管理中心;物联网管理中心利用物联网设备对应的密钥信息中的会话密钥对数据信息进行解密得到数据信息,将数据信息发送到远程终端。
[0090]远程终端与物联网管理中心之间的信息传输安全问题可以采用现有技术方法,例如SSL技术。
[0091]在物联网中,物联网设备一般是通过物联网Hub连接到云端。在物联网设备与远程终端通信的过程中,物联网HUB只对经物联网管理中心加密的控制信息及物联网设备加密的数据信息进行转发但是无法解密,因此物联网设备与远程控制终端间通信对网关透明,从而有效阻止网关上的中间人攻击、防止第三方厂商设备的技术泄露。
[0092]以上是本发明物联网设备认证与密钥协商方法的原理性说明,基于上述原理,本发明提供了一种应用于物联网管理中心的物联网设备认证与密钥协商方法、及一种应用于物联网设备的物联网设备认证与密钥协商方法,下面结合图2和图3进行说明:
[0093]参见图2,图2是本发明实施例一物联网设备认证与密钥协商方法流程图,如图2所示,该方法应用于物联网管理中心,包括以下步骤:
[0094]步骤201、针对物联网设备生成授权码信息供物联网设备获取;
[0095]步骤202、在物联网设备获取所述授权码信息后,针对物联网设备生成密钥信息;
[0096]步骤203、利用所述授权码信息对所述密钥信息进行加密并计算校验信息,将加密后的密钥信息和计算的校验信息发送到物联网设备,以使物联网设备利用所述授权码信息对所述加密后的密钥信息进行解密得到所述密钥信息并根据所述校验信息完成物联网设备验证。
[0097]图2所示方法进一步包括:
[0098]接收到远程终端发送的需要发往物联网设备的控制信息时,利用所述密钥信息对所述控制信息进行加密并将加密后的控制信息发送到物联网设备,以使物联网设备利用所述密钥信息解密加密后的控制信息得到控制信息;
[0099]接收到物联网设备利用所述密钥信息对需要发往远程终端的数据信息进行加密得到的加密后的数据信息时,利用所述密钥信息将加密后的数据信息解密得到数据信息,将所述数据信息发送到远程终端。
[0100]图2所示方法中,
[0101]针对物联网设备生成授权码的方法为:
[0102]接收物联网设备厂商针对该物联网设备发送的授权码申请,为该物联网设备生成授权码信息,将授权码信息发送给物联网设备厂商,由物联网设备厂商将授权码信息存储到物联网设备;
[0103]或者,
[0104]接收物联网设备发送的授权码申请;
[0105]随机生成一字段SI,用物联网设备的数字证书Cert_D中的公钥对SI进行加密,用物联网管理中心的数字证书Cert_C中的私钥对加密后的SI进行签名,将SI对应的加密信息和签名信息发送给物联网设备,用以使物联网设备用Cert_D中的私钥对SI对应的加密信息进行解密得到SI,用Cert_C中的公钥对SI对应的签名信息进行验证,并在验证通过后根据SI和S2生成授权码信息;
[0106]接收物联网设备用Cert_C中的公钥对随机生成的字段S2进行加密,用Cert_D中的私钥对加密后的S2进行签名得到的S2对应的加密信息和签名信息;用Cert_C中的私钥对S2对应的加密信息进行解密得到S2,用Cert_D中的公钥对S2对应的签名信息进行验证,验证通过后根据SI和S2生成授权码信息,将授权码信息发送给物联网设备。
[0107]图2所示方法中,
[0108]所述授权码信息包括根密钥,所述密钥信息包括会话密钥;所述校验信息包括挑战值;
[0109]利用所述授权码信息对所述密钥信息进行加密并计算校验信息,将加密后的密钥信息和计算的校验信息发送到物联网设备的方法为:
[0110]用所述授权码信息中的根密钥对所述密钥信息中的会话密钥进行加密得到密钥密文;用所述密钥信息中的会话密钥对第一随机数进行加密得到挑战值;将所述密钥密文作为加密后的密钥信息,所述挑战值作为验证信息发送给物联网设备;
[0111]将加密后的密钥信息和计算的校验信息发送到物联网设备之后,进一步包括:接收物联网设备返回的应答信息,计算第一随机数的摘要值,将计算结果与应答信息中的应答值进行比较,若相同,则确定物联网设备验证通过,返回验证通过确认,否则,确定物联网设备验证未通过。
[0112]图2所示方法中,
[0113]所述授权码信息包括根密钥,所述密钥信息包括主密钥和会话密钥;所述校验信息包括挑战值和摘要值;
[0114]利用所述授权码信息对所述密钥信息进行加密并计算校验信息,将加密后的密钥信息和所述校验信息发送到物联网设备的方法为:
[0115]用所述授权码信息中的根密钥对所述密钥信息中的主密钥进行加密,得到第一密钥密文;用所述密钥信息中的主密钥对所述密钥信息中的会话密钥进行加密,得到第二密钥密文;用所述密钥信息中的会话密钥对第二随机数进行加密得到第一挑战值并计算第二随机数的摘要值;
[0116]将所述第一密钥密文、第二密钥密文作为加密后的密钥信息,所述第一挑战值和二随机数的摘要值作为校验信息发送给物联网设备;
[0117]将加密后的密钥信息和计算的校验信息发送到物联网设备之后,进一步包括:如果未接收到物联网设备返回的应答信息,则确定物联网设备验证未通过;如果接收到物联网设备返回的应答信息,则用所述密钥信息中的主密钥对应答信息进行解密得到应答值,若该应答值为第二随机数,则确定物联网设备验证通过,否则,确定物联网设备验证未通过。
[0118]参见图3,图3是本发明实施例二物联网设备认证与密钥协商方法,如图3所示,该方法应用于物联网设备,包括以下步骤:
[0119]步骤301、获取物联网管理中心针对物联网设备生成的授权码信息;
[0120]步骤302、接收物联网管理中心针对物联网设备生成密钥信息后,利用所述授权码信息对所述密钥信息加密后得到的加密后的密钥信息以及计算出的验证信息;
[0121]步骤303、利用所述授权码信息对加密后的密钥信息进行解密得到所述密钥信息,并根据所述校验信息完成物联网设备验证。
[0122]图3所示方法中,方法进一步包括:
[0123]需要向远程终端发送数据信息时,利用所述密钥信息对数据信息进行加密,将加密后的数据信息发往物联网管理中心,并由物联网管理中心利用所述密钥信息对加密后的数据信息进行解密后发送到远程终端;
[0124]接收到物联网管理中心在接收到远程终端发送的控制信息后利用所述密钥信息对控制信息加密后转发来的加密后的控制信息时,利用所述密钥信息进行解密得到控制信息。
[0125]图3所示方法中,
[0126]获取物联网管理中心针对物联网设备生成的授权码信息的方法为:
[0127]读取预先由物联网管理中心生成并由物联网设备厂商存储在物联网设备中的授权码信息;
[0128]或者,
[0129]向物联网管理中心发送授权码申请;
[0130]随机生成一字段S2,用物联网管理中心的数字证书Cert_C中的公钥对S2进行加密,用物联网设备的数字证书Cert_D中的私钥对加密后的S2进行签名,将S2对应的加密信息和签名信息发送给物联网管理中心,用以使物联网管理中心用Cert_C中的私钥对S2对应的加密信息进行解密得到S2,用Cert_D中的公钥对S2对应的签名信息进行验证,并在验证通过后根据随机生成的字段SI和S2生成授权码信息;
[0131]接收物联网管理中心用Cert_D中的公钥对随机生成的字段SI进行加密,用Cert_C中的私钥对加密后的SI进行签名得到的SI对应的加密信息和签名信息;利用Cert_D中的私钥对SI对应的加密信息进行解密得到字段SI并利用Cert_C中的公钥对SI对应的签名信息进行验证,验证通过后根据SI和S2计算物联网设备的授权码信息。
[0132]图3所示方法中,
[0133]所述授权码信息包括根密钥,所述密钥信息包括会话密钥;所述校验信息包括挑战值;所述加密后的密钥信息包括密钥密文;
[0134]利用所述授权码信息对加密后的密钥信息进行解密得到所述密钥信息,并根据所述校验信息完成物联网设备验证的方法为:
[0135]用所述授权码信息中的根密钥对密钥密文进行解密得到一密钥;用该密钥对所述校验信息中的挑战值进行解密,并将解密结果的摘要值作为应答值携带在应答信息中发送到物联网管理中心,如果接收到验证通过确认,则确定物联网设备验证通过,将该密钥作为所述密钥信息中的会话密钥,否则,确定物联网设备验证未通过。
[0136]图3所示方法中,
[0137]所述授权码信息包括根密钥,所述密钥信息包括主密钥和会话密钥;所述校验信息包括挑战值和摘要值;所述加密后的密钥信息包括第一密钥密文、第二密钥密文;
[0138]利用所述授权码信息对加密后的密钥信息进行解密得到所述密钥信息,并根据所述校验信息完成物联网设备验证的方法为:
[0139]用授权码信息中的根密钥对第一密钥密文解密得到第一密钥;用第一密钥对第二密钥密文解密得到第二密钥;
[0140]用第二密钥对所述校验信息中的挑战值进行解密,计算该解密结果的摘要值,将该摘要值与所述校验信息中的摘要值进行比较,如果相同,则确定物联网设备验证通过,将所述第一密钥、第二密钥分别作为所述密钥信息中的主密钥和会话密钥,并用所述密钥信息中的主密钥对解密结果进行加密,将加密结果作为应答值携带在应答信息中返回给物联网管理中心;如果不同,则确定物联网设备验证未通过。
[0141]本发明还提供了一种应用于物联网管理中心的物联网设备认证与密钥协商装置、及一种应用于物联网设备的物联网设备认证与密钥协商装置,下面结合图4和图5进行说明:
[0142]参见图4,图4是本发明实施例一物联网设备认证与密钥协商装置的结构示意图,如图4所示,该装置应用于物联网管理中心,包括:生成单元401、处理单元402 ;其中,
[014