的安全性。

在其中一个实施例中，所述终端接收所述接入请求响应信息，识别所述接入请求响应信息中的管理身份信息，若识别到的管理身份信息与预存的管理身份信息一致，则向所述管理服务器反馈匹配确认信息。

本实施例中，终端可以识别所述接入请求响应信息中的管理身份信息，进行相应的身份校验，在身份校验成功后才向管理服务器反馈匹配确认信息，进一步提高了匹配过程中的安全性。

在其中一个实施例中，所述终端根据认证服务器的认证密钥和认证公钥生成身份校验密文，将所述身份校验密文发送至管理服务器的过程之前，还包括：

所述认证服务器将认证密钥和认证公钥发送至管理服务器；所述管理服务器在接入终端时，将所述认证密钥和认证公钥发送至终端。

本实施例可以保证发送至管理服务器的认证密钥和认证公钥的时效性。

在其中一个实施例中，所述终端根据认证服务器的认证密钥和认证公钥生成身份校验密文，将所述身份校验密文发送至管理服务器的过程之前，还包括：

所述认证服务器设定第一循环的生成元，根据所述生成元和认证身份信息确定认证公钥，并分别设定用于确定第一哈希值的第一哈希函数、用于确定第二哈希值的第二哈希函数、用于确定第三哈希值的第三哈希函数、以及用于确定第四哈希值的第四哈希函数；根据所述生成元、第一哈希函数、第二哈希函数、第三哈希函数和第四哈希函数确定认证密钥。

作为一个实施例，所述根据认证服务器的认证密钥和认证公钥生成身份校验密文的过程包括：

根据所述认证密钥识别生成元，从所述认证公钥识别认证身份信息；

根据终端秘密值和所述生成元确定终端公钥字段，根据所述认证身份信息、终端秘密值、生成元和终端公钥字段确定中间加密信息；

根据第三哈希值和生成元的乘积分别得到第一加密参数和第一密文，根据所述第三哈希值和中间加密信息的乘积确定确定第二加密参数；

根据由所述第一加密参数和第二加密参数确定的第四哈希值确定第二密文；根据本地第几次生成身份校验密文、第一密文和第二密文生成身份校验密文。

本实施例可以保证所生成的身份校验密文的准确性。

作为一个实施例，所述根据所述认证身份信息、终端秘密值、生成元和终端公钥字段确定中间加密信息的过程包括：

分别将所述认证身份信息、终端秘密值、生成元和终端公钥字段代入加密公式计算中间加密信息；其中，所述加密公式包括：

Γ＝x+(H(ID,U)+H(ID,i))·P，

式中，Γ表示中间加密信息，x表示终端秘密值，ID表示认证身份信息，U表示终端公钥字段，i表示本地第几次生成身份校验密文，P表示生成元，H(ID,U)表示根据ID和U确定的第一哈希值，H(ID,i)表示根据ID和i确定的第二哈希值。

在其中一个实施例中，所述对所述身份校验密文进行解密，获取身份校验明文和终端检验参数，若由所述身份校验明文和终端检验参数确定的第三哈希值与生成元的乘积等于所述身份校验密文携带的第一密文，则构建校验申请响应信息的过程包括：

识别所述身份校验密文中的终端第几次生成身份校验密文、第一密文和第二密文，根据认证秘密值、次数、第一密文和第二密文分别计算身份校验明文和终端检验参数；

计算所述身份校验明文和终端检验参数对应的第三哈希值，判断所述第三哈希值与生成元的乘积是否等于所述身份校验密文携带的第一密文；

若是，则构建校验申请响应信息。

作为一个实施例，所述根据认证秘密值、次数、第一密文和第二密文分别计算身份校验明文和终端检验参数的过程包括：

分别将认证秘密值、次数、第一密文和第二密文代入明文识别公式计算身份校验明文和终端检验参数；其中，所述明文识别公式包括：

式中，M表示身份校验明文，σ表示终端检验参数，c表示第一密文，c表示第二密文，x认证秘密值，i表示终端第几次生成身份校验密文，H(x·c,i·c)表示根据x·c和i·c确定的第四哈希值，符号·表示相乘，符号表示异或。

本实施例可以保证认证服务器所构建的申请响应信息的准确性，进一步提高了终端匹配过程的安全性能。

一种终端匹配系统，包括设于终端的生成模块，设于认证服务器的解密模块，设于管理服务器的构建模块以及设于管理服务器的匹配模块：

所述生成模块用于根据认证服务器的认证密钥和认证公钥生成身份校验密文，将所述身份校验密文发送至管理服务器；其中，所述管理服务器将所述身份校验密文发送至认证服务器；

所述解密模块用于对所述身份校验密文进行解密，获取身份校验明文和终端检验参数，若由所述身份校验明文和终端检验参数确定的第三哈希值与生成元的乘积等于所述身份校验密文携带的第一密文，则构建校验申请响应信息，并将所述校验申请响应信息发送至管理服务器；

所述构建模块用于识别所述校验申请响应信息中的终端身份信息，若识别到的终端身份信息与预存的终端身份信息一致，则构建为接入请求响应信息，将所述接入请求响应信息发送至终端；

所述匹配模块用于在接收所述终端根据接入请求响应信息反馈的匹配确认信息后进行终端匹配。

上述终端匹配系统中，生成模块可以根据认证服务器的认证密钥和认证公钥生成身份校验密文，使认证服务器的解密模块可以对所述身份校验密文进行解密，获取身份校验明文和终端检验参数，依据上述身份校验明文和终端检验参数构建校验申请响应信息，并将所述校验申请响应信息发送至管理服务器，这样管理服务器的构建模块可以识别所述校验申请响应信息中的终端身份信息，若识别到的终端身份信息与预存的终端身份信息一致，则构建为接入请求响应信息，将所述接入请求响应信息发送至终端，匹配模块在接收所述终端根据接入请求响应信息反馈的匹配确认信息后进行终端匹配，在完成上述终端匹配的过程中，需要分别在终端、认证服务器和管理服务器上进行身份确认和校验，具有较高的安全性。

一种计算机设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述任一实施例提供的终端匹配方法。

一种计算机存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现上述任一实施例提供的终端匹配方法。

根据本发明的终端匹配方法，本发明还提供一种计算机设备和计算机存储介质，用于通过程序实现上述终端匹配方法。上述计算机设备和计算机存储介质能够有效提高终端匹配过程中的安全性。

图1为一个实施例的终端匹配方法流程图；

图2为一个实施例的终端、管理服务器和认证服务器连接示意图；

图3为一个实施例的终端匹配系统结构示意图。

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

需要说明的是，本发明实施例所涉及的术语“第一\第二\第三”仅仅是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换，以使这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。

本发明实施例的术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、系统、产品或设备没有限定于已列出的步骤或模块，而是可选地还包括没有列出的步骤或模块，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或模块。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

在本文中提及的“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

参考图1所示，图1为一个实施例的终端匹配方法流程图，包括：

S10，终端根据认证服务器的认证密钥和认证公钥生成身份校验密文，将所述身份校验密文发送至管理服务器；其中，所述管理服务器将所述身份校验密文发送至认证服务器；

上述终端(REQ)可以为可穿戴智能设备(如智能手环)等智能终端，通常可以集成设置多个传感设备，设于三元对等架构的感知层；认证服务器(AS)可以包括智能处理设备，设于三元对等架构的应用层；管理服务器(NSP)可以为智能管理设备，设于三元对等架构的网络层(网络管理平台)。上述终端、认证服务器、管理服务器之间的连接关系可以参考图2所示，终端和管理服务器之间可以相互通信，管理服务器和认证服务器之间可以相互通信。

上述认证服务器可以先进行初始化，设定第一循环，第一循环的生成元，第一哈希函数，第二哈希函数，第三哈希函数和第四哈希函数等，以生成其认证密钥和认证公钥，将上述认证密钥和认证公钥发送至管理服务器。

S20，所述认证服务器对所述身份校验密文进行解密，获取身份校验明文和终端检验参数，若由所述身份校验明文和终端检验参数确定的第三哈希值与生成元的乘积等于所述身份校验密文携带的第一密文，则构建校验申请响应信息，并将所述校验申请响应信息发送至管理服务器；

上述认证服务器可以通过明文识别公式等解密公式对述身份校验密文进行解密，得到终端对应的身份校验明文和终端检验参数，再根据上述身份校验明文和终端检验参数的计算，若由所述身份校验明文和终端检验参数确定的第三哈希值与生成元的乘积等于所述身份校验密文携带的第一密文，则构建校验申请响应信息，继续进行终端匹配；若由所述身份校验明文和终端检验参数确定的第三哈希值与生成元的乘积不等于所述身份校验密文携带的第一密文，判定密钥无法配对，即相应的终端匹配失败，并结束校验。

S30，所述管理服务器识别所述校验申请响应信息中的终端身份信息(终端的身份信息)，若识别到的终端身份信息与预存的终端身份信息一致，则构建为接入请求响应信息，将所述接入请求响应信息发送至终端，并在接收所述终端根据接入请求响应信息反馈的匹配确认信息后进行终端匹配。

上述步骤中，若识别到的终端身份信息与预存的终端身份信息不一致，则表明当前通信不安全，可以判定当前传感器校验失败，终止匹配工作，以保证安全性。

具体地，终端接收接入请求响应信息后，可以识别所述接入请求响应信息中的管理身份信息(管理服务器的身份信息)，若识别到的管理身份信息与预存的管理身份信息一致，可以向所述管理服务器反馈匹配确认信息，若识别到的管理身份信息与预存的管理身份信息不一致，则判定当前通信不安全，终止终端的校验工作。

本实施例提供的终端匹配方法中，终端可以根据认证服务器的认证密钥和认证公钥生成身份校验密文，使认证服务器可以对所述身份校验密文进行解密，获取身份校验明文和终端检验参数，依据上述身份校验明文和终端检验参数构建校验申请响应信息，并将所述校验申请响应信息发送至管理服务器，使管理服务器可以识别所述校验申请响应信息中的终端身份信息，若识别到的终端身份信息与预存的终端身份信息一致，则构建为接入请求响应信息，将所述接入请求响应信息发送至终端，并在接收所述终端根据接入请求响应信息反馈的匹配确认信息后进行终端匹配，在完成上述终端匹配的过程中，需要分别在终端、认证服务器和管理服务器上进行身份确认和校验，具有较高的安全性。

在一个实施例中，所述终端接收所述接入请求响应信息，识别所述接入请求响应信息中的管理身份信息，若识别到的管理身份信息与预存的管理身份信息一致，则向所述管理服务器反馈匹配确认信息。

上述终端接收所述接入请求响应信息，可以对上述接入请求响应信息进行解密，识别其中的校验结果信息{N,RES,NSP,I,I}，其中上述N表示终端生成的随机实数，RES表示认证服务器对管理服务器的身份校验结果，可以将其发送至终端，终端根据上述RES判断管理服务器的身份是否安全，NSP表示管理服务器对认证服务器的身份校验结果，可以由管理服务器向终端发送，I表示AS和REQ之间的身份校验参数，I表示NSP和REQ之间的身份校验参数，上述身份校验参数可以包括节点身份信息和数字签名，根据RES判定NSP的管理身份信息，具体可以通过其中的随机数是否准确，相应的身份信息是否与预存信息一致，以判定当前通信是否安全。

本实施例中，终端可以识别所述接入请求响应信息中的管理身份信息，进行相应的身份校验，在身份校验成功后才向管理服务器反馈匹配确认信息，进一步提高了匹配过程中的安全性。

在一个实施例中，所述终端根据认证服务器的认证密钥和认证公钥生成身份校验密文，将所述身份校验密文发送至管理服务器的过程之前，还包括：

所述认证服务器将认证密钥和认证公钥发送至管理服务器；所述管理服务器在接入终端时，将所述认证密钥和认证公钥发送至终端。

认证服务器在可以依据其初始化过程确定的密钥生成规则生成认证密钥，依据公钥生成规则生成认证公钥，以保证发送至管理服务器的认证密钥和认证公钥的时效性。

管理服务器接收上述认证密钥和认证公钥后，可以生成自身的管理秘密值x，上述x∈Z，Z表示第二循环，并等待新的终端加入。在接入终端时，管理服务器向终端发送挑战询问分组：{params,PK}，即将认证密钥和认证公钥发送至所接入的终端，使终端一接入便可以进入匹配工作，保证匹配效率。

在一个实施例中，所述终端根据认证服务器的认证密钥和认证公钥生成身份校验密文，将所述身份校验密文发送至管理服务器的过程之前，还可以包括：

所述认证服务器设定第一循环的生成元，根据所述生成元和认证身份信息确定认证公钥，并分别设定用于确定第一哈希值的第一哈希函数、用于确定第二哈希值的第二哈希函数、用于确定第三哈希值的第三哈希函数、以及用于确定第四哈希值的第四哈希函数；根据所述生成元、第一哈希函数、第二哈希函数、第三哈希函数和第四哈希函数确定认证密钥。

具体地，认证服务器可以设定安全参数k,k∈Z，其中Z表示加法，根据上述安全参数k生成两个k位的素数p和q，其中q可以被p-1整除(即q|p-1)；并设定第一循环的生成元P，随机获取以得到认证服务器的公钥参数P＝x·P，根据上述公钥参数和认证身份信息确定认证公钥。

上述第一哈希函数H，第二哈希函数H、第三哈希函数H和第四哈希函数H可以分别为：

其中，l0、l1分别为自然数。

作为一个实施例，认证服务器还可以设定master-key，help-key都为x这些协助密钥参数，并依据如下密钥生成规则生成认证密钥：

params＝(p,q,P,x,H,H,H,H)，

其中，params表示认证密钥。

本实施例中，认证服务器在终端接入之前设定用于确定认证公钥的第一循环个第一循环的生成元，还分别设定用于确定第一哈希值的第一哈希函数、用于确定第二哈希值的第二哈希函数、用于确定第三哈希值的第三哈希函数、以及用于确定第四哈希值的第四哈希函数，实现认证服务器的初始化，可以保证其生成进行终端匹配所需的认证公钥和认证密钥的有序性。

作为一个实施例，所述根据认证服务器的认证密钥和认证公钥生成身份校验密文的过程包括：

根据所述认证密钥识别生成元，从所述认证公钥识别认证身份信息；

根据终端秘密值和所述生成元确定终端公钥字段，根据所述认证身份信息、终端秘密值、生成元和终端公钥字段确定中间加密信息；

根据第三哈希值和生成元的乘积分别得到第一加密参数和第一密文，根据所述第三哈希值和中间加密信息的乘积确定确定第二加密参数；

根据由所述第一加密参数和第二加密参数确定的第四哈希值确定第二密文；根据本地第几次生成身份校验密文、第一密文和第二密文生成身份校验密文。

具体地，上述由所述身份校验明文和终端检验参数确定的第三哈希值r＝H(M,σ)；上述第一加密参数k＝r·P、第一加密参数k＝r·Γ；上述第一密文c＝r·P、第二密文c为第四哈希值与由身份校验明文和终端检验参数所组成的二进制序列的异或结果，即上述身份校验密文C＝(i,c,c)。

本实施例可以保证所生成的身份校验密文的准确性。

作为一个实施例，所述根据所述认证身份信息、终端秘密值、生成元和终端公钥字段确定中间加密信息的过程包括：

分别将所述认证身份信息、终端秘密值、生成元和终端公钥字段代入加密公式计算中间加密信息；其中，所述加密公式包括：

Γ＝x+(H(ID,U)+H(ID,i))·P，

式中，Γ表示中间加密信息，x表示终端秘密值，ID表示认证身份信息(认证服务器的身份信息)，U表示终端公钥字段，i表示本地第几次生成身份校验密文(即终端第几次生成私钥)，P表示生成元，H(ID,U)表示根据ID和U确定的第一哈希值，H(ID,i)表示根据ID和i确定的第二哈希值。

具体地，上述终端(REQ)根据认证服务器的认证密钥和认证公钥生成身份校验密文的过程中，还可以执行如下过程：

REQ识别认证密钥params，根据一个随机数和生成元的乘积计算终端秘密值x∈Z；

REQ根据自身身份信息ID、认证密钥params计算出初始私钥S，随机选择s∈Z(Z表示第三循环)，计算部分公钥P＝s·P，如下运算得到初始私钥S：

S＝s+xH(ID,s·P)+xH(ID,0)；

其中，H(ID,s·P)表示根据ID和s·P确定的第一哈希值，H(ID,0)表示根据ID和0确定的第一哈希值。

REQ根据认证密钥params和秘密值x通过计算终端公钥字段U＝x·P，确定终端公钥PK＝(Ω,U)；

REQ构建接入请求分组{N,PK,I}，其中N表示随机实数，PK表示REQ的公钥(终端公钥)，I为REQ的身份校验参数，I包括节点身份参数和数字签名，并使用PK对身份校验信息进行加密运算，加密运算的过程可以包括:

(1)Γ＝x+(H(ID,U)+H(ID,i))·P，

(2)随机选择计算r＝H(M,σ)，其中M为身份校验明文。

(3)根据下列公式构造第一密文c、第二密文c、第一加密参数k、第一加密参数k：

c＝r·P，k＝r·P，k＝r·Γ

(4)输出身份校验密文C＝(i,c,c)。

在一个实施例中，所述对所述身份校验密文进行解密，获取身份校验明文和终端检验参数，若由所述身份校验明文和终端检验参数确定的第三哈希值与生成元的乘积等于所述身份校验密文携带的第一密文，则构建校验申请响应信息的过程可以包括：

识别所述身份校验密文中的终端第几次生成身份校验密文、第一密文和第二密文，根据认证秘密值、次数、第一密文和第二密文分别计算身份校验明文和终端检验参数；

计算所述身份校验明文和终端检验参数对应的第三哈希值，判断所述第三哈希值与生成元的乘积是否等于所述身份校验密文携带的第一密文，即判断等式H(M,σ)·P＝c是否成立；

若是，则构建校验申请响应信息。

若上述第三哈希值与生成元的乘积不等于所述身份校验密文携带的第一密文，即判断等式H(M,σ)·P＝c不成立，则可以判定密钥无法配对，结束当前校验。

具体地，认证服务器可以构建如下所示的申请响应信息：{(N,RES,I),(N,RES,I)}，其中N表示管理服务器生成的随机实数，RES表示认证服务器对终端的身份检验结果，RES表示认证服务器对管理服务器的身份检验结果，I表示AS和REQ之间的身份校验参数，N表示终端生成的随机实数，I表示AS和NSP之间的身份校验参数；还可以根据响应的发送目标(如管理服务器)使用相应公钥进行加密，并将上述申请响应信息以响应报文的形式发送至管理服务器。

作为一个实施例，所述根据认证秘密值、次数、第一密文和第二密文分别计算身份校验明文和终端检验参数的过程包括：

分别将认证秘密值、次数、第一密文和第二密文代入明文识别公式计算身份校验明文和终端检验参数；其中，所述明文识别公式包括：

式中，M表示身份校验明文，σ表示终端检验参数，c表示第一密文，c表示第二密文，x认证秘密值，i表示终端第几次生成身份校验密文(第i次生成身份校验密文或私钥)，H(x·c,i·c)表示根据x·c和i·c确定的第四哈希值，符号·表示相乘，符号表示异或。

本实施例可以保证认证服务器所构建的申请响应信息的准确性，进一步提高了终端匹配过程的安全性能。

参考图3，图3所示为一个实施例的终端匹配系统结构示意图，包括设于终端的生成模块10，设于认证服务器的解密模块20，设于管理服务器的构建模块31以及设于管理服务器的匹配模块32：

所述生成模块10用于根据认证服务器的认证密钥和认证公钥生成身份校验密文，将所述身份校验密文发送至管理服务器；其中，所述管理服务器将所述身份校验密文发送至认证服务器；

所述解密模块20用于对所述身份校验密文进行解密，获取身份校验明文和终端检验参数，若由所述身份校验明文和终端检验参数确定的第三哈希值与生成元的乘积等于所述身份校验密文携带的第一密文，则构建校验申请响应信息，并将所述校验申请响应信息发送至管理服务器；

所述构建模块31用于识别所述校验申请响应信息中的终端身份信息，若识别到的终端身份信息与预存的终端身份信息一致，则构建为接入请求响应信息，将所述接入请求响应信息发送至终端；

所述匹配模块32用于在接收所述终端根据接入请求响应信息反馈的匹配确认信息后进行终端匹配。

在一个实施例中，所述终端匹配系统还包括设于终端的反馈模块：

所述反馈模块用于接收所述接入请求响应信息，识别所述接入请求响应信息中的管理身份信息，若识别到的管理身份信息与预存的管理身份信息一致，则向所述管理服务器反馈匹配确认信息。

在一个实施例中，所述终端匹配系统还包括设于认证服务器的的第一发送模块和设于管理服务器的第二发送模块：

所述第一发送模块用于将认证密钥和认证公钥发送至管理服务器；

所述第二发送模块用于在管理服务器在接入终端时，将所述认证密钥和认证公钥发送至终端。

在一个实施例中，所述终端匹配系统还包括设于认证服务器的的确定模块：

所述确定模块用于设定第一循环的生成元，根据所述生成元和认证身份信息确定认证公钥，并分别设定用于确定第一哈希值的第一哈希函数、用于确定第二哈希值的第二哈希函数、用于确定第三哈希值的第三哈希函数、以及用于确定第四哈希值的第四哈希函数；根据所述生成元、第一哈希函数、第二哈希函数、第三哈希函数和第四哈希函数确定认证密钥。

作为一个实施例，所述生成模块进一步用于：

根据所述认证密钥识别生成元，从所述认证公钥识别认证身份信息；

根据终端秘密值和所述生成元确定终端公钥字段，根据所述认证身份信息、终端秘密值、生成元和终端公钥字段确定中间加密信息；

根据第三哈希值和生成元的乘积分别得到第一加密参数和第一密文，根据所述第三哈希值和中间加密信息的乘积确定确定第二加密参数；

根据由所述第一加密参数和第二加密参数确定的第四哈希值确定第二密文；根据本地第几次生成身份校验密文、第一密文和第二密文生成身份校验密文。

作为一个实施例，所述生成模块进一步用于：

分别将所述认证身份信息、终端秘密值、生成元和终端公钥字段代入加密公式计算中间加密信息；其中，所述加密公式包括：

Γ＝x+(H(ID,U)+H(ID,i))·P，

式中，Γ表示中间加密信息，x表示终端秘密值，ID表示认证身份信息，U表示终端公钥字段，i表示本地第几次生成身份校验密文，P表示生成元，H(ID,U)表示根据ID和U确定的第一哈希值，H(ID,i)表示根据ID和i确定的第二哈希值。

在一个实施例中，所述解密模块进一步用于：

识别所述身份校验密文中的终端第几次生成身份校验密文、第一密文和第二密文，根据认证秘密值、次数、第一密文和第二密文分别计算身份校验明文和终端检验参数；

计算所述身份校验明文和终端检验参数对应的第三哈希值，判断所述第三哈希值与生成元的乘积是否等于所述身份校验密文携带的第一密文；

若是，则构建校验申请响应信息。

作为一个实施例，所述解密模块进一步用于：

分别将认证秘密值、次数、第一密文和第二密文代入明文识别公式计算身份校验明文和终端检验参数；其中，所述明文识别公式包括：

式中，M表示身份校验明文，σ表示终端检验参数，c表示第一密文，c表示第二密文，x认证秘密值，i表示终端第几次生成身份校验密文，H(x·c,i·c)表示根据x·c和i·c确定的第四哈希值，符号·表示相乘，符号表示异或。

本发明的终端匹配系统与本发明的终端匹配方法一一对应，在上述终端匹配方法的实施例阐述的技术特征及其有益效果均适用于终端匹配系统的实施例中。

基于如上所述的示例，在一个实施例中还提供一种计算机设备，该计算机设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行所述程序时实现如上述各实施例中的任意一种终端匹配方法。

上述计算机设备，通过所述处理器上运行的计算机程序，实现了物联网三元对等架构中的终端匹配，具有较高的安全性。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性的计算机可读取存储介质中，如本发明实施例中，该程序可存储于计算机系统的存储介质中，并被该计算机系统中的至少一个处理器执行，以实现包括如上述终端匹配方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

据此，在一个实施例中还提供一种计算机存储介质，其上存储有计算机程序，其中，该程序被处理器执行时实现如上述各实施例中的任意一种终端匹配方法。

上述计算机存储介质，通过其存储的计算机程序，能够更加安全地进行认证服务器对应的终端匹配。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。