骤SI,鉴权信息生成模块120用于执行步骤S3,写入模块130用于执行步骤S2和步骤S4。
[0099]作为本发明的一种优选实施方式,组织结构构建模块110包括:
[0100]根节点密钥对生成单元111(用于执行步骤Sll),该根节点密钥生成单元111用于生成所述根节点密钥对;
[0101]核心密钥对生成单元112(用于执行步骤S12),该核心密钥对生成单元112用于生成所述核心密钥对;
[0102]第一签名单元113(用于执行步骤S13),该第一签名单元113的输入端与根节点密钥对生成单元110的输出端和核心密钥对生成单元112的输出端分别相连,以获取所述根节点密钥对的根节点私钥和所述核心密钥对的公钥,并利用所述根节点密钥对的根节点私钥对所述核心密钥对的公钥进行签名,以生成该核心密钥对的签名。
[0103]优选地,鉴权信息生成模块120包括:
[0104]标识符生成单元121(用于执行步骤S31),该标识符生成单元121用于生成与所述物联网终端唯一对应的内部标识符;
[0105]非对称密钥对生成单元122(用于执行步骤S32),该非对称密钥对生成单元122用于生成非对称密钥对;
[0106]第二签名单元123(用于执行步骤S33),该第二签名单元123的输入端分别与非对称密钥生成单元122的输出端和组织结构树构件模块110的输出端分别相连,以获取所述终端签名密钥对的私钥和所述非对称密钥对的公钥,并利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名,以获得物联网终端签名;其中,
[0107]所述物联网终端200的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥和所述内部标识符。
[0108]优选地,物联网终端加密装置100还包括终端分类模块140,该终端分类模块140的输入端与物联网中所有物联网终端200的输出端分别相连,以获得所述物联网终端的业务类型和终端信息,终端分裂模块140能够按照业务类型对物联网终端200进行分类,终端分类模块140的输出端与组织结构树构建模块110的输入端相连,以分别将各个业务类型的物联网终端的终端信息发给所述组织结构树构建模块;其中,
[0109]组织结构树构建模块110能够为每种类型的物联网终端200都生成一个对应的根节点密钥对。
[0110]优选地,所述核心密钥对还包括指令密钥对、消息密钥对和主撤销密钥对中的至少一者。
[0111]可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
【主权项】
1.一种物联网终端加密方法,其特征在于,所述物联网终端加密方法包括: 构建密钥组织结构树,所述密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对和链路通信密钥对; 将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中; 利用所述密钥组织结构树生成所述物联网终端的鉴权信息; 将所述鉴权信息写入所述物联网终端和所述物联网后台鉴权系统中。2.根据权利要求1所述的物联网终端加密方法,其特征在于,构建密钥组织结构树的方法包括: 生成所述根节点密钥对; 生成所述核心密钥对; 利用所述根节点密钥对的根节点私钥对所述核心密钥对的公钥进行签名,以生成该核心密钥对的签名。3.根据权利要求1或2所述的物联网终端加密方法,其特征在于,利用所述密钥组织结构树生成所述物联网终端的鉴权信息的步骤包括: 生成与所述物联网终端唯一对应的内部标识符; 生成非对称密钥对; 利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名,以获得物联网终端签名,其中, 所述物联网终端的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥和所述内部标识符。4.根据权利要求3所述的物联网终端加密方法,其特征在于,所述物联网终端加密方法还包括在构建密钥组织结构树的步骤之前进行的: 按照业务类型对所述物联网终端进行分类;其中, 在构建密钥组织结构树的步骤中,每种类型的物联网终端对应一个根节点密钥对。5.根据权利要求3所述的物联网终端加密方法,其特征在于,所述核心密钥对还包括指令密钥对、消息密钥对和主撤销密钥对中的至少一者。6.—种物联网终端加密装置,其特征在于,所述物联网终端加密装置包括: 组织结构树构建模块,所述组织结构树构建模块用于构建密钥组织结构树,所述密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述跟节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对和链路通信密钥对; 鉴权信息生成模块,所述鉴权信息生成模块用于根据所述组织结构树生成所述物联网终端的鉴权信息; 写入模块,所述写入模块用于将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中,并且,所述写入模块用于将所述鉴权信息写入所述物联网终端和所述物联网后台鉴权系统中。7.根据权利要求6所述的物联网终端加密装置,其特征在于,所述组织结构构建模块包 括: 根节点密钥对生成单元,所述根节点密钥生成单元用于生成所述根节点密钥对; 核心密钥对生成单元,所述核心密钥对生成单元用于生成所述核心密钥对; 第一签名单元,所述第一签名单元的输入端与所述根节点密钥对生成单元的输出端和所述核心密钥对生成单元的输出端分别相连,以获取所述根节点密钥对的根节点私钥对所述核心密钥对,并利用所述根节点密钥对的根节点私钥对所述核心密钥对的公钥进行签名,以生成该核心密钥对的签名。8.根据权利要求6或7所述的物联网终端加密装置,其特征在于,所述鉴权信息生成模块包括: 标识符生成单元,所述标识符生成单元用于生成与所述物联网终端唯一对应的内部标识符; 非对称密钥对生成单元,所述非对称密钥对生成单元用于生成非对称密钥对; 第二签名单元,所述第二签名单元的输入端分别与所述非对称密钥生成单元的输出端和所述组织结构树构件模块的输出端分别相连,以获取所述终端签名密钥对的私钥和所述非对称密钥对的公钥,并利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名,以获得物联网终端签名;其中, 所述物联网终端的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥和所述内部标识符。9.根据权利要求6或7所述的物联网终端加密装置,其特征在于,所述物联网终端加密装置还包括终端分类模块,所述终端分类模块的输入端与物联网中所有物联网终端的输出端分别相连,以获取所有物联网终端的业务类型和终端信息,所述终端分类模块能够按照业务类型对物联网终端进行分类,所述终端分类模块的输出端与所述组织结构树构建模块的输入端相连,以分别将各个业务类型的物联网终端的终端信息发给所述组织结构树构建模块;其中, 所述组织结构树构建模块能够为每种类型的物联网终端都生成一个对应的根节点密钥对。10.根据权利要求6或7所述的物联网终端加密装置,其特征在于,所述核心密钥对还包括指令密钥对、消息密钥对和主撤销密钥对中的至少一者。
【专利摘要】本发明提供一种物联网终端加密方法,包括:构建密钥组织结构树,所述密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对和链路通信密钥对;将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中;利用所述密钥组织结构树生成所述物联网终端的鉴权信息;将所述鉴权信息写入所述物联网终端和所述物联网后台鉴权系统中。本发明还提供一种物联网终端加密装置。利用所述物联网终端加密方法对物联网终端进行加密可以提高物联网的安全性。
【IPC分类】H04L29/08, H04L29/06
【公开号】CN105610872
【申请号】CN201610150560
【发明人】李文杰
【申请人】中国联合网络通信集团有限公司
【公开日】2016年5月25日
【申请日】2016年3月16日