一種基于物聯(lián)網(wǎng)設(shè)備認(rèn)證方法���、裝置和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于物聯(lián)網(wǎng)設(shè)備認(rèn)證方法、裝置和系統(tǒng)��,涉及物聯(lián)網(wǎng)終端與服務(wù)器的認(rèn)證領(lǐng)域�����。為了既能保證物聯(lián)網(wǎng)體系的安全性�����,又能夠保證認(rèn)證的有效性,遠(yuǎn)程管理平臺(tái)當(dāng)接收到物聯(lián)網(wǎng)設(shè)備的雙向認(rèn)證請(qǐng)求后����,生成第一信息;并向鑒權(quán)中心發(fā)送物聯(lián)網(wǎng)設(shè)備信息和生成的第一信息����;所述鑒權(quán)中心根據(jù)所述物聯(lián)網(wǎng)設(shè)備信息查找與所述物聯(lián)網(wǎng)設(shè)備對(duì)應(yīng)的根密鑰信息K,并根據(jù)所述根密鑰信息K和第一信息生成雙向認(rèn)證信息返回給所述遠(yuǎn)程管理平臺(tái)�;所述遠(yuǎn)程管理平臺(tái)根據(jù)所述雙向認(rèn)證信息與所述物聯(lián)網(wǎng)設(shè)備完成雙向認(rèn)證。本發(fā)明提供的方法和系統(tǒng)能夠確保只有合法的物聯(lián)網(wǎng)設(shè)備接入管理平臺(tái)�,避免因非法設(shè)備接入,同時(shí)保證用戶物聯(lián)網(wǎng)設(shè)備合法權(quán)益不受到損失�����。
【專利說(shuō)明】—種基于物聯(lián)網(wǎng)設(shè)備認(rèn)證方法�、裝置和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及物聯(lián)網(wǎng)終端與服務(wù)器的認(rèn)證領(lǐng)域。
【背景技術(shù)】
[0002]物聯(lián)網(wǎng)被稱為繼計(jì)算機(jī)��、互聯(lián)網(wǎng)之后����,世界信息產(chǎn)業(yè)的第三次浪潮,代表了下一代信息技術(shù)發(fā)展方向�����,美國(guó)���、歐盟�����、中國(guó)等國(guó)紛紛出臺(tái)物聯(lián)網(wǎng)發(fā)展規(guī)劃����,進(jìn)行相關(guān)技術(shù)和產(chǎn)業(yè)前瞻布局����。
[0003]隨著物聯(lián)網(wǎng)技術(shù)的普及,越來(lái)越多傳統(tǒng)商品如汽車��、智能表具�����、消費(fèi)類電子�、監(jiān)控設(shè)備等被嵌入傳感器和通信模塊,成為物聯(lián)網(wǎng)設(shè)備�。這些物聯(lián)網(wǎng)設(shè)備的工作環(huán)境(如無(wú)人值守��、高溫���、濕度大、頻繁振動(dòng)和晃動(dòng)等)比傳統(tǒng)移動(dòng)終端更加復(fù)雜和惡劣����。這些物聯(lián)網(wǎng)設(shè)備通常使用運(yùn)營(yíng)商的移動(dòng)網(wǎng)絡(luò),與物聯(lián)網(wǎng)遠(yuǎn)程管理平臺(tái)進(jìn)行通信����,完成特定的任務(wù)。
[0004]為了保證物聯(lián)網(wǎng)系統(tǒng)安全可靠地運(yùn)行����,有兩個(gè)問題需要考慮,一是非法物聯(lián)網(wǎng)設(shè)備接入物聯(lián)網(wǎng)系統(tǒng)����,進(jìn)而攻擊運(yùn)營(yíng)商網(wǎng)絡(luò);二是攻擊者偽造的遠(yuǎn)程管理平臺(tái)��,發(fā)送指令��,攻擊或控制物聯(lián)網(wǎng)設(shè)備。
[0005]在實(shí)體的真實(shí)身份與其所聲稱的身份不符時(shí)��,即可認(rèn)為是非法物聯(lián)網(wǎng)設(shè)備���。比如設(shè)備A偽造了虛假的身份(即虛假的ID號(hào),軟件以及硬件信息等)�����,如果遠(yuǎn)程管理平臺(tái)不對(duì)設(shè)備A進(jìn)行認(rèn)證����,而是任由設(shè)備A直接接入管理平臺(tái),則設(shè)備A可以上傳虛假業(yè)務(wù)信息給遠(yuǎn)程管理平臺(tái)����,從而影響遠(yuǎn)程管理平臺(tái)的功能。而且����,設(shè)備A還可以與遠(yuǎn)程管理平臺(tái)管轄下的其他設(shè)備進(jìn)行通信,比如向這些設(shè)備推送虛假消息�����,發(fā)送惡意程序等以欺騙或者損壞該些設(shè)備�。
[0006]比如不法分子偽造虛假管理平臺(tái)誘使設(shè)備B接入��,如果設(shè)備B不對(duì)該偽造的虛假管理平臺(tái)進(jìn)行認(rèn)證��,而是通過不法分子提供的接入方式直接接入到該虛假管理平臺(tái)�,則不法分子就可以通過該虛假管理平臺(tái)來(lái)控制設(shè)備B的操作�,進(jìn)而獲得設(shè)備B的所有信息以用于不法目的。因此����,上述問題均會(huì)影響業(yè)務(wù)的正常運(yùn)營(yíng)。解決辦法為物聯(lián)網(wǎng)設(shè)備接入物聯(lián)網(wǎng)系統(tǒng)前��,首先與遠(yuǎn)程管理平臺(tái)進(jìn)行雙向認(rèn)證��。
[0007]但是�����,物聯(lián)網(wǎng)設(shè)備如何與應(yīng)用服務(wù)器或管理平臺(tái)認(rèn)證��,目前并無(wú)標(biāo)準(zhǔn)協(xié)議����,一些物聯(lián)網(wǎng)應(yīng)用,使用共享秘密機(jī)制對(duì)設(shè)備進(jìn)行單向認(rèn)證,這種方案通常假設(shè)認(rèn)證雙方中有一方是可信的�����,即服務(wù)器側(cè)被認(rèn)為是可信的���,僅驗(yàn)證設(shè)備身份��,并不驗(yàn)證服務(wù)器身份�����,而且可以在服務(wù)器上預(yù)先存儲(chǔ)設(shè)備的密鑰或私密信息以供后續(xù)驗(yàn)證。這種認(rèn)證方式無(wú)法適用于第三方建設(shè)遠(yuǎn)程管理平臺(tái)的認(rèn)證��,因?yàn)檫@種情形下平臺(tái)與物聯(lián)網(wǎng)設(shè)備均是不可信的����,兩個(gè)不可信的實(shí)體之間難以共享秘密信息,因而不適合使用對(duì)稱密鑰機(jī)制進(jìn)行認(rèn)證���。此外�����,雙向認(rèn)證并不是兩個(gè)單向認(rèn)證的疊加����,已有的單向認(rèn)證方案并不能簡(jiǎn)單擴(kuò)展為雙向認(rèn)證應(yīng)用于雙方不可信的場(chǎng)景。
[0008]再者���,如果在遠(yuǎn)程管理平臺(tái)上保存所有物聯(lián)網(wǎng)設(shè)備的密鑰或秘密信息�,當(dāng)物聯(lián)網(wǎng)設(shè)備規(guī)模急劇增加時(shí)���,要保存的信息就會(huì)海量增加�����,維護(hù)難度極大�。而且���,當(dāng)物聯(lián)網(wǎng)設(shè)備由于合作策略變化需要切換遠(yuǎn)程管理平臺(tái)時(shí)�,兩個(gè)遠(yuǎn)程管理平臺(tái)之間還需要交換密鑰或秘密信息�,同樣存在著安全隱患。
[0009]因此��,現(xiàn)有的物聯(lián)網(wǎng)認(rèn)證技術(shù)��,已經(jīng)無(wú)法實(shí)現(xiàn)物聯(lián)網(wǎng)設(shè)備與遠(yuǎn)程管理平臺(tái)間互相驗(yàn)證對(duì)方的合法性的需求,以保證物聯(lián)網(wǎng)體系的安全性�����。
【發(fā)明內(nèi)容】
[0010]本發(fā)明所要解決的技術(shù)問題是為了即能保證物聯(lián)網(wǎng)體系的安全性��,又能夠保證認(rèn)證的有效性��,提出一種物聯(lián)網(wǎng)設(shè)備認(rèn)證方法�、裝置和系統(tǒng)。
[0011]為了解決上述技術(shù)問題�����,本發(fā)明提供一種物聯(lián)網(wǎng)設(shè)備認(rèn)證方法��,包括:
[0012]遠(yuǎn)程管理平臺(tái)當(dāng)接收到物聯(lián)網(wǎng)設(shè)備的雙向認(rèn)證請(qǐng)求后�����,生成第一信息����;并向鑒權(quán)中心發(fā)送物聯(lián)網(wǎng)設(shè)備信息和生成的第一信息���;
[0013]所述鑒權(quán)中心根據(jù)所述物聯(lián)網(wǎng)設(shè)備信息查找與所述物聯(lián)網(wǎng)設(shè)備對(duì)應(yīng)的根密鑰信息K���,并根據(jù)所述根密鑰信息K和第一信息生成雙向認(rèn)證信息返回給所述遠(yuǎn)程管理平臺(tái)����;
[0014]所述遠(yuǎn)程管理平臺(tái)根據(jù)所述雙向認(rèn)證信息與所述物聯(lián)網(wǎng)設(shè)備完成雙向認(rèn)證�。
[0015]進(jìn)一步地,所述鑒權(quán)中心根據(jù)所述物聯(lián)網(wǎng)設(shè)備信息查找與所述物聯(lián)網(wǎng)設(shè)備對(duì)應(yīng)的根密鑰信息K ;在無(wú)法查找到時(shí)���,
[0016]向所述遠(yuǎn)程管理平臺(tái)反饋查詢失敗消息或者認(rèn)證失敗消息���。
[0017]進(jìn)一步地,所述遠(yuǎn)程管理平臺(tái)生成的第一信息為隨機(jī)數(shù)R ��;
[0018]所述鑒權(quán)中心根據(jù)所述根密鑰信息K和第一信息生成雙向認(rèn)證信息的步驟包括:所述鑒權(quán)中心根據(jù)所述根密鑰信息K和隨機(jī)數(shù)R生成雙向認(rèn)證中參與運(yùn)算的密鑰K’�����,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果分別使用第一算法和第二算法得出雙向認(rèn)證信息���,該雙向認(rèn)證信息包括第一認(rèn)證信息Al和第二認(rèn)證信息A2�����。
[0019]進(jìn)一步地����,所述遠(yuǎn)程管理平臺(tái)根據(jù)所述雙向認(rèn)證信息與物聯(lián)網(wǎng)設(shè)備完成雙向認(rèn)證的步驟包括:
[0020]( I)所述遠(yuǎn)程管理平臺(tái)將所述第一信息和第二認(rèn)證信息A2發(fā)送給所述物聯(lián)網(wǎng)設(shè)備;
[0021](2)所述物聯(lián)網(wǎng)設(shè)備根據(jù)所述第一信息和根密鑰信息K生成雙向認(rèn)證中參與運(yùn)算的密鑰K’,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果�����,按照與所述鑒權(quán)中心一致的第一算法和第二算法分別計(jì)算得到第三認(rèn)證信息Al’和第四認(rèn)證信息A2’��,并將所述第三認(rèn)證信息Al’發(fā)送給遠(yuǎn)程管理平臺(tái)�,同時(shí),所述物聯(lián)網(wǎng)設(shè)備比較第四認(rèn)證信息A2’與接收到的遠(yuǎn)程管理平臺(tái)發(fā)送的所述第二認(rèn)證信息A2是否一致��,如果一致則驗(yàn)證遠(yuǎn)程管理平臺(tái)身份�;否則不通過對(duì)所述遠(yuǎn)程管理平臺(tái)的認(rèn)證;
[0022](3)所述遠(yuǎn)程管理平臺(tái)比較接收到的第三認(rèn)證信息Al’與第一認(rèn)證信息Al是否一致���,如果一致則驗(yàn)證物聯(lián)網(wǎng)設(shè)備身份;否則不通過對(duì)所述物聯(lián)網(wǎng)設(shè)備的認(rèn)證����;。
[0023]進(jìn)一步地��,物聯(lián)網(wǎng)設(shè)備發(fā)送雙向認(rèn)證請(qǐng)求之前還包括:
[0024]所述物聯(lián)網(wǎng)設(shè)備預(yù)先將設(shè)備標(biāo)識(shí)號(hào)和國(guó)際移動(dòng)用戶識(shí)別碼IMSI提交給所述遠(yuǎn)程管理平臺(tái);所述遠(yuǎn)程管理平臺(tái)將設(shè)備標(biāo)識(shí)號(hào)�����、IMSI和對(duì)應(yīng)的鑒權(quán)中心地址信息存儲(chǔ)于維護(hù)的設(shè)備信息表中����。
[0025]進(jìn)一步地,所述物聯(lián)網(wǎng)設(shè)備向所述遠(yuǎn)程管理平臺(tái)發(fā)送雙向認(rèn)證請(qǐng)求時(shí)��,將所述設(shè)備標(biāo)識(shí)號(hào)發(fā)送給所述遠(yuǎn)程管理平臺(tái)�����,所述遠(yuǎn)程管理平臺(tái)根據(jù)所述設(shè)備標(biāo)示號(hào)從設(shè)備信息表中查找到所述設(shè)備標(biāo)識(shí)號(hào)對(duì)應(yīng)的頂SI及鑒權(quán)中心地址�����。
[0026]進(jìn)一步地�����,當(dāng)前遠(yuǎn)程管理平臺(tái)Pl收到物聯(lián)網(wǎng)設(shè)備的切換遠(yuǎn)程管理平臺(tái)請(qǐng)求����,請(qǐng)求中包含目標(biāo)遠(yuǎn)程管理平臺(tái)P2的信息�����,如果Pl與P2可通信����,則Pl與P2之間建立安全隧道����,Pl將此物聯(lián)網(wǎng)設(shè)備標(biāo)識(shí)和共享密鑰K通過安全隧道發(fā)送給P2后,Pl刪除設(shè)備標(biāo)識(shí)和共享密鑰K對(duì)應(yīng)的記錄�����;P1將成功切換消息及P2地址通知所述物聯(lián)網(wǎng)設(shè)備�,所述物聯(lián)網(wǎng)設(shè)備用P2地址替換Pl地址。
[0027]為了解決上述技術(shù)問題����,本發(fā)明還提供一種物聯(lián)網(wǎng)設(shè)備,所述物聯(lián)網(wǎng)設(shè)備�����,用于向遠(yuǎn)程管理平臺(tái)發(fā)送雙向認(rèn)證請(qǐng)求�,并接收遠(yuǎn)程管理平臺(tái)返回雙向認(rèn)證信息;還用于與所述遠(yuǎn)程管理平臺(tái)根據(jù)所述雙向認(rèn)證信息完成雙向認(rèn)證���。
[0028]可選地��,所述物聯(lián)網(wǎng)設(shè)備與所述遠(yuǎn)程管理平臺(tái)根據(jù)所述雙向認(rèn)證信息完成雙向認(rèn)證的步驟包括:
[0029]所述物聯(lián)網(wǎng)設(shè)備接收遠(yuǎn)程管理平臺(tái)返回的第一信息和第二認(rèn)證信息A2 �����;
[0030]所述物聯(lián)網(wǎng)設(shè)備根據(jù)所述第一信息和根密鑰信息K生成雙向認(rèn)證中參與運(yùn)算的密鑰K’�����,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果按照預(yù)定的第一算法和第二算法計(jì)算得到第三認(rèn)證信息Al’和第四認(rèn)證信息A2’��,并將所述第三認(rèn)證信息Al’發(fā)送給遠(yuǎn)程管理平臺(tái)�,同時(shí)�,所述物聯(lián)網(wǎng)設(shè)備比較第四認(rèn)證信息A2’與接收到的遠(yuǎn)程管理平臺(tái)發(fā)送的所述第二認(rèn)證信息A2是否一致,如果一致則驗(yàn)證遠(yuǎn)程管理平臺(tái)身份�。
[0031]為了解決上述技術(shù)問題,本發(fā)明還提供一種遠(yuǎn)程管理平臺(tái)����,所述遠(yuǎn)程管理平臺(tái),用于當(dāng)接收到物聯(lián)網(wǎng)設(shè)備的雙向認(rèn)證請(qǐng)求后,生成第一信息����;并向鑒權(quán)中心發(fā)送物聯(lián)網(wǎng)設(shè)備信息和生成的第一信息;還用于接收鑒權(quán)中心返回的雙向認(rèn)證信息����,并根據(jù)所述雙向認(rèn)證信息與所述物聯(lián)網(wǎng)設(shè)備完成雙向認(rèn)證。
[0032]可選地��,所述遠(yuǎn)程管理平臺(tái)生成的第一信息為隨機(jī)數(shù)R ���;
[0033]所述遠(yuǎn)程管理平臺(tái)根據(jù)所述雙向認(rèn)證信息與所述物聯(lián)網(wǎng)設(shè)備完成雙向認(rèn)證的步驟包括:
[0034]所述遠(yuǎn)程管理平臺(tái)將所述第一信息和第二認(rèn)證信息A2發(fā)送給所述物聯(lián)網(wǎng)設(shè)備�����;
[0035]所述遠(yuǎn)程管理平臺(tái)比較接收到的第三認(rèn)證信息Al ’與第一認(rèn)證信息Al是否一致��,如果一致則驗(yàn)證物聯(lián)網(wǎng)設(shè)備身份�����;
[0036]第一認(rèn)證信息Al和第二認(rèn)證信息A2是所述鑒權(quán)中心根據(jù)所述第一信息和根密鑰信息K�,生成雙向認(rèn)證中參與運(yùn)算的密鑰K’��,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果按照預(yù)定的第一算法和第二算法計(jì)算得到的,所述第三認(rèn)證信息Al’為所述物聯(lián)網(wǎng)設(shè)備根據(jù)所述第一信息和根密鑰信息K��,生成雙向認(rèn)證中參與運(yùn)算的密鑰K’�,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果按照與所述鑒權(quán)中心一致的第一算法得到的��。
[0037]為了解決上述技術(shù)問題�����,本發(fā)明還提供一種鑒權(quán)中心����,所述鑒權(quán)中心,用于接收遠(yuǎn)程管理平臺(tái)發(fā)送的物聯(lián)網(wǎng)設(shè)備信息和第一信息���;根據(jù)所述物聯(lián)網(wǎng)設(shè)備信息查找與所述物聯(lián)網(wǎng)設(shè)備對(duì)應(yīng)的根密鑰信息K����,在查找到時(shí)���,根據(jù)所述根密鑰信息K和第一信息生成雙向認(rèn)證信息返回給所述遠(yuǎn)程管理平臺(tái)����;在無(wú)法查找到時(shí),向所述遠(yuǎn)程管理平臺(tái)反饋查詢失敗消息或者認(rèn)證失敗消息��。
[0038]可選地�,所述鑒權(quán)中心接收到的所述遠(yuǎn)程管理平臺(tái)發(fā)送的第一信息為隨機(jī)數(shù)R ;
[0039]所述鑒權(quán)中心根據(jù)所述根密鑰信息K和隨機(jī)數(shù)R生成雙向認(rèn)證中參與運(yùn)算的密鑰K’���,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果分別使用第一算法和第二算法得出雙向認(rèn)證信息�����,該雙向認(rèn)證信息包括第一認(rèn)證信息Al和第二認(rèn)證信息A2��。
[0040]為了解決上述技術(shù)問題���,本發(fā)明還提供一種物聯(lián)網(wǎng)設(shè)備認(rèn)證系統(tǒng),包括上述物聯(lián)網(wǎng)設(shè)備��、遠(yuǎn)程管理平臺(tái)和鑒權(quán)中心�����。
[0041]本發(fā)明提供的方法和系統(tǒng)能夠保證物聯(lián)網(wǎng)設(shè)備和遠(yuǎn)程管理平臺(tái)能夠在一個(gè)安全可信的環(huán)境下工作����,確保只有合法的物聯(lián)網(wǎng)設(shè)備接入管理平臺(tái)�����,避免因非法設(shè)備接入影響業(yè)務(wù)正常運(yùn)營(yíng)�,同時(shí)保證用戶物聯(lián)網(wǎng)設(shè)備合法權(quán)益不受到損失���。
【專利附圖】
【附圖說(shuō)明】
[0042]圖I為本發(fā)明實(shí)施例的一種物聯(lián)網(wǎng)設(shè)備認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖;
[0043]圖2為本發(fā)明實(shí)施例的一種物聯(lián)網(wǎng)設(shè)備認(rèn)證方法的流程圖�����。
【具體實(shí)施方式】
[0044]為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白���,下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說(shuō)明����。需要說(shuō)明的是����,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合��。
[0045]本發(fā)明針對(duì)使用運(yùn)營(yíng)商的移動(dòng)網(wǎng)絡(luò),與物聯(lián)網(wǎng)管理平臺(tái)進(jìn)行通信的物聯(lián)網(wǎng)設(shè)備�����。本發(fā)明目的是設(shè)計(jì)一種有效地物聯(lián)網(wǎng)設(shè)備與管理平臺(tái)間認(rèn)證方案��,以保持當(dāng)前物聯(lián)網(wǎng)業(yè)務(wù)的連續(xù)性��,從而避免或減少用戶的經(jīng)濟(jì)損失��。確保只有合法的物聯(lián)網(wǎng)設(shè)備接入管理平臺(tái)��,避免因非法設(shè)備接入影響業(yè)務(wù)正常運(yùn)營(yíng)���,同時(shí)保證用戶物聯(lián)網(wǎng)設(shè)備合法權(quán)益不受到損失�。
[0046]結(jié)合圖I說(shuō)明本發(fā)明實(shí)施例的基于物聯(lián)網(wǎng)設(shè)備認(rèn)證方法��、裝置和系統(tǒng)���,本發(fā)明實(shí)施例的認(rèn)證方法��,包括:
[0047]遠(yuǎn)程管理平臺(tái)當(dāng)接收到物聯(lián)網(wǎng)設(shè)備的雙向認(rèn)證請(qǐng)求后����,生成第一信息;并向鑒權(quán)中心發(fā)送物聯(lián)網(wǎng)設(shè)備信息和生成的第一信息���;所述鑒權(quán)中心根據(jù)所述物聯(lián)網(wǎng)設(shè)備信息查找與所述物聯(lián)網(wǎng)設(shè)備對(duì)應(yīng)的根密鑰信息K����,在查找到時(shí)���,根據(jù)所述根密鑰信息K和第一信息生成雙向認(rèn)證信息返回給所述遠(yuǎn)程管理平臺(tái)���;在無(wú)法查找到時(shí)�����,向所述遠(yuǎn)程管理平臺(tái)反饋查詢失敗消息或者認(rèn)證失敗消息����;所述遠(yuǎn)程管理平臺(tái)根據(jù)所述查詢失敗消息或者認(rèn)證失敗消息不通過對(duì)所述物聯(lián)網(wǎng)設(shè)備的認(rèn)證;或者根據(jù)所述雙向認(rèn)證信息與所述物聯(lián)網(wǎng)設(shè)備完成雙向認(rèn)證�。
[0048]其中,所述遠(yuǎn)程管理平臺(tái)生成的第一信息為隨機(jī)數(shù)R ����;
[0049]在沒有查找到時(shí)����,所述鑒權(quán)中心根據(jù)所述查詢失敗消息或者認(rèn)證失敗消息���,遠(yuǎn)程管理平臺(tái)不通過對(duì)所述物聯(lián)網(wǎng)設(shè)備的認(rèn)證��;此時(shí)可認(rèn)定該物聯(lián)網(wǎng)設(shè)備為非法設(shè)備�。
[0050]在查找到時(shí)�,
[0051]所述鑒權(quán)中心根據(jù)所述根密鑰信息K和第一信息生成雙向認(rèn)證信息的步驟包括:
[0052]所述鑒權(quán)中心根據(jù)所述根密鑰信息K和隨機(jī)數(shù)R生成雙向認(rèn)證中參與運(yùn)算的密鑰K’,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果分別使用第一算法和第二算法得出雙向認(rèn)證信息���,該雙向認(rèn)證信息包括第一認(rèn)證信息Al和第二認(rèn)證信息A2�����。
[0053]其中�,所述遠(yuǎn)程管理平臺(tái)根據(jù)所述雙向認(rèn)證信息與物聯(lián)網(wǎng)設(shè)備完成雙向認(rèn)證的步驟包括:[0054](I)所述遠(yuǎn)程管理平臺(tái)將所述第一信息和第二認(rèn)證信息A2發(fā)送給所述物聯(lián)網(wǎng)設(shè)備;
[0055](2)所述物聯(lián)網(wǎng)設(shè)備根據(jù)所述第一信息和根密鑰信息K����,生成雙向認(rèn)證中參與運(yùn)算的密鑰K’,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果��,按照與所述鑒權(quán)中心一致的第一算法和第二算法分別計(jì)算得到第三認(rèn)證信息Al’和第四認(rèn)證信息A2’�,并將所述第三認(rèn)證信息Al’發(fā)送給遠(yuǎn)程管理平臺(tái)�����,同時(shí)����,所述物聯(lián)網(wǎng)設(shè)備比較第四認(rèn)證信息A2’與接收到的遠(yuǎn)程管理平臺(tái)發(fā)送的所述第二認(rèn)證信息A2是否一致��,如果一致則驗(yàn)證遠(yuǎn)程管理平臺(tái)身份��;
[0056](3)所述遠(yuǎn)程管理平臺(tái)比較接收到的第三認(rèn)證信息Al’與第一認(rèn)證信息Al是否一致�����,如果一致則驗(yàn)證物聯(lián)網(wǎng)設(shè)備身份�����。
[0057]其中�,物聯(lián)網(wǎng)設(shè)備與遠(yuǎn)程管理平臺(tái)在認(rèn)證過程中生成會(huì)話密鑰�,并使用會(huì)話密鑰對(duì)后續(xù)的通信進(jìn)行加密。
[0058]其中��,在物聯(lián)網(wǎng)設(shè)備與某運(yùn)營(yíng)商簽訂合約后��,所述物聯(lián)網(wǎng)設(shè)備預(yù)先將設(shè)備標(biāo)識(shí)號(hào)和國(guó)際移動(dòng)用戶識(shí)別碼IMSI提交給所述遠(yuǎn)程管理平臺(tái);所述遠(yuǎn)程管理平臺(tái)將設(shè)備標(biāo)識(shí)號(hào)��、IMSI和對(duì)應(yīng)的鑒權(quán)中心地址信息存儲(chǔ)于維護(hù)的設(shè)備信息表中�;所述物聯(lián)網(wǎng)設(shè)備向所述遠(yuǎn)程管理平臺(tái)發(fā)送雙向認(rèn)證請(qǐng)求時(shí),將所述設(shè)備標(biāo)識(shí)號(hào)發(fā)送給所述遠(yuǎn)程管理平臺(tái)�����,所述遠(yuǎn)程管理平臺(tái)根據(jù)所述設(shè)備標(biāo)示號(hào)從設(shè)備信息表中查找到所述設(shè)備標(biāo)識(shí)號(hào)對(duì)應(yīng)的IMSI及鑒權(quán)中心地址��。
[0059]物聯(lián)網(wǎng)設(shè)備的設(shè)備標(biāo)識(shí)號(hào)�、MSI等信息保存在遠(yuǎn)程管理平臺(tái)中,同時(shí)網(wǎng)絡(luò)認(rèn)證物聯(lián)網(wǎng)設(shè)備的過程中引入了用戶簽約信息——根密鑰信息K�����,即上述認(rèn)證過程將物聯(lián)網(wǎng)設(shè)備和運(yùn)營(yíng)商的簽約信息綁定在一起����。如果遠(yuǎn)程管理平臺(tái)判斷出該待檢測(cè)的物聯(lián)網(wǎng)設(shè)備所聲稱的物聯(lián)網(wǎng)設(shè)備信息與遠(yuǎn)程管理平臺(tái)所存儲(chǔ)的信息不符或者沒有存儲(chǔ)在遠(yuǎn)程管理平臺(tái)中,則認(rèn)定該待檢測(cè)的物聯(lián)網(wǎng)設(shè)備為非法設(shè)備����。否則,進(jìn)行進(jìn)一步地認(rèn)定。
[0060]對(duì)于盜用他人簽約信息(如偷SM卡或復(fù)制SM)非法設(shè)備����,遠(yuǎn)程管理平臺(tái)可以根據(jù)設(shè)備標(biāo)識(shí)和MSI的綁定關(guān)系,拒絕非法設(shè)備接入��;對(duì)于發(fā)送偽造MSI和設(shè)備ID號(hào)的非法設(shè)備�,在認(rèn)證過程中可以識(shí)別該設(shè)備是否真正具有其所聲稱的用戶簽約信息。
[0061]實(shí)施例I :設(shè)備A通過注冊(cè)階段與卡P綁定���,當(dāng)將卡P放入設(shè)備B中�,如果B是非法設(shè)備�,未到遠(yuǎn)程管理平臺(tái)注冊(cè)過,在物聯(lián)網(wǎng)管理平臺(tái)維護(hù)的表中查找不到B設(shè)備與P綁定的信息�����,平臺(tái)直接拒絕B的請(qǐng)求�����,并可以進(jìn)一步將B列入黑名單���。
[0062]實(shí)施例2 :設(shè)備B經(jīng)過攻擊者改造,可以任意偽造標(biāo)識(shí)和MSI號(hào),并發(fā)給遠(yuǎn)程管理平臺(tái)��,遠(yuǎn)程管理認(rèn)證物聯(lián)網(wǎng)設(shè)備B的過程����,要比對(duì)B計(jì)算的結(jié)果,因?yàn)锽沒有根密鑰K�,因此無(wú)法通過認(rèn)證,平臺(tái)可以判斷B沒有所聲稱的用戶簽約信息��,設(shè)備B為非法設(shè)備�����。
[0063]實(shí)施例3 :設(shè)備A合法�,認(rèn)證已經(jīng)通過,但是使用者用來(lái)做不合法的事情�����,認(rèn)證后的鑒權(quán)中心可以獲知不法行為是由設(shè)備A及其綁定的卡P發(fā)出�,可以采取進(jìn)一步措施,例如凍結(jié)磁卡或者設(shè)備的功能�,停止業(yè)務(wù)之類的。
[0064]本發(fā)明的認(rèn)證方法���,物聯(lián)網(wǎng)設(shè)備和綁定的用戶簽約信息預(yù)先到遠(yuǎn)程管理平臺(tái)注冊(cè)過�,保證只有合法的遠(yuǎn)程管理平臺(tái)才可以與鑒權(quán)中心相連,獲得K信息���。非法的遠(yuǎn)程管理平臺(tái)無(wú)法與鑒權(quán)中心相連���,無(wú)法獲得K信息,無(wú)法通過物聯(lián)網(wǎng)設(shè)備對(duì)遠(yuǎn)程管理平臺(tái)的認(rèn)證��。
[0065]物聯(lián)網(wǎng)設(shè)備在使用之前���,需要與運(yùn)營(yíng)商簽訂合約�����,物聯(lián)網(wǎng)設(shè)備中的智能卡中事先寫入該運(yùn)營(yíng)商的用戶簽約信息�����,包括K�,IMSI等����,物聯(lián)網(wǎng)設(shè)備通過智能卡中的上述用戶簽約信息可以接入到運(yùn)營(yíng)商的網(wǎng)絡(luò)中,并完成數(shù)據(jù)通信功能�。智能卡中的用戶簽約信息為物聯(lián)網(wǎng)設(shè)備在運(yùn)營(yíng)商網(wǎng)絡(luò)中的身份標(biāo)識(shí),遠(yuǎn)程管理平臺(tái)不存儲(chǔ)密鑰K����,K只在鑒權(quán)中心與物聯(lián)網(wǎng)設(shè)備中。
[0066]本發(fā)明實(shí)施例使用對(duì)稱密鑰的方案,可以保證安全性��、有效性�����、合理性����。
[0067]本發(fā)明的認(rèn)證過程為:
[0068]I)物聯(lián)網(wǎng)事先將物聯(lián)網(wǎng)設(shè)備序列號(hào)及SIM卡對(duì)應(yīng)的IMSI提交給物聯(lián)網(wǎng)遠(yuǎn)程管理平臺(tái),這樣物聯(lián)網(wǎng)遠(yuǎn)程管理平臺(tái)為每個(gè)物聯(lián)網(wǎng)設(shè)備保存此二元組�����。
[0069]2)物聯(lián)網(wǎng)設(shè)備與遠(yuǎn)程管理平臺(tái)通信前��,物聯(lián)網(wǎng)設(shè)備�、遠(yuǎn)程管理平臺(tái)及運(yùn)營(yíng)商完成前兩者的雙向認(rèn)證。
[0070]3)認(rèn)證過程中���,生成隨后通信的會(huì)話加密密鑰����。
[0071]4)物聯(lián)網(wǎng)設(shè)備與遠(yuǎn)程管理平臺(tái)定期進(jìn)行雙向認(rèn)證,并更新會(huì)話密鑰�。
[0072]本方案有如下優(yōu)點(diǎn):
[0073]I、雙向認(rèn)證保證物聯(lián)網(wǎng)與遠(yuǎn)程管理平臺(tái)在安全環(huán)境下通信���,保證物聯(lián)網(wǎng)設(shè)備擁有者�����、運(yùn)營(yíng)商的利益�����。
[0074]2���、本發(fā)明中的雙向認(rèn)證有三方參與,運(yùn)營(yíng)商鑒權(quán)中心和物聯(lián)網(wǎng)設(shè)備進(jìn)行認(rèn)證計(jì)算�,遠(yuǎn)程管理平臺(tái)與物聯(lián)網(wǎng)設(shè)備負(fù)責(zé)認(rèn)證核對(duì),遠(yuǎn)程管理平臺(tái)不需要保存物聯(lián)網(wǎng)設(shè)備相關(guān)的密鑰����,增加了安全性與可擴(kuò)展性�,物聯(lián)網(wǎng)設(shè)備不需要引入額外的用于設(shè)備認(rèn)證的密鑰����,而是重用卡中的密鑰�����,簡(jiǎn)化了物聯(lián)網(wǎng)設(shè)備生產(chǎn)的流程���。
[0075]本發(fā)明實(shí)施例還可以實(shí)現(xiàn)遠(yuǎn)程管理平臺(tái)之間的切換�,當(dāng)前遠(yuǎn)程管理平臺(tái)Pl收到物聯(lián)網(wǎng)設(shè)備的切換遠(yuǎn)程管理平臺(tái)請(qǐng)求����,請(qǐng)求中包含目標(biāo)遠(yuǎn)程管理平臺(tái)P2的信息,如果Pl與P2可通信��,則Pl與P2之間建立安全隧道����,Pl將此物聯(lián)網(wǎng)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的記錄(〈ID, IMSI,運(yùn)營(yíng)商鑒權(quán)中心地址 >)通過安全隧道發(fā)送給P2后,Pl刪除設(shè)備標(biāo)識(shí)對(duì)應(yīng)的記錄��;P1將成功切換消息及P2地址通知所述物聯(lián)網(wǎng)設(shè)備���,所述物聯(lián)網(wǎng)設(shè)備用P2地址替換Pl地址��。
[0076]實(shí)施例
[0077](SI)物聯(lián)網(wǎng)設(shè)備將設(shè)備標(biāo)識(shí)號(hào)和MSI提交給遠(yuǎn)程管理平臺(tái)��。
[0078]物聯(lián)網(wǎng)設(shè)備中的可插拔卡或不可插拔卡中有運(yùn)營(yíng)商簽約信息根密鑰K�����,物聯(lián)網(wǎng)設(shè)備事先將設(shè)備標(biāo)識(shí)號(hào)及卡對(duì)應(yīng)的MSI存入物聯(lián)網(wǎng)遠(yuǎn)程管理平臺(tái)上���。
[0079](S2)遠(yuǎn)程管理平臺(tái)將設(shè)備標(biāo)識(shí)號(hào)�、頂SI和對(duì)應(yīng)的鑒權(quán)中心地址信息存儲(chǔ)于維護(hù)的設(shè)備信息表中����。
[0080]物聯(lián)網(wǎng)遠(yuǎn)程管理平臺(tái)需預(yù)先在本地存儲(chǔ)設(shè)備信息表T,T中保存物聯(lián)網(wǎng)設(shè)備標(biāo)識(shí)號(hào)及卡對(duì)應(yīng)的頂SI����,可以使用以下數(shù)據(jù)結(jié)構(gòu)〈ID,IMSI,運(yùn)營(yíng)商鑒權(quán)中心地址>����。
[0081](S3)物聯(lián)網(wǎng)設(shè)備向遠(yuǎn)程管理平臺(tái)發(fā)送雙向認(rèn)證請(qǐng)求,將設(shè)備標(biāo)識(shí)號(hào)發(fā)送給遠(yuǎn)程管理平臺(tái);如遠(yuǎn)程管理平臺(tái)接受請(qǐng)求則執(zhí)行S4�,否則執(zhí)行S14。
[0082](S4)遠(yuǎn)程管理平臺(tái)根據(jù)設(shè)備標(biāo)示號(hào)從設(shè)備信息表中查找到該設(shè)備標(biāo)識(shí)號(hào)對(duì)應(yīng)的IMSI及鑒權(quán)中心地址����。
[0083](S5)遠(yuǎn)程管理平臺(tái)向鑒權(quán)中心發(fā)送物聯(lián)網(wǎng)設(shè)備信息和生成的隨機(jī)數(shù)R ;聯(lián)網(wǎng)設(shè)備信息中包括設(shè)備標(biāo)識(shí)號(hào)。
[0084](S6)鑒權(quán)中心根據(jù)物聯(lián)網(wǎng)設(shè)備信息查找對(duì)應(yīng)的根密鑰信息K����,如果未找到����,則執(zhí)行S14,如果查到找�����,則根據(jù)根密鑰信息和隨機(jī)數(shù)R生成雙向認(rèn)證中參與運(yùn)算的密鑰K’����,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果分別使用第一算法和第二算法得出雙向認(rèn)證信息,該雙向認(rèn)證信息包括第一認(rèn)證信息Al和第二認(rèn)證信息A2����。
[0085]接到遠(yuǎn)程管理平臺(tái)的消息,鑒權(quán)中心解析出R�,MSI�,通過MSI找到物聯(lián)網(wǎng)設(shè)備對(duì)應(yīng)的運(yùn)營(yíng)商根密鑰信息K��,通過F(K op R)=K’�����,K’為雙向認(rèn)證中參與運(yùn)算的密鑰���。
[0086]AI=f I (K��,op R)
[0087]A2=f2(K����,op R)
[0088]其中�����,op為任意二元運(yùn)算符���,如與��、或�、異或運(yùn)算等。
[0089](S7)鑒權(quán)中心將生成的雙向認(rèn)證信息返回給遠(yuǎn)程管理平臺(tái)�。
[0090](S8)遠(yuǎn)程管理平臺(tái)將隨機(jī)數(shù)R和第二認(rèn)證信息A2發(fā)送給物聯(lián)網(wǎng)設(shè)備。
[0091](S9)物聯(lián)網(wǎng)設(shè)備根據(jù)隨機(jī)數(shù)R和根密鑰信息K��,生成雙向認(rèn)證中參與運(yùn)算的密鑰K’���,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果����,按照與鑒權(quán)中心一致的方式分別計(jì)算得到第三認(rèn)證信息Al’和第四認(rèn)證信息A2’��,比較第四認(rèn)證信息A2’與接收到的遠(yuǎn)程管理平臺(tái)發(fā)送的第二認(rèn)證信息A2是否一致����,如果一致則驗(yàn)證遠(yuǎn)程管理平臺(tái)身份����;如果不一致,則執(zhí)行S14�����。
[0092]遠(yuǎn)程管理平臺(tái)返回隨機(jī)數(shù)R及A2���,通過F(K op R)=K’��,K’為雙向認(rèn)證中參與運(yùn)算的密鑰��。
[0093]Al�,=fl (K,op R)
[0094]A2��,=f2(K���,op R)
[0095]其中��,op為任意二元運(yùn)算符��,如與�、或�����、異或運(yùn)算等�����。
[0096]如A2=A2’�,則物聯(lián)網(wǎng)設(shè)備認(rèn)證遠(yuǎn)程管理平臺(tái)�����,將Al’返回給遠(yuǎn)程管理平臺(tái)認(rèn)證��;否則將認(rèn)證失敗返回給遠(yuǎn)程管理平臺(tái)�。
[0097](SlO)物聯(lián)網(wǎng)設(shè)備將第三認(rèn)證信息Al’發(fā)送給遠(yuǎn)程管理平臺(tái)����。
[0098](Sll)遠(yuǎn)程管理平臺(tái)比較接收到的第三認(rèn)證信息Al’與第一認(rèn)證信息Al是否一致,如果一致則驗(yàn)證物聯(lián)網(wǎng)設(shè)備身份�����,如果不一致���,則執(zhí)行S14。
[0099](S12)如果物聯(lián)網(wǎng)設(shè)備收到遠(yuǎn)程管理平臺(tái)返回的雙向認(rèn)證成功消息����,物聯(lián)網(wǎng)設(shè)備與遠(yuǎn)程管理平臺(tái)在認(rèn)證過程中生成會(huì)話密鑰,并使用會(huì)話密鑰對(duì)后續(xù)的通信進(jìn)行加密���。
[0100]如收到遠(yuǎn)程管理平臺(tái)雙向認(rèn)證成功消息���,則生成會(huì)話密鑰�����,物聯(lián)網(wǎng)設(shè)備與遠(yuǎn)程管理平臺(tái)應(yīng)使用加密機(jī)制通信�����,避免被攻擊者破壞或插入不正確的信息���。
[0101]SK=f3(K’ op R)
[0102]其中,op為任意二元運(yùn)算符���,如與����、或����、異或運(yùn)算等。
[0103](S13)如果當(dāng)前遠(yuǎn)程管理平臺(tái)Pl收到物聯(lián)網(wǎng)設(shè)備的切換遠(yuǎn)程管理平臺(tái)請(qǐng)求��,請(qǐng)求中包含目標(biāo)遠(yuǎn)程管理平臺(tái)P2的信息���,如果Pl與P2可通信��,則Pl與P2之間建立安全隧道����,Pl將此物聯(lián)網(wǎng)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的記錄(〈ID,IMSI,運(yùn)營(yíng)商鑒權(quán)中心地址 >)通過安全隧道發(fā)送給P2后���,Pl刪除設(shè)備標(biāo)識(shí)對(duì)應(yīng)的記錄���;P1將成功切換消息及P2地址通知物聯(lián)網(wǎng)設(shè)備,物聯(lián)網(wǎng)設(shè)備用P2地址替換Pl地址�����;如果Pl與P2不可通信����,則執(zhí)行S14。
[0104]物聯(lián)網(wǎng)設(shè)備開始使用之前����,物聯(lián)網(wǎng)設(shè)備將設(shè)備標(biāo)識(shí)號(hào)與IMSI發(fā)給遠(yuǎn)程管理平臺(tái)完成注冊(cè)�����,遠(yuǎn)程管理平臺(tái)根據(jù)MSI獲得運(yùn)營(yíng)商鑒權(quán)中心地址。注冊(cè)后�����,遠(yuǎn)程管理平臺(tái)使用表T保存每個(gè)物聯(lián)網(wǎng)設(shè)備標(biāo)識(shí)�����、設(shè)備中SM卡對(duì)應(yīng)MSI�����、網(wǎng)絡(luò)運(yùn)營(yíng)商鑒權(quán)中心地址���。
[0105]如果物聯(lián)網(wǎng)設(shè)備由遠(yuǎn)程管理平臺(tái)Pl切換到P2���,則Pl與P2之間建立安全隧道(VPN或SSL),Pl將此設(shè)備在T中對(duì)應(yīng)記錄通過安全隧道發(fā)送給P2��,Pl刪除此條記錄����。Pl將成功切換消息及Pl地址通知物聯(lián)網(wǎng)設(shè)備����,物聯(lián)網(wǎng)設(shè)備用P2地址替換Pl地址���。
[0106]之后物聯(lián)網(wǎng)設(shè)備將與平臺(tái)P2進(jìn)行認(rèn)證及通信�����。
[0107](S14)結(jié)束當(dāng)前工作��。
[0108]其中�,fl, f2��,f3為加密函數(shù)�����,可選取MD5�、SHAl等算法,也可采用私有算法���。
[0109]物聯(lián)網(wǎng)設(shè)備還可以具有如下功能:
[0110]超出指定時(shí)間t后�����,重新發(fā)起認(rèn)證請(qǐng)求��,并生成新的會(huì)話密鑰�。
[0111]如果有物聯(lián)網(wǎng)設(shè)備頻發(fā)發(fā)起認(rèn)證請(qǐng)求�,則報(bào)警。
[0112]本發(fā)明實(shí)施例提供的認(rèn)證系統(tǒng)�����,包括上述物聯(lián)網(wǎng)設(shè)備�����、遠(yuǎn)程管理平臺(tái)和鑒權(quán)中心��。
[0113]本發(fā)明的認(rèn)證方法�����、裝置和系統(tǒng)�����,能夠保證物聯(lián)網(wǎng)設(shè)備和遠(yuǎn)程管理平臺(tái)能夠在一個(gè)安全可信的環(huán)境下工作,確保只有合法的物聯(lián)網(wǎng)設(shè)備接入管理平臺(tái)�,避免因非法設(shè)備接入影響業(yè)務(wù)正常運(yùn)營(yíng),同時(shí)保證用戶物聯(lián)網(wǎng)設(shè)備合法權(quán)益不受到損失�����。
[0114]雖然本發(fā)明所揭露的實(shí)施方式如上�����,但所述的內(nèi)容只是為了便于理解本發(fā)明而采用的實(shí)施方式�,并非用以限定本發(fā)明。任何本發(fā)明所屬【技術(shù)領(lǐng)域】?jī)?nèi)的技術(shù)人員��,在不脫離本發(fā)明所揭露的精神和范圍的前提下����,可以在實(shí)施的形式上及細(xì)節(jié)上作任何的修改與變化,但本發(fā)明的專利保護(hù)范圍�����,仍須以所附的權(quán)利要求書所界定的范圍為準(zhǔn)�。
【權(quán)利要求】
1.一種物聯(lián)網(wǎng)設(shè)備認(rèn)證方法,其特征在于����,包括: 遠(yuǎn)程管理平臺(tái)當(dāng)接收到物聯(lián)網(wǎng)設(shè)備的雙向認(rèn)證請(qǐng)求后����,生成第一信息���;并向鑒權(quán)中心發(fā)送物聯(lián)網(wǎng)設(shè)備信息和生成的第一信息; 所述鑒權(quán)中心根據(jù)所述物聯(lián)網(wǎng)設(shè)備信息查找與所述物聯(lián)網(wǎng)設(shè)備對(duì)應(yīng)的根密鑰信息K����,并根據(jù)所述根密鑰信息K和第一信息生成雙向認(rèn)證信息返回給所述遠(yuǎn)程管理平臺(tái); 所述遠(yuǎn)程管理平臺(tái)根據(jù)所述雙向認(rèn)證信息與所述物聯(lián)網(wǎng)設(shè)備完成雙向認(rèn)證��。
2.根據(jù)權(quán)利要求1所述的認(rèn)證方法��,其特征在于����, 所述鑒權(quán)中心根據(jù)所述物聯(lián)網(wǎng)設(shè)備信息查找與所述物聯(lián)網(wǎng)設(shè)備對(duì)應(yīng)的根密鑰信息K ;在無(wú)法查找到時(shí)��, 向所述遠(yuǎn)程管理平臺(tái)反饋查詢失敗消息或者認(rèn)證失敗消息�����。
3.根據(jù)權(quán)利要求1所述的認(rèn)證方法,其特征在于��,所述遠(yuǎn)程管理平臺(tái)生成的第一信息為隨機(jī)數(shù)R ��; 所述鑒權(quán)中心根據(jù)所述根密鑰信息K和第一信息生成雙向認(rèn)證信息的步驟包括:所述鑒權(quán)中心根據(jù)所述根密鑰信息K和隨機(jī)數(shù)R生成雙向認(rèn)證中參與運(yùn)算的密鑰K’�,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果分別使用第一算法和第二算法得出雙向認(rèn)證信息,該雙向認(rèn)證信息包括第一認(rèn)證信息Al和第二認(rèn)證信息A2�。
4.根據(jù)權(quán)利要求3所述的認(rèn)證方法,其特征在于����,所述遠(yuǎn)程管理平臺(tái)根據(jù)所述雙向認(rèn)證信息與物聯(lián)網(wǎng)設(shè)備完成雙向認(rèn)證的步驟包括: (1)所述遠(yuǎn)程管理平臺(tái)將所述第一信息和第二認(rèn)證信息A2發(fā)送給所述物聯(lián)網(wǎng)設(shè)備; (2)所述物聯(lián)網(wǎng)設(shè)備根據(jù)所述第一信息和根密鑰信息K生成雙向認(rèn)證中參與運(yùn)算的密鑰K’�,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果,按照與所述鑒權(quán)中心一致的第一算法和第二算法分別計(jì)算得到第三認(rèn)證信息Al’和第四認(rèn)證信息A2’�,并將所述第三認(rèn)證信息Al’發(fā)送給遠(yuǎn)程管理平臺(tái),同時(shí)���,所述物聯(lián)網(wǎng)設(shè)備比較第四認(rèn)證信息A2’與接收到的遠(yuǎn)程管理平臺(tái)發(fā)送的所述第二認(rèn)證信息A2是否一致�����,如果一致則驗(yàn)證遠(yuǎn)程管理平臺(tái)身份�;否則不通過對(duì)所述遠(yuǎn)程管理平臺(tái)的認(rèn)證����; (3)所述遠(yuǎn)程管理平臺(tái)比較接收到的第三認(rèn)證信息Al’與第一認(rèn)證信息Al是否一致����,如果一致則驗(yàn)證物聯(lián)網(wǎng)設(shè)備身份�����;否則不通過對(duì)所述物聯(lián)網(wǎng)設(shè)備的認(rèn)證����;��。
5.根據(jù)權(quán)利要求1所述的認(rèn)證方法�,其特征在于,物聯(lián)網(wǎng)設(shè)備發(fā)送雙向認(rèn)證請(qǐng)求之前還包括: 所述物聯(lián)網(wǎng)設(shè)備預(yù)先將設(shè)備標(biāo)識(shí)號(hào)和國(guó)際移動(dòng)用戶識(shí)別碼IMSI提交給所述遠(yuǎn)程管理平臺(tái)����;所述遠(yuǎn)程管理平臺(tái)將設(shè)備標(biāo)識(shí)號(hào)、MSI和對(duì)應(yīng)的鑒權(quán)中心地址信息存儲(chǔ)于維護(hù)的設(shè)備信息表中���。
6.根據(jù)權(quán)利要求5所述的認(rèn)證方法�����,其特征在于�����,所述物聯(lián)網(wǎng)設(shè)備向所述遠(yuǎn)程管理平臺(tái)發(fā)送雙向認(rèn)證請(qǐng)求時(shí)�,將所述設(shè)備標(biāo)識(shí)號(hào)發(fā)送給所述遠(yuǎn)程管理平臺(tái),所述遠(yuǎn)程管理平臺(tái)根據(jù)所述設(shè)備標(biāo)示號(hào)從設(shè)備信息表中查找到所述設(shè)備標(biāo)識(shí)號(hào)對(duì)應(yīng)的MSI及鑒權(quán)中心地址����。
7.根據(jù)權(quán)利要求1所述的認(rèn)證方法,其特征在于����,還包括: 當(dāng)前遠(yuǎn)程管理平臺(tái)Pl收到物聯(lián)網(wǎng)設(shè)備的切換遠(yuǎn)程管理平臺(tái)請(qǐng)求,請(qǐng)求中包含目標(biāo)遠(yuǎn)程管理平臺(tái)P2的信息�,如果Pl與P2可通信,則Pl與P2之間建立安全隧道����,Pl將此物聯(lián)網(wǎng)設(shè)備標(biāo)識(shí)和共享密鑰K通過安全隧道發(fā)送給P2后,Pl刪除設(shè)備標(biāo)識(shí)和共享密鑰K對(duì)應(yīng)的記錄�;P1將成功切換消息及P2地址通知所述物聯(lián)網(wǎng)設(shè)備,所述物聯(lián)網(wǎng)設(shè)備用P2地址替換Pl地址��。
8.一種物聯(lián)網(wǎng)設(shè)備�����,其特征在于, 所述物聯(lián)網(wǎng)設(shè)備�,用于向遠(yuǎn)程管理平臺(tái)發(fā)送雙向認(rèn)證請(qǐng)求,并接收遠(yuǎn)程管理平臺(tái)返回雙向認(rèn)證信息���;還用于與所述遠(yuǎn)程管理平臺(tái)根據(jù)所述雙向認(rèn)證信息完成雙向認(rèn)證�����。
9.根據(jù)權(quán)利要求8所述的物聯(lián)網(wǎng)設(shè)備���,其特征在于��, 所述物聯(lián)網(wǎng)設(shè)備與所述遠(yuǎn)程管理平臺(tái)根據(jù)所述雙向認(rèn)證信息完成雙向認(rèn)證的步驟包括: 所述物聯(lián)網(wǎng)設(shè)備接收遠(yuǎn)程管理平臺(tái)返回的第一信息和第二認(rèn)證信息A2 ���; 所述物聯(lián)網(wǎng)設(shè)備根據(jù)所述第一信息和根密鑰信息K生成雙向認(rèn)證中參與運(yùn)算的密鑰K’�����,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果按照預(yù)定的第一算法和第二算法計(jì)算得到第三認(rèn)證信息Al’和第四認(rèn)證信息A2’����,并將所述第三認(rèn)證信息Al’發(fā)送給遠(yuǎn)程管理平臺(tái),同時(shí),所述物聯(lián)網(wǎng)設(shè)備比較第四認(rèn)證信息A2’與接收到的遠(yuǎn)程管理平臺(tái)發(fā)送的所述第二認(rèn)證信息A2是否一致,如果一致則驗(yàn)證遠(yuǎn)程管理平臺(tái)身份����。
10.一種遠(yuǎn)程管理平臺(tái),其特征在于����, 所述遠(yuǎn)程管理平臺(tái)�����,用于當(dāng)接收到物聯(lián)網(wǎng)設(shè)備的雙向認(rèn)證請(qǐng)求后����,生成第一信息;并向鑒權(quán)中心發(fā)送物聯(lián)網(wǎng)設(shè)備信息和生成的第一信息��;還用于接收鑒權(quán)中心返回的雙向認(rèn)證信息����,并根據(jù)所述雙向認(rèn)證信息與所述物聯(lián)網(wǎng)設(shè)備完成雙向認(rèn)證。
11.根據(jù)權(quán)利要求10所述的遠(yuǎn)程管理平臺(tái)���,其特征在于����, 所述遠(yuǎn)程管理平臺(tái)生成的第一信息為隨機(jī)數(shù)R ; 所述遠(yuǎn)程管理平臺(tái)根據(jù)所述雙向認(rèn)證信息與所述物聯(lián)網(wǎng)設(shè)備完成雙向認(rèn)證的步驟包括: 所述遠(yuǎn)程管理平臺(tái)將所述第一信息和第二認(rèn)證信息A2發(fā)送給所述物聯(lián)網(wǎng)設(shè)備���; 所述遠(yuǎn)程管理平臺(tái)比較接收到的第三認(rèn)證信息Al’與第一認(rèn)證信息Al是否一致����,如果一致則驗(yàn)證物聯(lián)網(wǎng)設(shè)備身份����; 第一認(rèn)證信息Al和第二認(rèn)證信息A2是所述鑒權(quán)中心根據(jù)所述第一信息和根密鑰信息K,生成雙向認(rèn)證中參與運(yùn)算的密鑰K’�����,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果按照預(yù)定的第一算法和第二算法計(jì)算得到的��,所述第三認(rèn)證信息Al’為所述物聯(lián)網(wǎng)設(shè)備根據(jù)所述第一信息和根密鑰信息K�����,生成雙向認(rèn)證中參與運(yùn)算的密鑰K’��,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果按照與所述鑒權(quán)中心一致的第一算法得到的��。
12.—種鑒權(quán)中心����,其特征在于, 所述鑒權(quán)中心����,用于接收遠(yuǎn)程管理平臺(tái)發(fā)送的物聯(lián)網(wǎng)設(shè)備信息和第一信息;根據(jù)所述物聯(lián)網(wǎng)設(shè)備信息查找與所述物聯(lián)網(wǎng)設(shè)備對(duì)應(yīng)的根密鑰信息K��,在查找到時(shí)��,根據(jù)所述根密鑰信息K和第一信息生成雙向認(rèn)證信息返回給所述遠(yuǎn)程管理平臺(tái)��;在無(wú)法查找到時(shí)����,向所述遠(yuǎn)程管理平臺(tái)反饋查詢失敗消息或者認(rèn)證失敗消息。
13.根據(jù)權(quán)利要求12所述的鑒權(quán)中心��,其特征在于�����, 所述鑒權(quán)中心接收到的所述遠(yuǎn)程管理平臺(tái)發(fā)送的第一信息為隨機(jī)數(shù)R ; 所述鑒權(quán)中心根據(jù)所述根密鑰信息K和隨機(jī)數(shù)R生成雙向認(rèn)證中參與運(yùn)算的密鑰K’���,并根據(jù)密鑰K’和隨機(jī)數(shù)R的運(yùn)算結(jié)果分別使用第一算法和第二算法得出雙向認(rèn)證信息���,該雙向認(rèn)證信息包括第一認(rèn)證信息Al和第二認(rèn)證信息A2。
14.一種物聯(lián)網(wǎng)設(shè)備認(rèn)證系統(tǒng)��,其特征在于�����,包括如權(quán)利要求8或9所述物聯(lián)網(wǎng)設(shè)備��、如權(quán)利要求10或11所述的遠(yuǎn)程管理平臺(tái)和權(quán)利要求12或13所述的鑒權(quán)中心����。
【文檔編號(hào)】H04L9/32GK103532963SQ201310498925
【公開日】2014年1月22日 申請(qǐng)日期:2013年10月22日 優(yōu)先權(quán)日:2013年10月22日
【發(fā)明者】張尼, 張?jiān)朴? 李正, 陶冶, 劉明輝 申請(qǐng)人:中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司