密钥信息包括第一密钥密文、第二密钥密文; 利用所述授权码信息对加密后的密钥信息进行解密得到所述密钥信息,并根据所述校验信息完成物联网设备验证的方法为: 用授权码信息中的根密钥对第一密钥密文解密得到第一密钥;用第一密钥对第二密钥密文解密得到第二密钥; 用第二密钥对所述校验信息中的挑战值进行解密,计算该解密结果的摘要值,将该摘要值与所述校验信息中的摘要值进行比较,如果相同,则确定物联网设备验证通过,将所述第一密钥、第二密钥分别作为所述密钥信息中的主密钥和会话密钥,并用所述密钥信息中的主密钥对解密结果进行加密,将加密结果作为应答值携带在应答信息中返回给物联网管理中心;如果不同,则确定物联网设备验证未通过。11.一种物联网设备认证与密钥协商装置,其特征在于,该装置应用于物联网管理中心,包括:生成单元、处理单元; 所述生成单元,用于针对物联网设备生成授权码信息供物联网设备获取;用于在物联网设备获取所述授权码信息后,针对物联网设备生成密钥信息; 所述处理单元,用于利用所述授权码信息对所述密钥信息进行加密并计算校验信息,将加密后的密钥信息和计算的校验信息发送到物联网设备,以使物联网设备利用所述授权码信息对所述加密后的密钥信息进行解密得到所述密钥信息并根据所述校验信息完成物联网设备验证。12.根据权利要求11所述的装置,其特征在于,该装置还包括接收单元; 所述接收单元,用于接收远程终端发送的需要发往物联网设备的控制信息;用于接收物联网设备利用所述密钥信息对需要发往远程终端的数据信息进行加密得到的加密后的数据信息; 所述处理单元,用于接收单元接收到远程终端发送的需要发往物联网设备的控制信息时,利用所述密钥信息对所述控制信息进行加密并将加密后的控制信息发送到物联网设备,以使物联网设备利用所述密钥信息解密加密后的控制信息得到控制信息;用于接收单元接收到物联网设备利用所述密钥信息对需要发往远程终端的数据信息进行加密得到的加密后的数据信息时,利用所述密钥信息将加密后的数据信息解密得到数据信息,将所述数据信息发送到远程终端。13.根据权利要求12所述的装置,其特征在于, 所述生成单元针对物联网设备生成授权码时,用于: 接收物联网设备厂商针对该物联网设备发送的授权码申请,为该物联网设备生成授权码信息,将授权码信息发送给物联网设备厂商,由物联网设备厂商将授权码信息存储到物联网设备; 或者, 接收物联网设备发送的授权码申请; 随机生成一字段SI,用物联网设备的数字证书Cert_D中的公钥对SI进行加密,用物联网管理中心的数字证书Cert_C中的私钥对加密后的SI进行签名,将SI对应的加密信息和签名信息发送给物联网设备,用以使物联网设备用Cert_D中的私钥对SI对应的加密信息进行解密得到SI,用Cert_C中的公钥对SI对应的签名信息进行验证,并在验证通过后根据SI和随机生成的字段S2生成授权码信息; 接收物联网设备用Cert_C中的公钥对S2进行加密,用Cert_D中的私钥对加密后的S2进行签名得到的S2对应的加密信息和签名信息;用Cert_C中的私钥对S2对应的加密信息进行解密得到S2,用Cert_D中的公钥对S2对应的签名信息进行验证,验证通过后根据SI和S2生成授权码信息,将授权码信息发送给物联网设备。14.根据权利要求13所述的装置,其特征在于, 所述授权码信息包括根密钥,所述密钥信息包括会话密钥;所述校验信息包括挑战值; 所述处理单元利用所述授权码信息对所述密钥信息进行加密并计算校验信息,将加密后的密钥信息和计算的校验信息发送到物联网设备时,用于:用所述授权码信息中的根密钥对所述密钥信息中的会话密钥进行加密得到密钥密文;用所述密钥信息中的会话密钥对第一随机数进行加密得到挑战值;将所述密钥密文作为加密后的密钥信息,所述挑战值作为验证信息发送给物联网设备; 所述处理单元将加密后的密钥信息和计算的校验信息发送到物联网设备之后,进一步用于:接收物联网设备返回的应答信息,计算第一随机数的摘要值,将计算结果与应答信息中的应答值进行比较,若相同,则确定物联网设备验证通过,返回验证通过确认,否则,确定物联网设备验证未通过。15.根据权利要求13所述的装置,其特征在于, 所述授权码信息包括根密钥,所述密钥信息包括主密钥和会话密钥;所述校验信息包括挑战值和摘要值; 所述处理单元利用所述授权码信息对所述密钥信息进行加密并计算校验信息,将加密后的密钥信息和所述校验信息发送到物联网设备时,用于:用所述授权码信息中的根密钥对所述密钥信息中的主密钥进行加密,得到第一密钥密文;用所述密钥信息中的主密钥对所述密钥信息中的会话密钥进行加密,得到第二密钥密文;用所述密钥信息中的会话密钥对第二随机数进行加密得到第一挑战值并计算第二随机数的摘要值;将所述第一密钥密文、第二密钥密文作为加密后的密钥信息,所述第一挑战值和第二随机数的摘要值作为校验信息发送给物联网设备; 所述处理单元将加密后的密钥信息和计算的校验信息发送到物联网设备之后,进一步用于:如果未接收到物联网设备返回的应答信息,则确定物联网设备验证未通过;如果接收到物联网设备返回的应答信息,则用所述密钥信息中的主密钥对应答信息进行解密得到应答值,若该应答值为第二随机数,则确定物联网设备验证通过,否则,确定物联网设备验证未通过。16.一种物联网设备认证与密钥协商装置,其特征在于,该装置应用于物联网设备,包括:获取单元、接收单元、处理单元; 所述获取单元,用于获取物联网管理中心针对物联网设备生成的授权码信息; 所述接收单元,用于接收物联网管理中心针对物联网设备生成密钥信息后,利用所述授权码信息对所述密钥信息加密后得到的加密后的密钥信息以及计算出的验证信息; 所述处理单元,用于接收单元接收到物联网管理中心针对物联网设备生成密钥信息后,利用所述授权码信息对所述密钥信息加密后得到的加密后的密钥信息以及计算出的验证信息时,利用所述授权码信息对加密后的密钥信息进行解密得到所述密钥信息,并根据所述校验信息完成物联网设备验证。17.根据权利要求16所述的装置,其特征在于, 所述接收单元,进一步用于接收物联网管理中心在接收到远程终端发送的控制信息后利用所述密钥信息对控制信息加密后转发来的加密后的控制信息; 所述处理单元,进一步用于需要向远程终端发送数据信息时,利用所述密钥信息对数据信息进行加密,将加密后的数据信息发往物联网管理中心,并由物联网管理中心利用所述密钥信息对加密后的数据信息进行解密后发送到远程终端;用于接收单元接收到物联网管理中心在接收到远程终端发送的控制信息后利用所述密钥信息对控制信息加密后转发来的加密后的控制信息时,利用所述密钥信息进行解密得到控制信息。18.根据权利要求17所述的装置,其特征在于, 所述获取单元获取物联网管理中心针对物联网设备生成的授权码信息时,用于: 读取预先由物联网管理中心生成并由物联网设备厂商存储在物联网设备中的授权码信息; 或者, 向物联网管理中心发送授权码申请; 随机生成一字段S2,用物联网管理中心的数字证书Cert_C中的公钥对S2进行加密,用物联网设备的数字证书Cert_D中的私钥对加密后的S2进行签名,将S2对应的加密信息和签名信息发送给物联网管理中心,用以使物联网管理中心用Cert_C中的私钥对S2对应的加密信息进行解密得到S2,用Cert_D中的公钥对S2对应的签名信息进行验证,并在验证通过后根据随机生成的字段SI和S2生成授权码信息; 接收物联网管理中心用Cert_D中的公钥对随机生成的字段SI进行加密,用Cert_C中的私钥对加密后的SI进行签名得到的SI对应的加密信息和签名信息;利用Cert_D中的私钥对SI对应的加密信息进行解密得到字段SI并利用Cert_C中的公钥对SI对应的签名信息进行验证,验证通过后根据SI和S2计算物联网设备的授权码信息。19.根据权利要求17所述的装置,其特征在于, 所述授权码信息包括根密钥,所述密钥信息包括会话密钥;所述校验信息包括挑战值;所述加密后的密钥信息包括密钥密文; 所述处理单元利用所述授权码信息对加密后的密钥信息进行解密得到所述密钥信息,并根据所述校验信息完成物联网设备验证时,用于: 用所述授权码信息中的根密钥对密钥密文进行解密得到一密钥;用该密钥对所述校验信息中的挑战值进行解密,并将解密结果的摘要值作为应答值携带在应答信息中发送到物联网管理中心,如果接收到验证通过确认,则确定物联网设备验证通过,将该密钥作为所述密钥信息中的会话密钥,否则,确定物联网设备验证未通过。20.根据权利要求17所述的装置,其特征在于, 所述授权码信息包括根密钥,所述密钥信息包括主密钥和会话密钥;所述校验信息包括挑战值和摘要值;所述加密后的密钥信息包括第一密钥密文、第二密钥密文; 所述处理单元利用所述授权码信息对加密后的密钥信息进行解密得到所述密钥信息,并根据所述校验信息完成物联网设备验证时,用于: 用授权码信息中的根密钥对第一密钥密文解密得到第一密钥;用第一密钥对第二密钥密文解密得到第二密钥;用第二密钥对所述校验信息中的挑战值进行解密,计算该解密结果的摘要值,将该摘要值与所述校验信息中的摘要值进行比较,如果相同,则确定物联网设备验证通过,将所述第一密钥、第二密钥分别作为所述密钥信息中的主密钥和会话密钥,并用所述密钥信息中的主密钥对解密结果进行加密,将加密结果作为应答值携带在应答信息中返回给物联网管理中心;如果不同,则确定物联网设备验证未通过。
【专利摘要】本发明提供了一种物联网设备认证与密钥协商方法和装置,技术方案为:物联网管理中心为物联网设备生成授权码并发给物联网设备,为物联网设备生成密钥信息,利用授权码对密钥信息进行加密得到密文并计算校验信息,并将密文和校验信息发送给物联网设备;物联网设备利用授权码信息密文解密得到密钥信息,并根据校验信息完成物联网设备验证。本发明能够用于实现物联网的通信安全。
【IPC分类】H04L29/06
【公开号】CN105162772
【申请号】CN201510471109
【发明人】柳亚男, 陈斌德, 池浩
【申请人】三星电子(中国)研发中心, 三星电子株式会社
【公开日】2015年12月16日
【申请日】2015年8月4日