CN111355571A - 生成身份认证私钥的方法、终端、连接管理平台和系统 - Google Patents
生成身份认证私钥的方法、终端、连接管理平台和系统 Download PDFInfo
- Publication number
- CN111355571A CN111355571A CN201811568170.4A CN201811568170A CN111355571A CN 111355571 A CN111355571 A CN 111355571A CN 201811568170 A CN201811568170 A CN 201811568170A CN 111355571 A CN111355571 A CN 111355571A
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- terminal
- private key
- identity authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开提供了一种用于生成身份认证私钥的方法、物联网终端、物联网连接管理平台和系统。该方法包括:物联网终端将当前IMSI发送到物联网连接管理平台;以及该物联网连接管理平台根据该当前IMSI查询该物联网终端的物联网卡码号,根据该物联网卡码号生成物联网终端的身份认证私钥,并将该物联网终端的身份认证私钥发送到该物联网终端。本公开实现了生成身份认证私钥的目的。
Description
技术领域
本公开涉及安全认证技术领域,特别涉及一种用于生成身份认证私钥的方法、物联网终端、物联网连接管理平台和系统。
背景技术
传统低功耗物联网(例如LORA(Long Range Radio,远距离无线电)等)应用一般采用专用局域网,物联网终端一般部署在相对比较安全的环境内(例如办公楼宇等)。物联网终端的安全问题往往靠人工巡检或采用较低级别的安全认证方案解决。
低功耗蜂窝物联网终端主要应用于智能抄表、环境监测、消防监测等物联网应用场景,主要特点是低成本,低功耗(电池供电)。但是由于单终端硬件资源受限,因此需要大量部署物联网终端设备。低功耗蜂窝物联网终端部署在广域网,终端往往暴露在相对开放的地域(例如沙漠环境监测、居民楼的智能水表等),相对于传统低功耗物联网终端,受攻击的可能性更大,受攻击后造成的损失也更大。由于物联网终端的硬件资源受限、低功耗等特性,传统密码体系无法满足上述要求。
发明内容
本公开实施例解决的一个技术问题是:提供一种用于生成身份认证私钥的方法。
根据本公开实施例的一个方面,提供了一种用于生成身份认证私钥的方法,包括:物联网终端将当前IMSI发送到物联网连接管理平台;以及所述物联网连接管理平台根据所述当前IMSI查询所述物联网终端的物联网卡码号,根据所述物联网卡码号生成所述物联网终端的身份认证私钥,并将所述物联网终端的身份认证私钥发送到所述物联网终端。
在一些实施例中,物联网终端将当前IMSI发送到物联网连接管理平台的步骤包括:在物联网终端上电后,所述物联网终端的主控制器调用通信模组进行安全初始化;以及所述通信模组在安全初始化的过程中,从物联网卡获取当前IMSI,在所述物联网终端的设备身份信息不存在或者所述物联网终端的IMSI发生变化的情况下,将所述当前IMSI发送给物联网连接管理平台。
在一些实施例中,所述方法还包括:所述通信模组将所述物联网终端的身份认证私钥保存到安全芯片,并将安全初始化成功的消息反馈给所述主控制器。
在一些实施例中,在物联网终端将当前IMSI发送到物联网连接管理平台之前,所述方法还包括:所述物联网终端与所述物联网连接管理平台协商获得会话密钥;所述通信模组将所述当前IMSI发送给物联网连接管理平台的步骤包括:所述通信模组利用所述会话密钥对所述当前IMSI加密,并将加密后的当前IMSI发送给所述物联网连接管理平台;其中,所述物联网连接管理平台利用所述会话密钥对加密后的当前IMSI解密以获得所述当前IMSI。
在一些实施例中,所述物联网连接管理平台将所述物联网终端的身份认证私钥发送到所述物联网终端的步骤包括:所述物联网连接管理平台利用所述会话密钥对所述物联网终端的身份认证私钥进行加密,并将加密后的所述物联网终端的身份认证私钥发送到所述物联网终端;其中,所述通信模组利用所述会话密钥对加密后的所述物联网终端的身份认证私钥进行解密以获得所述物联网终端的身份认证私钥。
在一些实施例中,所述方法还包括:物联网应用平台将自身的身份隐私信息发送给所述物联网连接管理平台;以及所述物联网连接管理平台根据所述物联网应用平台的身份隐私信息生成所述物联网应用平台的身份认证私钥和平台身份标识,并将所述物联网应用平台的身份认证私钥和平台身份标识发送到所述物联网应用平台。
根据本公开实施例的另一个方面,提供了一种物联网终端,包括:物联网卡,用于存储物联网终端的当前IMSI;以及通信模组,用于从所述物联网卡获取当前IMSI,在所述物联网终端的设备身份信息不存在或者所述物联网终端的IMSI发生变化的情况下,将所述当前IMSI发送给物联网连接管理平台;其中,所述物联网连接管理平台根据所述当前IMSI查询所述物联网终端的物联网卡码号,根据所述物联网卡码号生成所述物联网终端的身份认证私钥,并将所述物联网终端的身份认证私钥发送到所述物联网终端。
在一些实施例中,所述物联网终端还包括:主控制器,用于在所述物联网终端上电后调用所述通信模组进行安全初始化。
在一些实施例中,所述通信模组还用于将所述物联网终端的身份认证私钥保存到安全芯片,并将安全初始化成功的消息反馈给所述主控制器。
在一些实施例中,所述通信模组与所述物联网连接管理平台协商获得会话密钥;所述通信模组还用于利用所述会话密钥对所述当前IMSI加密,并将加密后的当前IMSI发送给所述物联网连接管理平台;其中,所述物联网连接管理平台利用所述会话密钥对加密后的当前IMSI解密以获得所述当前IMSI。
在一些实施例中,所述物联网连接管理平台利用所述会话密钥对所述物联网终端的身份认证私钥进行加密,并将加密后的所述物联网终端的身份认证私钥发送到所述物联网终端;所述通信模组还用于利用所述会话密钥对加密后的所述物联网终端的身份认证私钥进行解密以获得所述物联网终端的身份认证私钥。
根据本公开实施例的另一个方面,提供了一种物联网连接管理平台,包括:获取单元,用于获取物联网终端的当前国际移动用户识别码IMSI;生成单元,用于根据所述当前IMSI查询所述物联网终端的物联网卡码号,根据所述物联网卡码号生成所述物联网终端的身份认证私钥;以及发送单元,用于将所述物联网终端的身份认证私钥发送到所述物联网终端。
在一些实施例中,所述物联网终端与所述物联网连接管理平台协商获得会话密钥;其中,所述物联网终端利用所述会话密钥对所述当前IMSI加密,并将加密后的当前IMSI发送给所述物联网连接管理平台;所述获取单元用于利用所述会话密钥对加密后的当前IMSI解密以获得所述当前IMSI。
在一些实施例中,所述发送单元还用于利用所述会话密钥对所述物联网终端的身份认证私钥进行加密,并将加密后的所述物联网终端的身份认证私钥发送到所述物联网终端;其中,所述物联网终端利用所述会话密钥对加密后的所述物联网终端的身份认证私钥进行解密以获得所述物联网终端的身份认证私钥。
在一些实施例中,所述获取单元还用于获取物联网应用平台的身份隐私信息;所述生成单元还用于根据所述物联网应用平台的身份隐私信息生成所述物联网应用平台的身份认证私钥和平台身份标识;所述发送单元还用于将所述物联网应用平台的身份认证私钥和平台身份标识发送到所述物联网应用平台。
根据本公开实施例的另一个方面,提供了一种用于生成身份认证私钥的系统,包括:如前所述的物联网终端、如前所述的物联网连接管理平台和物联网应用平台。
根据本公开实施例的另一个方面,提供了一种用于生成身份认证私钥的系统,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如前所述的方法。
根据本公开实施例的另一个方面,提供了一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现如前所述的方法的步骤。
在上述方法中,物联网终端将当前IMSI发送到物联网连接管理平台;以及该物联网连接管理平台根据当前IMSI查询物联网终端的物联网卡码号,根据该物联网卡码号生成该物联网终端的身份认证私钥,并将该物联网终端的身份认证私钥发送到物联网终端。该方法实现了生成身份认证私钥的目的,从而可以利用该身份认证私钥实现身份认证。
进一步地,在身份认证私钥泄露等情况下,可以直接更换设备中的物联网卡,并完成身份认证私钥更新,上述方法解决了在传统方法中身份认证私钥无法更新和撤销的问题。
进一步地,上述方法有利于实现服务端与终端的双向数字身份认证。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1是示出根据本公开一些实施例的用于生成身份认证私钥的方法的流程图;
图2是示出根据本公开另一些实施例的用于生成身份认证私钥的方法的流程图;
图3是示出根据本公开一些实施例的物联网终端的结构示意图;
图4是示出根据本公开一些实施例的物联网连接管理平台的结构示意图;
图5是示出根据本公开一些实施例的用于生成身份认证私钥的系统的结构示意图;
图6是示出根据本公开另一些实施例的用于生成身份认证私钥的系统的结构示意图;
图7是示出根据本公开另一些实施例的用于生成身份认证私钥的系统的结构示意图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1是示出根据本公开一些实施例的用于生成身份认证私钥的方法的流程图。如图1所示,该方法可以包括步骤S102至S104。
在步骤S102,物联网终端将当前IMSI(International Mobile SubscriberIdentification Number,国际移动用户识别码)发送到物联网连接管理平台。
在步骤S104,物联网连接管理平台根据当前IMSI查询物联网终端的物联网卡码号,根据该物联网卡码号生成该物联网终端的身份认证私钥,并将该物联网终端的身份认证私钥发送到该物联网终端。
例如,该物联网卡码号可以包括UIM(User Identity Module,用户识别模块)卡的码号或eSIM(Embedded Subscriber Identification Module,嵌入式用户身份识别卡)卡的码号。
在一些实施例中,物联网连接管理平台存储有IMSI与物联网卡码号的对应关系,根据该对应关系和当前IMSI查询物联网终端的物联网卡码号。例如,该物联网连接管理平台可以利用IBC(Identity-Based Cryptograph,基于身份标识的密码系统)或CLPKC(Certificateless Public key Cryptography,无证书公钥密码体系)技术根据该物联网卡码号生成该物联网终端的身份认证私钥。又例如,物联网连接管理平台可以采用国产密码算法SM9算法或基于国产密码SM2算法的CLPKC算法生成该物联网终端的身份认证私钥。
至此,提供了根据本公开一些实施例的用于生成身份认证私钥的方法。该方法可以包括:物联网终端将当前IMSI发送到物联网连接管理平台;以及该物联网连接管理平台根据当前IMSI查询物联网终端的物联网卡码号,根据该物联网卡码号生成该物联网终端的身份认证私钥,并将该物联网终端的身份认证私钥发送到物联网终端。该方法实现了生成身份认证私钥的目的,从而可以利用该身份认证私钥实现身份认证。
在传统方法中,在更换物联网终端的UIM卡或eSIM卡后,存在无法完成身份认证私钥更新和撤销的问题。
在本公开的一些实施例中,上述步骤S102可以包括:在物联网终端上电后,该物联网终端的主控制器(Master Control Unit,简称为MCU)调用通信模组进行安全初始化。该步骤S102还可以包括:该通信模组在安全初始化的过程中,从物联网卡获取当前IMSI,在该物联网终端的设备身份信息不存在或者该物联网终端的IMSI发生变化的情况下,将该当前IMSI发送给物联网连接管理平台。
例如,该物联网卡可以包括UIM卡或eSIM卡。例如,设备身份信息可以包括:物联网终端的身份认证私钥和/或电子证书等。
在该实施例中,该通信模组可以判断该物联网终端的设备身份信息是否存在以及该物联网终端的IMSI是否发生变化。如果设备身份信息存在,则表明物联网终端已经不是出厂设置,而是已经经过认证存在设备身份信息;否则表明物联网终端还没有被认证。如果该物联网终端的IMSI发生变化,则表明物联网卡已经被更换;否则表明物联网卡没有被更换。
在该实施例中,通信模组在该物联网终端的设备身份信息不存在或者该物联网终端的IMSI发生变化的情况下,将该当前IMSI发送给物联网连接管理平台。这样在身份认证私钥泄露等情况下,可以直接更换物联网终端中的物联网卡(例如UIM卡或eSIM卡),并完成身份认证私钥更新,解决了在传统方法中身份认证私钥无法更新和撤销的问题。
在一些实施例中,在设备身份信息已存在且IMSI未变化的情况下,通信模组直接使用当前设备身份信息。
在一些实施例中,所述方法还可以包括:通信模组将物联网终端的身份认证私钥保存到安全芯片,并将安全初始化成功的消息反馈给主控制器。在该实施例中,通过将物联网终端的身份认证私钥保存到安全芯片,使得安全认证达到芯片级别,提高了安全等级。
在一些实施例中,在步骤S102之前,所述方法还可以包括:物联网终端(例如通信模组)与物联网连接管理平台协商获得会话密钥。例如,物联网终端(例如通信模组)与物联网连接管理平台可以通过ECDHE(Elliptic Curve Diffie-Hellman Exchange,椭圆曲线迪菲-赫尔曼密钥交换算法)算法协商获得会话密钥并建立安全连接。
在一些实施例中,该步骤S102可以包括:通信模组利用会话密钥对当前IMSI加密,并将加密后的当前IMSI发送给物联网连接管理平台。该物联网连接管理平台利用该会话密钥对加密后的当前IMSI解密以获得该当前IMSI。在该实施例中,通过对当前IMSI加密,从而可以防止IMSI被泄露。
在一些实施例中,物联网连接管理平台将物联网终端的身份认证私钥发送到物联网终端的步骤可以包括:物联网连接管理平台利用会话密钥对物联网终端的身份认证私钥进行加密,并将加密后的物联网终端的身份认证私钥发送到物联网终端。通信模组利用会话密钥对加密后的物联网终端的身份认证私钥进行解密以获得该物联网终端的身份认证私钥。在该实施例中,提高对物联网终端的身份认证私钥加密,从而可以防止该身份认证私钥被泄露。
在本公开的一些实施例中,所述方法还可以包括:物联网应用平台将自身的身份隐私信息发送给物联网连接管理平台。例如,该身份隐私信息可以包括名称或数字标识信息等。该方法还可以包括:物联网连接管理平台根据该物联网应用平台的身份隐私信息生成该物联网应用平台的身份认证私钥和平台身份标识(或者称为平台身份ID),并将该物联网应用平台的身份认证私钥和平台身份标识发送到该物联网应用平台。例如,该平台身份标识可以包括平台公钥标识。在该实施例中,实现了为物联网应用平台生成身份认证私钥和平台身份标识的目的,从而有利于物联网应用平台的身份认证。
在一些实施例中,物联网应用服务商可根据自己的安全策略周期性更换物联网终端中的UIM卡或eSIM卡,以达到与PKI(Public Key Infrastructure,公钥基础设施)数字证书技术同样级别的密钥安全级别。在密钥泄露等情况下,物联网应用服务商可直接更换设备中的UIM卡或eSIM卡,以完成设备密钥更新,解决在传统方法中密钥无法更新和撤销的问题。
图2是示出根据本公开另一些实施例的用于生成身份认证私钥的方法的流程图。如图2所示,该方法可以包括步骤S201至S210。
在步骤S201,在物联网终端上电后,主控制器调用通信模组进行安全初始化。
在步骤S202,通信模组从物联网卡(例如UIM卡或eSIM卡)获取IMSI。
在步骤S203,如果设备身份信息已存在且IMSI未变化,则通信模组直接使用当前设备身份,否则请求生成新的身份认证私钥。
在步骤S204,通信模组在设备身份信息不存在或IMSI发生变化的情况下,将当前IMSI加密后发送给物联网连接管理平台。
在步骤S205,物联网连接管理平台解密得到当前IMSI,根据当前IMSI查询物联网终端的物联网卡码号(例如,UIM卡的码号或eSIM卡的码号),根据该物联网卡码号生成物联网终端的身份认证私钥。
在步骤S206,物联网连接管理平台将物联网终端的身份认证私钥加密后发送到通信模组。
在步骤S207,通信模组对加密后的身份认证私钥进行解密,从而得到该物联网终端的身份认证私钥,并将该身份认证私钥保存到安全芯片。
在步骤S208,通信模组将安全初始化成功的消息反馈给主控制器,从而完成安全初始化。
在步骤S209,物联网应用平台将自身的身份隐私信息发送到物联网连接管理平台。
在步骤S210,物联网连接管理平台生成物联网应用平台的身份认证私钥和平台身份标识,并将该物联网应用平台的身份认证私钥和平台身份标识返回给该物联网应用平台。例如,物联网连接管理平台可以通过双向SSL(Secure Sockets Layer,安全套接层)方式将物联网应用平台的身份认证私钥和平台身份标识传输给该物联网应用平台。
至此,提供了本公开另一些实施例的用于生成身份认证私钥的方法。该方法不但生成了物联网终端的身份认证私钥,还生成了物联网应用平台的身份认证私钥和平台身份标识,因此有利于实现服务端与终端的双向数字身份认证。
图3是示出根据本公开一些实施例的物联网终端的结构示意图。
在一些实施例中,如图3所示,该物联网终端可以包括物联网卡310和通信模组320。
该物联网卡310可以用于存储物联网终端的当前IMSI。例如,该物联网卡可以包括UIM卡或eSIM卡等。
该通信模组320可以用于从该物联网卡310获取当前IMSI,在该物联网终端的设备身份信息不存在或者该物联网终端的IMSI发生变化的情况下,将该当前IMSI发送给物联网连接管理平台(图3中未示出)。例如,该通信模组是为物联网终端提供蜂窝物联网通信能力的模块。
该物联网连接管理平台根据该当前IMSI查询该物联网终端的物联网卡码号,根据该物联网卡码号生成该物联网终端的身份认证私钥,并将该物联网终端的身份认证私钥发送到该物联网终端(例如通信模组320)。
至此,提供了根据本公开一些实施例的物联网终端。这实现了生成身份认证私钥的目的。在该实施例中,在身份认证私钥泄露等情况下,可以直接更换物联网终端中的物联网卡,并完成身份认证私钥更新,解决了在传统方法中在更换物联网卡后身份认证私钥无法更新和撤销的问题。
在一些实施例中,如图3所示,该物联网终端还可以包括主控制器330。该主控制器330可以用于在物联网终端上电后调用该通信模组320进行安全初始化。该主控制器还可以配合COS(Chip Operating System,芯片操作系统)完成物联网终端的各项功能。
在一些实施例中,该通信模组320可以包括安全芯片322。例如,该安全芯片322可以是具备密码运算能力的低功耗高安全密码芯片。该通信模组320还可以用于将物联网终端的身份认证私钥保存到该安全芯片322,并将安全初始化成功的消息反馈给主控制器330。
在一些实施例中,通信模组320与物联网连接管理平台协商获得会话密钥。该通信模组320还可以用于利用该会话密钥对当前IMSI加密,并将加密后的当前IMSI发送给物联网连接管理平台。该物联网连接管理平台可以利用该会话密钥对加密后的当前IMSI解密以获得该当前IMSI。
在一些实施例中,该物联网连接管理平台可以利用该会话密钥对物联网终端的身份认证私钥进行加密,并将加密后的物联网终端的身份认证私钥发送到物联网终端。该通信模组320还可以用于利用该会话密钥对加密后的物联网终端的身份认证私钥进行解密以获得该物联网终端的身份认证私钥。
图4是示出根据本公开一些实施例的物联网连接管理平台的结构示意图。如图4所示,该物联网连接管理平台可以包括:获取单元410、生成单元420和发送单元430。
该获取单元410可以用于获取物联网终端的当前IMSI。例如,物联网终端在该物联网终端的设备身份信息不存在或者该物联网终端的IMSI发生变化的情况下,将该物联网终端的当前IMSI发送给物联网连接管理平台。这样获取单元410可以从物联网终端接收到该物联网终端的当前IMSI。
该生成单元420可以用于根据该当前IMSI查询物联网终端的物联网卡码号,根据该物联网卡码号生成该物联网终端的身份认证私钥。
该发送单元430可以用于将该物联网终端的身份认证私钥发送到物联网终端。
至此,提供了根据本公开一些实施例的物联网连接管理平台。物联网连接管理平台通过物联网终端的当前IMSI生成了物联网终端的身份认证私钥,有利于实现身份认证。
在一些实施例中,物联网终端与物联网连接管理平台协商获得会话密钥。该物联网终端利用该会话密钥对当前IMSI加密,并将加密后的当前IMSI发送给物联网连接管理平台。该获取单元410可以用于利用该会话密钥对加密后的当前IMSI解密以获得该当前IMSI。
在一些实施例中,该发送单元430还可以用于利用会话密钥对物联网终端的身份认证私钥进行加密,并将加密后的物联网终端的身份认证私钥发送到物联网终端。该物联网终端可以利用该会话密钥对加密后的物联网终端的身份认证私钥进行解密以获得该物联网终端的身份认证私钥。
在一些实施例中,该获取单元410还可以用于(例如从物联网应用平台)获取物联网应用平台的身份隐私信息。该生成单元420还可以用于根据该物联网应用平台的身份隐私信息生成该物联网应用平台的身份认证私钥和平台身份标识。该发送单元430还可以用于将该物联网应用平台的身份认证私钥和平台身份标识发送到该物联网应用平台。
在一些实施例中,物联网连接管理平台是通信运营商(例如电信运营商)建设的物联网连接管理平台,可以为物联网应用开发方提供物联网卡码号管理、数据网关等功能服务。
图5是示出根据本公开一些实施例的用于生成身份认证私钥的系统的结构示意图。
如图5所示,该系统可以包括如:物联网终端510、物联网连接管理平台520和物联网应用平台530。例如,该物联网终端510可以是如图3所示的物联网终端,该物联网连接管理平台可以是如图4所示的物联网连接管理平台。例如,该物联网应用平台可以包括:智能抄表、智慧消防等物联网应用业务平台。
在一些实施例中,上述方法或系统基于物联网卡码号为物联网终端生成终端的身份认证私钥,基于物联网应用平台的隐私信息为物联网应用平台生成该平台的身份认证私钥和平台身份标识,从而有利于实现物联网应用平台与物联网终端的双向数字身份认证。
在一些实施例中,通过将密钥生成、身份认证等能力封装到通信模组中,物联网终端可以通过调用通信模组的能力即可完成与平台的芯片级双向数字身份认证。
另外,上述方法或系统以IBC/CLPKC技术为基础,将物联网卡码号作为物联网设备的公钥标识,在不降低设备认证安全级别的条件下,大幅降低设备公钥管理及存储成本。当物联网终端的身份认证私钥因各种原因泄露时,直接更换物联网卡即可实现对物联网终端的安全密钥更新,解决在传统方法中的设备私钥无法撤销更改的问题。
在一些实施例中,物联网终端可以不存储物联网卡码号,当物联网应用平台需要与物联网终端进行身份认证时,可直接通过物联网连接管理平台获取到物联网终端对应的码号,最大限度减少物联网终端的空间存储要求。
图6是示出根据本公开另一些实施例的用于生成身份认证私钥的系统的结构示意图。该系统包括存储器610和处理器620。其中:
存储器610可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储图1和/或图2所对应实施例中的指令。
处理器620耦接至存储器610,可以作为一个或多个集成电路来实施,例如微处理器或微控制器。该处理器620用于执行存储器中存储的指令,从而生成了物联网终端的身份认证私钥。
需要说明的是,该系统可以包括多个存储器610和多个处理器620,这些存储器610和处理器620可以配套地设置在物联网终端、物联网连接管理平台和物联网应用平台中。
在一些实施例中,还可以如图7所示,该系统700包括存储器710和处理器720。处理器720通过BUS总线730耦合至存储器710。该系统700还可以通过存储接口740连接至外部存储装置750以便调用外部数据,还可以通过网络接口760连接至网络或者另外一台计算机系统(未标出),此处不再进行详细介绍。
在该实施例中,通过存储器存储数据指令,再通过处理器处理上述指令,从而生成了物联网终端的身份认证私钥。
需要说明的是,该系统可以包括多个存储器710、多个处理器720、多个BUS总线730、多个存储接口740、多个外部存储装置750和多个网络接口760,这些存储器710、处理器720、BUS总线730、存储接口740、外部存储装置750和网络接口760可以配套地设置在物联网终端、物联网连接管理平台和物联网应用平台中。
在另一些实施例中,本公开还提供了一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现图1和/或图2所对应实施例中的方法的步骤。本领域内的技术人员应明白,本公开的实施例可提供为方法、装置、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本公开的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。
Claims (18)
1.一种用于生成身份认证私钥的方法,包括:
物联网终端将当前国际移动用户识别码IMSI发送到物联网连接管理平台;以及
所述物联网连接管理平台根据所述当前IMSI查询所述物联网终端的物联网卡码号,根据所述物联网卡码号生成所述物联网终端的身份认证私钥,并将所述物联网终端的身份认证私钥发送到所述物联网终端。
2.根据权利要求1所述的方法,其中,物联网终端将当前IMSI发送到物联网连接管理平台的步骤包括:
在物联网终端上电后,所述物联网终端的主控制器调用通信模组进行安全初始化;以及
所述通信模组在安全初始化的过程中,从物联网卡获取当前IMSI,在所述物联网终端的设备身份信息不存在或者所述物联网终端的IMSI发生变化的情况下,将所述当前IMSI发送给物联网连接管理平台。
3.根据权利要求2所述的方法,还包括:
所述通信模组将所述物联网终端的身份认证私钥保存到安全芯片,并将安全初始化成功的消息反馈给所述主控制器。
4.根据权利要求2所述的方法,其中,
在物联网终端将当前IMSI发送到物联网连接管理平台之前,所述方法还包括:所述物联网终端与所述物联网连接管理平台协商获得会话密钥;
所述通信模组将所述当前IMSI发送给物联网连接管理平台的步骤包括:所述通信模组利用所述会话密钥对所述当前IMSI加密,并将加密后的当前IMSI发送给所述物联网连接管理平台;
其中,所述物联网连接管理平台利用所述会话密钥对加密后的当前IMSI解密以获得所述当前IMSI。
5.根据权利要求4所述的方法,其中,
所述物联网连接管理平台将所述物联网终端的身份认证私钥发送到所述物联网终端的步骤包括:
所述物联网连接管理平台利用所述会话密钥对所述物联网终端的身份认证私钥进行加密,并将加密后的所述物联网终端的身份认证私钥发送到所述物联网终端;
其中,所述通信模组利用所述会话密钥对加密后的所述物联网终端的身份认证私钥进行解密以获得所述物联网终端的身份认证私钥。
6.根据权利要求1所述的方法,还包括:
物联网应用平台将自身的身份隐私信息发送给所述物联网连接管理平台;以及
所述物联网连接管理平台根据所述物联网应用平台的身份隐私信息生成所述物联网应用平台的身份认证私钥和平台身份标识,并将所述物联网应用平台的身份认证私钥和平台身份标识发送到所述物联网应用平台。
7.一种物联网终端,包括:
物联网卡,用于存储物联网终端的当前国际移动用户识别码IMSI;以及
通信模组,用于从所述物联网卡获取当前IMSI,在所述物联网终端的设备身份信息不存在或者所述物联网终端的IMSI发生变化的情况下,将所述当前IMSI发送给物联网连接管理平台;
其中,所述物联网连接管理平台根据所述当前IMSI查询所述物联网终端的物联网卡码号,根据所述物联网卡码号生成所述物联网终端的身份认证私钥,并将所述物联网终端的身份认证私钥发送到所述物联网终端。
8.根据权利要求7所述的物联网终端,其中,
所述物联网终端还包括:主控制器,用于在所述物联网终端上电后调用所述通信模组进行安全初始化。
9.根据权利要求8所述的物联网终端,其中,
所述通信模组还用于将所述物联网终端的身份认证私钥保存到安全芯片,并将安全初始化成功的消息反馈给所述主控制器。
10.根据权利要求7所述的物联网终端,其中,
所述通信模组与所述物联网连接管理平台协商获得会话密钥;
所述通信模组还用于利用所述会话密钥对所述当前IMSI加密,并将加密后的当前IMSI发送给所述物联网连接管理平台;
其中,所述物联网连接管理平台利用所述会话密钥对加密后的当前IMSI解密以获得所述当前IMSI。
11.根据权利要求10所述的物联网终端,其中,
所述物联网连接管理平台利用所述会话密钥对所述物联网终端的身份认证私钥进行加密,并将加密后的所述物联网终端的身份认证私钥发送到所述物联网终端;
所述通信模组还用于利用所述会话密钥对加密后的所述物联网终端的身份认证私钥进行解密以获得所述物联网终端的身份认证私钥。
12.一种物联网连接管理平台,包括:
获取单元,用于获取物联网终端的当前国际移动用户识别码IMSI;
生成单元,用于根据所述当前IMSI查询所述物联网终端的物联网卡码号,根据所述物联网卡码号生成所述物联网终端的身份认证私钥;以及
发送单元,用于将所述物联网终端的身份认证私钥发送到所述物联网终端。
13.根据权利要求12所述的物联网连接管理平台,其中,
所述物联网终端与所述物联网连接管理平台协商获得会话密钥;其中,所述物联网终端利用所述会话密钥对所述当前IMSI加密,并将加密后的当前IMSI发送给所述物联网连接管理平台;
所述获取单元用于利用所述会话密钥对加密后的当前IMSI解密以获得所述当前IMSI。
14.根据权利要求13所述的物联网连接管理平台,其中,
所述发送单元还用于利用所述会话密钥对所述物联网终端的身份认证私钥进行加密,并将加密后的所述物联网终端的身份认证私钥发送到所述物联网终端;
其中,所述物联网终端利用所述会话密钥对加密后的所述物联网终端的身份认证私钥进行解密以获得所述物联网终端的身份认证私钥。
15.根据权利要求12所述的物联网连接管理平台,其中,
所述获取单元还用于获取物联网应用平台的身份隐私信息;
所述生成单元还用于根据所述物联网应用平台的身份隐私信息生成所述物联网应用平台的身份认证私钥和平台身份标识;
所述发送单元还用于将所述物联网应用平台的身份认证私钥和平台身份标识发送到所述物联网应用平台。
16.一种用于生成身份认证私钥的系统,包括:
如权利要求7至11任意一项所述的物联网终端、如权利要求12至15任意一项所述的物联网连接管理平台和物联网应用平台。
17.一种用于生成身份认证私钥的系统,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至6任意一项所述的方法。
18.一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现如权利要求1至6任意一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811568170.4A CN111355571B (zh) | 2018-12-21 | 2018-12-21 | 生成身份认证私钥的方法、终端、连接管理平台和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811568170.4A CN111355571B (zh) | 2018-12-21 | 2018-12-21 | 生成身份认证私钥的方法、终端、连接管理平台和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111355571A true CN111355571A (zh) | 2020-06-30 |
| CN111355571B CN111355571B (zh) | 2023-04-07 |
Family
ID=71195633
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811568170.4A Active CN111355571B (zh) | 2018-12-21 | 2018-12-21 | 生成身份认证私钥的方法、终端、连接管理平台和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111355571B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112020055A (zh) * | 2020-10-27 | 2020-12-01 | 深圳杰睿联科技有限公司 | 虚拟卡码号管理系统和方法、终端设备以及存储介质 |
| CN112512024A (zh) * | 2021-02-05 | 2021-03-16 | 信联科技(南京)有限公司 | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 |
| CN114168928A (zh) * | 2022-02-14 | 2022-03-11 | 阿里云计算有限公司 | 获取身份认证信息的方法、装置、存储介质及系统 |
| CN115549932A (zh) * | 2022-12-06 | 2022-12-30 | 信联科技(南京)有限公司 | 一种面向海量异构物联网终端的安全接入系统及接入方法 |
| CN116436905A (zh) * | 2023-04-19 | 2023-07-14 | 广州市迪士普音响科技有限公司 | 网络化广播通信方法及装置、存储介质及计算机设备 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040158716A1 (en) * | 2001-02-08 | 2004-08-12 | Esa Turtiainen | Authentication and authorisation based secure ip connections for terminals |
| CN103442012A (zh) * | 2013-09-02 | 2013-12-11 | 中国联合网络通信集团有限公司 | 物联网设备间实现签约信息迁移的方法及装置 |
| US20140219448A1 (en) * | 2011-08-24 | 2014-08-07 | Deutsche Telekom Ag | Authenticating a telecommunication terminal in a telecommunication network |
| CN105307108A (zh) * | 2015-11-17 | 2016-02-03 | 成都工百利自动化设备有限公司 | 一种物联网信息交互通信方法及系统 |
| CN106506157A (zh) * | 2016-12-22 | 2017-03-15 | 天泽信息产业股份有限公司 | 在物联网终端和云数据平台之间鉴权的方法 |
| CN106790217A (zh) * | 2017-01-10 | 2017-05-31 | 北京号码生活网络科技有限公司 | 基于sim卡认证模式的物联网设备的认证鉴权系统 |
| CN106899568A (zh) * | 2016-10-10 | 2017-06-27 | 中国移动通信有限公司研究院 | 一种物联网设备的认证凭证更新的方法及设备 |
| CN107171805A (zh) * | 2017-05-17 | 2017-09-15 | 济南浪潮高新科技投资发展有限公司 | 一种物联网终端数字证书签发系统和方法 |
| US20170272944A1 (en) * | 2016-03-17 | 2017-09-21 | M2MD Technologies, Inc. | Method and system for managing security keys for user and M2M devices in a wireless communication network environment |
| CN107846668A (zh) * | 2016-09-18 | 2018-03-27 | 展讯通信(上海)有限公司 | 一种物联网网关及其通信方法 |
| CN108768635A (zh) * | 2018-06-01 | 2018-11-06 | 武汉珈港科技有限公司 | 一种适用于物联网系统的密码标识管理模型及方法 |
| CN108881304A (zh) * | 2018-07-27 | 2018-11-23 | 江苏恒宝智能系统技术有限公司 | 一种对物联网设备进行安全管理的方法及系统 |
-
2018
- 2018-12-21 CN CN201811568170.4A patent/CN111355571B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040158716A1 (en) * | 2001-02-08 | 2004-08-12 | Esa Turtiainen | Authentication and authorisation based secure ip connections for terminals |
| US20140219448A1 (en) * | 2011-08-24 | 2014-08-07 | Deutsche Telekom Ag | Authenticating a telecommunication terminal in a telecommunication network |
| CN103442012A (zh) * | 2013-09-02 | 2013-12-11 | 中国联合网络通信集团有限公司 | 物联网设备间实现签约信息迁移的方法及装置 |
| CN105307108A (zh) * | 2015-11-17 | 2016-02-03 | 成都工百利自动化设备有限公司 | 一种物联网信息交互通信方法及系统 |
| US20170272944A1 (en) * | 2016-03-17 | 2017-09-21 | M2MD Technologies, Inc. | Method and system for managing security keys for user and M2M devices in a wireless communication network environment |
| CN107846668A (zh) * | 2016-09-18 | 2018-03-27 | 展讯通信(上海)有限公司 | 一种物联网网关及其通信方法 |
| CN106899568A (zh) * | 2016-10-10 | 2017-06-27 | 中国移动通信有限公司研究院 | 一种物联网设备的认证凭证更新的方法及设备 |
| CN106506157A (zh) * | 2016-12-22 | 2017-03-15 | 天泽信息产业股份有限公司 | 在物联网终端和云数据平台之间鉴权的方法 |
| CN106790217A (zh) * | 2017-01-10 | 2017-05-31 | 北京号码生活网络科技有限公司 | 基于sim卡认证模式的物联网设备的认证鉴权系统 |
| CN107171805A (zh) * | 2017-05-17 | 2017-09-15 | 济南浪潮高新科技投资发展有限公司 | 一种物联网终端数字证书签发系统和方法 |
| CN108768635A (zh) * | 2018-06-01 | 2018-11-06 | 武汉珈港科技有限公司 | 一种适用于物联网系统的密码标识管理模型及方法 |
| CN108881304A (zh) * | 2018-07-27 | 2018-11-23 | 江苏恒宝智能系统技术有限公司 | 一种对物联网设备进行安全管理的方法及系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112020055A (zh) * | 2020-10-27 | 2020-12-01 | 深圳杰睿联科技有限公司 | 虚拟卡码号管理系统和方法、终端设备以及存储介质 |
| CN112512024A (zh) * | 2021-02-05 | 2021-03-16 | 信联科技(南京)有限公司 | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 |
| CN112512024B (zh) * | 2021-02-05 | 2021-05-11 | 信联科技(南京)有限公司 | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 |
| CN114168928A (zh) * | 2022-02-14 | 2022-03-11 | 阿里云计算有限公司 | 获取身份认证信息的方法、装置、存储介质及系统 |
| CN115549932A (zh) * | 2022-12-06 | 2022-12-30 | 信联科技(南京)有限公司 | 一种面向海量异构物联网终端的安全接入系统及接入方法 |
| CN116436905A (zh) * | 2023-04-19 | 2023-07-14 | 广州市迪士普音响科技有限公司 | 网络化广播通信方法及装置、存储介质及计算机设备 |
| CN116436905B (zh) * | 2023-04-19 | 2023-11-28 | 广州市迪士普音响科技有限公司 | 网络化广播通信方法及装置、存储介质及计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111355571B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111355571B (zh) | 生成身份认证私钥的方法、终端、连接管理平台和系统 | |
| US11784788B2 (en) | Identity management method, device, communications network, and storage medium | |
| EP3422629B1 (en) | Method, apparatus and system for encryption key distribution and authentication | |
| EP3627794B1 (en) | Discovery method and apparatus based on service-oriented architecture | |
| EP3432532B1 (en) | Key distribution and authentication method, apparatus and system | |
| US10666660B2 (en) | Method and apparatus for providing profile | |
| KR102160597B1 (ko) | eUICC의 프로파일 설치 방법 및 장치 | |
| CN110870281B (zh) | 由esim终端和服务器讨论数字证书的方法和装置 | |
| KR101792885B1 (ko) | eUICC의 키정보 관리방법 및 그를 이용한 eUICC, MNO시스템, 프로비저닝 방법 및 MNO 변경 방법 | |
| EP3824594B1 (en) | Apparatus and method for ssp device and server to negotiate digital certificates | |
| EP3062546A1 (en) | Authentication module | |
| EP3570487B1 (en) | Private key generation method, device and system | |
| CN115632779B (zh) | 一种基于配电网的量子加密通信方法及系统 | |
| US20200120495A1 (en) | Mitigation of problems arising from sim key leakage | |
| CN111919458A (zh) | 用于协商euicc版本的方法和装置 | |
| CN109565441B (zh) | 一种用于通过使用第二通信设备来配置第一通信设备的方法 | |
| CN113868713B (zh) | 一种数据验证方法、装置、电子设备及存储介质 | |
| CN111064752B (zh) | 一种基于公网的预置密钥共享系统及方法 | |
| CN108156112B (zh) | 数据加密方法、电子设备及网络侧设备 | |
| CN114143198B (zh) | 固件升级的方法 | |
| CN115086951A (zh) | 一种报文传输系统、方法及装置 | |
| US20230379717A1 (en) | Credential handling of an iot safe applet | |
| CN109155913B (zh) | 网络连接方法、安全节点的确定方法及装置 | |
| CN117479154B (zh) | 基于统一多域标识认证的办公终端数据处理方法与系统 | |
| WO2023237187A1 (en) | Provisioning of a subscription profile to a subscriber module |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |