CN108881304B - 一种对物联网设备进行安全管理的方法及系统 - Google Patents

一种对物联网设备进行安全管理的方法及系统 Download PDF

Info

Publication number
CN108881304B
CN108881304B CN201810885306.8A CN201810885306A CN108881304B CN 108881304 B CN108881304 B CN 108881304B CN 201810885306 A CN201810885306 A CN 201810885306A CN 108881304 B CN108881304 B CN 108881304B
Authority
CN
China
Prior art keywords
internet
things
management platform
equipment
identification card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810885306.8A
Other languages
English (en)
Other versions
CN108881304A (zh
Inventor
尤洪松
底明辉
何碧波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hengbao Co Ltd
Original Assignee
Hengbao Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hengbao Co Ltd filed Critical Hengbao Co Ltd
Publication of CN108881304A publication Critical patent/CN108881304A/zh
Application granted granted Critical
Publication of CN108881304B publication Critical patent/CN108881304B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请提供一种对物联网设备进行安全管理的方法及系统,该方法包括:物联网安全管理平台在公认的第三方安全机构平台进行注册,第三方安全机构平台对物联网安全管理平台认证通过后签发物联网安全管理平台证书;物联网设备在物联网安全管理平台进行注册,物联网安全管理平台对物联网设备用户身份识别卡认证通过后,向所述用户身份识别卡签发物联网设备用户身份识别卡证书;物联网业务平台与物联网设备间传输业务数据时,物联网安全管理平台与用户身份识别卡进行身份认证,认证通过后协商出业务数据传输加密工作密钥,用于保证双方数据传输的安全。本发明能够有效地保护物联网设备不受非法管控,提高物联网系统整体防攻击能力。

Description

一种对物联网设备进行安全管理的方法及系统
技术领域
本申请涉及物联网的技术领域,尤其涉及一种对物联网设备进行安全管理的方法及系统。
背景技术
当前物联网技术已在智慧城市,智能家居,智能工业,智能农业,智能交通等领域取得巨大发展,科技发展给人类生活带来便利的同时,相关技术漏洞也引起了不法分子的注意。2015年7月,美国的两位黑客Charlie Miller和Chris Valasek成功破解了一辆Jeep自由光,他们在不接触车辆的前提下成功控制了车辆的多媒体系统、转向系统甚至是刹车系统,最终的结果是让这辆自由光开进了路旁的排水沟。2017年8月,深圳某公司制造的17.5万个物联网安防摄像头被爆可能遭受黑客攻击。研究人员称这些安防摄像头的漏洞很容易就会被黑客利用,只需使用默认凭证登陆,任何人都能访问摄像头的转播画面。同时,摄像头存在的缓冲区溢出漏洞还使黑客能对其进行远程控制。2017年11月,Check Point研究人员表示LG智能家居设备存在漏洞,黑客可以利用该漏洞完全控制一个用户账户,然后远程劫持LG SmartThinQ家用电器,包括冰箱,干衣机,洗碗机,微波炉以及吸尘机器人。由此可见物联网系统的漏洞不仅能影响到正常的工农业生产,更可能影响到人身安全甚至国家安全,因此亟需一套安全可靠、行之有效的安全系统来解决物联网应用过程中存在的安全问题。
发明内容
本申请的目的在于提供一种对物联网设备进行安全管理的方法及系统,解决现有技术中物联网系统存在受外界攻击风险的技术问题。
为达到上述目的,本申请提供一种对物联网设备进行安全管理的方法,包括:
物联网安全管理平台在公认的第三方安全机构平台进行注册,接收所述第三方安全机构平台签发的物联网安全管理平台证书并保存;
物联网设备在所述物联网安全管理平台进行注册,所述物联网安全管理平台对所述物联网设备的用户身份识别卡认证通过后,向所述用户身份识别卡签发物联网设备用户身份识别卡证书;
所述物联网安全管理平台与所述用户身份识别卡通过物联网业务平台进行双向身份认证,并通知所述物联网安全管理平台;
所述物联网业务平台与所述物联网设备间传输业务数据时,所述物联网安全管理平台与所述用户身份识别卡进行双向身份认证,认证通过后协商出业务数据传输加密工作密钥。
可选地,其中,物联网设备在所述物联网安全管理平台进行注册,所述物联网安全管理平台对所述物联网设备的用户身份识别卡认证通过后,向所述用户身份识别卡签发物联网设备用户身份识别卡证书;所述物联网安全管理平台与所述用户身份识别卡通过物联网业务平台进行双向身份认证,并通知所述物联网安全管理平台,为:
物联网设备在所述物联网安全管理平台进行注册,所述物联网安全管理平台,接收物联网设备的接入请求,根据业务安全级别要求,指定签发证书类型,双方业务数据传输加密机制,将物联网安全管理平台证书下发给设备;所述物联网设备的用户身份识别卡根据预存的所述第三方安全机构平台证书中的公钥,对所述物联网安全管理平台证书进行身份认证,通过后用户身份识别卡生成用户身份识别卡公私钥对及所述用户身份识别卡公私钥对中用户身份识别卡私钥对用户身份识别卡公钥的签名信息,并将所述用户身份识别卡公钥及签名信息发送至所述物联网安全管理平台;
所述物联网安全管理平台对设备返回的用户身份识别卡公钥签名信息进行身份认证,通过后向所述物联网设备签发用户身份识别卡证书;
所述物联网设备用户身份识别卡对所述物联网安全管理平台签发的用户身份识别卡证书进行身份认证,通过后保存所述设备用户身份识别卡证书及物联网安全管理平台证书,并通知所述物联网安全管理平台;
所述物联网设备的物联网业务装置确认用户身份识别卡证书签发成功后,向所述用户身份识别卡发起机卡绑定请求,将设备、模组、用户身份识别卡唯一标识信息进行绑定,设备开机或发起一项业务流程时,检查设备物理组成是否有发生变化。
可选地,其中,该方法还包括:
物联网业务管理平台对设备进行安全管理时,通知所述物联网安全管理平台与对应设备进行身份认证、密钥协商;
所述物联网安全管理平台使用所述物联网安全管理平台私钥对设备唯一标识信息签名,将所述设备唯一标识信息及签名数据发送至所述物联网设备;其中,所述设备的唯一标识信息为设备编号;
所述物联网安全管理平台与所述物联网设备用户身份识别卡进行双向认证及密钥协商成功后,协商的工作密钥根据安全级别设置保存在所述物联网安全管理平台或物联网业务管理平台;
所述物联网安全管理平台或物联网业务管理平台使用所述工作密钥加密管理指令得到密文管理数据,并将所述密文管理数据发送至所述物联网设备;
所述物联网设备根据工作密钥解密所述密文管理数据得到所述管理指令,执行所述管理指令,并选择明文或使用所述工作密钥加密执行结果发送至所述物联网业务管理平台。
可选地,其中,该方法还包括:
根据业务安全级别要求设置物联网设备上报采集数据时主动发起与平台的双向认证密钥协商操作,所述物联网设备使用设备的用户身份识别卡私钥对所述设备的唯一标识信息进行签名,并将唯一标识及其签名发送至所述物联网安全管理平台,进行双向认证和密钥协商,得到工作密钥;
所述物联网设备根据所述工作密钥加密采集数据并将所述加密采集数据发送至所述物联网业务管理平台。
可选地,其中,该方法还包括:
所述物联网安全管理平台向所述物联网设备分配设备编号,并管理所述设备用户身份识别卡公钥和设备编号,设备编号使用用户身份识别卡证书中的唯一信息字段。
另一方面,本发明还提供一种对物联网设备进行安全管理的系统,包括:第三方安全机构平台、物联网安全管理平台、物联网业务管理平台及物联网设备;其中,
所述第三方安全机构平台,与所述物联网业务管理平台相连接,用于接收所述物联网安全管理平台的注册请求,对所述注册请求的合法性进行认证,并向所述物联网安全管理平台签发物联网安全管理平台证书;
所述物联网业务管理平台,与物联网安全管理平台及第三方安全机构平台相连接,用于传输物联网安全管理平台与第三方安全机构平台间的数据;
同时,所述物联网业务管理平台,与物联网安全管理平台及物联网设备相连接,用于传输物联网安全管理平台及物联网设备的数据,并管理物联网设备;
所述物联网安全管理平台,与所述物联网业务管理平台相连接,用于接收所述第三方安全机构平台签发的物联网安全管理平台证书并保存;接收物联网设备的注册请求,根据所述用户身份识别卡公钥对公钥签名数据验签合法后,向所述物联网设备签发用户身份识别卡证书,并管理设备用户身份识别卡证书信息;
所述物联网设备,与所述物联网业务管理平台相连接,用于根据预存的所述第三方安全机构平台根证书,对所述物联网安全管理平台证书进行验签,通过后所述物联网设备的用户身份识别卡生成用户身份识别卡公私钥对及所述用户身份识别卡公私钥对中用户身份识别卡私钥对用户身份识别卡公钥的签名信息,并将所述用户身份识别卡公钥及签名信息发送至所述物联网安全管理平台;
所述用户身份识别卡对所述用户身份识别卡证书使用物联网安全管理平台公钥验签合法后,保存所述设备用户身份识别卡证书及物联网安全管理平台证书,并通知所述物联网安全管理平台注册成功。
可选地,其中,所述物联网业务管理平台,还用于:根据所述工作密钥加密管理指令得到密文管理数据,并将所述密文管理数据发送至所述物联网设备;
所述物联网安全管理平台,还用于:与所述物联网设备进行双向认证及密钥协商,加密业务管理数据,解密物联网设备上报数据;
所述物联网设备,还用于:根据工作密钥解密所述密文管理数据得到所述管理指令,执行所述管理指令,并利用所述工作密钥加密执行结果发送至所述物联网业务管理平台或物联网安全管理平台。
可选地,其中,所述物联网设备,还用于:使用用户身份识别卡私钥对所述设备编号进行签名,并将设备编号及其签名数据发送至所述物联网安全管理平台;
所述物联网安全管理平台使用用户身份识别卡公钥对所述签名进行验签,确认设备合法性后与设备完成双向认证、密钥协商。
可选地,其中,所述物联网安全管理平台,还用于:当所述物联网安全管理平台检测到用户身份识别卡发起的认证失败达到或超过预设数量时,物联网安全管理平台锁定并禁止所述用户身份识别卡发起的进一步认证操作;所述物联网设备,还用于:当用户身份识别卡检测到平台发起的认证失败达到或超过预设数量时,用户身份识别卡锁定并禁止平台发起的进一步认证操作。
可选地,其中,所述物联网设备,包括:物联网业务装置及用户身份识别卡;其中,
所述物联网业务装置,与所述物联网业务管理平台及用户身份识别卡相连接,用于:透传物联网业务管理平台与用户身份识别卡之间的安全数据,与用户身份识别卡进行机卡绑定及身份认证;
所述用户身份识别卡,与所述物联网业务装置相连接,用于:与所述物联网安全管理平台进行身份认证、密钥协商,与设备、模组进行机卡绑定认证及对物联网业务管理平台与设备间传输数据进行加解密。
可选地,其中,所述用户身份识别卡为多接口SIM卡,所述物联网业务装置与SIM卡间通过7816接口进行移动通信入网数据交互,通过7816、SPI、I2C、CAN或USB接口进行物联网安全数据交互。本申请实现的有益效果如下:
(1)本申请的对物联网设备进行安全管理的方法及系统,本方案采用基于非对称密钥证书的认证体系,设备和平台双方进行互相认证,并在认证过程中协商出数据传输的动态加解密密钥。既能有效防护对设备进行的非法管控还能有效提高平台安全防攻击能力。
(2)本申请对物联网设备进行安全管理的方法及系统,采用多接口用户身份识别SIM卡,物联网设备系统可以通过SPI等接口与SIM卡直接进行通信,提高了数据处理速度,降低了物联网安全方案开发应用难度,能有效推动物联网应用更快发展。
(3)本申请对物联网设备进行安全管理的方法及系统,设备编号在个人化过程中由平台为设备编发,用于对设备进行业务管理或设备上报信息时平台区分通信源使用,进一步提高防安全攻击能力,防止SIM卡被非法使用。
(4)本申请对物联网设备进行安全管理的方法及系统,整个系统关键个人化数据均是在设备确认接入物联网时才生成,提高了密钥安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例中物联网安全管理平台与物联网设备之间证书签发关系的示意图;
图2为本发明实施例中一种对物联网设备进行安全管理的方法的流程示意图;
图3为本发明实施例中另一种对物联网设备进行安全管理的方法的流程示意图;
图4为本发明实施例中又一种对物联网设备进行安全管理的方法的流程示意图;
图5为本发明实施例中物联网安全管理平台在第三方安全机构平台个人化的流程示意图;
图6为本发明实施例中物联网设备首次接入物联网时进行个人化的流程示意图;
图7为本发明实施例中用户对物联网设备进行管理时认证及数据交互的流程示意图;
图8为本发明实施例中物联网设备上报采集数据时认证及数据交互的流程示意图;
图9为本发明实施例中一种对物联网设备进行安全管理的系统的结构示意图;
图10为本发明实施例中又一种对物联网设备进行安全管理的系统的结构示意图。
具体实施方式
下面结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例
如图1所示,为本实施例中物联网安全管理平台与物联网设备之间证书签发关系的示意图。物联网安全管理平台采用分布式的方式向各个物联网设备签发证书。在图中,箭头起始的是证书的签发方,而箭头所指向的是证书的受签发方,第三方安全机构平台101向企业1物联网安全管理平台、企业2物联网安全管理平台、直至企业m物联网安全管理平台签发物联网安全管理平台证书;各个物联网安全管理平台又分别向其管理的物联网设备(设备1、设备2、设备3,直至设备n)签发设备证书。
图2为本实施例中一种对物联网设备进行安全管理的方法的流程示意图,采用基于非对称密钥证书的认证体系,设备和平台双方进行互相认证,完成用户身份识别卡证书签发。该方法包括如下步骤:
步骤201、物联网安全管理平台在公认的第三方安全机构平台进行认证注册,接收第三方安全机构平台签发的物联网安全管理平台证书并保存。
步骤202、每个物联网设备需要在首次接入物联网系统时进行初始化认证,由物联网安全管理平台对其发行证书。物联网安全管理平台接收物联网设备的接入请求,根据业务安全级别要求,指定签发证书类型,双方业务数据传输加密机制,将物联网安全管理平台证书下发给设备。
步骤203、物联网设备的用户身份识别卡根据预存的第三方安全机构平台证书中的公钥,对物联网安全管理平台证书进行身份认证,通过后物联网设备的用户身份识别卡生成公私钥对及用户身份识别卡公私钥对中用户身份识别卡私钥对用户身份识别卡公钥的签名信息,并将所述用户身份识别卡公钥及签名信息发送至所述物联网安全管理平台。
步骤204、物联网安全管理平台对设备返回的用户身份识别卡公钥签名信息进行身份认证,通过后向物联网设备签发设备用户身份识别卡证书。
步骤205、物联网设备用户身份识别卡对物联网安全管理平台签发的用户身份识别卡证书进行身份认证,通过后保存设备用户身份识别卡证书及物联网安全管理平台证书,并通知物联网安全管理平台。
步骤206、物联网设备的物联网业务装置确认用户身份识别卡证书签发成功后,向所述用户身份识别卡发起机卡绑定请求,将设备、模组、用户身份识别卡唯一标识信息进行绑定,设备开机或发起一项业务流程时,检查设备物理组成是否有发生变化。
具体的,物联网设备的物联网业务装置接收设备编号,将设备编号发送至物联网设备的用户身份识别卡,并向用户身份识别卡发起机卡绑定请求。
设备编号在个人化过程中由物联网安全管理平台为设备编发,用于对设备进行业务管理或设备上报信息时平台区分通信源使用,设备与SIM卡、模组间通过设备编号、SIM卡EID、模组MEID/IMEI进行绑定,物联网设备用户身份识别卡出厂时需预置第三方安全机构平台根证书,用于验证物联网安全管理平台身份合法性。所述物联网安全管理平台向所述物联网设备分配设备编号,并管理所述设备用户身份识别卡公钥和设备编号,设备编号使用用户身份识别卡证书中的唯一信息字段,唯一信息字段即用户身份识别卡证书的身份信息(ID信息),用以区分各个用户身份识别卡。
图3为本实施例中一种对物联网进行安全管理的方法的流程示意图,该方法包括如下步骤:
步骤301、物联网业务管理平台对设备进行安全管理时,通知物联网安全管理平台与对应设备进行身份认证、密钥协商。
步骤302、物联网安全管理平台使用所述物联网安全管理平台私钥对物联网设备唯一标识信息签名,将所述设备唯一标识信息及签名数据发送至所述物联网设备。
步骤303、物联网安全管理平台与物联网设备用户身份识别卡进行双向认证及密钥协商成功后,协商的工作密钥根据安全级别设置保存在物联网业务管理平台或物联网安全管理平台。
步骤304、物联网业务管理平台使用存储在自身的工作密钥加密管理指令得到密文管理数据或向物联网安全管理平台发起加密请求,从物联网安全管理平台获取密文管理数据,并将密文管理数据发送至物联网设备。其中,物联网安全管理平台的密文管理数据是通过存储在自身的工作密钥加密管理指令得到。
步骤305、物联网设备根据工作密钥解密密文管理数据得到管理指令,执行管理指令,并选择明文或使用工作密钥加密执行结果发送至物联网业务管理平台。
在一些可选的实施例中,图3中所示方法还可以包括如下步骤:当安全认证失败达到或超过预设数量时,用户身份识别卡锁定并禁止进一步认证操作。
图4为本实施例中一种对物联网设备进行安全管理的方法的流程示意图,该方法包括如下步骤:
步骤401、物联网设备上报采集数据时可以主动发起与平台的双向认证及密钥协商操作,所述物联网设备使用设备的用户身份识别卡私钥对所述设备的唯一标识信息进行签名,并将用户身份识别卡的签名结果发送至所述物联网安全管理平台,进行双向认证和密钥协商,得到工作密钥。
步骤402、物联网设备根据工作密钥加密采集数据,并将加密采集数据发送至物联网业务管理平台。
在一些可选的实施例中,图4中所示方法还可以包括如下步骤:当双向认证失败达到或超过预设数量时,物联网安全管理平台锁定并禁止进一步认证操作。
图5为本发明实施例中物联网安全管理平台501在第三方安全机构平台503个人化的流程示意,主要包括如下步骤:
物联网安全管理平台501在出厂时写入第三方安全机构平台根证书,并生成物联网安全管理平台公私钥对,根据物联网安全管理平台公私钥对及物联网安全管理平台的基本识别信息生成物联网安全管理平台CSR(Certificate Signing Requests)文件,将物联网安全管理平台CSR(Certificate Signing Requests)文件送至物联网业务管理平台502,并通过物联网业务管理平台502将物联网安全管理平台CSR文件发送至第三方安全机构平台503;
第三方安全机构平台503签发物联网安全管理平台证书,并通过物联网业务管理平台502转发至物联网安全管理平台501,物联网安全管理平台501接收物联网安全管理平台证书,完成个人化并通过物联网业务管理平台502通知给第三方安全机构平台503。
图6为本发明实施例中物联网设备首次接入物联网时进行个人化,物联网安全管理平台为物联网设备发行证书,设备的业务装置与身份识别卡间进行绑定的示意图。在图6中,物联网安全管理平台601与物联网业务管理平台602、物联网业务装置603及物联网设备的用户身份识别卡604通过数据交互及信息传导实现上述图3中所述对物联网进行安全管理的方法中新物联网设备安全接入物联网的流程。设备端安全认证及数据加解密由用户身份识别卡安全应用负责完成。设备系统通过7816,SPI,I2C等接口访问卡片安全应用。根据安全级别配置可支持平台数据加解密工作密钥存放在物联网安全管理平台或物联网业务管理平台;物联网设备与SIM卡间数据传输可以根据安全级别选择明文或密文传输;执行结果可根据安全级别要求配置选择明文或密文发送;可根据安全级别要求设置密钥协商发起方;可根据安全级别要求设置定期发起密钥协商。
图7为本发明实施例中对物联网设备端进行管理时认证及数据交互的流程示意图。在图7中,物联网安全管理平台701与物联网业务管理平台702、物联网业务装置703及物联网设备的用户身份识别卡704通过数据交互及信息传导实现上述图3中所述对物联网进行安全管理的方法的对设备端进行管理时认证及数据交互。
图8为本发明实施例中物联网设备端主动通知时认证及数据交互的流程示意图。在图8中,物联网安全管理平台801与物联网业务管理平台802、物联网业务装置803及物联网设备的用户身份识别卡804通过数据交互及信息传导实现上述图4中所述对物联网进行安全管理的方法的设备端状态主动通知用户端时认证及数据交互。
图9为本实施例中一种对物联网进行安全管理的系统900的结构示意图,该系统用于实施上述的对物联网进行安全管理的方法,该系统包括:第三方安全机构平台901、物联网业务管理平台902、物联网安全管理平台903。
其中,第三方安全机构平台901,与物联网业务管理平台902相连接,用于接收物联网安全管理平台的注册请求,对注册请求的合法性进行认证,并向物联网安全管理平台签发证书。
物联网业务管理平台902,与物联网安全管理平台903及第三方安全机构平台901相连接,用于传输物联网安全管理平台与第三方安全机构平台间的数据。
物联网安全管理平台903,与物联网业务管理平台902相连接,用于生成物联网安全管理平台公私钥对,将注册信息和物联网安全管理平台公钥发送至第三方安全机构平台,接收第三方安全机构平台签发的物联网安全管理平台证书并保存。
图10为本实施例中一种对物联网进行安全管理的系统1000的结构示意图,该系统用于实施上述的对物联网进行安全管理的方法,该系统包括:物联网安全管理平台1001,物联网业务管理平台1002、物联网设备1003。
其中物联网安全管理平台1001与物联网业务管理平台1002相连,用于接收物联网设备的接入请求,根据业务安全级别要求,指定签发证书类型,双方业务数据传输加密机制,向物联网设备签发用户身份识别卡证书。在整个系统的业务管理或采集数据上报流程中可用于与物联网设备用户身份识别卡进行身份认证密钥协商,对安全数据进行加解密。
物联网业务管理平台1002,与物联网安全管理平台1001及物联网设备1003相连接,用于传输物联网安全管理平台及物联网设备的数据,并管理物联网设备。
物联网设备1003,与物联网业务管理平台1002相连接,用于申请接入物联网安全系统,接受物联网业务管理平台的安全管理及安全上报设备采集数据。
物联网设备1003,包括:物联网业务装置1031及用户身份识别卡1032;其中,物联网业务装置1031,与物联网业务管理平台1002及用户身份识别卡1032相连接,用于:透传物联网业务管理平台与用户身份识别卡之间的安全数据,与用户身份识别卡进行机卡绑定及身份互认证;用户身份识别卡1032,与物联网业务装置1031相连接,用于:与所述物联网安全管理平台1001进行身份认证、密钥协商,与设备、模组进行机卡绑定关系认证及对物联网业务管理平台与设备间传输数据进行加解密。
可选地,物联网安全管理平台1001,还用于:当物联网安全管理平台1001检测到用户身份识别卡发起的认证失败达到或超过预设数量时,物联网安全管理平台1001锁定并禁止所述用户身份识别卡发起的进一步认证操作;
物联网设备1003,还可用于:当用户身份识别卡1032检测到物联网安全管理平台发起的认证失败达到或超过预设数量时,用户身份识别卡1032锁定并禁止所述物联网安全管理平台发起的进一步认证操作。
可选地,所述用户身份识别卡可以为多接口SIM卡,所述物联网业务装置与SIM卡间通过7816接口进行移动通信入网数据交互,通过7816、SPI、I2C、CAN或USB接口进行物联网安全数据交互。设备与SIM卡、模组间可以通过设备编号、SIM卡EID、或模组MEID/IMEI进行绑定,进一步提高防安全攻击能力,防止SIM卡被非法使用。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (11)

1.一种对物联网设备进行安全管理的方法,其特征在于,包括:
物联网安全管理平台在公认的第三方安全机构平台进行注册,接收所述第三方安全机构平台签发的物联网安全管理平台证书并保存;
物联网设备在所述物联网安全管理平台进行注册,所述物联网安全管理平台对所述物联网设备的用户身份识别卡认证通过后,向所述用户身份识别卡签发物联网设备用户身份识别卡证书;
所述物联网安全管理平台与所述用户身份识别卡通过物联网业务平台进行双向身份认证,并通知所述物联网安全管理平台;
所述物联网业务平台与所述物联网设备间传输业务数据时,所述物联网安全管理平台与所述用户身份识别卡进行双向身份认证,认证通过后协商出业务数据传输加密工作密钥。
2.根据权利要求1所述的对物联网设备进行安全管理的方法,其特征在于,物联网设备在所述物联网安全管理平台进行注册,所述物联网安全管理平台对所述物联网设备的用户身份识别卡认证通过后,向所述用户身份识别卡签发物联网设备用户身份识别卡证书;所述物联网安全管理平台与所述用户身份识别卡通过物联网业务平台进行双向身份认证,并通知所述物联网安全管理平台,为:
物联网设备在所述物联网安全管理平台进行注册,所述物联网安全管理平台,接收物联网设备的接入请求,根据业务安全级别要求,指定签发证书类型,双方业务数据传输加密机制,将物联网安全管理平台证书下发给设备;所述物联网设备的用户身份识别卡根据预存的所述第三方安全机构平台证书中的公钥,对所述物联网安全管理平台证书进行身份认证,通过后用户身份识别卡生成用户身份识别卡公私钥对及所述用户身份识别卡公私钥对中用户身份识别卡私钥对用户身份识别卡公钥的签名信息,并将所述用户身份识别卡公钥及签名信息发送至所述物联网安全管理平台;
所述物联网安全管理平台对设备返回的用户身份识别卡公钥签名信息进行身份认证,通过后向所述物联网设备签发用户身份识别卡证书;
所述物联网设备用户身份识别卡对所述物联网安全管理平台签发的用户身份识别卡证书进行身份认证,通过后保存所述设备用户身份识别卡证书及物联网安全管理平台证书,并通知所述物联网安全管理平台;
所述物联网设备的物联网业务装置确认用户身份识别卡证书签发成功后,向所述用户身份识别卡发起机卡绑定请求,将设备、模组、用户身份识别卡唯一标识信息进行绑定,设备开机或发起一项业务流程时,检查设备物理组成是否有发生变化。
3.根据权利要求1所述的对物联网设备进行安全管理的方法,其特征在于,还包括:
物联网业务管理平台对设备进行安全管理时,通知所述物联网安全管理平台与对应设备进行身份认证、密钥协商;
所述物联网安全管理平台使用所述物联网安全管理平台私钥对设备唯一标识信息签名,将所述设备唯一标识信息及签名数据发送至所述物联网设备;其中,所述设备的唯一标识信息为设备编号;
所述物联网安全管理平台与所述物联网设备用户身份识别卡进行双向认证及密钥协商成功后,协商的工作密钥根据安全级别设置保存在所述物联网安全管理平台或物联网业务管理平台;
所述物联网安全管理平台或物联网业务管理平台使用所述工作密钥加密管理指令得到密文管理数据,并将所述密文管理数据发送至所述物联网设备;
所述物联网设备根据工作密钥解密所述密文管理数据得到所述管理指令,执行所述管理指令,并选择明文或使用所述工作密钥加密执行结果发送至所述物联网业务管理平台。
4.根据权利要求1所述的对物联网设备进行安全管理的方法,其特征在于,还包括:
根据业务安全级别要求设置物联网设备上报采集数据时主动发起与平台的双向认证密钥协商操作,所述物联网设备使用设备的用户身份识别卡私钥对所述设备的唯一标识信息进行签名,并将唯一标识及其签名发送至所述物联网安全管理平台,进行双向认证和密钥协商,得到工作密钥;
所述物联网设备根据所述工作密钥加密采集数据,并将所述加密采集数据发送至所述物联网业务管理平台。
5.根据权利要求1至4任意一项所述的对物联网设备进行安全管理的方法,其特征在于,还包括:
所述物联网安全管理平台向所述物联网设备分配设备编号,并管理所述设备用户身份识别卡公钥和设备编号,设备编号使用用户身份识别卡证书中的唯一信息字段。
6.一种对物联网设备进行安全管理的系统,其特征在于,包括:第三方安全机构平台、物联网安全管理平台、物联网业务管理平台及物联网设备;其中,
所述第三方安全机构平台,与所述物联网业务管理平台相连接,用于接收所述物联网安全管理平台的注册请求,对所述注册请求的合法性进行认证,并向所述物联网安全管理平台签发物联网安全管理平台证书;
所述物联网业务管理平台,与物联网安全管理平台及第三方安全机构平台相连接,用于传输物联网安全管理平台与第三方安全机构平台间的数据;
同时,所述物联网业务管理平台,与物联网安全管理平台及物联网设备相连接,用于传输物联网安全管理平台及物联网设备的数据,并管理物联网设备;
所述物联网安全管理平台,与所述物联网业务管理平台相连接,用于接收所述第三方安全机构平台签发的物联网安全管理平台证书并保存;接收物联网设备的注册请求,根据用户身份识别卡公钥对公钥签名数据验签合法后,向所述物联网设备签发用户身份识别卡证书,并管理设备用户身份识别卡证书信息;
所述物联网设备,与所述物联网业务管理平台相连接,用于根据预存的所述第三方安全机构平台根证书,对所述物联网安全管理平台证书进行验签,通过后所述物联网设备的用户身份识别卡生成用户身份识别卡公私钥对及所述用户身份识别卡公私钥对中用户身份识别卡私钥对用户身份识别卡公钥的签名信息,并将所述用户身份识别卡公钥及签名信息发送至所述物联网安全管理平台;
所述用户身份识别卡对所述用户身份识别卡证书使用物联网安全管理平台公钥验签合法后,保存所述设备用户身份识别卡证书及物联网安全管理平台证书,并通知所述物联网安全管理平台注册成功。
7.根据权利要求6所述的对物联网设备进行安全管理的系统,其特征在于,所述物联网业务管理平台,还用于:根据工作密钥加密管理指令得到密文管理数据,并将所述密文管理数据发送至所述物联网设备;
所述物联网安全管理平台,还用于:与所述物联网设备进行双向认证及密钥协商,加密业务管理数据,解密物联网设备上报数据;
所述物联网设备,还用于:根据工作密钥解密所述密文管理数据得到所述管理指令,执行所述管理指令,并利用所述工作密钥加密执行结果发送至所述物联网业务管理平台或物联网安全管理平台。
8.根据权利要求6所述的对物联网设备进行安全管理的系统,其特征在于,所述物联网设备,还用于:使用用户身份识别卡私钥对所述设备编号进行签名,并将设备编号及其签名数据发送至所述物联网安全管理平台;
所述物联网安全管理平台使用用户身份识别卡公钥对所述签名进行验签,确认设备合法性后与设备完成双向认证、密钥协商。
9.根据权利要求8所述的对物联网设备进行安全管理的系统,其特征在于,所述物联网安全管理平台,还用于:当所述物联网安全管理平台检测到用户身份识别卡发起的认证失败达到或超过预设数量时,物联网安全管理平台锁定并禁止所述用户身份识别卡发起的进一步认证操作;所述物联网设备,还用于:当用户身份识别卡检测到平台发起的认证失败达到或超过预设数量时,用户身份识别卡锁定并禁止平台发起的进一步认证操作。
10.根据权利要求6-9任意一项所述的对物联网设备进行安全管理的系统,其特征在于,所述物联网设备,包括:物联网业务装置及用户身份识别卡;其中,
所述物联网业务装置,与所述物联网业务管理平台及用户身份识别卡相连接,用于:透传物联网业务管理平台与用户身份识别卡之间的安全数据,与用户身份识别卡进行机卡绑定及身份认证;
所述用户身份识别卡,与所述物联网业务装置相连接,用于:与所述物联网安全管理平台进行身份认证、密钥协商,与设备、模组进行机卡绑定认证及对物联网业务管理平台与设备间传输数据进行加解密。
11.根据权利要求10所述的对物联网设备进行安全管理的系统,其特征在于,所述用户身份识别卡为多接口SIM卡,所述物联网业务装置与SIM卡间通过7816接口进行移动通信入网数据交互,通过7816、SPI、I2C、CAN或USB接口进行物联网安全数据交互。
CN201810885306.8A 2018-07-27 2018-08-06 一种对物联网设备进行安全管理的方法及系统 Active CN108881304B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201810846408 2018-07-27
CN2018108464089 2018-07-27

Publications (2)

Publication Number Publication Date
CN108881304A CN108881304A (zh) 2018-11-23
CN108881304B true CN108881304B (zh) 2020-09-29

Family

ID=64307579

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810885306.8A Active CN108881304B (zh) 2018-07-27 2018-08-06 一种对物联网设备进行安全管理的方法及系统

Country Status (1)

Country Link
CN (1) CN108881304B (zh)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109347875A (zh) * 2018-11-29 2019-02-15 深圳力维智联技术有限公司 物联网设备、物联网平台及接入物联网平台的方法和系统
CN111355571B (zh) * 2018-12-21 2023-04-07 中国电信股份有限公司 生成身份认证私钥的方法、终端、连接管理平台和系统
CN110099105B (zh) * 2019-04-19 2020-05-22 华南理工大学 一种用于人与机器人协作的网络连接方法
CN110519238B (zh) * 2019-08-08 2021-11-12 北京安御道合科技有限公司 一种基于密码技术的物联网安全系统和通信方法
CN112787977B (zh) * 2019-11-07 2022-11-11 中国电信股份有限公司 安全传输方法和系统
CN111131167B (zh) * 2019-11-29 2022-04-05 中科曙光(南京)计算技术有限公司 基于hibe的物联网身份验证方法、装置
CN111193748B (zh) * 2020-01-06 2021-12-03 惠州市德赛西威汽车电子股份有限公司 一种交互式密钥安全认证方法及系统
CN111447593B (zh) * 2020-03-27 2022-09-16 四川爱联科技股份有限公司 基于5g网络的物联网模块软件定制系统
CN111641587B (zh) * 2020-04-27 2022-03-04 河南省云安大数据安全防护产业技术研究院有限公司 物联网设备互联互通的方法、装置
CN113852957A (zh) * 2020-06-09 2021-12-28 中国移动通信有限公司研究院 安全服务器、sp服务器、终端、安全授权方法及系统
CN112087417B (zh) * 2020-07-22 2022-10-21 深圳奇迹智慧网络有限公司 终端权限控制方法、装置、计算机设备和存储介质
CN112398841A (zh) * 2020-11-06 2021-02-23 无锡一箩筐科技有限公司 一种基于物联网的智慧农业云平台
CN112565213B (zh) * 2020-11-25 2022-10-14 青岛海尔科技有限公司 认证方法及装置、存储介质、电子装置
CN112565257A (zh) * 2020-12-03 2021-03-26 国网安徽省电力有限公司检修分公司 基于电网专用和边缘物联代理的安全进程管理系统
CN112688945A (zh) * 2020-12-24 2021-04-20 联通物联网有限责任公司 一种物联网终端数据的传输方法和传输系统
CN113539523B (zh) * 2021-07-19 2023-06-20 浪潮云信息技术股份公司 一种基于国产商用密码算法的物联网设备身份认证方法
CN114827961B (zh) * 2022-04-12 2024-02-06 北京中电华大电子设计有限责任公司 用户识别卡及智能终端、用户识别卡应用方法
CN115102710A (zh) * 2022-05-06 2022-09-23 广州运通数达科技有限公司 数字人民币消费场景的物联网设备安全接入方法及设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2747368A1 (fr) * 2012-12-19 2014-06-25 Gemalto SA Procédé de personnalisation d'un élément de sécurité
CN104244227A (zh) * 2013-06-09 2014-12-24 中国移动通信集团公司 一种物联网系统中终端接入认证的方法及装置
CN107659927A (zh) * 2017-09-29 2018-02-02 上海展扬通信技术有限公司 一种用于智能设备的sim卡的管理方法及管理装置
CN107959686A (zh) * 2017-12-13 2018-04-24 恒宝股份有限公司 一种物联网安全认证系统及认证方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103532963A (zh) * 2013-10-22 2014-01-22 中国联合网络通信集团有限公司 一种基于物联网设备认证方法、装置和系统
US10932128B2 (en) * 2014-09-19 2021-02-23 Pcms Holdings, Inc. Systems and methods for secure device provisioning
CN107171805B (zh) * 2017-05-17 2020-04-28 浪潮集团有限公司 一种物联网终端数字证书签发系统和方法
CN108040044B (zh) * 2017-12-07 2019-06-07 恒宝股份有限公司 一种实现eSIM卡安全认证的管理方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2747368A1 (fr) * 2012-12-19 2014-06-25 Gemalto SA Procédé de personnalisation d'un élément de sécurité
CN104244227A (zh) * 2013-06-09 2014-12-24 中国移动通信集团公司 一种物联网系统中终端接入认证的方法及装置
CN107659927A (zh) * 2017-09-29 2018-02-02 上海展扬通信技术有限公司 一种用于智能设备的sim卡的管理方法及管理装置
CN107959686A (zh) * 2017-12-13 2018-04-24 恒宝股份有限公司 一种物联网安全认证系统及认证方法

Also Published As

Publication number Publication date
CN108881304A (zh) 2018-11-23

Similar Documents

Publication Publication Date Title
CN108881304B (zh) 一种对物联网设备进行安全管理的方法及系统
CN105850073B (zh) 信息系统访问认证方法及装置
CN110800248B (zh) 用于第一应用和第二应用之间的互相对称认证的方法
CN109361508B (zh) 数据传输方法、电子设备及计算机可读存储介质
CN105282179B (zh) 一种基于cpk的家庭物联网安全控制的方法
CN103731756A (zh) 一种基于智能云电视网关的智能家居远程安全访问控制实现方法
CN104994114A (zh) 一种基于电子身份证的身份认证系统和方法
KR20160032665A (ko) 안전한 전자 거래를 위한 네트워크 인증 방법
CN111552935B (zh) 一种区块链数据授权访问方法及装置
EP3422630B1 (en) Access control to a network device from a user device
CN105790938A (zh) 基于可信执行环境的安全单元密钥生成系统及方法
WO2018021708A1 (ko) 공개키 기반의 서비스 인증 방법 및 시스템
CN107733636B (zh) 认证方法以及认证系统
WO2006132597A1 (en) Systems, methods and computer program products for authorising ad-hoc access
CN101841525A (zh) 安全接入方法、系统及客户端
JP2023544529A (ja) 認証方法およびシステム
CN110278084B (zh) eID建立方法、相关设备及系统
CN109618334A (zh) 控制方法及相关设备
KR102012262B1 (ko) 키 관리 방법 및 fido 소프트웨어 인증장치
CN103916363A (zh) 加密机的通讯安全管理方法和系统
CN104683107A (zh) 数字证书保管方法和装置、数字签名方法和装置
CN110838919B (zh) 通信方法、存储方法、运算方法及装置
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
WO2017020530A1 (zh) 一种增强的wlan证书鉴别方法、装置及系统
CN117040857A (zh) 一种增强授权码安全性的用户身份验证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20200902

Address after: 212355 Zhenjiang city of Jiangsu province Danyang City Heng Tang Industrial Zone

Applicant after: HENGBAO Corp.

Address before: 212355 Hengtang Industrial Park, Yunyang Town, Danyang City, Zhenjiang City, Jiangsu Province

Applicant before: JIANGSU HENGBAO INTELLIGENT SYSTEM TECHNOLOGY Co.,Ltd.

GR01 Patent grant
GR01 Patent grant