CN103475624A - 一种物联网密钥管理中心***、密钥分发***和方法 - Google Patents
一种物联网密钥管理中心***、密钥分发***和方法 Download PDFInfo
- Publication number
- CN103475624A CN103475624A CN2012101847745A CN201210184774A CN103475624A CN 103475624 A CN103475624 A CN 103475624A CN 2012101847745 A CN2012101847745 A CN 2012101847745A CN 201210184774 A CN201210184774 A CN 201210184774A CN 103475624 A CN103475624 A CN 103475624A
- Authority
- CN
- China
- Prior art keywords
- key
- internet
- things
- pki
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种物联网密钥管理中心***,用于生成和管理非对称密钥对,当收到物联网平台申请使用与物联网终端的私钥所对应公钥的请求时,查询密钥对信息,检查通过后向所述的物联网平台返回所述公钥,物联网密钥管理中心***包括密钥生成模块、密钥分发模块、密钥管理模块。本发明还公开了一种物联网安全密钥分发***,包括物联网平台、物联网终端和物联网密钥管理中心***。本发明公开了一种物联网安全密钥分发方法。本发明既能解决平台分配密钥下发的依赖短信的问题,又能解决同时进行平台/终端设置密钥的繁琐而不可行的问题。
Description
技术领域
本发明涉及物联网领域,具体地,涉及一种物联网密钥管理中心***、密钥分发***和方法。
背景技术
物联网是一种以机器终端智能交互为核心的、网络化的应用与服务。它通过各种终端采集数据,统一汇聚到物联网平台,为客户提供终端监控数据。物联网其最为重要的一项功能是利用终端上报的监控数据,完成某项管理功能,产生某种对人们生活有价值的信息、能力。物联网业务就是用户对物联网终端数据进行处理的逻辑组合。
目前,物联网安全终端密钥分配方式有两种:一是平台分配,即安全终端在注册时,由物联网平台将分配的通信密钥下发给终端;二是终端/平台预置,即安全终端在终端上设置密钥或使用出厂密钥,然后在平台上设置相应的密钥,终端注册时平台校验终端上报的密钥正确性,确保终端注册成功。
在目前的两种终端密钥分配模型,在实际使用过程中存在一些问题。第一种方式,安全终端注册时没有密钥相关信息,注册时由平台分配密钥。平台如何将生成的通信密钥如何安全地分发给终端是该方式必须首要解决的问题。目前实现环境中使用短信作为通信密钥的传输媒介,短信是一种点到点安全通信,但短信传输可靠性、延迟是实际应用过程中的主要障碍;另外使用短信这种传输方式,无疑限制了物联网安全终端注册的应用场景。对于第二种方式,采用在终端/平台两端同时进行通信密钥设置的方法,在终端较少时,是可行的;但对于物联网来说,同时设置成千上万的终端通信密钥是不可取的。
发明内容
为了解决上述技术问题,本发明提供了一种物联网密钥管理中心***、密钥分发***和方法,既能解决平台分配密钥下发的依赖短信的问题,又能解决同时进行平台/终端设置密钥的繁琐而不可行的问题。具体的技术方案如下:
一种物联网密钥管理中心***,所述的密钥管理中心***生成和管理非对称密钥对,当收到物联网平台申请使用与物联网终端的私钥所对应公钥的请求时,查询密钥对信息,检查通过后向所述的物联网平台返回所述公钥。
进一步地,密钥管理中心***包括:
密钥生成模块:用于生成非对称密钥对,并将所述的密钥对输送到密钥管理模块;
密钥分发模块:用于接收所述物联网平台发送的使用与所述物联网终端的私钥所对应公钥的请求,向密钥管理模块提出查询密钥对信息的请求,接收密钥管理模块检查通过后返回的公钥,并向物联网平台输出所述的公钥。
密钥管理模块:用于存储所述密钥生成模块输入的密钥对,接收所述密钥分发模块查询密钥对信息的请求,并对所述的密钥对信息进行查询,检查通过后向密钥分发模块返回所述公钥。
进一步地,所述的密钥对信息包括密钥对的有效期以及公钥和私钥的对应信息。
本发明提供了一种物联网安全密钥分发***,包括物联网平台、物联网终端和所述的物联网密钥管理中心***。
本发明还提供了一种物联网安全密钥分发方法,包括:
物联网密钥管理中心***生成并存储非对称密钥对;
物联网终端向物联网平台发起注册,并用所述非对称密钥对中的私钥对注册信息进行加密;
物联网平台根据物联网终端发起的注册请求向物联网密钥管理中心***申请使用与所述物联网终端的私钥相对应的公钥;
物联网密钥管理中心***接收物联网平台申请使用所述公钥的请求,并查询密钥对信息,检查通过后返回所述的公钥;
物联网平台根据物联网密钥管理中心***返回的公钥对物联网终端的注册信息进行解密,完成注册流程。
进一步地,物联网密钥管理中心***生成并存储非对称密钥对是指:密钥生成模块生成非对称密钥对,并将所述的密钥对输送到密钥管理模块,密钥管理模块存储所述密钥对。
进一步地,物联网平台根据物联网终端发起的注册请求向物联网密钥管理中心***申请使用与所述物联网终端的私钥相对应的公钥是指:
物联网平台根据物联网终端发起的注册请求向密钥分发模块申请使用与所述物联网终端的私钥相对应的公钥;
密钥分发模块接收所述的公钥使用请求,并向密钥管理模块提出查询密钥对信息的请求。
进一步地,物联网密钥管理中心***接收物联网平台申请使用所述公钥的请求,并查询密钥对信息,检查通过后返回所述的公钥是指:
密钥管理模块接收密钥分发模块提出的查询密钥对信息的请求,查询所述密钥对信息;
密钥对信息检查通过后,密钥管理模块向密钥分发模块返回所述公钥;
密钥分发模块向物联网平台返回所述公钥。
进一步地,密钥管理模块对密钥对信息的查询中包括对密钥对有效期的查询以及公钥和私钥的对应信息的查询。
本发明有益效果包括:
1、使物联网平台和终端可以同时设置密钥,解决了物联网终端没有密钥,而物联网平台下发密钥的安全性问题;
2、密钥***采用非对称密钥,物联网平台和终端采用不同的密钥,有效提高了物联网通信的安全性。
附图说明
图1为本发明实施例中物联网密钥分发***的结构框图;
图2为本发明实施例中物联网密钥分发方法的流程图。
具体实施方式
以下结合附图对本发明的优先实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,但不用于限定本发明。
参照图1,本发明涉及一种物联网安全密钥分发***,包括物联网平台、物联网终端和物联网密钥管理中心***,物联网密钥管理中心***包括密钥生成模块、密钥分发模块和密钥管理模块。
密钥生成模块用于生成非对称密钥对,并将密钥对输送到密钥管理模块;密钥分发模块用于接收所述物联网平台发送的使用与所述物联网终端的私钥所对应公钥的请求,向密钥管理模块提出查询密钥对信息的请求,接收密钥管理模块检查通过后返回的公钥,并向物联网平台输出公钥;密钥管理模块用于存储所述密钥生成模块输入的密钥对,接收所述密钥分发模块查询密钥对信息的请求,并对密钥对信息进行查询,检查通过后向密钥分发模块返回公钥。
参照图2,本发明还涉及了一种物联网安全密钥分发方法,包括:
S1、密钥生成模块生成非对称密钥对,并将密钥对输送到密钥管理模块,密钥管理模块对该密钥对进行存储;
S2、物联网终端向物联网平台发起注册,并用所述非对称密钥对中的私钥对注册信息进行加密;
S3、物联网平台根据物联网终端发起的注册请求向密钥分发模块申请使用与物联网终端的私钥相对应的公钥;
S4、密钥分发模块接收公钥使用请求,并向密钥管理模块提出查询密钥对信息的请求;
S5、密钥管理模块接收密钥分发模块提出的查询密钥对信息的请求,查询密钥对信息,密钥对信息检查通过后,密钥管理模块向密钥分发模块返回公钥;
S6、密钥分发模块向物联网平台返回公钥;
S7、物联网平台根据物联网密钥管理中心***返回的公钥对物联网终端的注册信息进行解密,完成注册流程。
物联网终端出厂之前,在安全密钥分发***的密钥管理中心***中生成非对称密钥加密密钥对,密钥管理中心模块以终端序列号为主键,建立终端密钥数据库,将终端所对应的密钥对存储在密钥管理中心模块,将非对称加密密钥对中的私钥以文件的形式或其它形式存储在终端之上。该私钥用于终端通信信息的加密,平台对终端身份的确认。
安全型终端注册时,使用预置或存储在终端上的非对称加密算法的私钥对通信相关数据进行加密,并向物联网平台发起注册操作。物联网平台收到终端注册消息后,物联网平台向物联网密钥管理中心发送终端密钥请求,获取安全型终端所对应的公钥,并用公钥对终端上报消息进行解密,处理终端注册流程。
密钥管理模块还提供终端密钥对更新提供,用户可以在密钥管理中心管理界面上更新,还提供具有权限的物联网平台通过更新接口更新密钥对。
本***物联网安全终端采用在通信建立前注册时,使用非对称加密算法设置通信的基础密钥;终端注册后,平台和终端设置了一致的基础密钥,终端与平台再采用对称加密算法进行通信。
物联网密钥管理中心***负责全***内终端的密钥管理,对物联网平台提出的请求进行处理。物联网密钥管理中心***与物联网平台之间可以采取多种访问方式。可以使用TCP短连接方式,也可以采用Web Service方式。
物联网密钥管理中心密钥分发模块负责密钥访问的接入,调用接口XML表示如下:
请求报文:
响应报文:
其中:Sid用于标记请求与响应是同一个会话,允许同一时刻物联网平台请求多个终端的公钥信息;
PlatNo用于标记访问物联网密钥管理中心的物联网平台,访问物联网管理中心的物联网平台必须具有合法的访问身份;
TermNo用于标记当前物联网平台需要获取的密钥的终端序列号;
Hash是对报文数据内容的有效性检查,采用MD5算法对数据内容+访问密码计算摘要;
Key是物联网密钥管理中心返回的对应终端的公钥;
ResultCode标识当前操作的成功与否。
物联网安全密钥分发***,可以是一个平台使用一个密钥***,也可以采用多个平台共享一个密钥***。对后者这种复合性的密钥***,对于物联网平台、终端数量较大时,具有较大的成本优势,仅需一次建设,而多次使用。
Claims (9)
1.一种物联网密钥管理中心***,其特征在于:所述的密钥管理中心***生成和管理非对称密钥对,当收到物联网平台申请使用与物联网终端的私钥所对应公钥的请求时,查询密钥对信息,检查通过后向所述的物联网平台返回所述公钥。
2.根据权利要求1所述的物联网密钥管理中心***,其特征在于:包括:
密钥生成模块:用于生成非对称密钥对,并将所述的密钥对输送到密钥管理模块;
密钥分发模块:用于接收所述物联网平台发送的使用与所述物联网终端的私钥所对应公钥的请求,向密钥管理模块提出查询密钥对信息的请求,接收密钥管理模块检查通过后返回的公钥,并向物联网平台输出所述的公钥;
密钥管理模块:用于存储所述密钥生成模块输入的密钥对,接收所述密钥分发模块查询密钥对信息的请求,并对所述的密钥对信息进行查询,检查通过后向密钥分发模块返回所述公钥。
3.根据权利要求2所述的物联网密钥管理中心***,其特征在于:所述的密钥对信息包括密钥对的有效期以及公钥和私钥的对应信息。
4.一种物联网安全密钥分发***,其特征在于:包括物联网平台、物联网终端和根据权利要求1、2或3所述的物联网密钥管理中心***。
5.一种物联网安全密钥分发方法,其特征在于:包括:
物联网密钥管理中心***生成并存储非对称密钥对;
物联网终端向物联网平台发起注册,并用所述非对称密钥对中的私钥对注册信息进行加密;
物联网平台根据物联网终端发起的注册请求向物联网密钥管理中心***申请使用与所述物联网终端的私钥相对应的公钥;
物联网密钥管理中心***接收物联网平台申请使用所述公钥的请求,并查询密钥对信息,检查通过后返回所述的公钥;
物联网平台根据物联网密钥管理中心***返回的公钥对物联网终端的注册信息进行解密,完成注册流程。
6.根据权利要求5所述方法,其特征在于:所述物联网密钥管理中心***生成并存储非对称密钥对是指:
密钥生成模块生成非对称密钥对,并将所述的密钥对输送到密钥管理模块,密钥管理模块存储所述密钥对。
7.根据权利要求5所述方法,其特征在于:所述物联网平台根据物联网终端发起的注册请求向物联网密钥管理中心***申请使用与所述物联网终端的私钥相对应的公钥是指:
物联网平台根据物联网终端发起的注册请求向密钥分发模块申请使用与所述物联网终端的私钥相对应的公钥;
密钥分发模块接收所述的公钥使用请求,并向密钥管理模块提出查询密钥对信息的请求。
8.根据权利要求5所述方法,其特征在于:所述物联网密钥管理中心***接收物联网平台申请使用所述公钥的请求,并查询密钥对信息,检查通过后返回所述的公钥是指:
密钥管理模块接收密钥分发模块提出的查询密钥对信息的请求,查询所述密钥对信息;
密钥对信息检查通过后,密钥管理模块向密钥分发模块返回所述公钥;
密钥分发模块向物联网平台返回所述公钥。
9.根据权利要求5所述方法,其特征在于:所述密钥管理模块对密钥对信息的查询中包括对密钥对有效期的查询以及公钥和私钥的对应信息查询。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012101847745A CN103475624A (zh) | 2012-06-06 | 2012-06-06 | 一种物联网密钥管理中心***、密钥分发***和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012101847745A CN103475624A (zh) | 2012-06-06 | 2012-06-06 | 一种物联网密钥管理中心***、密钥分发***和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103475624A true CN103475624A (zh) | 2013-12-25 |
Family
ID=49800324
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012101847745A Pending CN103475624A (zh) | 2012-06-06 | 2012-06-06 | 一种物联网密钥管理中心***、密钥分发***和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103475624A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577613A (zh) * | 2014-10-11 | 2016-05-11 | 电信科学技术研究院 | 一种密钥信息的发送和接收方法、设备及*** |
| CN105721141A (zh) * | 2015-09-22 | 2016-06-29 | 德阳市闪通思动科技有限责任公司 | Epc网络基于无证书密码体制的多ons查询方法 |
| CN106658349A (zh) * | 2015-10-30 | 2017-05-10 | 中国电信股份有限公司 | 用于自动生成与更新共享密钥的方法和*** |
| CN107493167A (zh) * | 2016-06-13 | 2017-12-19 | 广州江南科友科技股份有限公司 | 终端密钥分发***及其终端密钥分发方法 |
| CN107637011A (zh) * | 2015-06-09 | 2018-01-26 | 英特尔公司 | 用于物联网网络的自配置密钥管理*** |
| CN110071901A (zh) * | 2018-01-23 | 2019-07-30 | 西门子(中国)有限公司 | 物联网设备的注册方法、装置、***和存储介质 |
| CN110300126A (zh) * | 2019-07-30 | 2019-10-01 | 中电科华北网络信息安全有限公司 | 一种设施农业信息安全云服务***及监控方法 |
| WO2019201154A1 (zh) * | 2018-04-17 | 2019-10-24 | 阿里巴巴集团控股有限公司 | 物联网设备之间的通信方法及装置 |
| CN111082928A (zh) * | 2019-11-13 | 2020-04-28 | 武汉融卡智能信息科技有限公司 | 密钥分发方法、分发***及计算机可读存储介质 |
| CN111372247A (zh) * | 2019-12-23 | 2020-07-03 | 国网天津市电力公司 | 一种基于窄带物联网的终端安全接入方法及终端安全接入*** |
| CN112153068A (zh) * | 2020-09-28 | 2020-12-29 | 黄谦 | 一种物联网设备访问权限安全管理方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101297534A (zh) * | 2005-10-27 | 2008-10-29 | 国际商业机器公司 | 用于安全网络认证的方法和装置 |
| CN101873588A (zh) * | 2010-05-27 | 2010-10-27 | 大唐微电子技术有限公司 | 一种业务应用安全实现方法及*** |
| CN102111264A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 非对称密钥管理*** |
-
2012
- 2012-06-06 CN CN2012101847745A patent/CN103475624A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101297534A (zh) * | 2005-10-27 | 2008-10-29 | 国际商业机器公司 | 用于安全网络认证的方法和装置 |
| CN102111264A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 非对称密钥管理*** |
| CN101873588A (zh) * | 2010-05-27 | 2010-10-27 | 大唐微电子技术有限公司 | 一种业务应用安全实现方法及*** |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577613B (zh) * | 2014-10-11 | 2018-11-23 | 电信科学技术研究院 | 一种密钥信息的发送和接收方法、设备及*** |
| CN105577613A (zh) * | 2014-10-11 | 2016-05-11 | 电信科学技术研究院 | 一种密钥信息的发送和接收方法、设备及*** |
| CN107637011A (zh) * | 2015-06-09 | 2018-01-26 | 英特尔公司 | 用于物联网网络的自配置密钥管理*** |
| CN105721141A (zh) * | 2015-09-22 | 2016-06-29 | 德阳市闪通思动科技有限责任公司 | Epc网络基于无证书密码体制的多ons查询方法 |
| CN105721141B (zh) * | 2015-09-22 | 2019-03-05 | 德阳市闪通思动科技有限责任公司 | Epc网络基于无证书密码体制的多ons查询方法 |
| CN106658349B (zh) * | 2015-10-30 | 2020-11-20 | 中国电信股份有限公司 | 用于自动生成与更新共享密钥的方法和*** |
| CN106658349A (zh) * | 2015-10-30 | 2017-05-10 | 中国电信股份有限公司 | 用于自动生成与更新共享密钥的方法和*** |
| CN107493167A (zh) * | 2016-06-13 | 2017-12-19 | 广州江南科友科技股份有限公司 | 终端密钥分发***及其终端密钥分发方法 |
| CN107493167B (zh) * | 2016-06-13 | 2021-01-29 | 广州江南科友科技股份有限公司 | 终端密钥分发***及其终端密钥分发方法 |
| CN110071901A (zh) * | 2018-01-23 | 2019-07-30 | 西门子(中国)有限公司 | 物联网设备的注册方法、装置、***和存储介质 |
| CN110071901B (zh) * | 2018-01-23 | 2022-03-22 | 西门子(中国)有限公司 | 物联网设备的注册方法、装置、***和存储介质 |
| WO2019201154A1 (zh) * | 2018-04-17 | 2019-10-24 | 阿里巴巴集团控股有限公司 | 物联网设备之间的通信方法及装置 |
| US11729156B2 (en) | 2018-04-17 | 2023-08-15 | Alibaba Group Holding Limited | Method and apparatus for communication between internet of things devices |
| CN110300126A (zh) * | 2019-07-30 | 2019-10-01 | 中电科华北网络信息安全有限公司 | 一种设施农业信息安全云服务***及监控方法 |
| CN111082928A (zh) * | 2019-11-13 | 2020-04-28 | 武汉融卡智能信息科技有限公司 | 密钥分发方法、分发***及计算机可读存储介质 |
| CN111372247A (zh) * | 2019-12-23 | 2020-07-03 | 国网天津市电力公司 | 一种基于窄带物联网的终端安全接入方法及终端安全接入*** |
| CN112153068A (zh) * | 2020-09-28 | 2020-12-29 | 黄谦 | 一种物联网设备访问权限安全管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103475624A (zh) | 一种物联网密钥管理中心***、密钥分发***和方法 | |
| CN106357396B (zh) | 数字签名方法和***以及量子密钥卡 | |
| CN103118027B (zh) | 基于国密算法建立tls通道的方法 | |
| CN103051628B (zh) | 基于服务器获取认证令牌的方法及*** | |
| CN102946314B (zh) | 一种基于浏览器插件的客户端用户身份认证方法 | |
| CN108965230A (zh) | 一种安全通信方法、***及终端设备 | |
| CN101286842B (zh) | 一种利用公钥密码技术的密钥分配及其公钥在线更新方法 | |
| CN107483491A (zh) | 一种云环境下分布式存储的访问控制方法 | |
| CN111030814B (zh) | 秘钥协商方法及装置 | |
| CN108537046A (zh) | 一种基于区块链技术的在线合同签署***及方法 | |
| CN110099048B (zh) | 一种云存储方法及设备 | |
| CN103795692A (zh) | 开放授权方法、***与认证授权服务器 | |
| CN102780698A (zh) | 物联网平台中用户终端安全通信的方法 | |
| CN113612605A (zh) | 使用对称密码技术增强mqtt协议身份认证方法、***和设备 | |
| CN101483525A (zh) | 一种认证中心的实现方法 | |
| CN111080299B (zh) | 一种交易信息的防抵赖方法及客户端、服务器 | |
| CN106713236A (zh) | 一种基于cpk标识认证的端对端身份认证及加密方法 | |
| CN113382002B (zh) | 数据请求方法、请求应答方法、数据通信***及存储介质 | |
| CN109698746A (zh) | 基于主密钥协商生成绑定设备的子密钥的方法和*** | |
| CN104144161A (zh) | 一种客户端与web服务端的交互方法及*** | |
| CN103166969A (zh) | 一种基于云计算平台的安全云控制器访问方法 | |
| Zhao et al. | Fuzzy identity-based dynamic auditing of big data on cloud storage | |
| CN111049649A (zh) | 一种基于标识密码的零交互密钥协商安全增强协议 | |
| CN102694818B (zh) | 网上私钥的在线分发方法及*** | |
| CN109510710A (zh) | 一种业务请求的响应方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20131225 |
|
| RJ01 | Rejection of invention patent application after publication |