CN108390885B - 一种获得设备标识的方法、通信实体、通信系统及存储介质 - Google Patents
一种获得设备标识的方法、通信实体、通信系统及存储介质 Download PDFInfo
- Publication number
- CN108390885B CN108390885B CN201810171257.1A CN201810171257A CN108390885B CN 108390885 B CN108390885 B CN 108390885B CN 201810171257 A CN201810171257 A CN 201810171257A CN 108390885 B CN108390885 B CN 108390885B
- Authority
- CN
- China
- Prior art keywords
- entity
- public key
- terminal
- message
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供了一种获取设备标识ID的方法,终端和网络设备。该方法包括:第一实体向第二实体发送用于获取设备ID的第一消息,所述设备ID用于全局唯一的标识所述终端;所述第一消息中携带公钥,所述公钥是终端基于PUF生成的公钥。所述第一实体接收所述第二实体发送的第二消息和信息,所述第二消息中携带所述公钥,所述信息用于标识所述公钥为所述终端的设备ID;所述第一实体是终端时,终端确定所述公钥为所述设备ID。该方法能够有效避免设备ID重复,简化配置流程,节省系统开销,提高获取设备ID的整体方案的安全性和可用性。
Description
技术领域
本申请涉及通信技术领域,涉及一种获得设备标识的方法以及装置,尤其是涉及一种物联网中获得终端的设备标识的方法及装置。
背景技术
物联网(英文:Internet of things,IoT)是通过使用射频识别(英文:RadioFrequency Identification,RFID)、传感器、红外感应器、全球定位系统、激光扫描器等信息采集设备,按约定的协议,把任何物品与互联网连接起来,进行信息交互和通信,以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网将各种具备信息传感功能的终端,通过移动通信网络和物联网平台连接。
具备信息传感功能的终端也可以称之为终端设备或物联网终端或物联网设备。随着物联网产业蓬勃发展,海量不同类型的终端通过固定或者移动互联网的互联网协议(英文: Internet Protocol,IP)数据通道与网络和应用进行信息交互,为此,需要为终端分配设备标识,以便于对终端进行管理。
在传统网络中,通常采用预配置的方式来配置终端的设备标识。例如,对于移动终端,运营商提供给终端的用户标识信息和出厂时写入终端的识别信息计算生成终端的身份识别标识,用于移动终端的认证。对于有线终端,运营商提供的入网密钥和出厂时写入终端的识别信息生成身份识别标识。由于不同的厂家采用不同的配置方式,不同厂家为终端配置的标识的类型,规格可能都不相同。另外,也存在不同厂家为不同的终端配置了相同标识的情形。上述情况给物联网中的设备管理带来一定的复杂性。
为了配置全局唯一的设备标识,对于移动终端,现有技术中采用例如国际移动设备标识 (英文:international mobile equipment identify,IMEI)来对终端进行唯一标识,但是需要预先到注册机构进行注册,配置流程相对复杂,并且注册成本高,标识循环使用效率低。
进一步地,采用上述方式生成的设备标识存在过于简单而被盗用身份的问题,在被盗窃或者非法入侵时,限于设备标识过于简单,很容易被仿冒成功。
作为安全管理的重要一环,如何对设备进行可信认证,如何生成唯一的的设备标识,以便于管理,简化配置流程,以及提高获得设备标识的整体方案的安全性和可用性,成为目前亟待解决的问题。
发明内容
有鉴于此,本申请实施例提供了一种获取设备ID的方法,用于提供一种具有更高的安全性和可用的获得设备ID的整体方案。
第一方面,本申请实施例提供了一种获取设备ID的方法,该方法包括:第一实体向第二实体发送用于为终端请求所述设备ID的第一消息,所述设备ID用于全局唯一的标识所述终端。该第一消息中携带公钥,该公钥为所述终端基于物理不可克隆功能生成的公钥。该第一实体接收该第二实体发送的第二消息,该第二消息包括上述公钥。该第一实体接收该第二实体发送的第一信息,所述第一信息用于标识所述公钥为所述终端的设备ID。
在一个可能的设计中,该第一实体为终端,该终端基于接收到的所述第二消息和所述第一信息,确定所述公钥为所述设备ID。
第一信息可以是携带在该第二消息中,也可以是携带在与第二消息不同的消息中的。当该第一信息携带在第二消息中时,该第一实体接收该第二实体发送的第二消息的操作(为了便于表述,简称为操作1)以及该第一实体接收该第二实体发送的第一信息的操作(操作2) 可以被理解成是由同一个操作完成的。当所述第一信息携带在与第二消息不同的消息中时,操作1可以在操作2之前,之后或者与操作2同时执行。
在本申请中,由终端生成获取设备ID的请求,请求中携带基于PUF生成的公钥,第二实体基于接收到的第一实体发送的请求,将所述公钥确定为终端的设备ID,并向终端发送信息指示该公钥为所述设备ID。由此,第二实体基于终端的请求,动态的向终端分配设备ID,无需采用预配置的方式对终端进行ID分配,也无需预先到注册机构进行注册,简化了配置流程,节省了注册成本,并且由于无需预配置设备ID,提高了设备ID的循环使用效率。另外,采用密钥对中的公钥作为设备ID,保证了设备ID的唯一性,避免设备ID发生重复,并且基于公钥的设备ID相对现有的设备ID相对复杂,降低了设备标识过于简单而被仿冒的可能性。
在一个可能的设计中,所述第一实体为所述终端,所述方法还包括:所述第一实体根据接收到的所述第二消息和所述第一信息,确定所述公钥为所述设备ID。
在一个可能的设计中,该第一消息中携带公钥,具体是指:所述第一消息中携带由证书颁发中心CA签发的公钥证书,所述公钥证书中携带所述公钥。通过CA签发证书,使得不必提前将公钥部署到网络设备中,简化了配置流程。
第二方面,本申请提供了一种获取设备ID的方法,该方法包括:第二实体设备接收第一实体发送的用于为终端请求所述设备ID的第一消息,所述设备ID用于全局唯一地标识所述终端,该第一消息中携带公钥,该公钥为所述终端基于物理不可克隆功能生成的公钥。所述第二实体根据所述第一消息中携带的公钥与自身保存的公钥,确定所述终端通过身份验证。例如,当所述第一消息中携带的公钥与自身保存的公钥相同时,第二实体确认所述终端通过身份验证。所述第二实体向所述第一实体发送第二消息和第一信息,第二消息中携带所述公钥,所述第一信息用于标识所述公钥为所述终端的设备ID。第二方面所提供的方法的技术效果参见第一方面的说明,此处不再赘述。
在一个可能的设计中,所述第二实体中部署有ID管理系统。
在一个可能的设计中,所述第一实体中部署有设备管理系统。
在一个可能的设计中,所述第一实体为所述终端。
在一个可能的设计中,所述第一消息中携带由证书颁发中心CA签发的公钥证书,所述公钥证书中携带所述公钥。通过CA签发证书,使得不必提前将公钥部署到网络设备中,简化了配置流程。
第三方面,本申请实施例提供了一种通信实体,用作第一实体,用于执行第一方面或第一方面任意可能的设计中的方法。具体地,该第一实体包括用于执行第一方面或第一方面任意可能的实施方式中的方法的模块。
第四方面,本申请实施例提供了一种通信实体,用作第二实体,用于执行第二方面或第二方面任意可能的设计中的方法。具体地,该第二实体包括用于执行第二方面或第二方面任意可能的实施方式中的方法的模块。
第五方面,本申请实施例提供了一种通信实体,包括:收发机、处理器和存储器。其中,收发机、处理器和存储器之间可以通过总线系统相连。该存储器用于存储程序、指令或代码,所述处理器用于执行所述存储器中的程序、指令或代码,完成第一方面或第一方面任意可能的设计中的方法中的操作。
第六方面,本申请实施例提供了一种通信实体,包括:收发机、处理器和存储器。其中,收发机、处理器和存储器之间可以通过总线系统相连。该存储器用于存储程序、指令或代码,所述处理器用于执行所述存储器中的程序、指令或代码,完成第二方面或第二方面任意可能的设计中的方法的操作。
第七方面,本申请实施例提供了一种通信系统,包括第三方面或第五方面提供的通信实体以及第四方面或第六方面提供的通信实体。
第八方面,本申请提实施例供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行第一方面、第二方面、第一方面任意可能的实现方式或第二方面任意可能的实现方式中的方法的指令。
根据本申请实施例提供的方法、终端、网络设备和系统,终端基于PUF生成一个密钥对,密钥对包括公钥和私钥。终端向部署有ID管理系统的通信实体发送注册请求,注册请求中携带所述公钥。通信实体收到注册请求后,利用注册请求中携带的公钥确定终端身份进行验证后,向终端返回所述公钥,以及用于指示所述公钥为设备ID的信息。由此,终端获得了自身的设备ID。该方法能够有效保证设备ID的唯一性,尤其在物联网海量设备的场景中,可以有效避免设备ID重复所带来的管理困难的问题。进一步地,可以采用公钥对中的私钥对终端发送的信息进行签名,使得通信时,无需预先配置认证凭据,也无需协商额外的密钥,在海量终端的场景下,极大的节省了配置认证凭据,协商密钥所需的开销,极大的简化了配置流程,提高了处理效率。
附图说明
附图1为本申请实施例提供的一种物联网系统架构示意图;
附图2为本申请实施例提供的一种获取设备ID的方法流程示意图;
附图3为本申请实施例提供的一种获取设备ID的方法流程示意图;
附图4为本申请实施例提供的一种获取设备ID的方法流程示意图;
附图5为本申请实施例提供的一种获取设备ID的方法流程示意图;
附图6为本申请实施例提供的一种终端的结构示意图;
附图7为本申请实施例提供的一种网络设备的结构示意图;
具体实施方式
本申请实施例描述的应用场景是为了更加清楚的说明本申请实施例的技术方案,并不表示对于本申请实施例提供的技术方案只能限定于其应用场景。本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
除非有相反的说明,本申请中提及“1”、“2”、“3”、“第一”、“第二”以及“第三”等序数词用于对多个对象进行区分,不用于限定多个对象的顺序。
本申请中提及的“A和/或B”,应该理解为包括以下情形:仅包括A,仅包括B,或者同时包括A和B。
以下,对本申请中的部分用语进行简单介绍,以方便本领域技术人员理解。
本申请所述的“PUF”,是指物理不可克隆功能(英文:physical unclonablefunction, PUF),是一种芯片领域的“生物特征”识别技术。在芯片制造过程中,即便两个芯片拥有相同的设计、甚至制造过程,其物理属性仍有一些不同。从分子尺度来讲,总是存在不可避免和不可控制的变量,这些变量使得每个芯片都是独一无二的。这些变量是完全随机的,而且不能消除,即使在最先进的生产线上,同一片晶圆上的芯片也会存在内部的结构差异。基于 PUF提取芯片制造过程中的变量,来产生完全随机的密钥。这些密钥不可预测和安排,永久存在,即使芯片的制造商也无法仿制。PUF生成密钥的算法可以使用已有的算法,例如通用关键字密码(英文:Rivest-Shamir-Adelman,RSA)算法或数字签名算法(英文:digital signature algorithm,DSA),本申请不再赘述。
本申请的“终端”既可以指运营商或者内容服务提供商拥有、管理或者使用的设备,也可以包括常见的用户终端设备。“终端”也可以被称为终端设备,网络设备,节点或节点设备。当应用于物联网时,也可以被称为物联网网络节点,物联网终端,终端设备,物联网设备,物联网节点设备或物联网终端设备。总之,任何具备信息传感功能的设备都可以称之为终端。终端可以是移动电话(或称为“蜂窝”电话),个人通信业务(PersonalCommunication Service,PCS)电话、无绳电话、会话发起协议(Session InitiationProtocol,SIP)话机、无线本地环路(Wireless Local Loop,WLL)站、个人数字助理(Personal Digital Assistant,PDA)等设备。终端例如还可以是各种网络设备,也可以称之为接入网设备,可以是gNB(gNode B),可以是普通的基站(例如WCDMA系统中的基站(NodeB,NB),LTE系统中的演进型基站(Evolutional NodeB,eNB或eNodeB),GSM或CDMA中的基站(Base Transceiver Station,BTS)),可以是新无线控制器(New Radio controller,NR controller),可以是集中式网元(Centralized Unit),可以是新无线基站,可以是射频拉远模块,可以是移动管理实体(mobile management entity,MME),可以是微基站,可以是分布式网元(Distributed Unit),可以是接收点(Transmission Reception Point,TRP)或传输点(Transmission Point, TP),还可以是云无线接入网络(Cloud Radio AccessNetwork,CRAN)场景下的无线控制器,或者该网络设备可以为中继站、接入点、车载设备以及未来网络中的网络设备或者任何其它接入设备,但本申请实施例不限于此。终端还可以是家庭网关,智能可穿戴设备(例如,智能手表,智能手环,智能眼镜,智能耳机,智能头盔,智能戒指,智能鞋,智能项链等等),各种家用电器(例如,冰箱,洗衣机,电视,热水器,电饭煲,微波炉,烤箱,面包机,足浴盆,空气净化器,加湿器,音箱等等),各种交通以及运输工具(例如,汽车,飞机,火车,船,自行车,摩托车等等),各种仪器仪表,网络设备(例如路由器,交换机,服务器,防火墙,控制器等等)等等,本申请不限于此,无法一一穷举,因此不再赘述。
本申请所述的“物联网平台”是一个比较广泛的概念,能够对物联网终端所收集的数据信息进行综合、整理、分析和反馈等操作,主要提供海量终端的管理、数据管理、运营管理和安全的管理。物联网平台融合了很多先进的技术,包括云计算、大数据、人工智能等,以满足对物联网进行信息运输和交互的需求。物联网平台可以由多个具有不同功能的处理平台组成,负责根据应用需求从感知数据中提取用于控制和决策的数据,并转化成不同的格式,便于多个应用系统共享。在实际应用中,物联网平台可以是由一个或多少设备构成。从类型上,物联网平台从底层到高层可分为四个平台类型:终端管理平台、连接管理平台、应用开发平台和业务分析平台。其中,终端管理平台主要负责对物联网终端进行注册管理,身份识别,访问控制,配置,监控,查询,系统升级,故障排查、生命周期管理等。连接管理平台主要负责对物联网连接配置和故障管理、网络资源用量管理、连接资源管理、套餐变更、号码/IP地址/MAC资源管理等。应用开发平台可以提供应用开发和统一数据存储的平台即服务 (英文:platformas a service,Paas)平台,提供应用开发工具、中间件、数据存储、业务逻辑引擎、对接第三方应用平台接口(英文:application platform interface,API)等。业务分析平台主要用于对业务数据进行分类处理、分析并提供视觉化数据分析结果,通过实时动态分析,监控设备状态并予以预警,或通过机器学习,对业务进行分析预测。
本申请所述的“网络设备”,是指在信息交换时,用来表示任何可收发信息以及可对信息进行处理的硬件。例如可以是个人电脑,服务器,路由器,交换机等。当网络设备用于物联网平台时,可以用于执行上述终端管理平台、连接管理平台、应用开发平台和/或业务分析平台的部分或者全部功能,网络设备中可以部署有设备管理系统和/或标识(英文:identifier,ID)管理系统。
本申请所述的“实体”,是指在信息交换时,用来表示任何可发送或接收信息的硬件或软件进程。例如可以指代一个设备(device),一个装置(appratus),一个芯片,设备或装置中的一个部件(component),也可以指代设备、装置或芯片中的一个软件进程。在本申请中,实体可以是上述的终端,也可以是上述的网络设备,可以是终端或网络设备中的一个芯片,也可以是终端或者网络设备中运行的一个软件进程,本申请对此不做具体限定。
本申请所述的“设备管理系统”,部署在所述物联网平台中,例如,可以部署在上述的终端管理平台中。“设备管理系统”是一个设备集中管理系统,主要用于集中管理(包含配置、查讯,监控等)设备(例如终端)以及设备的相关业务信息。设备管理系统可以部署在一台或者多台网络设备上。
本申请所述的“ID管理系统”,部署在所述物联网平台中,例如,可以部署在上述的终端管理平台中。“ID管理系统”例如可以是身份认证即服务(英文:Identity as aservice,IDaas)系统,用于管理设备(例如终端)的设备ID信息,包括创建、配置、验证、激活、查询设备ID等操作。该ID管理系统可以部署在一台或者多台网络设备上。
所述ID管理系统和所述设备管理系统可以集成部署在同一台网络设备上,也可以分别部署在不同的网络设备上,本申请实施例对此不作具体限定。
本申请所述的“IDaas”,可称之为身份即认证服务,也可称之为身份和访问管理作为一种服务,使用的是一种云计算的基础设施来安全的管理用户身份和访问。
本申请所述的“全局唯一的公钥”,是指在拥有多个终端的网络或系统中,任意一个终端生成的公钥与另一个终端生成的公钥是不同的,即不会发生重复。例如,终端1生成公钥1,其它终端,例如终端2,基于相同或者不同的算法,均无法生成和公钥1相同的公钥。
本申请所述的“全局唯一的标识”,是指在拥有多个终端的网络或系统中,任意一个终端的设备ID与另一个终端的设备ID是不同的,即不会发生重复。
在本申请中,“公钥”也可以称之为“公开密钥”,“私钥”也可以称之为“私有密钥”。公钥和私钥是通过某种算法得到的一个密钥对,即密钥对由一个公钥和一个私钥组成。公钥是密钥对中公开的部分,私钥则是非公开的部分。在本申请中提及“公钥以及与该公钥对应的私钥”(或相类似的表述)则表示该私钥与公钥组成一个密钥对,类似的“私钥以及与该私钥对应的公钥”(或相类似的表述)也是表示该私钥和该公钥组成一个密钥对。
图1是本申请实施例提供的一种物联网系统的系统架构示意图,物联网系统包括多个终端101以及与该多个终端101通信连接的物联网平台102。其中物联网平台102中包括终端管理平台103,连接管理平台104,应用开发平台105以及业务分析平台106。终端管理平台 103中部署在至少一个网络设备中,图1中仅以两个网络设备(网络设备107和网络设备108) 为例进行举例说明,不应构成对本申请的限制。部署终端管理平台103的网络设备中可以部署设备管理系统和ID管理系统。设备管理系统用于对终端进行统一管理,对终端进行配置,查看以及监控终端状态和业务状态。ID管理系统用于生成,更新,删除和/或验证终端的设备ID。其中,设备管理系统和ID管理系统可以部署在同一个网络设备中,例如网络设备107,可以由不同的芯片完成相应的功能,也可以是同一个芯片上的两个进程。设备管理系统和ID 管理系统也可以部署在不同的网络设备中,例如设备管理系统部署在网络设备107中,ID管理系统部署在网络设备108中,本申请对此不作具体限定。该物联网系统也可以包括证书颁发中心(英文:certification authority,CA)109,CA是负责签发证书、认证证书、管理已颁发证书的机关。例如,CA为每个使用公开密钥的终发放一个数字证书,数字证书用于证明证书中列出的用户合法拥有证书中列出的公开密钥。需要说明的是,图1仅是示意图,仅以物联网平台和多个终端之间的交互为例来进行介绍,不应对本申请的应用场景造成限定。该物联网系统中可以包括其它的终端。终端管理平台103,连接管理平台104,应用开发平台 105以及业务分析平台106的功能可以分别由不同的网络设备来执行,也可以由一个网络设备来执行上述4个平台的所有功能,也可以由一个网络设备来执行上述4个平台中部分功能,另外的一个或多个网络设备来执行其他的功能,本申请对此不作具体限定。本申请实施例中对于终端以及网络设备的数量不做限定。例如,网络设备是多个的情况下,可以每个网络设备分别对一个或多个终端进行管理,也可以是多个网络设备共同对一个或多个终端进行管理。
虽然本申请中以物联网为例对本申请的应用场景进行介绍,但是本领域技术人员可以理解,本申请的技术方案适用于各种不同的网络场景,本申请对此不作具体限定。
图2是根据本申请实施例提供的一种获取设备ID的方法200的流程示意图。应用方法200 的网络架构至少包括实体1,实体2和实体3,举例来说,实体1可以是图1所示的网络架构中的终端101,实体2可以是图1所示的网络架构中部署有设备管理系统的的网络设备108,实体3可以是图1所示的网络架构中的部署有ID管理系统的网络设备107,其中ID管理系统例如可以是IDaas系统。该网络架构可以是图1所示的网络架构。方法200包括以下操作。
S201、实体1向实体2发送消息1。
消息1用于向实体2发送注册请求,同时也用于向实体2指示为终端请求设备ID。具体来说,终端要接入物联网时,需要在设备管理系统中进行注册,在设备管理系统中成功注册的终端可以接入所述物联网,进行相关的操作。其中,消息1中携带公钥1,该公钥1是终端预先生成的全局唯一的密钥。具体来说,终端预先生成全局唯一的密钥对,该密钥对中包括公钥1。例如,在终端出厂阶段,终端基于PUF生成包括公钥1和私钥1的密钥对1,并且由网络管理员或者网络管理系统将公钥1提前配置到实体3中。终端请求获取设备ID时,在消息1中携带公钥1。实体2收到消息1后,保存公钥1,本申请中,采用公钥1作为终端的设备ID,因此,实体2保存了公钥1,相当于完成了终端的注册。在下文所述的S202中,实体2向实体3发送的消息2中也携带该公钥1。实体3收到消息2后,根据消息2中携带的公钥1与本地保存的公钥1,对终端进行身份验证。如果消息2中携带的公钥1与实体3中保存的公钥1相同,则认为终端通过身份验证。
S202、实体2向实体3发送消息2。
消息2用于为终端请求设备ID。实体2接收到所述消息1后,基于消息1的指示,生成并向所述实体3发送消息2,为所述终端请求设备ID。
消息1和消息2可以通过消息类型来标识该消息2用于请求设备ID,也可以通过相应的比特位来标识该消息2用于请求设备ID。
在一个具体的实施方式中,在S202之后,方法200还可以包括:S203、实体3对终端进行身份验证。
网络设备2可以但不限于采用以下几种方式对终端的身份进行验证。
方式一
实体3根据与终端协商的认证凭据对终端进行身份验证。具体来说,实体3和终端预先协商认证凭据,并将协商好的认证凭据保存在本地。终端请求获取设备ID时,在消息1中携带该认证凭据。实体2向实体3发送的消息2中也携带所述认证凭据。实体3收到消息2后,根据消息2中携带的认证凭据与本地保存的认证凭据,对终端的身份进行验证。如果消息2 中携带的认证凭据与本地保存的认证凭据匹配,则认为终端通过身份认证。
方式二
实体3根据全局唯一的密钥对终端进行身份验证。具体来说,终端预先生成全局唯一的密钥对,例如,在终端出厂阶段,终端基于PUF生成包括公钥1和私钥1的密钥对1,并且由网络管理员或者网络管理系统将公钥1提前配置到网络设备2中。终端请求获取设备ID时,在消息1中携带公钥1。实体2向实体3发送的消息2中也携带该公钥1。实体3收到消息2后,根据消息2中携带的公钥1与本地保存的公钥1,对终端进行身份验证。如果消息2中携带的公钥1与实体3中保存的公钥1相同,则认为终端通过身份验证。
方式三:
实体3根据密钥证书对终端进行身份认证。具体来说,终端预先生成全局唯一的密钥对,例如,在终端出厂阶段,基于PUF生成包括公钥1和私钥1的密钥对1。终端将公钥1发送给CA,由CA签发公钥证书,并将公钥证书返回给终端,其中,该公钥证书中携带所述公钥1。采用CA签发公钥证书的方式,使得不必提前在实体3中配置公钥1,简化了配置流程。终端在请求获取设备ID时,在消息1中携带公钥证书。实体2向实体3发送的消息2中也携带所述公钥证书。实体3收到消息2后,对所述公钥证书进行验证,验证通过,则确认终端通过身份验证。
通过对终端进行身份验证,尤其是采用方式二或方式三的方法对终端进行身份验证,使得实体3中部署的ID管理系统只对通过身份验证的终端分配设备ID,有效避免非可信的终端申请对ID管理系统带来的资源消耗。S203不是必须的操作,当不执行S203时,在S202后,可以执行S204。
S204、实体3向实体2返回携带公钥1的消息3。
S205、实体3向实体2返回信息1,信息1用于标识公钥1为所述终端的设备ID。
实体3收到消息2后,获取消息2中携带的公钥1,响应于消息2的请求,保存公钥1,登记公钥1为终端的设备ID。实体3完成登记之后,向实体2返回携带公钥1的消息3,并发送信息1指示消息3中携带的公钥1为终端的设备ID。信息1可以是消息类型,也可以是消息中相应的比特位。所述信息1可以承载在消息3中,也可以承载在与消息3不同的消息中。
S206、实体2向实体1返回消息4,消息4中携带公钥1
S207、实体2向实体1返回信息2,信息2用于标识公钥1为终端的设备ID。
信息2用于标识上述的公钥1为设备ID。信息2可以是消息类型,也可以是消息中相应的比特位。所述信息2可以承载在消息4中,也可以承载在与消息4不同的消息中。
S208、实体1接收所述消息4和信息2,确定公钥1为所述设备ID。
实体1接收消息4和信息2,获取消息4中携带的公钥1并根据信息2的指示确定所述公钥1为终端的所述设备ID,这样终端就确定获得了自己的设备ID。
在一个具体的实施方式中,在S207后,方法200还可以包括:
S209、终端向实体2发送经过私钥1签名的消息5。
具体来说,消息5可用于向实体2中部署的设备管理系统确认终端注册成功。消息5也可以用于向实体2上报设备ID,即公钥1、设备状态信息、设备位置信息和/或设备类型等信息。具体地,可以通过消息5中的消息类型,也可以通过消息5中相应的比特位来标识消息5所要执行的操作。消息5中可以携带作为设备ID的公钥1。实体2接收到消息5后,可以采用公钥1验证消息5的签名,进而对终端的身份进行验证。
其中,S209和S208的执行顺序不分先后,即S209可以在S208之前执行,S209也可以在S208之后执行,S209也可以与S208同时执行。
在一个具体的实施方式中,在S208后,方法200还可以包括:终端向实体4发送经过私钥1签名的消息6。
举例来说,实体4可以是上述终端以外的其它终端。终端和实体4之间进行信息交互,终端使用私钥1对消息6携带的信息进行签名,消息6中携带作为设备ID的公钥1。实体4接收到消息6后,可以直接从消息6中提取公钥1,从而无需预先获取公钥1,即可验证消息 6的签名,进而对终端的身份进行验证。
本实施例中的消息1至消息6可以是传输控制协议(英文:Transmission ControlProtocol,TCP)消息,也可以是用户数据包协议(英文:User datagram protocol,UDP) 消息。
图3是根据本申请实施例提供的一种获取设备ID的方法300的流程示意图。应用方法300 的网络架构至少包括实体1和实体2,举例来说,在一种实施方式中,实体1例如可以是图1 所示的网络架构中的终端101,实体2例如可以是图1所示的部署有ID管理系统的网络设备 107或部署有ID管理系统的网络设备108,实体2还可以是ID管理系统本身。在另一种实施方式中,实体1例如可以是图1所示的部署有设备管理系统的网络设备107,实体2例如可以是部署有ID管理系统的网络设备108。在另一种实施方式中,实体1例如可以是设备管理系统,实体2例如可以是ID管理系统。设备管理系统和ID管理系统部署在同一个网络设备中,例如图1所示的网络设备107或网络设备108。其中,ID管理系统例如可以是IDaas系统。该网络架构可以是图1所示的网络架构。方法300包括以下操作。
S301、实体1向实体2发送消息1。
消息1用于为终端请求设备ID,其中,消息1中携带公钥1,该公钥1是终端预先生成的全局唯一的密钥。具体来说,终端预先生成全局唯一的密钥对,该密钥对中包括公钥1。例如,在终端出厂阶段,终端基于PUF生成包括公钥1和私钥1的密钥对1,并且由网络管理员或者网络管理系统将公钥1提前配置到实体2中。终端请求获取设备ID时,在消息1中携带公钥1。消息1中可以通过消息类型来标识该消息用于请求设备ID,也可以通过相应的比特位来标识该消息1用于请求设备ID。
在一个具体的实施方式中,在S301之后,方法300还可以包括:S302、实体2对终端进行身份验证。
网络设备1可以但不限于采用以下几种方式对终端的身份进行验证。
方式一、实体2根据和终端协商的认证凭据对终端进行身份验证。具体来说,实体2和终端协商认证凭据,并保存认证凭据。终端请求获取设备ID时,在消息1中携带协商好的认证凭据。实体2收到消息1后,根据消息1中携带的认证凭据与自身保存的认证凭据,对终端的身份进行验证。实体2确定消息1中携带的认证凭据与本地保存的认证凭据匹配,则认为终端通过身份认证。
方式二、实体2根据全局唯一的密钥对终端进行身份验证。具体来说,终端预先生成全局唯一的密钥对,例如在终端出厂阶段,基于PUF生成包括公钥1和私钥1的密钥对1,并且由网络管理员或者网络管理系统将公钥1提前配置到实体2中。终端在请求获取设备ID时,在消息1中携带公钥1。实体2收到消息1后,根据消息1中携带的公钥1与保存的公钥1,对终端进行身份验证。如果消息1中携带的公钥1与实体2中保存的公钥1相同,则认为终端通过身份验证。
方式三、实体2根据密钥证书对终端进行身份验证。具体来说,终端预先生成全局唯一的密钥对,例如在终端出厂阶段,基于PUF生成包括公钥1和私钥1的密钥对1。终端将公钥1发送给CA进行证书签发,由CA签发公钥证书,并返回给终端,其中,该公钥证书中携带所述公钥1。采用CA签发公钥证书的方式,使得不必提前在实体2中配置公钥1,简化了配置流程。终端在请求获取设备ID时,在消息1中携带公钥证书。实体2收到消息1后,对消息1中携带的所述公钥证书进行验证,验证通过,则确认终端通过身份验证。
通过对终端进行身份验证,使得ID管理系统只对通过身份验证的终端分配设备ID,有效避免非可信的终端申请对ID管理系统带来的资源消耗。S302不是必须地操作。当不执行S302 时,在S301后,执行S303。
S303、实体2向实体1发送消息2,消息2中携带公钥1。
在本申请实施例中,实体2收到为终端请求设备ID的请求消息后,将公钥1配置给终端,作为终端的设备ID。
S304、实体2向实体1发送信息1,信息1用于指示公钥1为终端的设备ID。
信息1可以是消息类型,也可以是消息中相应的比特位。所述信息1可以承载在消息2 中,也可以承载在与消息2不同的消息中。
S305、实体1接收消息2和信息1。
S306、终端确定公钥1为所述设备ID。
终端接收消息2后,获取消息2中携带的公钥1,根据信息1的指示,确定公钥1为所述设备ID,这样终端就获得了自己的设备ID。
图4是根据本申请实施例提供的又一种获取设备ID的方法400的流程示意图。应用方法400的网络架构至少包括第一实体和第二实体。举例来说,第一实体可以是图1所示的网络架构中的终端101,第二实体可以是图1所示的网络架构中的网络设备108。第一实体也可以是图1所示的网络架构中部署有设备管理系统的网络设备107或网络设备108,第二实体也可以是部署有ID管理系统的网络设备107或网络设备108。第二实体中部署有设备管理系统和/或ID管理系统。该网络架构可以是图1所示的网络架构。方法400包括以下操作。
S401、第一实体向第二实体发送用于为所述终端请求所述设备ID的第一消息,所述设备 ID用于全局唯一的标识所述终端。该第一消息中携带公钥,该公钥为所述终端基于物理不可克隆功能生成的公钥。
第一消息可以是TCP消息,也可以是UDP消息。第一消息可以通过消息类型来标识该第一消息用于请求设备ID,也可以通过相应的比特位来标识该第一消息用于请求设备ID。
S402、所述第一实体接收所述第二实体发送的第二消息,所述第二消息携带所述公钥。
S403、所述第一实体接收所述第二实体发送的第一信息,所述第一信息用于标识所述公钥为所述终端的设备ID。
该信息可以是消息类型,也可以是消息中相应的比特位。S403中发送的第一信息可以承载在S402中发送的第一消息中,也可以承载在与第一消息不同的消息中。
当所述第一信息是携带在所述第二消息中时,S402和S403可以被理解成是由同一个操作完成的。当所述第一信息携带在与第一消息不同的消息中时,403可以在S402之前,之后或者与S402同时执行。
在一个具体的实施方式中,所述第一实体是终端,所述方法还包括:S404、第一实体确定所述公钥为所述设备ID。
第一实体是终端时,终端根据第一信息的指示,确定第二消息中携带的公钥为所述设备 ID,这样终端就确定获得了自己的设备ID。
在一个具体的实施方式中,所述第一实体中部署有设备管理系统,所述第二实体中部署有ID管理系统,在所述第一实体接收所述第二消息和所述第一信息之后,所述方法还包括:
所述第一实体向所述终端发送第三消息和第二信息,第三消息中携带所述公钥,所述第二信息用于标识所述公钥为所述终端的设备ID。
所述第三消息和所述第二信息用于向终端通告所述设备ID。所述第二信息可以承载在所述第二消息中,也可以承载在与该第二消息不同的消息中。
在一个具体的实施方式中,终端可以在S401之前,例如,在终端出厂阶段,终端基于PUF 生成公钥和私钥。网络管理员或者网络管理系统可以将该公钥提前配置到部署有ID管理系统的第二实体中;或者,终端将公钥发送给CA,由CA进行证书签发,CA将签发的公钥证书返回给终端。通过CA签发证书,使得不必提前将公钥部署到第二实体中,简化了配置流程。所述第一消息中携带公钥,包括:第一消息中直接携带所述公钥;或者,所述第一消息中携带所述CA签发的公钥证书,所述公钥证书中携带所述公钥。终端在请求获取设备ID时,在第一消息中携带所述公钥。如果第二实体中部署有ID管理系统,则第二实体根据第一消息中携带的公钥与自身保存的公钥,对终端进行身份验证。
图5是根据本申请实施例提供的又一种获取设备ID的方法500的流程示意图。应用方法 500的网络架构至少包括第一实体和第二实体。举例来说,第一实体可以是图1所示的网络架构中的终端101,第二实体可以是图1所示的网络架构中的网络设备108。第一实体也可以是图1所示的网络架构中部署有设备管理系统的网络设备107或网络设备108,第二实体也可以是部署有ID管理系统的网络设备107或网络设备108。第二实体中部署有设备管理系统和/或ID管理系统。该网络架构可以是图1所示的网络架构。方法500包括以下操作。
S501、第二实体接收第一实体发送的用于为终端请求所述设备ID的第一消息,所述设备 ID用于全局唯一地标识所述终端。该第一消息中携带公钥,该公钥为所述终端基于物理不可克隆功能生成的公钥。
第一消息例如可以是TCP消息,也可以是UDP消息。第一消息可以通过消息类型来标识该第一消息用于请求设备ID,也可以通过相应的比特位来标识该第一消息用于请求设备ID。
S502、所述第二实体根据所述第一消息中携带的公钥与自身保存的公钥,确定所述终端通过身份验证。
S503、所述第二实体向所述第一实体发送第二消息,第二消息中携带所述公钥。
S504、所述第二实体向所述第一实体发送第一信息,所述第一信息用于标识所述公钥为所述终端的设备ID。该第一信息可以是消息类型,也可以是消息中相应的比特位。该第一信息可以承载在该第二消息中,也可以承载在与该第二消息不同的消息中。第二消息例如可以是TCP消息,也可以是UDP消息。当所述第一信息是携带在第一消息中时,S503和S504也可以被理解成是由同一个操作完成的。当所述第一信息是携带在与第一消息不同的消息中时, S503可以在S504之前,之后或者与S504同时执行。
在一个具体的实施方式中,所述第二实体中部署有设备管理系统。
在一个具体的实施方式中,所述第一实体中部署有设备管理系统。
在一个具体的实施方式中,所述第一实体为终端,所述第二实体中部署有设备管理系统和ID管理系统。
在一个具体的实施方式中,终端申请设备ID之前,例如,在终端出厂阶段,基于PUF生成公钥和私钥。网络管理员或者网络管理系统可以将公钥提前配置到部署有ID管理系统的实体中;或者,终端将公钥发送给CA,由CA进行证书签发,CA将签发的公钥证书返回给终端。通过CA签发证书,使得不必提前将公钥部署到ID管理系统中,简化了配置流程。所述第一消息中携带公钥,包括:第一消息中直接携带所述公钥;或者,所述第一消息中携带所述CA 签发的公钥证书,所述公钥证书中携带所述公钥。终端在请求获取设备ID时,在第一消息中携带所述公钥。
根据本申请实施例提供的方法,将终端基于PUF生成的密钥对中的公钥作为设备ID,能够有效保证设备ID的唯一性,尤其在物联网海量设备的场景中,可以有效避免设备ID重复所带来的管理困难的问题。进一步地,采用密钥对中的私钥对终端发送的信息进行签名,使得通信时,无需预先配置认证凭据,也无需协商额外的密钥,在海量终端的场景下,极大的节省了配置认证凭据,协商密钥所需的开销,极大的简化了配置流程,提高了处理效率。
以上,结合图2-图5说明了说明书根据本申请实施例提供的获取设备ID的方法。以下,结合图6和图7对与上述各方法实施例对应的第一实体和第二实体进行描述。
图6是本申请实施例提供的一种通信实体600的示意图。该通信实体600可以应用于图1 所示的网络架构中,例如可以是图1所示的网络架构中的终端101。如图6所示,通信实体 600可以包括处理器610,与所述处理器610耦合连接的存储器620,收发器630。处理器610 可以是中央处理器(英文:central processingunit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:generic array logic,缩写:GAL)或其任意组合。处理器610可以是指一个处理器,也可以包括多个处理器。存储器620可以包括易失性存储器(英文:volatilememory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-onlymemory,缩写:ROM),快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写: HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存储器还可以包括上述种类的存储器的组合。在一个实施方式中,存储器620可以包括多个软件模块,例如发送模块621,处理模块622和接收模块623。通过执行上述软件模块中的指令,处理器610可用于执行多个操作。存储器620可以是指一个存储器,也可以包括多个存储器。在一些实施方式中,当一个模块被配置用于执行一个操作,它可能实际表示处理器610被配置于执行模块中的指令以完成上述操作。通过执行存储器620中的指令,处理器610可以执行方法200、300、400或500中所述的实体1或第一实体所执行的部分或全部操作。例如,处理器610可以通过收发器630向第二实体发送为终端所述请求设备ID的消息1,通过收发器630接收第二实体发送的包括公钥和标识公钥1为设备ID的信息,并且根据所述收到的公钥和信息确定所述公钥为终端的设备ID。
发送模块621用于向第二实体发送用于为所述终端请求所述设备ID的第一消息,所述设备ID用于全局唯一的标识所述终端。第一消息携带终端基于PUF生成的公钥。接收模块623 用于接收所述第二实体发送的携带所述公钥的第二消息,还用于接收所述第二实体发送的信息,所述信息用于标识所述公钥为所述终端的设备ID。处理模块622用于确定所述公钥为所述设备ID。
图7是本申请实施例提供的一种通信实体700的示意图。该通信实体700可以应用于图1 所示的网络架构中,例如可以是图1所示的网络架构中的网络设备107或者网络设备108。如图7所示,通信实体700可以包括处理器710,与所述处理器710耦合连接的存储器720,收发器730。处理器710可以是CPU,NP或者CPU和NP的组合。处理器还可以进一步包括硬件芯片。上述硬件芯片可以是ASIC,PLD或其组合。上述PLD可以是CPLD,FPGA,GAL 或其任意组合。处理器710可以是指一个处理器,也可以包括多个处理器。存储器720可以包括易失性存储器(英文:volatile memory),例如RAM;存储器也可以包括非易失性存储器(英文:non-volatile memory),例如ROM,快闪存储器(英文:flash memory),HDD或 SSD;存储器还可以包括上述种类的存储器的组合。在一个实施方式中,存储器720可以包括多个软件模块,例如发送模块721,处理模块722和接收模块723。通过执行上述软件模块中的指令,处理器710可用于执行多个操作。存储器720可以是指一个存储器,也可以包括多个存储器。在一些实施方式中,当一个模块被配置用于执行一个操作,它可以表示处理器710 被配置于执行模块中的指令以完成上述操作。在一个实施方式中,通过执行存储器720中的指令,处理器710可以执行方法200、300、400或500中第二实体或实体2,以及方法700 或方法800中第一网络设备所执行的部分或全部操作。例如,处理器710可以通过收发器730 接收终端发送所述请求设备ID的消息1,通过收发器730向终端发送消息2和标识公钥1为设备ID的信息1。
接收模块723用于接收第一实体发送的用于为所述终端请求所述设备ID的第一消息,所述设备ID用于全局唯一地标识所述终端。发送模块721用于向所述第一发送第二消息,第二消息中携带公钥。发送模块721还用于向所述第一实体发送第一信息,所述第一信息用于标识所述公钥为所述终端的设备ID。
在一个实施方式中,所述第一消息中携带由证书颁发中心CA签发的公钥证书,所述公钥证书中携带所述公钥。
在一个实施方式中,通过执行存储器720中的指令,处理器710也可以全部或者部分的执行方法200,方法300,方法400或方法500所执行的全部操作。
本申请实施例中,收发器可以是有线收发器,无线收发器或其组合。有线收发器例如可以为以太网接口。以太网接口可以是光接口,电接口或其组合。无线收发器例如可以为无线局域网收发器,蜂窝网络收发器或其组合。图6以及图7中还可以包括总线接口,总线接口可以包括任意数量的互联的总线和桥,具体由处理器代表的一个或多个处理器和存储器代表的存储器的各种电路链接在一起。总线接口还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机提供用于在传输介质上与各种其他设备通信的单元。处理器负责管理总线架构和通常的处理,存储器可以存储处理器在执行操作时所使用的数据。
本申请还提供了一种通信系统,包括第一实体和第二实体,所述第二实体可以是图6对应实施例所提供的通信实体。所述第二实体可以是图7对应实施例提供的通信实体。所述通信系统用于执行图2-图5任一实施例的方法。
本领域技术任何还可以了解到本申请实施例列出的各种步骤(step)可以通过电子硬件、电脑软件,或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本申请实施例保护的范围。
本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM 存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息,存储媒介还可以集成到处理器中。
应理解,在本申请的各种实施例中,各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的模块及方法操作,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)) 或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
本说明书的各个部分均采用递进的方式进行描述,各个实施方式之间相同相似的部分互相参见即可,每个实施方式重点介绍的都是与其他实施方式不同之处。尤其,对于装置和系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例部分的说明即可。
本申请说明书的上述描述可以使得本领域技术任何可以利用或实现本申请的内容,任何基于所公开内容的修改都应该被认为是本领域显而易见的,本申请所描述的基本原则可以应用到其它变形中而不偏离本申请的发明本质和范围。因此,本申请所公开的内容不仅仅局限于所描述的实施例和设计,还可以扩展到与本申请原则和所公开的新特征一致的最大范围。
Claims (26)
1.一种获取设备标识ID的方法,其特征在于,包括:
第一实体向第二实体发送用于为终端请求所述设备ID的第一消息,所述设备ID用于全局唯一的标识所述终端,该第一消息中携带公钥,该公钥为所述终端基于物理不可克隆功能生成的公钥;
所述第一实体接收所述第二实体发送的第二消息,所述第二消息中携带所述公钥;
所述第一实体接收所述第二实体发送的第一信息,所述第一信息用于标识所述公钥为所述终端的设备ID。
2.根据权利要求1所述的方法,其特征在于,所述第一实体为所述终端,所述方法还包括:
所述第一实体根据接收到的所述第二消息和所述第一信息,确定所述公钥为所述设备ID。
3.根据权利要求1所述的方法,其特征在于,在所述第一实体接收所述第二消息和所述第一信息之后,所述方法还包括:
所述第一实体向所述终端发送第三消息和第二信息,第三消息中携带所述公钥,所述第二信息用于标识所述公钥为所述终端的设备ID。
4.根据权利要求1-3任一项所述的方法,其特征在于,该第一消息中携带公钥,具体是指:
所述第一消息中携带由证书颁发中心CA 签发的公钥证书,所述公钥证书中携带所述公钥。
5.一种获取设备标识ID的方法,其特征在于,包括:
第二实体接收第一实体发送的用于为终端请求所述设备ID的第一消息,所述设备ID用于全局唯一地标识所述终端,该第一消息中携带公钥,该公钥为所述终端基于物理不可克隆功能生成的公钥;
所述第二实体向所述第一实体发送第二消息和第一信息,第二消息中携带所述公钥,所述第一信息用于标识所述公钥为所述终端的设备ID。
6.根据权利要求5所述的方法,其特征在于,所述第二实体中部署有ID管理系统。
7.根据权利要求5或6所述的方法,其特征在于,所述第一实体中部署有设备管理系统。
8.根据权利要求5或6所述的方法,其特征在于,所述第一实体为所述终端。
9.根据权利要求5或6所述的方法,其特征在于,在所述第二实体向所述第一实体发送所述第二消息和所述第一信息之前,所述方法还包括:
所述第二实体确定所述终端通过身份验证。
10.根据权利要求9所述的方法,其特征在于,所述第二实体确定所述终端通过身份验证,包括:
所述第二实体根据所述第一消息中携带的所述公钥与自身保存的公钥,确定所述终端通过身份验证。
11.根据权利要5或6所述的方法,其特征在于,
所述第一消息中携带由证书颁发中心CA 签发的公钥证书,所述公钥证书中携带所述公钥。
12.根据权利要求11所述的方法,其特征在于,在所述第二实体向所述第一实体发送所述第二消息和所述第一信息之前,所述方法还包括:
所述第二实体对所述公钥证书进行验证,验证通过,确定所述终端通过身份验证。
13.一种通信实体,用作第一实体,其特征在于,包括:
存储器,该存储器存储有计算机程序;
与所述存储器连接的处理器,所述处理器执行所述计算机程序,使得所述第一实体实现:
向第二实体发送用于为终端请求设备标识ID的第一消息,所述设备ID用于全局唯一的标识所述终端,该第一消息中携带公钥,该公钥为所述终端基于物理不可克隆功能生成的公钥;
接收所述第二实体发送的第二消息,所述第二消息中携带所述公钥;
接收所述第二实体发送的第一信息,所述第一信息用于标识所述公钥为所述终端的设备ID。
14.根据权利要求13所述的通信实体,其特征在于,所述第一实体为所述终端,所述处理器还用于执行所述计算机程序,使得所述第一实体实现:
根据接收到的所述第二消息和所述第一信息,确定所述公钥为所述设备ID。
15.根据权利要求13所述的通信实体,其特征在于,所述处理器还用于执行所述计算机程序,使得所述第一实体实现:
向所述终端发送第三消息和第二信息,第三消息中携带所述公钥,所述第二信息用于标识所述公钥为所述终端的设备ID。
16.根据权利要求13-15任一项所述的通信实体,其特征在于,该第一消息中携带公钥,具体是指:所述第一消息中携带由证书颁发中心CA 签发的公钥证书,所述公钥证书中携带所述公钥。
17.一种通信实体,用作第二实体,其特征在于,包括:
存储器,该存储器包括程序;
与所述存储器连接的处理器,所述处理器用于执行所述计算机程序,使得所述第二实体实现:
接收第一实体发送的用于为终端请求设备标识ID的第一消息,所述设备ID用于全局唯一地标识所述终端,该第一消息中携带公钥,该公钥为所述终端基于物理不可克隆功能生成的公钥;
向所述第一实体发送第二消息和第一信息,第二消息中携带所述公钥,所述第一信息用于标识所述公钥为所述终端的设备ID。
18.根据权利要求17所述的通信实体,其特征在于,所述第二实体中部署有ID管理系统。
19.根据权利要求17或18所述的通信实体,其特征在于,所述第一实体中部署有设备管理系统。
20.根据权利要求17或18所述的通信实体,其特征在于,所述第一实体为所述终端。
21.根据权利要求17或18所述的通信实体,其特征在于,在向所述第一实体发送所述第二消息和所述第一信息之前,所述处理器还用于执行所述计算机程序,使得所述第二实体实现:
确定所述终端通过身份验证。
22.根据权利要求21所述的通信实体,其特征在于,所述处理器具体用于执行所述计算机程序,使得所述第二实体实现:
根据所述第一消息中携带的所述公钥与所述第二实体自身保存的公钥,确定所述终端通过身份验证。
23.根据权利要求17 或18所述的通信实体,其特征在于,
所述第一消息中携带由证书颁发中心CA 签发的公钥证书,所述公钥证书中携带所述第二公钥。
24.根据权利要求23所述的通信实体,其特征在于,在向所述第一实体发送所述第二消息和所述第一信息之前,所述处理器还用于执行所述计算机程序,使得所述第二实体实现:
对所述公钥证书进行验证,验证通过,确定所述终端通过身份验证。
25.一种通信系统,包括第一实体和第二实体,其中,所述第一实体为权利要求13-16任一项所述的通信实体,所述第二实体为权利要求17-24任一项所述的通信实体。
26.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可读程序,当其在计算机上运行时,使得所述计算机执行权利要求1-12任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810171257.1A CN108390885B (zh) | 2018-03-01 | 2018-03-01 | 一种获得设备标识的方法、通信实体、通信系统及存储介质 |
CN202010700378.8A CN112019503B (zh) | 2018-03-01 | 2018-03-01 | 一种获得设备标识的方法、通信实体、通信系统及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810171257.1A CN108390885B (zh) | 2018-03-01 | 2018-03-01 | 一种获得设备标识的方法、通信实体、通信系统及存储介质 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010700378.8A Division CN112019503B (zh) | 2018-03-01 | 2018-03-01 | 一种获得设备标识的方法、通信实体、通信系统及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108390885A CN108390885A (zh) | 2018-08-10 |
CN108390885B true CN108390885B (zh) | 2020-08-07 |
Family
ID=63070137
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010700378.8A Active CN112019503B (zh) | 2018-03-01 | 2018-03-01 | 一种获得设备标识的方法、通信实体、通信系统及存储介质 |
CN201810171257.1A Active CN108390885B (zh) | 2018-03-01 | 2018-03-01 | 一种获得设备标识的方法、通信实体、通信系统及存储介质 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010700378.8A Active CN112019503B (zh) | 2018-03-01 | 2018-03-01 | 一种获得设备标识的方法、通信实体、通信系统及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (2) | CN112019503B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112019647A (zh) | 2018-02-12 | 2020-12-01 | 华为技术有限公司 | 一种获得设备标识的方法及装置 |
CN108933950B (zh) * | 2018-08-24 | 2020-06-05 | 腾讯科技(深圳)有限公司 | 终端标识确定方法及装置、计算机设备及存储介质 |
CN111641581B (zh) * | 2019-03-01 | 2022-07-19 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置、设备和存储介质 |
CN115379414A (zh) * | 2019-09-25 | 2022-11-22 | 华为技术有限公司 | 证书发放方法和装置 |
CN111355588B (zh) * | 2020-02-19 | 2021-01-15 | 武汉大学 | 一种基于puf与指纹特征的可穿戴设备双因子认证方法及系统 |
CN112910663B (zh) * | 2021-01-14 | 2022-06-14 | 网易(杭州)网络有限公司 | 消息广播和终端注册的方法、装置、设备和存储介质 |
CN112929169B (zh) * | 2021-02-07 | 2022-10-28 | 成都薯片科技有限公司 | 秘钥协商方法及系统 |
CN118432826B (zh) * | 2024-07-05 | 2024-08-30 | 国网浙江省电力有限公司杭州供电公司 | 群组设备的注册与身份认证方法、系统、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005069531A1 (en) * | 2004-01-08 | 2005-07-28 | International Business Machines Corporation | Establishing a secure context for communicating messages between computer systems |
CN101052033A (zh) * | 2006-04-05 | 2007-10-10 | 华为技术有限公司 | 基于ttp的认证与密钥协商方法及其装置 |
CN101710859A (zh) * | 2009-11-17 | 2010-05-19 | 深圳国微技术有限公司 | 一种认证密钥协商方法 |
CN104955039A (zh) * | 2014-03-27 | 2015-09-30 | 西安西电捷通无线网络通信股份有限公司 | 一种网络鉴权认证的方法及设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8156334B2 (en) * | 2008-08-12 | 2012-04-10 | Texas Instruments Incorporated | Public key out-of-band transfer for mutual authentication |
JP2010245712A (ja) * | 2009-04-03 | 2010-10-28 | Mitsubishi Electric Corp | Id有効性管理装置及び通信装置及びid有効性管理方法及びデータ処理方法及びプログラム |
CN105516948B (zh) * | 2014-09-26 | 2019-05-10 | 华为技术有限公司 | 一种设备控制方法及装置 |
CN106487511B (zh) * | 2015-08-27 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 身份认证方法及装置 |
-
2018
- 2018-03-01 CN CN202010700378.8A patent/CN112019503B/zh active Active
- 2018-03-01 CN CN201810171257.1A patent/CN108390885B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005069531A1 (en) * | 2004-01-08 | 2005-07-28 | International Business Machines Corporation | Establishing a secure context for communicating messages between computer systems |
CN101052033A (zh) * | 2006-04-05 | 2007-10-10 | 华为技术有限公司 | 基于ttp的认证与密钥协商方法及其装置 |
CN101710859A (zh) * | 2009-11-17 | 2010-05-19 | 深圳国微技术有限公司 | 一种认证密钥协商方法 |
CN104955039A (zh) * | 2014-03-27 | 2015-09-30 | 西安西电捷通无线网络通信股份有限公司 | 一种网络鉴权认证的方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN112019503A (zh) | 2020-12-01 |
CN112019503B (zh) | 2023-11-07 |
CN108390885A (zh) | 2018-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108429740B (zh) | 一种获得设备标识的方法及装置 | |
CN108390885B (zh) | 一种获得设备标识的方法、通信实体、通信系统及存储介质 | |
US20230009787A1 (en) | Secure device onboarding techniques | |
US11736277B2 (en) | Technologies for internet of things key management | |
US11477625B2 (en) | System, apparatus and method for scalable internet of things (IoT) device on-boarding with quarantine capabilities | |
US11683685B2 (en) | Trusted IoT device configuration and onboarding | |
US20220286354A1 (en) | Blockchains For Securing IoT Devices | |
US10257161B2 (en) | Using neighbor discovery to create trust information for other applications | |
CN107637039B (zh) | 执行所有者转移的系统和转移设备所有权的方法和系统 | |
US10516654B2 (en) | System, apparatus and method for key provisioning delegation | |
CN104145465A (zh) | 机器类型通信中基于群组的自举 | |
CN110198538B (zh) | 一种获得设备标识的方法及装置 | |
CN111414640B (zh) | 秘钥访问控制方法和装置 | |
US20220360454A1 (en) | Methods and devices for securing a multiple-access peripheral network | |
CN115834590A (zh) | 一种区块链系统 | |
JP2006526228A (ja) | ネットワーク装置内のローカルコミュニティ表示の管理用のセキュアな分散システム | |
CN116996878A (zh) | 基于数字孪生平台的设备组网方法、装置、设备及介质 | |
CN115412338A (zh) | 同时支持多种终端接入的网络安全准入方法、装置及系统 | |
CN115730325A (zh) | 一种鉴权方法、装置及计算机可读存储介质 | |
CN111147434A (zh) | 用于装置联机的云端平台及装置联机方法 | |
CN117915320A (zh) | Tee远程验证方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |