一种物联网密钥管理中心系统、密钥分发系统和方法

一种物联网密钥管理中心系统、密钥分发系统和方法
【专利摘要】本发明公开了一种物联网密钥管理中心系统，用于生成和管理非对称密钥对，当收到物联网平台申请使用与物联网终端的私钥所对应公钥的请求时，查询密钥对信息，检查通过后向所述的物联网平台返回所述公钥，物联网密钥管理中心系统包括密钥生成模块、密钥分发模块、密钥管理模块。本发明还公开了一种物联网安全密钥分发系统，包括物联网平台、物联网终端和物联网密钥管理中心系统。本发明公开了一种物联网安全密钥分发方法。本发明既能解决平台分配密钥下发的依赖短信的问题，又能解决同时进行平台/终端设置密钥的繁琐而不可行的问题。
【专利说明】一种物联网密钥管理中心系统、密钥分发系统和方法
【技术领域】
[0001]本发明涉及物联网领域，具体地，涉及一种物联网密钥管理中心系统、密钥分发系统和方法。
【背景技术】
[0002]物联网是一种以机器终端智能交互为核心的、网络化的应用与服务。它通过各种终端采集数据，统一汇聚到物联网平台，为客户提供终端监控数据。物联网其最为重要的一项功能是利用终端上报的监控数据，完成某项管理功能，产生某种对人们生活有价值的信息、能力。物联网业务就是用户对物联网终端数据进行处理的逻辑组合。
[0003]目前，物联网安全终端密钥分配方式有两种:一是平台分配，即安全终端在注册时，由物联网平台将分配的通信密钥下发给终端；二是终端/平台预置，即安全终端在终端上设置密钥或使用出厂密钥，然后在平台上设置相应的密钥，终端注册时平台校验终端上报的密钥正确性，确保终端注册成功。
[0004]在目前的两种终端密钥分配模型，在实际使用过程中存在一些问题。第一种方式，安全终端注册时没有密钥相关信息，注册时由平台分配密钥。平台如何将生成的通信密钥如何安全地分发给终端是该方式必须首要解决的问题。目前实现环境中使用短信作为通信密钥的传输媒介，短信是一种点到点安全通信，但短信传输可靠性、延迟是实际应用过程中的主要障碍；另外使用短信这种传输方式，无疑限制了物联网安全终端注册的应用场景。对于第二种方式，采用在终端/平台两端同时进行通信密钥设置的方法，在终端较少时，是可行的；但对于物联网来说，同时设置成千上万的终端通信密钥是不可取的。

【发明内容】

[0005]为了解决上述技术问题，本发明提供了一种物联网密钥管理中心系统、密钥分发系统和方法，既能解决平台分配密钥下发的依赖短信的问题，又能解决同时进行平台/终端设置密钥的繁琐而不可行的问题。具体的技术方案如下:
[0006]一种物联网密钥管理中心系统，所述的密钥管理中心系统生成和管理非对称密钥对，当收到物联网平台申请使用与物联网终端的私钥所对应公钥的请求时，查询密钥对信息，检查通过后向所述的物联网平台返回所述公钥。
[0007]进一步地，密钥管理中心系统包括:
[0008]密钥生成模块:用于生成非对称密钥对，并将所述的密钥对输送到密钥管理模块；
[0009]密钥分发模块:用于接收所述物联网平台发送的使用与所述物联网终端的私钥所对应公钥的请求，向密钥管理模块提出查询密钥对信息的请求，接收密钥管理模块检查通过后返回的公钥，并向物联网平台输出所述的公钥。
[0010]密钥管理模块:用于存储所述密钥生成模块输入的密钥对，接收所述密钥分发模块查询密钥对信息的请求，并对所述的密钥对信息进行查询，检查通过后向密钥分发模块返回所述公钥。
[0011]进一步地，所述的密钥对信息包括密钥对的有效期以及公钥和私钥的对应信息。
[0012]本发明提供了一种物联网安全密钥分发系统，包括物联网平台、物联网终端和所述的物联网密钥管理中心系统。
[0013]本发明还提供了一种物联网安全密钥分发方法，包括:
[0014]物联网密钥管理中心系统生成并存储非对称密钥对；
[0015]物联网终端向物联网平台发起注册，并用所述非对称密钥对中的私钥对注册信息进行加密；
[0016]物联网平台根据物联网终端发起的注册请求向物联网密钥管理中心系统申请使用与所述物联网终端的私钥相对应的公钥；
[0017]物联网密钥管理中心系统接收物联网平台申请使用所述公钥的请求，并查询密钥对信息，检查通过后返回所述的公钥；
[0018]物联网平台根据物联网密钥管理中心系统返回的公钥对物联网终端的注册信息进行解密，完成注册流程。
[0019]进一步地，物联网密钥管理中心系统生成并存储非对称密钥对是指:密钥生成模块生成非对称密钥对，并将所述的密钥对输送到密钥管理模块，密钥管理模块存储所述密钥对。
[0020]进一步地，物联网平台根据物联网终端发起的注册请求向物联网密钥管理中心系统申请使用与所述物联网终端的私钥相对应的公钥是指:
[0021]物联网平台根据物联网终端发起的注册请求向密钥分发模块申请使用与所述物联网终端的私钥相对应的公钥；
[0022]密钥分发模块接收所述的公钥使用请求，并向密钥管理模块提出查询密钥对信息的请求。
[0023]进一步地，物联网密钥管理中心系统接收物联网平台申请使用所述公钥的请求，并查询密钥对信息，检查通过后返回所述的公钥是指:
[0024]密钥管理模块接收密钥分发模块提出的查询密钥对信息的请求，查询所述密钥对信息；
[0025]密钥对信息检查通过后，密钥管理模块向密钥分发模块返回所述公钥；
[0026]密钥分发模块向物联网平台返回所述公钥。
[0027]进一步地，密钥管理模块对密钥对信息的查询中包括对密钥对有效期的查询以及公钥和私钥的对应信息的查询。
[0028]本发明有益效果包括:
[0029]1、使物联网平台和终端可以同时设置密钥，解决了物联网终端没有密钥，而物联网平台下发密钥的安全性问题；
[0030]2、密钥系统采用非对称密钥，物联网平台和终端采用不同的密钥，有效提高了物联网通信的安全性。
【专利附图】

【附图说明】
[0031]图1为本发明实施例中物联网密钥分发系统的结构框图；[0032]图2为本发明实施例中物联网密钥分发方法的流程图。
【具体实施方式】
[0033]以下结合附图对本发明的优先实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，但不用于限定本发明。
[0034]参照图1，本发明涉及一种物联网安全密钥分发系统，包括物联网平台、物联网终端和物联网密钥管理中心系统，物联网密钥管理中心系统包括密钥生成模块、密钥分发模块和密钥管理模块。
[0035]密钥生成模块用于生成非对称密钥对，并将密钥对输送到密钥管理模块；密钥分发模块用于接收所述物联网平台发送的使用与所述物联网终端的私钥所对应公钥的请求，向密钥管理模块提出查询密钥对信息的请求，接收密钥管理模块检查通过后返回的公钥，并向物联网平台输出公钥；密钥管理模块用于存储所述密钥生成模块输入的密钥对，接收所述密钥分发模块查询密钥对信息的请求，并对密钥对信息进行查询，检查通过后向密钥分发模块返回公钥。
[0036]参照图2，本发明还涉及了一种物联网安全密钥分发方法，包括:
[0037]S1、密钥生成模块生成非对称密钥对，并将密钥对输送到密钥管理模块，密钥管理模块对该密钥对进行存储；
[0038]S2、物联网终端向物联网平台发起注册，并用所述非对称密钥对中的私钥对注册信息进行加密；
[0039]S3、物联网平台根据物联网终端发起的注册请求向密钥分发模块申请使用与物联网终端的私钥相对应的公钥；
[0040]S4、密钥分发模块接收公钥使用请求，并向密钥管理模块提出查询密钥对信息的请求；
[0041]S5、密钥管理模块接收密钥分发模块提出的查询密钥对信息的请求，查询密钥对信息，密钥对信息检查通过后，密钥管理模块向密钥分发模块返回公钥；
[0042]S6、密钥分发模块向物联网平台返回公钥；
[0043]S7、物联网平台根据物联网密钥管理中心系统返回的公钥对物联网终端的注册信息进行解密，完成注册流程。
[0044]物联网终端出厂之前，在安全密钥分发系统的密钥管理中心系统中生成非对称密钥加密密钥对，密钥管理中心模块以终端序列号为主键，建立终端密钥数据库，将终端所对应的密钥对存储在密钥管理中心模块，将非对称加密密钥对中的私钥以文件的形式或其它形式存储在终端之上。该私钥用于终端通信信息的加密，平台对终端身份的确认。
[0045]安全型终端注册时，使用预置或存储在终端上的非对称加密算法的私钥对通信相关数据进行加密，并向物联网平台发起注册操作。物联网平台收到终端注册消息后，物联网平台向物联网密钥管理中心发送终端密钥请求，获取安全型终端所对应的公钥，并用公钥对终端上报消息进行解密，处理终端注册流程。
[0046]密钥管理模块还提供终端密钥对更新提供，用户可以在密钥管理中心管理界面上更新，还提供具有权限的物联网平台通过更新接口更新密钥对。
[0047]本系统物联网安全终端采用在通信建立前注册时，使用非对称加密算法设置通信的基础密钥；终端注册后，平台和终端设置了一致的基础密钥，终端与平台再采用对称加密算法进行通/[目。
[0048]物联网密钥管理中心系统负责全系统内终端的密钥管理，对物联网平台提出的请求进行处理。物联网密钥管理中心系统与物联网平台之间可以采取多种访问方式。可以使用TCP短连接方式，也可以采用Web Service方式。
[0049]物联网密钥管理中心密钥分发模块负责密钥访问的接入，调用接口 XML表示如下:
[0050]请求报文:
[0051]
【权利要求】
1.一种物联网密钥管理中心系统，其特征在于:所述的密钥管理中心系统生成和管理非对称密钥对，当收到物联网平台申请使用与物联网终端的私钥所对应公钥的请求时，查询密钥对信息，检查通过后向所述的物联网平台返回所述公钥。
2.根据权利要求1所述的物联网密钥管理中心系统，其特征在于:包括: 密钥生成模块:用于生成非对称密钥对，并将所述的密钥对输送到密钥管理模块； 密钥分发模块:用于接收所述物联网平台发送的使用与所述物联网终端的私钥所对应公钥的请求，向密钥管理模块提出查询密钥对信息的请求，接收密钥管理模块检查通过后返回的公钥，并向物联网平台输出所述的公钥； 密钥管理模块:用于存储所述密钥生成模块输入的密钥对，接收所述密钥分发模块查询密钥对信息的请求，并对所述的密钥对信息进行查询，检查通过后向密钥分发模块返回所述公钥。
3.根据权利要求2所述的物联网密钥管理中心系统，其特征在于:所述的密钥对信息包括密钥对的有效期以及公钥和私钥的对应信息。
4.一种物联网安全密钥分发系统，其特征在于:包括物联网平台、物联网终端和根据权利要求1、2或3所述的物联网密钥管理中心系统。
5.一种物联网安全密钥分发方法，其特征在于:包括: 物联网密钥管理中心系统生成并存储非对称密钥对； 物联网终端向物联网平台发起注册，并用所述非对称密钥对中的私钥对注册信息进行加密； 物联网平台根据物联网终端 发起的注册请求向物联网密钥管理中心系统申请使用与所述物联网终端的私钥相对应的公钥； 物联网密钥管理中心系统接收物联网平台申请使用所述公钥的请求，并查询密钥对信息，检查通过后返回所述的公钥； 物联网平台根据物联网密钥管理中心系统返回的公钥对物联网终端的注册信息进行解密，完成注册流程。
6.根据权利要求5所述方法，其特征在于:所述物联网密钥管理中心系统生成并存储非对称密钥对是指: 密钥生成模块生成非对称密钥对，并将所述的密钥对输送到密钥管理模块，密钥管理模块存储所述密钥对。
7.根据权利要求5所述方法，其特征在于:所述物联网平台根据物联网终端发起的注册请求向物联网密钥管理中心系统申请使用与所述物联网终端的私钥相对应的公钥是指: 物联网平台根据物联网终端发起的注册请求向密钥分发模块申请使用与所述物联网终端的私钥相对应的公钥； 密钥分发模块接收所述的公钥使用请求，并向密钥管理模块提出查询密钥对信息的请求。
8.根据权利要求5所述方法，其特征在于:所述物联网密钥管理中心系统接收物联网平台申请使用所述公钥的请求，并查询密钥对信息，检查通过后返回所述的公钥是指: 密钥管理模块接收密钥分发模块提出的查询密钥对信息的请求，查询所述密钥对信息； 密钥对信息检查通过后，密钥管理模块向密钥分发模块返回所述公钥； 密钥分发模块向物联网平台返回所述公钥。
9.根据权利要求5所述方法，其特征在于:所述密钥管理模块对密钥对信息的查询中包括对密钥对有效期的 查询以及公钥和私钥的对应信息查询。
【文档编号】H04L9/30GK103475624SQ201210184774
【公开日】2013年12月25日 申请日期:2012年6月6日 优先权日:2012年6月6日
【发明者】蒋新春, 郑罡 申请人:中兴通讯股份有限公司