一种物联网设备认证与密钥协商方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,特别涉及一种物联网设备认证与密钥协商方法和装置。
【背景技术】
[0002]物联网(Internet of Things,缩写10T)是一个基于互联网、传统电信网等信息承载体,让所有能够被独立寻址的普通物理对象实现互联互通的网络。在物联网中,每个人都可以应用电子标签将真实的物体上网联结,在物联网上都可以查找出它们的具体位置。通过物联网可以用中心计算机对机器、设备、人员进行集中管理、控制,也可以对家庭设备、汽车进行遥控,以及搜寻位置、防止物品被盗等。
[0003]物联网的发展推动世界进入万物互联的时代,不仅手机、电脑、电视机等传统信息化设备连入网络,家用电器和工厂设备、基础设施等也将逐步成为网络端点。但是,万物互联时代的安全形势极为严峻:智能设备甚至万物成为黑客攻击的对象,传统的网络安全边界正在消失。同时,互联网与实体经济快速整合,网络攻击的后果更加严重。智能电视、智能冰箱、智能吸尘器、智能无人机、智能手环、远程医疗设备甚至智能插座、智能电灯里都可以装载嵌入式系统,而且这些设备和手机一样都可以通过网络芯片,以更加不易察觉的方式接入互联网,悄悄上传各种数据。智能设备对于个人隐私数据的采集和分析,用户大多并不知情,也无人选择。
[0004]在实际应用场景中,通常采用“远程终端-云端-网关(gateway)-设备”的网络结构。以家庭物联网为例,网关是连接物联网设备与云端的桥梁:网关一方面连接多台物联网设备(包括智能手机、智能家电、智能厨房设备、网络摄像头等),将设备采集到的数据信息发送给云端;另一方面登陆云端,将远程控制终端经由云端发送的控制信息发送给物联网设备。远程控制设备可以为某种手持式智能设备,如智能手机、智能手表等,也可以为PC、智能电视等设备。
[0005]“远程终端-云端”链路的安全问题可以采用多种现有技术完成,如SSL,但是“云端-网关(gateway)-设备”链路的安全问题则比较严峻。在一个家庭物联网中,网关是数据和控制信息的出入口,攻击者通过劫持网关可以提高窃取信息、推送垃圾广告、钓鱼挂马等攻击效率。而且相比安全防护水平较高(如安装木马/杀毒软件、防火墙等)的PC电脑,网关设备的防护机制较少,安全漏洞却更多。如果云端和物联网设备之间的数据交换都以明文形式被网关转发,而网关的安全防护手段少,那么黑客可以轻易利用网关来实施“中间人攻击”,通过抓获云端和物联网设备之间的交换数据进行逆向分析,进而获取到其它设备的内部协议。
【发明内容】
[0006]有鉴于此,本发明的目的在于提供一种物联网设备认证与密钥协商方法和装置,能够用于实现物联网的通信安全。
[0007]为了达到上述目的,本发明提供了如下技术方案:
[0008]一种物联网设备认证与密钥协商方法,应用于物联网管理中心,包括:
[0009]针对物联网设备生成授权码信息供物联网设备获取;
[0010]在物联网设备获取所述授权码信息后,针对物联网设备生成密钥信息;
[0011]利用所述授权码信息对所述密钥信息进行加密并计算校验信息,将加密后的密钥信息和计算的校验信息发送到物联网设备,以使物联网设备利用所述授权码信息对所述加密后的密钥信息进行解密得到所述密钥信息并根据所述校验信息完成物联网设备验证。
[0012]另一种物联网设备认证与密钥协商方法,应用于物联网设备,包括:
[0013]获取物联网管理中心针对物联网设备生成的授权码信息;
[0014]接收物联网管理中心针对物联网设备生成密钥信息后,利用所述授权码信息对所述密钥信息加密后得到的加密后的密钥信息以及计算出的验证信息;
[0015]利用所述授权码信息对加密后的密钥信息进行解密得到所述密钥信息,并根据所述校验信息完成物联网设备验证。
[0016]一种物联网设备认证与密钥协商装置,应用于物联网管理中心,包括:生成单元、处理单元;
[0017]所述生成单元,用于针对物联网设备生成授权码信息供物联网设备获取;用于在物联网设备获取所述授权码信息后,针对物联网设备生成密钥信息;
[0018]所述处理单元,用于利用所述授权码信息对所述密钥信息进行加密并计算校验信息,将加密后的密钥信息和计算的校验信息发送到物联网设备,以使物联网设备利用所述授权码信息对所述加密后的密钥信息进行解密得到所述密钥信息并根据所述校验信息完成物联网设备验证。
[0019]另一种物联网设备认证与密钥协商装置,应用于物联网设备,包括:获取单元、接收单元、处理单元;
[0020]所述获取单元,用于获取物联网管理中心针对物联网设备生成的授权码信息;
[0021]所述接收单元,用于接收物联网管理中心针对物联网设备生成密钥信息后,利用所述授权码信息对所述密钥信息加密后得到的加密后的密钥信息以及计算出的验证信息;
[0022]所述处理单元,用于接收单元接收到物联网管理中心针对物联网设备生成密钥信息后,利用所述授权码信息对所述密钥信息加密后得到的加密后的密钥信息以及计算出的验证信息时,利用所述授权码信息对加密后的密钥信息进行解密得到所述密钥信息,并根据所述校验信息完成物联网设备验证。
[0023]由上面的技术方案可知,本发明中由物联网管理中心生成授权码和密钥信息,利用授权码信息对密钥信息进行加密并计算校验信息,将加密后的密钥信息和计算的校验信息发送到物联网设备,使得物联网设备可以利用授权码信息解密得到密钥信息并根据校验信息完成物联网设备验证,从而使物联网设备验证通过后可以利用密钥信息实现与远程终端之间的安全通信。
【附图说明】
[0024]图1是本发明物联网设备认证与密钥协商方法流程图;
[0025]图2是本发明实施例一物联网设备认证与密钥协商方法流程图;
[0026]图3是本发明实施例二物联网设备认证与密钥协商方法流程图;
[0027]图4是本发明实施例一物联网设备认证与密钥协商装置的结构示意图;
[0028]图5是本发明实施例二物联网设备认证与密钥协商装置的结构示意图;
[0029]图6是本发明实施例应用于物联网管理中心的物联网设备认证与密钥协商装置的硬件架构组成示意图;
[0030]图7是本发明实施例应用于物联网设备的物联网设备认证与密钥协商装置的硬件架构组成示意图。
【具体实施方式】
[0031]为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图并据实施例,对本发明的技术方案进行详细说明。
[0032]参见图1,图1是本发明物联网设备认证与密钥协商方法流程图,主要包括以下步骤:
[0033]步骤101、物联网设备获取物联网管理中心针对该物联网设备生成的授权码信息。
[0034]物联网管理中心是对物联网信息具备计算、存储和传输能力的计算机或计算机集群,具体可以为本地服务器、工作站、分布式服务器集群、云等。
[0035]物联网管理中心针对物联网设备生成的授权码信息中包括根密钥,另外,还可以包括根密钥有效期、物联网设备的产品信息、物联网设备的生产厂商信息等。
[0036]物联网设备获取物联网管理中心生成的授权码信息的方式有两种,下面分别进行说明:
[0037]第一种,物联网设备生产厂商预先向物联网管理中心申请授权码信息并将申请的授权码信息存储到物联网设备。
[0038]具体过程如下:
[0039](I)物联网设备生产厂商向物联网管理中心发送授权码申请;
[0040](2)物联网管理中心接收到授权码申请后,生成根密钥等授权码信息,将生成的授权码信息发送给物联网设备生产厂商;
[0041](3)物联网设备生产厂商将该授权码信息植入到物联网设备。
[0042]其中,将授权码信息植入到物理网的方式至少有以下几种:在硬件生产过程中烧制到芯片上;在软件生产过程中定义在程序中;以序列号等形式印刷在产品或产品包装上。
[0043]这种授权码申请方法中,授权码的申请和发送由物联网设备的生产厂商与物联网管理中心交互完成,可以降低物联网设备通信开销,适合于一些计算和通信能力较小的低配置设备,如智能电灯、传感器节点等。
[0044]第二种,物联网设备在线向物联网管理中心申请授权码信息。
[0045]具体过程如下:
[0046](I)物联网设备向物联网管理中心发送授权码申请;
[0047](2)物联网管理中心为物联网设备生成一个随机字段SI,用物联网设备的数字证书Cert_D中的公钥对SI进行加密,用物联网管理中心的数字证书Cert_C中的私钥对加密后的SI进行签名,将SI对应的加密信息(对SI的加密结果)和签名信息(对加密后的SI的签名结果)发送给物联网设备;
[0048](3)物联网设备生成一个随机字段S2,并用物联网管理中心的数字证书Cert_C中的公钥对S2进行加密,用物联网设备的数字证书Cert_D中的私钥对加密后的S2进行签名,将S2对应的加密信息(对S2的加密结果)和签名信息(对加密后的S2的签名结果)发送给物联网管理中心;
[0049](4)物联网设备和物联网管理中心分别用自身的数字证书中的私钥对接收到加密信息进行解密得到对方生成的随机字段(物联网设备接收到物联网管理中心发送的SI对应的加密信息,用物联网设备的数字证书Cert_D中的私钥解密后得到SI ;物联网管理中心接收到物联网管理设备发送的S2对应的加密信息,用物联网管理中心的数字证书Cert_C中的私钥解密后得到S2),并用对方的数字证书中的公钥对接收到的签名信息进行验证,验证通过后均根据SI和S2生成授权码信息,其中包括根据SI和S2计算出一个密钥,该密钥作为物联网设备的授权码信息中的根密钥。这里,根据字段SI和S2计算密钥的方法可以采用现有技术。
[0050](5)物联网管理中心将生成的授权码信息发送给物联网设备。