CN108768635A - 一种适用于物联网系统的密码标识管理模型及方法 - Google Patents
一种适用于物联网系统的密码标识管理模型及方法 Download PDFInfo
- Publication number
- CN108768635A CN108768635A CN201810554734.2A CN201810554734A CN108768635A CN 108768635 A CN108768635 A CN 108768635A CN 201810554734 A CN201810554734 A CN 201810554734A CN 108768635 A CN108768635 A CN 108768635A
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- key
- cipher
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种适用于物联网系统的密码标识管理模型及方法,模型包括物联网安全平台、物联网对象及安全模块;本发明提供的一种生产时的初始标识与使用时的设备标识间的安全替换机制,能够有效解决物联网安全对象不同生命周期中的标识管理和使用问题;在生产阶段,物联网安全对象是一个安全模块(芯片、模组或软件),无法判断此模块会嵌入到何种设备中,其初始标识仅与安全模块的特征信息绑定;在使用阶段,物联网安全对象是一个包含安全模块的物理实体,初始标识无法代表整个对象,而新的设备标识与实体的特征信息绑定,具备更强的识别性。本发明还提供了与密码标识相对应的密钥更新机制,可以实现密钥与标识的按需更新。
Description
技术领域
本发明属于信息安全技术领域,涉及一种密码标识管理模型及方法,具体涉及一种适用于物联网系统的密码标识管理模型及方法。
背景技术
在现代密码技术的发展和应用中,各种密码体制对密码标识机制均存在不同程度的依赖性,最为典型的密码体制是基于标识的密码体制(IBC)。在IBC体制中,公钥即标识,对应的私钥均由密钥生成中心(KGC)根据标识计算而得;在只需知道签名者标识的情况下即可验证签名合法性。同样的,在基于数字证书的密码体制(PKC)体制中,标识内嵌于数字证书中并与公钥进行关联绑定,各交互方可基于证书中的标识识别对象。在早期的预置密钥体制(PSK)中,标识参与了预置密钥的分离运算,一方面保障密钥分离的离散性,另一方面降低管理系统的密钥管理负担。
近些年,物联网的相关技术、应用和产业快速发展引起了全球范围的广泛关注,已经成为当前世界新一轮经济和科技发展的战略制高点。物联网实现人与物、物与物的信息交互和无缝链接,以达到对物理世界实时控制、精确管理和科学决策的目的。在物联网中,为了实现人与物、物与物的通信以及各类应用,需要利用标识来对人和物等对象、终端和设备等网络节点以及各类业务应用进行识别。物联网标识可基于识别目标、应用场景、技术特点等不同,物联网标识可以分成对象标识、通信标识、应用标识和密码标识等。
物联网密码标识主要用于对物联网中采用安全技术进行交互的物理或逻辑对象的识别,例如终端设备数据签名所用的标识、密钥管理分发所用的标识等。这类标识可以是对象标识、通信标识或应用标识中的一种,也可以是多种标识的组合体。一般来说,密码标识具备全网唯一性,即一个物联网系统中一个标识智能被一个对象拥有;而且,考虑到该标识对安全功能的决定性作用,标识的授予必须严格控制,避免标识滥用影响系统安全。由此,密码标识必须严格管理和合规使用。
但是,一个物联网对象会存在生产销售、安装部署、激活使用、故障维修等多种生命周期状态。而在不同的状态中,对象面临的外部环境和内部特征均会有所变化。例如一个采集终端在生产阶段,仅具备设备本身功能,需嵌入安全模块建立初始的信任关系,嵌入通信模组赋予物联网通信能力等;在安全部署阶段,终端内嵌入物联网卡使其具备运营商网络的接入许可;在上述各阶段中,终端所有者不断变化,其设备内部特征也在不断更新。物联网密码标识的管理机制如何适应于物联网对象各阶段需求,如何与设备内部特征进行强绑定,如何保障安全机制的有效运行,均是亟需解决的问题。
发明内容
为了解决上述技术问题,本发明提供了一种能够适用于物联网系统的密码标识管理模型及方法,即能适应于物联网对象外部环境的演进变化,又能融合多种设备内部特征于一体,保障密码标识唯一化和安全机制运行。
本发明的系统所采用的技术方案是:一种适用于物联网系统的密码标识管理模型,其特征在于:一种适用于物联网系统的密码标识管理模型,其特征在于:包括物联网安全平台、物联网对象及安全模块;
所述物联网安全平台包括标识管理子系统、安全发行子系统、设备注册子系统;所述标识管理子系统,用于提供物联网安全平台所需的标识管理功能;所述安全发行子系统,用于对安全模块进行安全发行,分配唯一初始标识和密钥,并写入参数信息;所述设备注册子系统用于对物联网对象进行设备注册,识别物联网对象并分配唯一设备标识和密钥;
所述物联网对象,指物联网中的对象实体,包括设备、终端或软件,内嵌有所述安全模块,用于承载物联网业务;
所述安全模块,用于为物联网对象提供安全功能,包含密码运算、密钥存储。
本发明的方法所采用的技术方案是:一种适用于物联网系统的密码标识管理方法,其特征在于,包括以下步骤:
步骤1:密码标识管理模型初始化,选取密码体制并建立信任关系;
步骤2:安全发行;
物联网安全平台为不同的物联网对象分配一个唯一的初始标识,并根据所选密码体制的用户密钥生成函数和初始标识生成相应的私钥,写入物联网对象中,存储到安全模块;
步骤3:设备注册;
物联网安全平台通过密码标识编码方式对初始标识和注册请求信息进行编码,得到新的设备标识并生成相应的私钥,安全发送给物联网对象;
步骤4:激活使用;
物联网对象接收注册响应信息后,验证信息来源真实性;若验证通过,则解析数据并处理,完成注册操作,激活使用。
本发明的有益效果是:由于本发明提供一种生产时的初始标识与使用时的设备标识间的安全替换机制,能够有效解决物联网安全对象不同生命周期中的标识管理和使用问题;在生产阶段,物联网安全对象是一个安全模块(芯片、模组或软件),无法判断此模块会嵌入到何种设备中,其初始标识仅与安全模块的特征信息绑定;在使用阶段,物联网安全对象是一个包含安全模块的物理实体,初始标识无法代表整个对象,而新的设备标识与实体的特征信息绑定,具备更强的识别性。本发明还提供了与密码标识相对应的密钥更新机制,可以实现密钥与标识的按需更新。同时,提供的一种密码标识编码方式可以适用于大部分物联网对象使用。
附图说明
图1是本发明实施例的系统工作原理图;
图2是本发明实施例的方法原理示意图;
图3是本发明实施例中基于IBC密码体制的物联网安全平台初始化流程图;
图4是本发明实施例中物联网密码标识编码的示意图。
具体实施方式
为了便于本领域普通技术人员理解和实施本发明,下面结合附图及实施例对本发明作进一步的详细描述,应当理解,此处所描述的实施示例仅用于说明和解释本发明,并不用于限定本发明。
请见图1,本发明提供的一种适用于物联网系统的密码标识管理模型,包括物联网安全平台、物联网对象及安全模块;
物联网安全平台包括标识管理子系统、安全发行子系统、设备注册子系统;标识管理子系统,用于提供物联网安全平台所需的标识管理功能;安全发行子系统,用于对安全模块进行安全发行,分配唯一初始标识和密钥,并写入参数信息;设备注册子系统用于对物联网对象进行设备注册,识别物联网对象并分配唯一设备标识和密钥;物联网对象,指物联网中的对象实体,包括设备、终端或软件,内嵌有安全模块,用于承载物联网业务;安全模块,用于为物联网对象提供安全功能,包含密码运算、密钥存储。
请见图2,本发明提供的一种适用于物联网系统的密码标识管理方法,包括以下步骤:
步骤1:密码标识管理模型初始化,选取密码体制并建立信任关系;
步骤1的具体实现包括以下子步骤:
步骤1.1:选取物联网安全平台所采用的密码体制,完成参数配置后运行;
步骤1.2:根据物联网安全平台的密码体制,生成物联网安全平台的系统密钥和参数;
步骤1.3:确定物联网安全平台的密码标识SPID,并生成标识对应的私钥SPID.SK=GenUSK(SPID)。
本实施例在系统初始化阶段,搭建一个物联网安全平台,并初始化标识管理与发行、密钥生成与分发等功能。
本发明可以选取的密码体制,包括基于标识的密码体制IBC、基于数字证书的公钥密码体制PKC和基于预置密钥的对称密码体制PSK;
基于标识的密码体制IBC,其具体实现包括以下原则:
①系统密钥为IBC体制的系统主私钥,系统参数为与相应的系统主公钥,系统参数公开;
②物联网安全平台的用户私钥生成方式为IBC的用户私钥生成算法,基于系统主私钥和用户标识生成;
③物联网系统采用IBC体制的签名与验签机制进行合法性验证。
基于数字证书的公钥密码体制PKC,其具体实现包括以下原则:
①系统密钥为根证书的系统私钥,系统参数为根证书,含根公钥,系统参数公开;
②物联网安全平台的用户私钥生成方式为PKC的用户私钥生成算法,随机产生用户私钥,再由证书模块签发用户公钥与标识绑定的用户证书;
③物联网系统采用PKC体制的签名与验签机制进行合法性验证。
基于预置密钥的对称密码体制PSK,其具体实现包括以下原则:
①系统密钥为系统主密钥,无系统参数;
②物联网安全平台的用户私钥生成方式为PSK的密钥分离机制,采用杂凑算法基于系统主密钥和用户标识分散得到用户私钥;
③物联网系统采用对称算法的消息认证模式进行合法性验证。
请见图3,本实施例选取的密码体制是基于标识的密码体制IBC,具体实现包括以下子步骤:
1)选取物联网安全平台的密码体制为IBC体制,并确定IBC体制的密码算法(可采用国密SM9算法);
2)基于IBC体制的系统密钥生成方法,随机生成系统主私钥Sys_SK,并计算得到系统主公钥Sys_PK=IBC_GenMPK(Sys_SK);
3)确定安全平台的标识SPID,并基于IBC体制的用户密钥生成方法计算得到该标识对应的私钥SPID_SK=IBC_GenUSK(SPID,Sys_SK)。
步骤2:安全发行;
物联网安全平台为不同的物联网对象分配一个唯一的初始标识,并根据所选密码体制的用户密钥生成函数和初始标识生成相应的私钥,写入物联网对象中,存储到安全模块;
步骤2的具体实现包括以下子步骤:
步骤2.1:物联网安全平台为物联网对象选取一个唯一的初始标识PreID,并根据所选密码体制的用户密钥生成方法,生成PreID相应的私钥PreID.SK=GenUSK(PreID);
步骤2.2:物联网安全平台预置SPID、PreID、PreID.SK以及物联网安全平台的系统参数到物联网对象的安全模块中。
本实施例的物联网对象包含物联网中的各类人或物等,即可以是终端和设备等网络节点,也可是各类业务应用;
本实施例的初始标识通过编码或数学运算被包含或隐含到设备标识中,例如:
初始标识可以将物联网对象的安全模块标识CID、有效期、随机序号等信息通过编码或数学运算生成;
设备标识可以将物联网对象的初始标识PreID、对象标识(如设备编号DevSN)、通信标识(如移动设备识别码IMEI或MEID、移动用户识别码IMSI)、有效期、随机序号、物理特征、场景特征等信息通过编码或数学运算生成。
步骤3:设备注册;
物联网安全平台通过密码标识编码方式对初始标识和注册请求信息进行编码,得到新的设备标识并生成相应的私钥,安全发送给物联网对象;
步骤3的具体实现包括以下子步骤:
步骤3.1:物联网对象获取初始标识PreID和设备特征信息,设备特征信息包括设备编号DevSN、设备识别码IMEI或MEID、用户识别码IMSI;
步骤3.2:物联网对象使用PreID.SK对初始标识和设备特征信息进行签名,并向物联网安全平台发送注册请求;
本实施例中,物联网设备获取自身的设备特征信息后,使用PreID.SK对设备特征信息进行签名,得到签名值Sign1=IBC_Sign(PerID.SK,PerID||DevSN||IMEI||IMSI||...),并将注册请求{设备特征信息||Sign1}发送给物联网安全平台;
步骤3.3:物联网安全平台使用PreID验证注册请求来源真实性;若验证通过,则根据密码标识编码方式,生成新的设备标识DevID及私钥DevID.SK;
本实施例中,物联网安全平台使用PerID验证签名合法性,即IBC_Verify(PerID,设备特征信息,Sign1);若验证通过,则根据密码标识编码方式,生成新的设备标识DevID,并计算私钥DevID.SK=IBC_GenUSK(DevID,Sys_SK);
步骤3.4:物联网安全平台对DevID和DevID.SK进行加密保护,并使用SPID.SK签名密文信息,形成注册响应数据发送给物联网对象。
本实施例中,物联网安全平台使用PerID加密DevID及私钥,即Enc2=IBC_Enc(PerID,DevID||DevID.SK),并使用SPID.SK签名密文信息得到签名值Sign2=IBC_Sign(SPID.SK,Enc2);
安全平台将注册响应数据{Enc2||Sign2}发送给设备。
步骤4:激活使用;
物联网对象接收注册响应信息后,验证信息来源真实性;若验证通过,则解析数据并处理,完成注册操作,激活使用。
步骤4的具体实现包括以下子步骤:
步骤4.1:物联网对象使用SPID验证注册响应数据来源真实性;若验证通过,则解密密文,获取DevID和DevID.SK明文,并写入物联网对象的安全模块中;
本实施例中,物联网设备使用SPID验证Sign2的合法性,即IBC_Verify=(SPID,Enc2,Sign2);若验证通过,则使用PerID.SK解密Enc2,得到明文{DevID||DevID.SK}=IBC_Dev(PerID.SK,Enc2);
步骤4.2:物联网对象进入正式工作状态,使用DevID作为密码标识进行安全交互。
本实施例中,物联网设备写入DevID和DevID.SK到设备的安全模块,并进入正常工作状态。
请见图4,为本实施的密码标识编码示意图,具体说明如下:
1)所有标识为固定长度标识,其第一个字节为标识版本号VER,不同标识版本号确定标识长度;当版本号为0x00时,标识总长度为32字节;
2)初始标识含有设备安全模块的标识CID,其编码规则为VER(1byte)||CID(7bytes)||RFU(24bytes),RFU表示保留,默认为全0;
3)设备标识包含两种编码方式:第一种为针对仅含有CID、DevSN、IMEI或MEID、IMSI特征信息的设备标识编码,其编码规则为VER(1byte)||CID(7bytes)||DevSN(9bytes)||Others(15bytes);其中Others表示IMEI(或MEID)、IMSI信息的压缩编码,将其切分成30个4bits块,前15个4bits以十六进制方式表示15位的IMEI(或MEID),后15个4bits以十六进制方式表示15位的IMSI;第二种为针对包含除CID、DevSN、IMEI(或MEID)、IMSI以外的特征信息的设备标识编码,其编码规则为与第一种相同,但其VER值为0x01,标识总长度为32字节,Others的压缩编码方式为Others=Hash(IMEI||IMSI||其他特征信息),其Hash值的前15字节为Others。
应当理解的是,本说明书未详细阐述的部分均属于现有技术。
应当理解的是,上述针对较佳实施例的描述较为详细,并不能因此而认为是对本发明专利保护范围的限制,本领域的普通技术人员在本发明的启示下,在不脱离本发明权利要求所保护的范围情况下,还可以做出替换或变形,均落入本发明的保护范围之内,本发明的请求保护范围应以所附权利要求为准。
Claims (10)
1.一种适用于物联网系统的密码标识管理模型,其特征在于:包括物联网安全平台、物联网对象及安全模块;
所述物联网安全平台包括标识管理子系统、安全发行子系统、设备注册子系统;所述标识管理子系统,用于提供物联网安全平台所需的标识管理功能;所述安全发行子系统,用于对安全模块进行安全发行,分配唯一初始标识和密钥,并写入参数信息;所述设备注册子系统用于对物联网对象进行设备注册,识别物联网对象并分配唯一设备标识和密钥;
所述物联网对象,指物联网中的对象实体,包括设备、终端或软件,内嵌有所述安全模块,用于承载物联网业务;
所述安全模块,用于为物联网对象提供安全功能,包含密码运算、密钥存储。
2.一种适用于物联网系统的密码标识管理方法,其特征在于,包括以下步骤:
步骤1:密码标识管理模型初始化,选取密码体制并建立信任关系;
步骤2:安全发行;
物联网安全平台为不同的物联网对象分配一个唯一的初始标识,并根据所选密码体制的用户密钥生成函数和初始标识生成相应的私钥,写入到物联网对象的安全模块中;
步骤3:设备注册;
物联网安全平台通过密码标识编码方式对初始标识和注册请求信息进行编码,得到新的设备标识并生成相应的私钥,安全发送给物联网对象;
步骤4:激活使用;
物联网对象接收注册响应信息后,验证信息来源真实性;若验证通过,则解析数据并处理,完成注册操作,激活使用。
3.根据权利要求2所述的适用于物联网系统的密码标识管理方法,其特征在于,步骤1的具体实现包括以下子步骤:
步骤1.1:选取物联网安全平台所采用的密码体制,完成参数配置后运行;
步骤1.2:根据物联网安全平台的密码体制,生成物联网安全平台的系统密钥和参数;
步骤1.3:确定物联网安全平台的密码标识SPID,并生成标识对应的私钥SPID.SK=GenUSK(SPID)。
4.根据权利要求3所述的适用于物联网系统的密码标识管理方法,其特征在于,步骤2的具体实现包括以下子步骤:
步骤2.1:物联网安全平台为物联网对象选取一个唯一的初始标识PreID,并根据所选密码体制的用户密钥生成方法,生成PreID相应的私钥PreID.SK=GenUSK(PreID);
步骤2.2:物联网安全平台预置SPID、PreID、PreID.SK以及物联网安全平台的系统参数到物联网对象的安全模块中。
5.根据权利要求4所述的适用于物联网系统的密码标识管理方法,其特征在于,步骤3的具体实现包括以下子步骤:
步骤3.1:物联网对象获取初始标识PreID和设备特征信息,所述设备特征信息包括但不限于设备编号DevSN、设备识别码IMEI或MEID、用户识别码IMSI;
步骤3.2:物联网对象使用PreID.SK对初始标识和设备特征信息进行签名,并向物联网安全平台发送注册请求;
步骤3.3:物联网安全平台使用PreID验证注册请求来源真实性;若验证通过,则根据密码标识编码方式,生成新的设备标识DevID及私钥DevID.SK;
步骤3.4:物联网安全平台对DevID和DevID.SK进行加密保护,并使用SPID.SK签名密文信息,形成注册响应数据发送给物联网对象。
6.根据权利要求5所述的适用于物联网系统的密码标识管理方法,其特征在于,步骤4的具体实现包括以下子步骤:
步骤4.1:物联网对象使用SPID验证注册响应数据来源真实性;若验证通过,则解密密文,获取DevID和DevID.SK明文,并写入物联网对象的安全模块中;
步骤4.2:物联网对象进入正式工作状态,使用DevID作为密码标识进行安全交互。
7.根据权利要求2-6任意一项所述的适用于物联网系统的密码标识管理方法,其特征在于:步骤2中所述初始标识,通过编码或数学运算被包含或隐含到设备标识中。
8.根据权利要求2-6任意一项所述的适用于物联网系统的密码标识管理方法,其特征在于:步骤1中所述选取密码体制,支持基于标识的密码体制IBC,其具体实现包括以下原则:
①系统密钥为IBC体制的系统主私钥,系统参数为与相应的系统主公钥,系统参数公开;
②物联网安全平台的用户私钥生成方式为IBC的用户私钥生成算法,基于系统主私钥和用户标识生成;
③物联网系统采用IBC体制的签名与验签机制进行合法性验证。
9.根据权利要求2-6任意一项所述的适用于物联网系统的密码标识管理方法,其特征在于:步骤1中所述选取密码体制,支持基于数字证书的公钥密码体制PKC,其具体实现包括以下原则:
①系统密钥为根证书的系统私钥,系统参数为根证书,含根公钥,系统参数公开;
②物联网安全平台的用户私钥生成方式为PKC的用户私钥生成算法,随机产生用户私钥,再由证书模块签发用户公钥与标识绑定的用户证书;
③物联网系统采用PKC体制的签名与验签机制进行合法性验证。
10.根据权利要求2-6任意一项所述的适用于物联网系统的密码标识管理方法,其特征在于:步骤1中所述选取密码体制,支持基于预置密钥的对称密码体制PSK,其具体实现包括以下原则:
①系统密钥为系统主密钥,无系统参数;
②物联网安全平台的用户私钥生成方式为PSK的密钥分离机制,采用杂凑算法基于系统主密钥和用户标识分散得到用户私钥;
③物联网系统采用对称算法的消息认证模式进行合法性验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810554734.2A CN108768635B (zh) | 2018-06-01 | 2018-06-01 | 一种适用于物联网系统的密码标识管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810554734.2A CN108768635B (zh) | 2018-06-01 | 2018-06-01 | 一种适用于物联网系统的密码标识管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108768635A true CN108768635A (zh) | 2018-11-06 |
| CN108768635B CN108768635B (zh) | 2020-10-30 |
Family
ID=64001933
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810554734.2A Active CN108768635B (zh) | 2018-06-01 | 2018-06-01 | 一种适用于物联网系统的密码标识管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108768635B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110097370A (zh) * | 2019-03-29 | 2019-08-06 | 捷德(中国)信息科技有限公司 | 脱机支付方法、装置、服务器及介质 |
| CN110753066A (zh) * | 2019-10-29 | 2020-02-04 | 北京计算机技术及应用研究所 | 一种基于密码技术的物联网标识方法 |
| CN111010271A (zh) * | 2019-12-17 | 2020-04-14 | 湖南安方信息技术有限公司 | 一种面向标识密码更新撤销的通用标识表示方法 |
| CN111355571A (zh) * | 2018-12-21 | 2020-06-30 | 中国电信股份有限公司 | 生成身份认证私钥的方法、终端、连接管理平台和系统 |
| CN111953705A (zh) * | 2020-08-20 | 2020-11-17 | 全球能源互联网研究院有限公司 | 物联网身份认证方法、装置及电力物联网身份认证系统 |
| CN112202709A (zh) * | 2020-08-25 | 2021-01-08 | 中国电力科学研究院有限公司 | 一种全场景物联网设备安全管理系统及方法 |
| CN113872760A (zh) * | 2021-11-03 | 2021-12-31 | 中电科鹏跃电子科技有限公司 | 一种sm9秘钥基础设施及安全系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104967595A (zh) * | 2014-10-31 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 将设备在物联网平台进行注册的方法和装置 |
| US20160308861A1 (en) * | 2015-04-14 | 2016-10-20 | Sap Se | Simplified iot services for cloud environments |
| CN107147666A (zh) * | 2017-06-07 | 2017-09-08 | 江苏海平面数据科技有限公司 | 在物联网终端和云数据平台之间数据加解密的方法 |
-
2018
- 2018-06-01 CN CN201810554734.2A patent/CN108768635B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104967595A (zh) * | 2014-10-31 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 将设备在物联网平台进行注册的方法和装置 |
| US20160308861A1 (en) * | 2015-04-14 | 2016-10-20 | Sap Se | Simplified iot services for cloud environments |
| CN107147666A (zh) * | 2017-06-07 | 2017-09-08 | 江苏海平面数据科技有限公司 | 在物联网终端和云数据平台之间数据加解密的方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111355571A (zh) * | 2018-12-21 | 2020-06-30 | 中国电信股份有限公司 | 生成身份认证私钥的方法、终端、连接管理平台和系统 |
| CN110097370A (zh) * | 2019-03-29 | 2019-08-06 | 捷德(中国)信息科技有限公司 | 脱机支付方法、装置、服务器及介质 |
| CN110097370B (zh) * | 2019-03-29 | 2022-03-04 | 捷德(中国)信息科技有限公司 | 脱机支付方法、装置、服务器及介质 |
| CN110753066A (zh) * | 2019-10-29 | 2020-02-04 | 北京计算机技术及应用研究所 | 一种基于密码技术的物联网标识方法 |
| CN110753066B (zh) * | 2019-10-29 | 2021-12-28 | 北京计算机技术及应用研究所 | 一种基于密码技术的物联网标识方法 |
| CN111010271A (zh) * | 2019-12-17 | 2020-04-14 | 湖南安方信息技术有限公司 | 一种面向标识密码更新撤销的通用标识表示方法 |
| CN111953705A (zh) * | 2020-08-20 | 2020-11-17 | 全球能源互联网研究院有限公司 | 物联网身份认证方法、装置及电力物联网身份认证系统 |
| CN112202709A (zh) * | 2020-08-25 | 2021-01-08 | 中国电力科学研究院有限公司 | 一种全场景物联网设备安全管理系统及方法 |
| CN112202709B (zh) * | 2020-08-25 | 2023-03-24 | 中国电力科学研究院有限公司 | 一种全场景物联网设备安全管理系统及方法 |
| CN113872760A (zh) * | 2021-11-03 | 2021-12-31 | 中电科鹏跃电子科技有限公司 | 一种sm9秘钥基础设施及安全系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108768635B (zh) | 2020-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108768988B (zh) | 区块链访问控制方法、设备及计算机可读存储介质 | |
| CN108768635A (zh) | 一种适用于物联网系统的密码标识管理模型及方法 | |
| CN100592678C (zh) | 用于网络元件的密钥管理 | |
| CN106789090A (zh) | 基于区块链的公钥基础设施系统及半随机联合证书签名方法 | |
| Tan et al. | Comments on “dual authentication and key management techniques for secure data transmission in vehicular ad hoc networks” | |
| CN101350718B (zh) | 一种基于用户识别模块的播放内容权限范围的保护方法 | |
| CN109190384B (zh) | 一种多中心区块链熔断保护系统及方法 | |
| CN108848495B (zh) | 一种使用预置密钥的用户身份更新方法 | |
| CN108667791B (zh) | 身份验证方法 | |
| CN104868998B (zh) | 一种向电子设备供应加密数据的系统、设备和方法 | |
| CN108777619B (zh) | 基于标识的cpk体制和密钥管理方法、装置、服务器及终端 | |
| CN109391617B (zh) | 一种基于区块链的网络设备配置管理方法及客户端 | |
| JP2020530726A (ja) | サプライチェーン資産管理を保護するアプリケーションを有する遠隔サーバへのnfcタグ認証 | |
| CN105721153A (zh) | 基于认证信息的密钥交换系统及方法 | |
| CN108965824B (zh) | 基于cpk的视频监控方法、系统、摄像头、服务器及客户端 | |
| CN111971929A (zh) | 安全分布式密钥管理系统 | |
| CN106487792A (zh) | 一种电力营销云存储加密方法及系统 | |
| CN112446039A (zh) | 区块链交易处理方法、装置、设备和存储介质 | |
| CN105471901A (zh) | 一种工业信息安全认证系统 | |
| CN112152778A (zh) | 一种节点管理方法、装置、及电子设备 | |
| WO2022242572A1 (zh) | 一种个人数字身份管理系统与方法 | |
| CN114760065A (zh) | 一种在线学习平台教学资源共享的访问控制方法及装置 | |
| Feiri et al. | Efficient and secure storage of private keys for pseudonymous vehicular communication | |
| CN115865320A (zh) | 一种基于区块链的安全服务管理方法及系统 | |
| CN111314269B (zh) | 一种地址自动分配协议安全认证方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230216 Address after: 430040 No. 666, Wuhuan Avenue, Wuhan airport economic and Technological Development Zone, Wuhan City, Hubei Province Patentee after: WUHAN JAHPORT TECHNOLOGY CO.,LTD. Patentee after: WUHAN University Address before: 430079 No. 11, Floor 16, Building 1, Zhaofu International Building, No. 717, Wuluo Road, Luonan Street, Hongshan District, Wuhan City, Hubei Province Patentee before: WUHAN JAHPORT TECHNOLOGY CO.,LTD. |
|
| TR01 | Transfer of patent right |