CN118300862A - 通信方法、装置、电子设备、存储介质及程序产品 - Google Patents

通信方法、装置、电子设备、存储介质及程序产品 Download PDF

Info

Publication number
CN118300862A
CN118300862A CN202410461410.XA CN202410461410A CN118300862A CN 118300862 A CN118300862 A CN 118300862A CN 202410461410 A CN202410461410 A CN 202410461410A CN 118300862 A CN118300862 A CN 118300862A
Authority
CN
China
Prior art keywords
key
message
equipment
target
internet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410461410.XA
Other languages
English (en)
Inventor
曹龙涛
裴伯硙
李晨光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Unicom Vsens Telecommunications Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Unicom Vsens Telecommunications Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd, Unicom Vsens Telecommunications Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202410461410.XA priority Critical patent/CN118300862A/zh
Publication of CN118300862A publication Critical patent/CN118300862A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

本申请实施例提供一种通信方法、装置、电子设备、存储介质及程序产品。该方法包括:物联网设备在确定物联网设备驻网,在物联网设备与设备管理平台未建立通信连接或通信连接断开时,动态生成第一密钥和目标设备密钥对;生成登录报文和登录请求,向设备管理平台发送登录请求;设备管理平台根据通过平台私钥对登录请求中的第一密钥密文进行解密,得到第一密钥;通过第一密钥对登录请求中的加密报文进行解密,得到登录报文;根据登录报文和初始设备公钥对登录请求中的数字签名进行验签,验签通过则保存目标设备公钥,并建立设备管理平台与物联网设备的通信连接。该方法用以达到降低物联网系统安全风险的效果。

Description

通信方法、装置、电子设备、存储介质及程序产品
技术领域
本申请涉及通信领域,尤其涉及一种通信方法、装置、电子设备、存储介质及程序产品。
背景技术
随着物联网技术的发展,物联网设备的安全性成为了企业重点关注的版块。对物联网设备进行鉴权是确保物联网设备安全性的重要手段。
现有技术往往采用静态公钥对物联网设备进行鉴权,在物联网设备生产时静态公钥即被确定,并在物联网设备的整个生命周期内保持不变。一旦静态公钥被泄露或被破解,攻击者就可以利用这些信息伪造合法的物联网设备请求,从而成功接入物联网网络。
因此,现有技术中存在物联网系统安全风险高的技术问题。
发明内容
本申请实施例提供一种通信方法、装置、电子设备、存储介质及程序产品,用以达到降低物联网系统安全风险的效果。
第一方面,本申请实施例提供一种通信方法,应用于物联网设备,包括:
确定物联网设备驻网,在物联网设备与设备管理平台未建立通信连接或通信连接断开时,动态生成第一密钥和目标设备密钥对;其中,物联网设备内置初始设备私钥和设备管理平台的平台公钥;目标设备密钥对包括目标设备公钥;
生成登录报文;登录报文包括目标设备公钥;
生成登录请求,向设备管理平台发送登录请求;其中,登录请求携带有数字签名、第一密钥密文,以及加密报文;数字签名是通过初始设备私钥对登录报文进行签名得到的;第一密钥密文是经过平台公钥对第一密钥进行加密得到的;加密报文是经过第一密钥对登录报文加密得到的。
在一种可能的实施方式中,目标设备密钥对还包括目标设备私钥,在设备管理平台与物联网设备建立通信连接后,还包括:
响应于目标业务的处理请求,生成请求报文;请求报文,用于请求设备管理平台处理目标业务;
通过目标设备私钥对请求报文进行签名,得到目标数字签名;
通过第一密钥对请求报文进行加密,得到目标加密报文;
生成通信请求,向设备管理平台发送通信请求;其中,通信请求携带有目标数字签名、第一密钥密文,以及目标加密报文。
在一种可能的实施方式中,在向设备管理平台发送通信请求之后,还包括:
接收来自设备管理平台的响应信息;其中,响应信息包括平台数字签名、平台第一密钥密文,以及响应报文密文;平台数字签名是通过设备管理平台的平台私钥对响应报文进行签名得到的;平台第一密钥密文是通过目标设备公钥对第一密钥加密得到的;响应报文密文是通过第一密钥对响应报文加密得到的;响应报文是设备管理平台响应于请求报文处理目标业务之后生成的报文;
通过目标设备私钥对平台第一密钥密文进行解密,得到第一密钥;
通过第一密钥对响应报文密文进行解密,得到响应报文;
通过平台公钥对响应报文进行验签,验签通过则确定通信请求得到设备管理平台响应。
第二方面,本申请实施例提供一种通信方法,应用于设备管理平台,设备管理平台内置平台私钥和物联网设备的初始设备公钥,根据登录请求对物联网设备进行鉴权,包括:
接收来自物联网设备的登录请求;其中,登录请求携带有数字签名、第一密钥密文,以及加密报文;数字签名是经过物联网设备的初始设备私钥对登录报文进行签名得到的;第一密钥密文是经过设备管理平台的平台公钥对第一密钥加密得到的;加密报文是经过第一密钥对登录报文加密得到的;登录报文包括目标设备公钥;
通过平台私钥对第一密钥密文进行解密,得到第一密钥;
通过第一密钥对加密报文进行解密,得到登录报文;
根据登录报文和初始设备公钥对数字签名进行验签,验签通过则保存目标设备公钥,并建立设备管理平台与物联网设备的通信连接。
在一种可能的实施方式中,在建立设备管理平台与物联网设备的通信连接之后,包括:
接收来自物联网设备的通信请求;其中,通信请求包括目标数字签名、第一密钥密文,以及目标加密报文;其中,目标数字签名是通过目标设备公钥对应的目标设备私钥对物联网设备的请求报文进行签名得到的;目标加密报文是通过第一密钥对请求报文加密得到的;请求报文,用于请求设备管理平台处理目标业务;
通过平台私钥对第一密钥密文进行解密,得到第一密钥;
通过第一密钥对目标加密报文进行解密,得到请求报文;
根据请求报文和目标设备公钥对目标数字签名进行验签,验签通过则响应于请求报文处理目标业务。
在一种可能的实施方式中,该方法还包括:
在目标业务处理完成之后,生成响应报文;
向物联网设备发送响应信息;响应信息包括平台数字签名、平台第一密钥密文,以及响应报文密文;平台数字签名是通过平台私钥对响应报文进行签名得到的;平台第一密钥密文是通过目标设备公钥对第一密钥加密得到的;响应报文密文是通过第一密钥对响应报文加密得到的。
第三方面,本申请实施例提供一种通信装置,包括:
第一处理模块,用于确定物联网设备驻网,在物联网设备与设备管理平台未建立通信连接或通信连接断开时,动态生成第一密钥和目标设备密钥对;其中,物联网设备内置初始设备私钥和设备管理平台的平台公钥;目标设备密钥对包括目标设备公钥;
生成模块,用于生成登录报文;登录报文包括目标设备公钥;
第二处理模块,用于生成登录请求,向设备管理平台发送登录请求;其中,登录请求携带有数字签名、第一密钥密文,以及加密报文;数字签名是通过初始设备私钥对登录报文进行签名得到的;第一密钥密文是经过平台公钥对第一密钥进行加密得到的;加密报文是经过第一密钥对登录报文加密得到的。
在一种可能的实施方式中,目标设备密钥对还包括目标设备私钥,在设备管理平台与物联网设备建立通信连接后,该装置还用于:
响应于目标业务的处理请求,生成请求报文;请求报文,用于请求设备管理平台处理目标业务;
通过目标设备私钥对请求报文进行签名,得到目标数字签名;
通过第一密钥对请求报文进行加密,得到目标加密报文;
生成通信请求,向设备管理平台发送通信请求;其中,通信请求携带有目标数字签名、第一密钥密文,以及目标加密报文。
在一种可能的实施方式中,在向设备管理平台发送通信请求之后,该装置还用于:
接收来自设备管理平台的响应信息;其中,响应信息包括平台数字签名、平台第一密钥密文,以及响应报文密文;平台数字签名是通过设备管理平台的平台私钥对响应报文进行签名得到的;平台第一密钥密文是通过目标设备公钥对第一密钥加密得到的;响应报文密文是通过第一密钥对响应报文加密得到的;响应报文是设备管理平台响应于请求报文处理目标业务之后生成的报文;
通过目标设备私钥对平台第一密钥密文进行解密,得到第一密钥;
通过第一密钥对响应报文密文进行解密,得到响应报文;
通过平台公钥对响应报文进行验签,验签通过则确定通信请求得到设备管理平台响应。
第四方面,本申请实施例提供一种通信装置,包括:
接收模块,用于接收来自物联网设备的登录请求;其中,登录请求携带有数字签名、第一密钥密文,以及加密报文;数字签名是经过物联网设备的初始设备私钥对登录报文进行签名得到的;第一密钥密文是经过设备管理平台的平台公钥对第一密钥加密得到的;加密报文是经过第一密钥对登录报文加密得到的;登录报文包括目标设备公钥;
第三处理模块,用于根据登录请求对物联网设备进行鉴权,若鉴权结果为成功则保存目标设备公钥,并建立设备管理平台与物联网设备的通信连接。
在一种可能的实施方式中,设备管理平台内置平台私钥和物联网设备的初始设备公钥,第三处理模块还用于:
通过平台私钥对第一密钥密文进行解密,得到第一密钥;
通过第一密钥对加密报文进行解密,得到登录报文;
根据登录报文和初始设备公钥对数字签名进行验签,验签通过则鉴权结果为成功。
在一种可能的实施方式中,在建立设备管理平台与物联网设备的通信连接之后,该装置还用于:
接收来自物联网设备的通信请求;其中,通信请求包括目标数字签名、第一密钥密文,以及目标加密报文;其中,目标数字签名是通过目标设备公钥对应的目标设备私钥对物联网设备的请求报文进行签名得到的;目标加密报文是通过第一密钥对请求报文加密得到的;请求报文,用于请求设备管理平台处理目标业务;
通过平台私钥对第一密钥密文进行解密,得到第一密钥;
通过第一密钥对目标加密报文进行解密,得到请求报文;
根据请求报文和目标设备公钥对目标数字签名进行验签,验签通过则响应于请求报文处理目标业务。
在一种可能的实施方式中,该装置还用于:
在目标业务处理完成之后,生成响应报文;
向物联网设备发送响应信息;响应信息包括平台数字签名、平台第一密钥密文,以及响应报文密文;平台数字签名是通过平台私钥对响应报文进行签名得到的;平台第一密钥密文是通过目标设备公钥对第一密钥加密得到的;响应报文密文是通过第一密钥对响应报文加密得到的。
第五方面,本申请实施例提供一种电子设备,包括:存储器,处理器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,使得所述处理器执行如上第一方面或第二方面各种可能的实施方式。
第六方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上第一方面或第二方面各种可能的实施方式。
第七方面,本申请实施例提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如上第一方面或第二方面各种可能的实施方式。
本申请实施例提供的通信方法、装置、电子设备、存储介质及程序产品,应用于物联网设备与设备管理平台,在物联网设备驻网且与设备管理平台未建立通信连接或通信连接断开时,物联网设备动态生成第一密钥和目标设备公钥。物联网设备将目标设备公钥携带于登录报文中,通过初始设备私钥对登录报文进行签名得到数字签名,并通过第一密钥对登录报文加密得到加密报文,通过平台公钥对第一密钥进行加密得到第一密钥密文。物联网设备将携带有数字签名、第一密钥密文,以及加密报文发的登录请求送给设备管理平台。设备管理平台根据通过平台私钥对登录请求中的第一密钥密文进行解密,得到第一密钥;通过第一密钥对登录请求中的加密报文进行解密,得到登录报文;根据登录报文和初始设备公钥对登录请求中的数字签名进行验签,验签通过则保存目标设备公钥,并建立设备管理平台与物联网设备的通信连接。从而,在物联网设备的第一密钥和目标设备公钥在每次会话中动态生成,降低了设备公钥被泄漏或破解的概率。登录请求经过第一密钥和设备私钥双重加密,报文被伪造和篡改的概率降低。从而实现了降低物联网系统安全风险的技术效果。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例应用的一种通信系统;
图2为本申请提供的通信方法的流程示意图一;
图3为本申请提供的通信方法的流程示意图二;
图4为本申请提供的通信装置的结构示意图一;
图5为本申请提供的通信装置的结构示意图二;
图6为本申请提供的电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
图1示出了本申请实施例应用的一种通信系统100。通信系统100可以包括物联网设备的设备管理平台,例如图1所示的多网切换平台110;该通信系统100还可以包括物联网设备,例如图1所示的物联网设备120。物联网设备120搭载微控制器单元(microcontrollerunit,MCU)、嵌入式SIM(embedded subscriber identity module,eSIM)卡和eSIM软件开发工具包(software development kit,SDK)模组的。多网切换平台110与物联网设备120可通过超文本传输安全协议(hypertext transfer protocol secure,HTTPS)或消息队列遥测传输协议(message queuing telemetry transport,MQTT)建立无线链路通信。
其中,多网切换平台110用于根据服务器接收的指令控制物联网设备120的远程网络切换和设备自动切换的网络切换策略的更新,以及实现切换日志的记录等功能。
其中,MCU是一种集成了处理器核心、存储器、输入/输出接口和定时器等功能的单芯片微控制器,用于基于用户终端的指令与eSIM SDK模组交互控制和管理物联网设备120的各种功能,如数据采集、通信、传感器控制等。eSIM SDK模组用于与MCU或eSIM卡进行通信,并向eSIM卡发送码号切指令以使eSIM基于不同的码号接入网络。
物联网设备120可以搭载图1示例性地示出了一个多网切换平台110和一个物联网设备120。可选地,该通信系统100还可以包括多个设备管理平台和/或多个物联网设备。
应理解,图1所示的通信系统100仅为示例,本申请实施例并不限定所适用的系统的具体架构,也不限定各通信系统内包含的各种设备的数量和形态。
物联网通过各类可能的网络接入,实现物与物、物与人的泛在连接,实现对物品和过程的智能化感知、识别和管理。随着物联网的快速发展,各种物联网设备层出不穷,为了对物联网设备进行管理,避免物联网设备非法接入,物联网设备的设备管理平台需要对物联网设备进行认证鉴权。例如,图1中的多网切换平台120需要对物联网设备110进行认证鉴权。
然而,传统的物联网设备仅通过固定的静态公钥进行认证鉴权。在物联网设备生产时,静态公钥就已经被确定,并且在物联网设备的整个生命周期内均不再更新。静态公钥一旦被泄露,或者被暴力破解,攻击者就可以利用静态公钥伪造合法的物联网设备请求,成功接入物联网网络。因此,如何提供一种物联网设备与设备管理平台之间的通信方法,实现提升物联网设备认证鉴权的安全性,成为一个亟待解决的技术问题。
此外,现有技术未对物联网设备与设备管理平台之间的通信报文进行加密,这导致通信报文在传输过程中容易被攻击者截获并篡改。攻击者可以通过修改通信报文的内容,如伪造设备标识、篡改数据等,来欺骗设备管理平台,进而实施各种攻击,破坏物联网系统的正常运行。
本申请提供了一种通信方法,应用于物联网设备与设备管理平台,在物联网设备驻网且与设备管理平台未建立通信连接或通信连接断开时,物联网设备动态生成第一密钥和目标设备公钥。物联网设备将目标设备公钥携带于登录报文中,通过初始设备私钥对登录报文进行签名得到数字签名,并通过第一密钥对登录报文加密得到加密报文,通过平台公钥对第一密钥进行加密得到第一密钥密文。物联网设备并携带有数字签名、第一密钥密文,以及加密报文发的登录请求送给设备管理平台。设备管理平台根据登录请求对物联网设备进行鉴权,若鉴权成功则保存目标设备公钥,并建立设备管理平台与物联网设备的通信连接。从而,在物联网设备的第一密钥和目标设备公钥在每次会话中动态生成,降低了设备公钥被泄漏或破解的概率。登录请求经过第一密钥和设备私钥双重加密,报文被伪造和篡改的概率降低。从而实现了降低联网系统安全风险的技术效果。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图2为本申请提供的通信方法的流程示意图一,如图2所示,该方法包括:
S201、物联网设备确定物联网设备驻网,在物联网设备与设备管理平台未建立通信连接或通信连接断开时,动态生成第一密钥和目标设备密钥对;其中,物联网设备内置初始设备私钥和设备管理平台的平台公钥;目标设备密钥对包括目标设备公钥;
设备管理平台可以是用于管理和监控物联网设备的连接、数据传输、配置和维护的平台。设备管理平台可以提供设备注册、识别、远程监控、数据采集、分析、设备配置、告警通知、安全性保护等功能。例如,设备管理平台可以是多网切换平台。
本实施例中,物联网设备可以是具有感知、通信和控制能力的物理设备,能够通过互联网与其他设备或系统进行通信和交互。例如,物联网设备可以是搭载eSIM卡的智能手表。
本实施例中,物联网设备动态生成第一密钥和目标设备密钥对,可以是在物联网设备和设备管理平台每次发起会话时,随机生成第一密钥和目标设备密钥对,也可以是物联网设备基于预设时间间隔或预设时间点动态生成第一密钥和目标设备密钥对。本申请对物联网设备动态生成第一密钥和目标设备密钥对的生成规则和生成的密钥数量不做进一步限定。
物联网设备内预置了设备管理平台提供的平台公钥。物联网设备的制造商在物联网设备内预生成初始设备私钥,同一型号的物联网设备或搭载同一eSIM SDK模组的物联网设备的初始设备私钥相同。在物联网设备开机后需要调用多网切换平台登录接口,物联网设备动态生成一对新的目标设备密钥对。
S202、物联网设备生成登录报文;登录报文包括目标设备公钥;
在物联网设备开机后需要调用多网切换平台登录接口,物联网设备生成登录报文。登录报文包括目标设备公钥,多网切换平台将目标设备公钥与该物联网设备绑定,后续接口数据交互将使用新的目标设备密钥对进行签名和验签处理。
S203、物联网设备生成登录请求,向设备管理平台发送登录请求;其中,登录请求携带有数字签名、第一密钥密文,以及加密报文;数字签名是通过初始设备私钥对登录报文进行签名得到的;第一密钥密文是经过平台公钥对第一密钥进行加密得到的;加密报文是经过第一密钥对登录报文加密得到的。对应的,设备管理平台接收来自物联网设备的登录请求;
本实施例中,如下表1所示,登录请求中的数字签名、加密报文以及第一密钥密文的数据格式,可以为业务类型tag+数据长度length+数据value的形式。例如,数字签名、加密报文、第一密钥密文的数据类型tag可以分别为01、02、03,数据长度可以均为16进制表示的2个字节。
表1
本实施例中,通过初始设备私钥对登录报文进行签名,可以是通过摘要算法SM3算法对登录报文进行摘要计算得到摘要数据,使用初始设备私钥对摘要数据进行签名处理。
本实施例中,通过设备管理平台的平台公钥对第一密钥进行加密,可以是通过非对称算法SM2算法采用平台公钥对第一密钥进行加密。设备管理平台在接收到第一密钥密文后,可以采用平台私钥对第一密钥密文进行解密。
本实施例中,通过第一密钥对登录报文进行加密,可以是通过将登录报文转为JSON格式,然后通过对称算法SM4算法采用第一密钥对登录报文加密。设备管理平台在接收到加密报文后,可以采用第一密钥对加密密文进行解密。
通过初始设备私钥对登录报文进行签名,有助于验证登录报文的真实性和完整性。通过设备管理平台的平台公钥对第一密钥进行加密,有助于降低第一密钥被泄漏或篡改的概率。通过第一密钥对登录报文进行加密,有助于降低登录报文和目标设备公钥被泄漏或篡改的概率。
本实施例中,设备管理平台接收登录请求,得到数字签名、第一密钥密文,以及加密报文。
S204、设备管理平台通过平台私钥对第一密钥密文进行解密,得到第一密钥;其中,设备管理平台内置平台私钥;
由于物联网设备通过平台公钥对第一密钥进行加密得到第一密钥密文,因此,设备管理平台可以通过平台私钥对第一密钥密文进行解密得到第一密钥。
S205、通过第一密钥对加密报文进行解密,得到登录报文;
由于物联网设备通过第一密钥采用对称算法对登录报文进行加密。因此,设备管理平台在接收到加密报文后,可以采用第一密钥对加密密文进行解密,得到登录报文的明文。
S206、根据登录报文和初始设备公钥对数字签名进行验签,验签通过则保存目标设备公钥,并建立设备管理平台与物联网设备的通信连接;其中,设备管理平台内置物联网设备的初始设备公钥。
物联网设备通过初始设备私钥对登录报文进行签名得到数字签名,因此,设备管理平台可以通过初始设备公钥对数字签名进行解密,得到摘要数据。根据登录报文和初始设备公钥对数字签名进行验签,可以是通过初始设备公钥对数字签名进行解密得到摘要数据,判断解密得到的摘要数据与登录报文明文中的原始摘要数据是否匹配,若匹配则验签通过。
本实施例中,设备管理平台保存目标设备公钥,在本次会话的后续交互中设备管理平台与物联网设备通过目标设备密钥对进行加密或解密,有助于降低物联网设备和设备管理平台的安全风险。
本申请实施例提供的通信方法、装置、电子设备、存储介质及程序产品,应用于物联网设备与设备管理平台,在物联网设备驻网且与设备管理平台未建立通信连接或通信连接断开时,物联网设备动态生成第一密钥和目标设备公钥。物联网设备将目标设备公钥携带于登录报文中,通过初始设备私钥对登录报文进行签名得到数字签名,并通过第一密钥对登录报文加密得到加密报文,通过平台公钥对第一密钥进行加密得到第一密钥密文。物联网设备将携带有数字签名、第一密钥密文,以及加密报文发的登录请求送给设备管理平台。设备管理平台根据通过平台私钥对登录请求中的第一密钥密文进行解密,得到第一密钥;通过第一密钥对登录请求中的加密报文进行解密,得到登录报文;根据登录报文和初始设备公钥对登录请求中的数字签名进行验签,验签通过则保存目标设备公钥,并建立设备管理平台与物联网设备的通信连接。从而,在物联网设备的第一密钥和目标设备公钥在每次会话中动态生成,降低了设备公钥被泄漏或破解的概率。登录请求经过第一密钥和设备私钥双重加密,报文被伪造和篡改的概率降低。从而实现了降低物联网系统安全风险的技术效果。
图3为本申请提供的通信方法的流程示意图二,如图3所示,本实施例在图2实施例的基础上,对通信方法进行详细说明,目标设备密钥对还包括目标设备私钥,在建立设备管理平台与物联网设备的通信连接之后,该方法包括:
S301、物联网设备响应于目标业务的处理请求,生成请求报文;请求报文,用于请求设备管理平台处理目标业务;
本实施例中,目标业务的处理请求可以由物联网设备的用户发起,也可以由物联网业务平台发起。例如,设备管理平台可以是多网切换平台,请求报文可以用于请求将物联网设备从A运营商网络切换至B运营商网络。
S302、物联网设备通过目标设备私钥对请求报文进行签名,得到目标数字签名;
目标设备私钥为在物联网设备和设备管理平台每次发起会话时,随机生成的或物联网设备基于预设时间间隔或预设时间点动态生成的。本申请对目标设备私钥的生成规则不做进一步限定。
本实施例中,通过目标设备私钥对请求报文进行签名,可以是通过摘要算法SM3算法对请求报文进行摘要计算得到摘要数据,使用目标设备私钥对摘要数据进行签名处理。
S303、物联网设备通过第一密钥对请求报文进行加密,得到目标加密报文;
本实施例中,通过第一密钥对请求报文进行加密,可以是通过将请求报文转为JSON格式,然后通过对称算法SM4算法采用第一密钥对请求报文加密。设备管理平台在接收到目标加密报文后,可以采用第一密钥对目标加密密文进行解密。
S304、物联网设备生成通信请求,向设备管理平台发送通信请求;其中,通信请求携带有目标数字签名、第一密钥密文,以及目标加密报文。对应的,设备管理平台接收来自物联网设备的通信请求;
第一密钥密文与图2中的第一密钥密文相当,在此不做赘述。
S305、设备管理平台通过平台私钥对第一密钥密文进行解密,得到第一密钥;
由于物联网设备通过非对称算法SM2算法采用设备管理平台的平台公钥对第一密钥进行加密,因此设备管理平台在接收到第一密钥密文后,可以采用平台私钥对第一密钥密文进行解密得到第一密钥。
S306、设备管理平台通过第一密钥对目标加密报文进行解密,得到请求报文;
本实施例中,由于物联网设备通过对称算法SM4算法采用第一密钥对请求报文进行加密得到标加密报文,设备管理平台在接收到目标加密报文后,可以采用第一密钥对目标加密密文进行解密得到请求报文的明文。
S307、设备管理平台根据请求报文和目标设备公钥对目标数字签名进行验签,验签通过则响应于请求报文处理目标业务;
本实施例中,由于物联网设备通过目标设备私钥对请求报文进行签名,因此设备管理平台可以使用目标设备公钥对目标数字签名进行验签。
S308、在目标业务处理完成之后,设备管理平台生成响应报文;
S309、设备管理平台向物联网设备发送响应信息;响应信息包括平台数字签名、平台第一密钥密文,以及响应报文密文;平台数字签名是通过平台私钥对响应报文进行签名得到的;平台第一密钥密文是通过目标设备公钥对第一密钥加密得到的;响应报文密文是通过第一密钥对响应报文加密得到的。对应的,物联网设备接收来自设备管理平台的响应信息;
可以理解的是,由于目标设备公钥为本次会话过程中物联网设备动态生成的,通过非对称算法SM2算法采用目标设备公钥对第一密钥加密得到平台第一密钥密文,有助于降低目标设备公钥被泄露进而导致第一密钥被破解从而响应报文被泄露或篡改的概率。
S310、物联网设备通过目标设备私钥对平台第一密钥密文进行解密,得到第一密钥;
由于平台第一密钥密文通过非对称算法SM2算法采用目标设备公钥对第一密钥加密得到,因此物联网设备可以通过目标设备私钥对平台第一密钥密文进行解密得到第一密钥。
S311、物联网设备通过第一密钥对响应报文密文进行解密,得到响应报文;
由于通过对称算法SM4算法采用第一密钥对响应报文加密得到响应报文密文,因此,物联网设备可以通过第一密钥对响应报文密文进行解密得到响应报文。
S312、物联网设备通过平台公钥对响应报文进行验签,验签通过则确定通信请求得到设备管理平台响应。
本实施例中,由于平台数字签名是通过平台私钥对响应报文进行签名得到的,因此,物联网设备可以通过平台公钥对响应报文进行验签。
本申请提供了一种通信方法,应用于物联网设备与设备管理平台,在建立设备管理平台与物联网设备的通信连接之后,物联网设备通过目标设备私钥对请求报文进行签名,通过第一密钥对请求报文进行加密从而实现对请求报的双重加密,且用于签名的设备私钥为本次会话动态生成的,降低了请求报文被泄漏或破解的概率。设备管理平台通过平台私钥解密得到第一密钥,通过第一密钥对目标加密报文进行解密得到双重加密的请求报文的明文,通过目标设备公钥对目标数字签名进行验签,验签通过则响应于请求报文处理目标业务,报文被伪造和篡改的概率降低。设备管理平台发送响应信息和物联网设备接收响应信息同理利用双重加密和本次会话动态生成的目标设备密钥对进行加密或解密。因此,本申请提供的通信方法实现了降低联网系统安全风险的技术效果。
图4为本申请提供的通信装置的结构示意图一,如图4所示,本实施例提供的通信装置40包括:
第一处理模块401,用于确定物联网设备驻网,在物联网设备与设备管理平台未建立通信连接或通信连接断开时,动态生成第一密钥目标设备密钥对;其中,物联网设备内置初始设备私钥和设备管理平台的平台公钥;目标设备密钥对包括目标设备公钥;
生成模块402,用于生成登录报文;登录报文包括目标设备公钥;
第二处理模块403,用于生成登录请求,向设备管理平台发送登录请求;其中,登录请求携带有数字签名、第一密钥密文,以及加密报文;数字签名是通过初始设备私钥对登录报文进行签名得到的;第一密钥密文是经过平台公钥对第一密钥进行加密得到的;加密报文是经过第一密钥对登录报文加密得到的。
在一种可能的实现方式中,目标设备密钥对还包括目标设备私钥,在设备管理平台与物联网设备建立通信连接后,该装置40还用于:
响应于目标业务的处理请求,生成请求报文;请求报文,用于请求设备管理平台处理目标业务;
通过目标设备私钥对请求报文进行签名,得到目标数字签名;
通过第一密钥对请求报文进行加密,得到目标加密报文;
生成通信请求,向设备管理平台发送通信请求;其中,通信请求携带有目标数字签名、第一密钥密文,以及目标加密报文。
在一种可能的实现方式中,在向设备管理平台发送通信请求之后,该装置40还用于:
接收来自设备管理平台的响应信息;其中,响应信息包括平台数字签名、平台第一密钥密文,以及响应报文密文;平台数字签名是通过设备管理平台的平台私钥对响应报文进行签名得到的;平台第一密钥密文是通过目标设备公钥对第一密钥加密得到的;响应报文密文是通过第一密钥对响应报文加密得到的;响应报文是设备管理平台响应于请求报文处理目标业务之后生成的报文;
通过目标设备私钥对平台第一密钥密文进行解密,得到第一密钥;
通过第一密钥对响应报文密文进行解密,得到响应报文;
通过平台公钥对响应报文进行验签,验签通过则确定通信请求得到设备管理平台响应。
图5为本申请提供的通信装置的结构示意图二,如图5所示,本实施例提供的通信装置50包括:
接收模块501,用于接收来自物联网设备的登录请求;其中,登录请求携带有数字签名、第一密钥密文,以及加密报文;数字签名是经过物联网设备的初始设备私钥对登录报文进行签名得到的;第一密钥密文是经过设备管理平台的平台公钥对第一密钥加密得到的;加密报文是经过第一密钥对登录报文加密得到的;登录报文包括目标设备公钥;
第三处理模块502,用于根据登录请求对物联网设备进行鉴权,若鉴权结果为成功则保存目标设备公钥,并建立设备管理平台与物联网设备的通信连接。
在一种可能的实现方式中,设备管理平台内置平台私钥和物联网设备的初始设备公钥,第三处理模块502还用于:
通过平台私钥对第一密钥密文进行解密,得到第一密钥;
通过第一密钥对加密报文进行解密,得到登录报文;
根据登录报文和初始设备公钥对数字签名进行验签,验签通过则鉴权结果为成功。
在一种可能的实现方式中,在建立设备管理平台与物联网设备的通信连接之后,该装置50还用于:
接收来自物联网设备的通信请求;其中,通信请求包括目标数字签名、第一密钥密文,以及目标加密报文;其中,目标数字签名是通过目标设备公钥对应的目标设备私钥对物联网设备的请求报文进行签名得到的;目标加密报文是通过第一密钥对请求报文加密得到的;请求报文,用于请求设备管理平台处理目标业务;
通过平台私钥对第一密钥密文进行解密,得到第一密钥;
通过第一密钥对目标加密报文进行解密,得到请求报文;
根据请求报文和目标设备公钥对目标数字签名进行验签,验签通过则响应于请求报文处理目标业务。
在一种可能的实现方式中,该装置50还用于:
在目标业务处理完成之后,生成响应报文;
向物联网设备发送响应信息;响应信息包括平台数字签名、平台第一密钥密文,以及响应报文密文;平台数字签名是通过平台私钥对响应报文进行签名得到的;平台第一密钥密文是通过目标设备公钥对第一密钥加密得到的;响应报文密文是通过第一密钥对响应报文加密得到的
本实施例提供的通信装置40或通信装置50,可执行上述方法实施例提供的方法,其实现原理和技术效果类似,本实施例此处不做赘述。
图6为本申请提供的电子设备的结构示意图。如图6所示,本实施例提供的电子设备60包括:至少一个处理器601和存储器602。可选地,该设备60还包括通信部件603。其中,处理器601、存储器602以及通信部件603通过总线604连接。
在具体实现过程中,至少一个处理器601执行存储器602存储的计算机执行指令,使得至少一个处理器601执行上述的方法。
处理器601的具体实现过程可参见上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
在上述的实施例中,应理解,处理器可以是中央处理单元(英文:CentralProcessing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:DigitalSignal Processor,简称:DSP)、专用集成电路(英文:Application Specific IntegratedCircuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速存储器(Random Access Memory,RAM),也可能还包括非易失性存储器(Non-volatile Memory,NVM),例如至少一个磁盘存储器。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
本申请还提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述的方法。
本申请还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当处理器执行计算机执行指令时,实现上述的方法。
上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。可读存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的可读存储介质耦合至处理器,从而使处理器能够从该可读存储介质读取信息,且可向该可读存储介质写入信息。当然,可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(Application Specific IntegratedCircuits,简称:ASIC)中。当然,处理器和可读存储介质也可以作为分立组件存在于设备中。
单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段,并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求书来限制。

Claims (11)

1.一种通信方法,其特征在于,应用于物联网设备,包括:
确定所述物联网设备驻网,在所述物联网设备与设备管理平台未建立通信连接或通信连接断开时,动态生成第一密钥和目标设备密钥对;其中,所述物联网设备内置初始设备私钥和所述设备管理平台的平台公钥;所述目标设备密钥对包括目标设备公钥;
生成登录报文;所述登录报文包括所述目标设备公钥;
生成登录请求,向所述设备管理平台发送所述登录请求;其中,所述登录请求携带有数字签名、第一密钥密文,以及加密报文;所述数字签名是通过所述初始设备私钥对所述登录报文进行签名得到的;所述第一密钥密文是经过所述平台公钥对所述第一密钥进行加密得到的;所述加密报文是经过所述第一密钥对所述登录报文加密得到的。
2.根据权利要求1所述的方法,其特征在于,所述目标设备密钥对还包括目标设备私钥,在所述设备管理平台与所述物联网设备建立通信连接后,还包括:
响应于目标业务的处理请求,生成请求报文;所述请求报文,用于请求所述设备管理平台处理所述目标业务;
通过所述目标设备私钥对所述请求报文进行签名,得到目标数字签名;
通过所述第一密钥对所述请求报文进行加密,得到目标加密报文;
生成通信请求,向所述设备管理平台发送所述通信请求;其中,所述通信请求携带有所述目标数字签名、所述第一密钥密文,以及所述目标加密报文。
3.根据权利要求2所述的方法,其特征在于,在所述向所述设备管理平台发送所述通信请求之后,还包括:
接收来自所述设备管理平台的响应信息;其中,所述响应信息包括平台数字签名、平台第一密钥密文,以及响应报文密文;所述平台数字签名是通过所述设备管理平台的平台私钥对响应报文进行签名得到的;所述平台第一密钥密文是通过所述目标设备公钥对所述第一密钥加密得到的;所述响应报文密文是通过所述第一密钥对所述响应报文加密得到的;所述响应报文是所述设备管理平台响应于所述请求报文处理所述目标业务之后生成的报文;
通过所述目标设备私钥对所述平台第一密钥密文进行解密,得到所述第一密钥;
通过所述第一密钥对所述响应报文密文进行解密,得到所述响应报文;
通过所述平台公钥对所述响应报文进行验签,验签通过则确定所述通信请求得到所述设备管理平台响应。
4.一种通信方法,其特征在于,应用于设备管理平台,所述设备管理平台内置平台私钥和物联网设备的初始设备公钥,包括:
接收来自所述物联网设备的登录请求;其中,所述登录请求携带有数字签名、第一密钥密文,以及加密报文;所述数字签名是经过所述物联网设备的初始设备私钥对登录报文进行签名得到的;所述第一密钥密文是经过所述设备管理平台的平台公钥对第一密钥加密得到的;所述加密报文是经过所述第一密钥对所述登录报文加密得到的;所述登录报文包括目标设备公钥;
通过所述平台私钥对所述第一密钥密文进行解密,得到所述第一密钥;
通过所述第一密钥对所述加密报文进行解密,得到所述登录报文;
根据所述登录报文和所述初始设备公钥对所述数字签名进行验签,验签通过则保存所述目标设备公钥,并建立所述设备管理平台与所述物联网设备的通信连接。
5.根据权利要求4所述的方法,其特征在于,在所述建立所述设备管理平台与所述物联网设备的通信连接之后,包括:
接收来自物联网设备的通信请求;其中,所述通信请求包括目标数字签名、所述第一密钥密文,以及目标加密报文;其中,所述目标数字签名是通过所述目标设备公钥对应的目标设备私钥对所述物联网设备的请求报文进行签名得到的;所述目标加密报文是通过所述第一密钥对所述请求报文加密得到的;所述请求报文,用于请求所述设备管理平台处理目标业务;
通过所述平台私钥对所述第一密钥密文进行解密,得到所述第一密钥;
通过所述第一密钥对所述目标加密报文进行解密,得到所述请求报文;
根据所述请求报文和所述目标设备公钥对所述目标数字签名进行验签,验签通过则响应于所述请求报文处理目标业务。
6.根据权利要求5所述的方法,其特征在于,还包括:
在所述目标业务处理完成之后,生成响应报文;
向所述物联网设备发送响应信息;所述响应信息包括平台数字签名、平台第一密钥密文,以及响应报文密文;所述平台数字签名是通过所述平台私钥对所述响应报文进行签名得到的;所述平台第一密钥密文是通过所述目标设备公钥对所述第一密钥加密得到的;所述响应报文密文是通过所述第一密钥对所述响应报文加密得到的。
7.一种通信装置,其特征在于,包括:
第一处理模块,用于确定物联网设备驻网,在所述物联网设备与设备管理平台未建立通信连接或通信连接断开时,动态生成第一密钥和目标设备密钥对;其中,所述物联网设备内置初始设备私钥和所述设备管理平台的平台公钥;所述目标设备密钥对包括目标设备公钥;
生成模块,用于生成登录报文;所述登录报文包括所述目标设备公钥;
第二处理模块,用于生成登录请求,向所述设备管理平台发送所述登录请求;其中,所述登录请求携带有数字签名、第一密钥密文,以及加密报文;所述数字签名是通过所述初始设备私钥对所述登录报文进行签名得到的;所述第一密钥密文是经过所述平台公钥对所述第一密钥进行加密得到的;所述加密报文是经过所述第一密钥对所述登录报文加密得到的。
8.一种通信装置,其特征在于,包括:
接收模块,用于接收来自物联网设备的登录请求;其中,所述登录请求携带有数字签名、第一密钥密文,以及加密报文;所述数字签名是经过所述物联网设备的初始设备私钥对登录报文进行签名得到的;所述第一密钥密文是经过所述设备管理平台的平台公钥对第一密钥加密得到的;所述加密报文是经过所述第一密钥对所述登录报文加密得到的;所述登录报文包括目标设备公钥;
第三处理模块,用于根据所述登录请求对所述物联网设备进行鉴权,若鉴权结果为成功则保存所述目标设备公钥,并建立所述设备管理平台与所述物联网设备的通信连接。
9.一种电子设备,其特征在于,包括:存储器,处理器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,使得所述处理器执行如权利要求1-3或4-6任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-3或4-6任一项所述的方法。
11.一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现权利要求1-3或4-6任一项所述的方法。
CN202410461410.XA 2024-04-17 2024-04-17 通信方法、装置、电子设备、存储介质及程序产品 Pending CN118300862A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410461410.XA CN118300862A (zh) 2024-04-17 2024-04-17 通信方法、装置、电子设备、存储介质及程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410461410.XA CN118300862A (zh) 2024-04-17 2024-04-17 通信方法、装置、电子设备、存储介质及程序产品

Publications (1)

Publication Number Publication Date
CN118300862A true CN118300862A (zh) 2024-07-05

Family

ID=91682991

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410461410.XA Pending CN118300862A (zh) 2024-04-17 2024-04-17 通信方法、装置、电子设备、存储介质及程序产品

Country Status (1)

Country Link
CN (1) CN118300862A (zh)

Similar Documents

Publication Publication Date Title
CN102017578B (zh) 用于在令牌与验证器之间进行认证的网络助手
CN100563151C (zh) 一种数字证书更新方法及系统
CN108566381A (zh) 一种安全升级方法、装置、服务器、设备和介质
CN100512201C (zh) 用于处理分组业务的接入-请求消息的方法
CN109688098B (zh) 数据的安全通信方法、装置、设备及计算机可读存储介质
CN108243176B (zh) 数据传输方法和装置
CN105007279A (zh) 认证方法和认证系统
CN110690956B (zh) 双向认证方法及系统、服务器和终端
CN111131300B (zh) 通信方法、终端及服务器
CN111130798B (zh) 一种请求鉴权方法及相关设备
CN103036681B (zh) 一种密码安全键盘装置及系统
CN111131416A (zh) 业务服务的提供方法和装置、存储介质、电子装置
CN105447715A (zh) 用于与第三方合作的防盗刷电子优惠券的方法和装置
CN112968910B (zh) 一种防重放攻击方法和装置
CN112566121B (zh) 一种防止攻击的方法及服务器、存储介质
CN109729000B (zh) 一种即时通信方法及装置
CN112765626A (zh) 基于托管密钥授权签名方法、装置、系统及存储介质
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN108900595B (zh) 访问云存储服务器数据的方法、装置、设备及计算介质
CN107395350B (zh) 密钥及密钥句柄的生成方法、系统及智能密钥安全设备
CN113726743A (zh) 一种网络重放攻击的检测方法、装置、设备和介质
CN114928756B (zh) 视频数据保护、加密、校验方法及系统、设备
EP4318354A1 (en) Account opening method, system, and apparatus
CN115567297A (zh) 跨站请求数据处理方法及装置
CN115459929A (zh) 安全验证方法、装置、电子设备、系统、介质和产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination