一種物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域，特別涉及一種物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商方法和裝置。
【背景技術(shù)】
[0002]物聯(lián)網(wǎng)(Internet of Things，縮寫10T)是一個基于互聯(lián)網(wǎng)、傳統(tǒng)電信網(wǎng)等信息承載體，讓所有能夠被獨(dú)立尋址的普通物理對象實(shí)現(xiàn)互聯(lián)互通的網(wǎng)絡(luò)。在物聯(lián)網(wǎng)中，每個人都可以應(yīng)用電子標(biāo)簽將真實(shí)的物體上網(wǎng)聯(lián)結(jié)，在物聯(lián)網(wǎng)上都可以查找出它們的具體位置。通過物聯(lián)網(wǎng)可以用中心計算機(jī)對機(jī)器、設(shè)備、人員進(jìn)行集中管理、控制，也可以對家庭設(shè)備、汽車進(jìn)行遙控，以及搜尋位置、防止物品被盜等。
[0003]物聯(lián)網(wǎng)的發(fā)展推動世界進(jìn)入萬物互聯(lián)的時代，不僅手機(jī)、電腦、電視機(jī)等傳統(tǒng)信息化設(shè)備連入網(wǎng)絡(luò)，家用電器和工廠設(shè)備、基礎(chǔ)設(shè)施等也將逐步成為網(wǎng)絡(luò)端點(diǎn)。但是，萬物互聯(lián)時代的安全形勢極為嚴(yán)峻:智能設(shè)備甚至萬物成為黑客攻擊的對象，傳統(tǒng)的網(wǎng)絡(luò)安全邊界正在消失。同時，互聯(lián)網(wǎng)與實(shí)體經(jīng)濟(jì)快速整合，網(wǎng)絡(luò)攻擊的后果更加嚴(yán)重。智能電視、智能冰箱、智能吸塵器、智能無人機(jī)、智能手環(huán)、遠(yuǎn)程醫(yī)療設(shè)備甚至智能插座、智能電燈里都可以裝載嵌入式系統(tǒng)，而且這些設(shè)備和手機(jī)一樣都可以通過網(wǎng)絡(luò)芯片，以更加不易察覺的方式接入互聯(lián)網(wǎng)，悄悄上傳各種數(shù)據(jù)。智能設(shè)備對于個人隱私數(shù)據(jù)的采集和分析，用戶大多并不知情，也無人選擇。
[0004]在實(shí)際應(yīng)用場景中，通常采用“遠(yuǎn)程終端-云端-網(wǎng)關(guān)(gateway)-設(shè)備”的網(wǎng)絡(luò)結(jié)構(gòu)。以家庭物聯(lián)網(wǎng)為例，網(wǎng)關(guān)是連接物聯(lián)網(wǎng)設(shè)備與云端的橋梁:網(wǎng)關(guān)一方面連接多臺物聯(lián)網(wǎng)設(shè)備(包括智能手機(jī)、智能家電、智能廚房設(shè)備、網(wǎng)絡(luò)攝像頭等)，將設(shè)備采集到的數(shù)據(jù)信息發(fā)送給云端；另一方面登陸云端，將遠(yuǎn)程控制終端經(jīng)由云端發(fā)送的控制信息發(fā)送給物聯(lián)網(wǎng)設(shè)備。遠(yuǎn)程控制設(shè)備可以為某種手持式智能設(shè)備，如智能手機(jī)、智能手表等，也可以為PC、智能電視等設(shè)備。
[0005]“遠(yuǎn)程終端-云端”鏈路的安全問題可以采用多種現(xiàn)有技術(shù)完成，如SSL，但是“云端-網(wǎng)關(guān)(gateway)-設(shè)備”鏈路的安全問題則比較嚴(yán)峻。在一個家庭物聯(lián)網(wǎng)中，網(wǎng)關(guān)是數(shù)據(jù)和控制信息的出入口，攻擊者通過劫持網(wǎng)關(guān)可以提高竊取信息、推送垃圾廣告、釣魚掛馬等攻擊效率。而且相比安全防護(hù)水平較高(如安裝木馬/殺毒軟件、防火墻等)的PC電腦，網(wǎng)關(guān)設(shè)備的防護(hù)機(jī)制較少，安全漏洞卻更多。如果云端和物聯(lián)網(wǎng)設(shè)備之間的數(shù)據(jù)交換都以明文形式被網(wǎng)關(guān)轉(zhuǎn)發(fā)，而網(wǎng)關(guān)的安全防護(hù)手段少，那么黑客可以輕易利用網(wǎng)關(guān)來實(shí)施“中間人攻擊”，通過抓獲云端和物聯(lián)網(wǎng)設(shè)備之間的交換數(shù)據(jù)進(jìn)行逆向分析，進(jìn)而獲取到其它設(shè)備的內(nèi)部協(xié)議。

【發(fā)明內(nèi)容】

[0006]有鑒于此，本發(fā)明的目的在于提供一種物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商方法和裝置，能夠用于實(shí)現(xiàn)物聯(lián)網(wǎng)的通信安全。
[0007]為了達(dá)到上述目的，本發(fā)明提供了如下技術(shù)方案:
[0008]一種物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商方法，應(yīng)用于物聯(lián)網(wǎng)管理中心，包括:
[0009]針對物聯(lián)網(wǎng)設(shè)備生成授權(quán)碼信息供物聯(lián)網(wǎng)設(shè)備獲??；
[0010]在物聯(lián)網(wǎng)設(shè)備獲取所述授權(quán)碼信息后，針對物聯(lián)網(wǎng)設(shè)備生成密鑰信息；
[0011]利用所述授權(quán)碼信息對所述密鑰信息進(jìn)行加密并計算校驗(yàn)信息，將加密后的密鑰信息和計算的校驗(yàn)信息發(fā)送到物聯(lián)網(wǎng)設(shè)備，以使物聯(lián)網(wǎng)設(shè)備利用所述授權(quán)碼信息對所述加密后的密鑰信息進(jìn)行解密得到所述密鑰信息并根據(jù)所述校驗(yàn)信息完成物聯(lián)網(wǎng)設(shè)備驗(yàn)證。
[0012]另一種物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商方法，應(yīng)用于物聯(lián)網(wǎng)設(shè)備，包括:
[0013]獲取物聯(lián)網(wǎng)管理中心針對物聯(lián)網(wǎng)設(shè)備生成的授權(quán)碼信息；
[0014]接收物聯(lián)網(wǎng)管理中心針對物聯(lián)網(wǎng)設(shè)備生成密鑰信息后，利用所述授權(quán)碼信息對所述密鑰信息加密后得到的加密后的密鑰信息以及計算出的驗(yàn)證信息；
[0015]利用所述授權(quán)碼信息對加密后的密鑰信息進(jìn)行解密得到所述密鑰信息，并根據(jù)所述校驗(yàn)信息完成物聯(lián)網(wǎng)設(shè)備驗(yàn)證。
[0016]一種物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商裝置，應(yīng)用于物聯(lián)網(wǎng)管理中心，包括:生成單元、處理單元；
[0017]所述生成單元，用于針對物聯(lián)網(wǎng)設(shè)備生成授權(quán)碼信息供物聯(lián)網(wǎng)設(shè)備獲??；用于在物聯(lián)網(wǎng)設(shè)備獲取所述授權(quán)碼信息后，針對物聯(lián)網(wǎng)設(shè)備生成密鑰信息；
[0018]所述處理單元，用于利用所述授權(quán)碼信息對所述密鑰信息進(jìn)行加密并計算校驗(yàn)信息，將加密后的密鑰信息和計算的校驗(yàn)信息發(fā)送到物聯(lián)網(wǎng)設(shè)備，以使物聯(lián)網(wǎng)設(shè)備利用所述授權(quán)碼信息對所述加密后的密鑰信息進(jìn)行解密得到所述密鑰信息并根據(jù)所述校驗(yàn)信息完成物聯(lián)網(wǎng)設(shè)備驗(yàn)證。
[0019]另一種物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商裝置，應(yīng)用于物聯(lián)網(wǎng)設(shè)備，包括:獲取單元、接收單元、處理單元；
[0020]所述獲取單元，用于獲取物聯(lián)網(wǎng)管理中心針對物聯(lián)網(wǎng)設(shè)備生成的授權(quán)碼信息；
[0021]所述接收單元，用于接收物聯(lián)網(wǎng)管理中心針對物聯(lián)網(wǎng)設(shè)備生成密鑰信息后，利用所述授權(quán)碼信息對所述密鑰信息加密后得到的加密后的密鑰信息以及計算出的驗(yàn)證信息;
[0022]所述處理單元，用于接收單元接收到物聯(lián)網(wǎng)管理中心針對物聯(lián)網(wǎng)設(shè)備生成密鑰信息后，利用所述授權(quán)碼信息對所述密鑰信息加密后得到的加密后的密鑰信息以及計算出的驗(yàn)證信息時，利用所述授權(quán)碼信息對加密后的密鑰信息進(jìn)行解密得到所述密鑰信息，并根據(jù)所述校驗(yàn)信息完成物聯(lián)網(wǎng)設(shè)備驗(yàn)證。
[0023]由上面的技術(shù)方案可知，本發(fā)明中由物聯(lián)網(wǎng)管理中心生成授權(quán)碼和密鑰信息，利用授權(quán)碼信息對密鑰信息進(jìn)行加密并計算校驗(yàn)信息，將加密后的密鑰信息和計算的校驗(yàn)信息發(fā)送到物聯(lián)網(wǎng)設(shè)備，使得物聯(lián)網(wǎng)設(shè)備可以利用授權(quán)碼信息解密得到密鑰信息并根據(jù)校驗(yàn)信息完成物聯(lián)網(wǎng)設(shè)備驗(yàn)證，從而使物聯(lián)網(wǎng)設(shè)備驗(yàn)證通過后可以利用密鑰信息實(shí)現(xiàn)與遠(yuǎn)程終端之間的安全通信。
【附圖說明】
[0024]圖1是本發(fā)明物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商方法流程圖；
[0025]圖2是本發(fā)明實(shí)施例一物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商方法流程圖；
[0026]圖3是本發(fā)明實(shí)施例二物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商方法流程圖；
[0027]圖4是本發(fā)明實(shí)施例一物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商裝置的結(jié)構(gòu)示意圖；
[0028]圖5是本發(fā)明實(shí)施例二物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商裝置的結(jié)構(gòu)示意圖；
[0029]圖6是本發(fā)明實(shí)施例應(yīng)用于物聯(lián)網(wǎng)管理中心的物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商裝置的硬件架構(gòu)組成示意圖；
[0030]圖7是本發(fā)明實(shí)施例應(yīng)用于物聯(lián)網(wǎng)設(shè)備的物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商裝置的硬件架構(gòu)組成示意圖。
【具體實(shí)施方式】
[0031]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，下面結(jié)合附圖并據(jù)實(shí)施例，對本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)說明。
[0032]參見圖1，圖1是本發(fā)明物聯(lián)網(wǎng)設(shè)備認(rèn)證與密鑰協(xié)商方法流程圖，主要包括以下步驟:
[0033]步驟101、物聯(lián)網(wǎng)設(shè)備獲取物聯(lián)網(wǎng)管理中心針對該物聯(lián)網(wǎng)設(shè)備生成的授權(quán)碼信息。
[0034]物聯(lián)網(wǎng)管理中心是對物聯(lián)網(wǎng)信息具備計算、存儲和傳輸能力的計算機(jī)或計算機(jī)集群，具體可以為本地服務(wù)器、工作站、分布式服務(wù)器集群、云等。
[0035]物聯(lián)網(wǎng)管理中心針對物聯(lián)網(wǎng)設(shè)備生成的授權(quán)碼信息中包括根密鑰，另外，還可以包括根密鑰有效期、物聯(lián)網(wǎng)設(shè)備的產(chǎn)品信息、物聯(lián)網(wǎng)設(shè)備的生產(chǎn)廠商信息等。
[0036]物聯(lián)網(wǎng)設(shè)備獲取物聯(lián)網(wǎng)管理中心生成的授權(quán)碼信息的方式有兩種，下面分別進(jìn)行說明:
[0037]第一種，物聯(lián)網(wǎng)設(shè)備生產(chǎn)廠商預(yù)先向物聯(lián)網(wǎng)管理中心申請授權(quán)碼信息并將申請的授權(quán)碼信息存儲到物聯(lián)網(wǎng)設(shè)備。
[0038]具體過程如下:
[0039](I)物聯(lián)網(wǎng)設(shè)備生產(chǎn)廠商向物聯(lián)網(wǎng)管理中心發(fā)送授權(quán)碼申請；
[0040](2)物聯(lián)網(wǎng)管理中心接收到授權(quán)碼申請后，生成根密鑰等授權(quán)碼信息，將生成的授權(quán)碼信息發(fā)送給物聯(lián)網(wǎng)設(shè)備生產(chǎn)廠商；
[0041](3)物聯(lián)網(wǎng)設(shè)備生產(chǎn)廠商將該授權(quán)碼信息植入到物聯(lián)網(wǎng)設(shè)備。
[0042]其中，將授權(quán)碼信息植入到物理網(wǎng)的方式至少有以下幾種:在硬件生產(chǎn)過程中燒制到芯片上；在軟件生產(chǎn)過程中定義在程序中；以序列號等形式印刷在產(chǎn)品或產(chǎn)品包裝上。
[0043]這種授權(quán)碼申請方法中，授權(quán)碼的申請和發(fā)送由物聯(lián)網(wǎng)設(shè)備的生產(chǎn)廠商與物聯(lián)網(wǎng)管理中心交互完成，可以降低物聯(lián)網(wǎng)設(shè)備通信開銷，適合于一些計算和通信能力較小的低配置設(shè)備，如智能電燈、傳感器節(jié)點(diǎn)等。
[0044]第二種，物聯(lián)網(wǎng)設(shè)備在線向物聯(lián)網(wǎng)管理中心申請授權(quán)碼信息。
[0045]具體過程如下:
[0046](I)物聯(lián)網(wǎng)設(shè)備向物聯(lián)網(wǎng)管理中心發(fā)送授權(quán)碼申請；
[0047](2)物聯(lián)網(wǎng)管理中心為物聯(lián)網(wǎng)設(shè)備生成一個隨機(jī)字段SI，用物聯(lián)網(wǎng)設(shè)備的數(shù)字證書Cert_D中的公鑰對SI進(jìn)行加密，用物聯(lián)網(wǎng)管理中心的數(shù)字證書Cert_C中的私鑰對加密后的SI進(jìn)行簽名，將SI對應(yīng)的加密信息(對SI的加密結(jié)果)和簽名信息(對加密后的SI的簽名結(jié)果)發(fā)送給物聯(lián)網(wǎng)設(shè)備；
[0048](3)物聯(lián)網(wǎng)設(shè)備生成一個隨機(jī)字段S2，并用物聯(lián)網(wǎng)管理中心的數(shù)字證書Cert_C中的公鑰對S2進(jìn)行加密，用物聯(lián)網(wǎng)設(shè)備的數(shù)字證書Cert_D中的私鑰對加密后的S2進(jìn)行簽名，將S2對應(yīng)的加密信息(對S2的加密結(jié)果)和簽名信息(對加密后的S2的簽名結(jié)果)發(fā)送給物聯(lián)網(wǎng)管理中心；
[0049](4)物聯(lián)網(wǎng)設(shè)備和物聯(lián)網(wǎng)管理中心分別用自身的數(shù)字證書中的私鑰對接收到加密信息進(jìn)行解密得到對方生成的隨機(jī)字段(物聯(lián)網(wǎng)設(shè)備接收到物聯(lián)網(wǎng)管理中心發(fā)送的SI對應(yīng)的加密信息，用物聯(lián)網(wǎng)設(shè)備的數(shù)字證書Cert_D中的私鑰解密后得到SI ;物聯(lián)網(wǎng)管理中心接收到物聯(lián)網(wǎng)管理設(shè)備發(fā)送的S2對應(yīng)的加密信息，用物聯(lián)網(wǎng)管理中心的數(shù)字證書Cert_C中的私鑰解密后得到S2)，并用對方的數(shù)字證書中的公鑰對接收到的簽名信息進(jìn)行驗(yàn)證，驗(yàn)證通過后均根據(jù)SI和S2生成授權(quán)碼信息，其中包括根據(jù)SI和S2計算出一個密鑰，該密鑰作為物聯(lián)網(wǎng)設(shè)備的授權(quán)碼信息中的根密鑰。這里，根據(jù)字段SI和S2計算密鑰的方法可以采用現(xiàn)有技術(shù)。
[0050](5)物聯(lián)網(wǎng)管理中心將生成的授權(quán)碼信息發(fā)送給物聯(lián)網(wǎng)設(shè)備。