CN116508292A - 接入认证方法、装置、设备及存储介质 - Google Patents

接入认证方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN116508292A
CN116508292A CN202080107382.1A CN202080107382A CN116508292A CN 116508292 A CN116508292 A CN 116508292A CN 202080107382 A CN202080107382 A CN 202080107382A CN 116508292 A CN116508292 A CN 116508292A
Authority
CN
China
Prior art keywords
key
authentication
equipment
authenticated
distribution network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080107382.1A
Other languages
English (en)
Inventor
包永明
罗朝明
张军
董建利
茹昭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Oppo Mobile Telecommunications Corp Ltd
Original Assignee
Guangdong Oppo Mobile Telecommunications Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Oppo Mobile Telecommunications Corp Ltd filed Critical Guangdong Oppo Mobile Telecommunications Corp Ltd
Publication of CN116508292A publication Critical patent/CN116508292A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种接入认证方法、装置、设备及存储介质,涉及无线通信领域。该方法应用于待认证设备中,该方法包括:广播信标帧,所述信标帧携带所述待认证设备生成的第一随机数;基于所述第一随机数以及许可密钥,生成设备端信任中心链接密钥,所述许可密钥是存放于所述待认证设备以及设备平台云中的密钥;使用所述设备端信任中心链接密钥,与配网平台网关进行第一接入认证。本申请提供了一种智能设备的跨平台接入认证的实现方案。

Description

接入认证方法、装置、设备及存储介质 技术领域
本申请涉及无线通信领域,特别涉及一种接入认证方法、装置、设备及存储介质。
背景技术
智能设备可以跨域不同的平台进行接入认证。
示例性的,为智能设备进行组网,构建网络的是A平台网关,A平台网关对应的平台云为A平台云,而智能设备所属厂商对应的平台云为B平台云。
如何实现智能设备的跨平台接入认证,相关技术尚未提供较好的解决方案。
发明内容
本申请实施例提供了一种接入认证方法、装置、设备及存储介质,提供了一种智能设备的跨平台接入认证的实现方案。所述技术方案如下:
根据本申请的一个方面,提供了一种接入认证方法,应用于待认证设备,所述方法包括:
广播信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
基于所述第一随机数以及许可密钥,生成设备端信任中心链接密钥,所述许可密钥是存放于所述待认证设备以及设备平台云中的密钥;
使用所述设备端信任中心链接密钥,与配网平台网关进行第一接入认证。
根据本申请的一个方面,提供了一种接入认证方法,应用于配网平台网关中,所述配网平台网关支持构建网络,所述配网平台网关对应的云端服务器为配网平台云,所述方法包括:
接收待认证设备广播的信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
通过所述配网平台云,与设备平台云交互,获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是基于所述第一随机数以及许可密钥生成的密钥,所述许可密钥是存放于所述待认证设备以及所述设备平台云中的密钥;
使用所述认证端信任中心链接密钥,与所述待认证设备进行第一接入认证。
根据本申请的一个方面,提供了一种接入认证方法,应用于设备平台云中,所述设备平台云是待认证设备所属的厂商的云端服务器,所述方法包括:
与配网平台网关交互,使得所述配网平台网关获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是根据所述待认证设备生成的第一随机数生成的密钥,所述认证端信任中心链接密钥用于进行所述待认证设备的第一接入认证。
根据本申请的一个方面,提供了一种接入认证装置,应用于待认证设备,所述装置包括:信标帧广播模块、密钥生成模块和第一认证模块;
所述信标帧广播模块,用于广播信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
所述密钥生成模块,用于基于所述第一随机数以及许可密钥,生成设备端信任中心链接密钥,所述许可密钥是存放于所述待认证设备以及设备平台云中的密钥;
所述第一认证模块,用于使用所述设备端信任中心链接密钥,与配网平台网关进行第一接入认证。
根据本申请的一个方面,提供了一种接入认证装置,应用于配网平台网关中,所述配网平台网关支持构建网络,所述配网平台网关对应的云端服务器为配网平台云,所述装置包括:信标帧接收模块、密钥确定模块和第一认证模块;
所述信标帧接收模块,用于接收待认证设备广播的信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
所述密钥确定模块,用于通过所述配网平台云,与设备平台云交互,获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是基于所述第一随机数以及许可密钥生成的密钥,所述许可密钥是存放于所述待认证设备以及所述设备平台云中的密钥;
所述第一认证模块,用于使用所述认证端信任中心链接密钥,与所述待认证设备进行第一接入认证。
根据本申请的一个方面,提供了一种接入认证装置,应用于设备平台云中,所述设备平台云是待认证设备所属的厂商的云端服务器,所述装置包括:密钥确定模块;
所述密钥确定模块,用于与配网平台网关交互,使得所述配网平台网关获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是根据所述待认证设备生成的第一随机数生成的密钥,所述认证端信任中心 链接密钥用于进行所述待认证设备的第一接入认证。
根据本申请的一个方面,提供了一种待认证设备,所述待认证设备包括:处理器和与所述处理器相连的收发器;其中,
所述收发器,用于广播信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
所述处理器,用于基于所述第一随机数以及许可密钥,生成设备端信任中心链接密钥,所述许可密钥是存放于所述待认证设备以及设备平台云中的密钥;
所述处理器,用于使用所述设备端信任中心链接密钥,与配网平台网关进行第一接入认证。
根据本申请的一个方面,提供了一种配网平台网关,所述配网平台网关支持构建Zigbee网络,所述配网平台网关对应的云端服务器为配网平台云,所述配网平台网关包括:处理器和与所述处理器相连的收发器;其中,
所述收发器,用于接收待认证设备广播的信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
所述处理器,用于通过所述配网平台云,与设备平台云交互,获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是基于所述第一随机数以及许可密钥生成的密钥,所述许可密钥是存放于所述待认证设备以及所述设备平台云中的密钥;
所述处理器,用于使用所述认证端信任中心链接密钥,与所述待认证设备进行第一接入认证。
根据本申请的一个方面,提供了一种设备平台云,所述设备平台云是待认证设备所属的厂商的云端服务器,所述设备平台云包括:处理器和与所述处理器相连的收发器;其中,
所述处理器,用于与配网平台网关交互,使得所述配网平台网关获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是根据所述待认证设备生成的第一随机数生成的密钥,所述认证端信任中心链接密钥用于进行所述待认证设备的第一接入认证。
根据本申请的一个方面,提供了一种计算机可读存储介质,所述可读存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现如上述方面所述的接入认证方法。
根据本申请实施例的一个方面,提供了一种芯片,所述芯片包括可编程逻辑电路和/或程序指令,当所述芯片在网络设备上运行时,用于实现上述方面所述的接入认证方法。
根据本申请的一个方面,提供了一种计算机程序产品,该计算机程序产品在网络设备的处理器上运行时,使得网络设备执行上述方面所述的接入认证方法。
本申请实施例提供的技术方案至少包括如下有益效果:
待认证设备广播的信标帧中携带第一随机数,第一随机数用于生成配网平台网关和待认证设备之间执行第一接入认证所需的认证端信任中心链接密钥以及设备端信任中心链接密钥,第一随机数是每次进行第一接入认证所动态产生的,保障第一接入认证的安全性。并且,本申请实施例中,配网平台网关通过配网平台云与设备平台云进行交互,获取第一接入认证所需的认证端信任中心链接密钥,再由配网平台网关配网平台网关和待认证设备分别使用认证端信任中心链接密钥以及设备端信任中心链接密钥,进行第一接入认证,从而实现了待认证设备的跨平台接入认证,扩展了待认证设备接入认证的实施场景。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一个示例性实施例提供的智能设备跨平台接入认证***的框图;
图2是本申请一个示例性实施例提供的接入认证方法的流程图;
图3是本申请一个示例性实施例提供的接入认证方法的流程图;
图4是本申请一个示例性实施例提供的接入认证方法的流程图;
图5是本申请一个示例性实施例提供的接入认证方法的流程图;
图6是本申请一个示例性实施例提供的接入认证方法的流程图;
图7是本申请一个示例性实施例提供的接入认证方法的流程图;
图8是本申请一个示例性实施例提供的接入认证方法装置的结构框图;
图9是本申请一个示例性实施例提供的接入认证方法装置的结构框图;
图10是本申请一个示例性实施例提供的接入认证方法装置的结构框图;
图11是本申请一个示例性实施例提供的计算机设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描 述。
首先,对本申请实施例中涉及的名词进行简单介绍:
Zigbee(紫蜂协议)技术:
Zigbee是基于电气和电子工程师协会(Institute of Electrical and Electronics Engineers,IEEE)802.15.4标准的低功耗局域网协议。根据国际标准规定,ZigBee技术是一种短距离、低功耗的无线通信技术。
由于ZigBee技术通常的传输距离小于1公里(即短距离),因此主要用于个人局域网(Personal Area Network,PAN)。
信标(Beacon)帧:
根据IEEE802.15.4中关于信标的规范,规定了两种信标帧格式,一种是常规信标帧,另外一种为增强信标(EnhanceBeacon)帧。
其中,增强信标帧中与常规信标帧的区别在于在可变(variable)的数据中多了信息单元(InformationElements,IEs)字段,少了时隙保障(Guaranteed Time Slot,GTS)字段和挂起地址(PendingAddress)字段。
结合参考如下表一。
表一:增强信标帧
如表一所示,在增强信标帧中,信息单元字段又分为头信息单元(HeaderIEs)和载荷信息单元(PayloadIEs)。
在头信息单元中,当单元标识(ElementID)为0时,表示由厂商自定义信息填充该内容,其中,数据长度范围在0-127个字节,前3个字节可以为供应商(Vendor)组织唯一标识符(Organizationally Unique Identifier,OUI),剩余的字节可以根据厂商需求自定义。在本申请实施例中,在头信息单元中填充第一随机数、设备标识和厂商标识。
支持Zigbee协议的设备为Zigbee设备,Zigbee设备对应有一个唯一的安装码(InstallCode),Zigbee网关需要获取Zigbee设备的安装码,从而将Zigbee设备接入Zigbee网关所创建的Zigbee网络。
相关技术中,通过使用手机扫描Zigbee设备的二维码或者在手机上手动输入的方式,获取Zigbee设备的安装码,再由手机将安装码发送给Zigbee网关,需要的人为交互较多。
同时,上述相关技术也未实现Zigbee设备的跨平台接入认证,亟需Zigbee设备的跨平台接入认证的解决方案。
下面,对本申请提供的方案进行示例性的说明。
图1示出了本申请一个示例性实施例提供的智能设备跨平台接入认证***的框图,该***可以包括:待认证设备12、配网平台网关141、配网平台云142和设备平台云16。
待认证设备12是具备接入网络能力的设备。可选的,待认证设备12为智能设备(如VR(Virtual Reality,虚拟现实)眼镜、智能可穿戴设备等)、终端设备,或者其它具备网络接入能力的设备,本申请实施例对此不作限定。在一个示例中,在该***应用于智能家居生活的情况下,待认证设备12可以是智能电视、智能音箱、智能空调、智能电灯、智能门窗、智能窗帘、智能插座等智能家居设备。可选的,待认证设备12为一个,或者,待认证设备12为多个,本申请实施例对此不作限定,实际应用中,待认证设备12的数量可以结合应用需求或者配网平台网关141所能管理的最大设备数量等确定。
待认证设备12由配网平台网关141配置入网,配网平台网关141对应的云端服务器是配网平台云142。配网平台网关141与配网平台云142之间通过有线或无线网络相连。
配网平台网关141是具备配置网络的能力的设备。可选的,配网平台网关141可以是服务器、终端设备、路由器、终端设备、手机、平板电脑、可穿戴设备,或者其它具备配置入网能力的设备,本申请实施例对此不作限定,实际应用中,配网平台网关141的实现形态可以结合***的应用情景确定。在一个示例中,在***应用于智能家居生活的情况下,考虑到家居环境具有面积小、活动频繁等特点,使用占用空间较大的配网平台网关141会影响正常的家居生活,配网平台网关141可以实现为路由器、终端设备、手机、 平板电脑、可穿戴设备等。可选的,配网平台网关141的数量可以为一个,也可以为多个,本申请实施例对此不作限定,通常,出于节约资源等方面的考虑,配网平台网关141的数量为一个。
待认证设备12基于设备平台云16开发,待认证设备12的许可密钥Kc存储在设备平台云16。
配网平台云142和设备平台云16之间存在通信链路。可选的,配网平台云142向设备平台云16发送待认证设备12的接入认证过程中所需的信息;或,向配网平台网关141转发待认证设备12的接入认证过程中所需的信息。
其中,上述配网平台云142和设备平台云16是云技术领域中的云计算资源池,在资源池中部署多种类型的虚拟资源,供外部客户选择使用。云计算资源池中主要包括:计算设备(为虚拟化机器,包含操作***)、存储设备、网络设备。其可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
可选的,该***还可以包括控制设备18,配网平台网关141与控制设备18之间通过有线或无线网络相连。控制设备18是供用户进行操作,以对配网平台网关141进行控制的设备。如:用户可以使用控制设备18上的应用程序(Application)激活配网平台网关141。控制设备18可以实现为终端设备、手机、平板电脑、可穿戴设备等。
在一个示例中,待认证设备12是Zigbee设备,配网平台网关支持配置Zigbee网络。
图2示出了本申请一个示例性实施例提供的接入认证方法的流程图。该方法可以应用于如图1示出的智能设备跨平台接入认证***中,该方法包括:
步骤201,待认证设备广播信标帧,信标帧携带待认证设备生成的第一随机数。
待认证设备是支持具备接入网络能力的设备。可选的,待认证设备包括各种类型的家居设备(如电灯)、工业资产(如医院中的检查设备)等。示例性的,待认证设备是Zigbee设备。
信标帧是媒体接入控制(Medium Access Control,MAC)层的一种命令帧。信标帧主要用于待认证设备的加网(join)和重新入网(Rejoin)过程。在本申请实施例中,待认证设备通过广播信标帧,查询可以加入的网络。可选的,待认证设备在进入配网模式的情况下开始广播信标帧,可选的,待认证设备在首次开启时自动进入配网模式,或者,待认证设备由用户操作以被动触发进入配网模式。
信标帧携带第一随机数,第一随机数是待认证设备生成的随机数(Nonce),第一随机数用于保障第一接入认证的安全性。可选的,第一随机数的长度为4个字节。
可选的,信标帧还携带设备标识(DeviceID),设备标识用于标识待认证设备的类型,设备标识可以为2个字节。可选的,信标帧还携带厂商标识(CompanyIdentifier,CID),厂商标识用于标识待认证设备所属的厂商,厂商标识可以为3个字节。可选的,信标帧还携带设备地址标识,设备地址标识用于标识待认证设备的MAC地址,设备地址标识用于唯一地标识一个待认证设备,设备地址标识可以为一个64位地址。示例性的,设备地址标识为扩展唯一标识(Extended Unique Identifier,EUI)。
步骤202,配网平台网关接收信标帧。
配网平台网关是具备配置网络的能力的设备。可选的,配网平台网关可以是服务器、终端设备、路由器、终端设备、手机、平板电脑、可穿戴设备,或者其它具备配置入网能力的设备。示例性的,配网平台网关支持配置Zigbee网络。
由于待认证设备广播信标帧,配网平台网关可以接收待认证设备广播的信标帧。可选的,配网平台网关通过信道扫描的形式,接收待认证设备广播的信标帧。可选的,配网平台网关已组建网络。可选的,配网平台网关组建的网络用个人局域网标志符(PAN ID)来进行标识。
步骤203,配网平台网关通过配网平台云,与设备平台云交互,获取认证端信任中心链接密钥。
设备平台云是待认证设备开发所对应的云端服务器。也即,设备平台云是待认证设备所属的厂商对应的云端服务器。
配网平台云是配网平台网关对应的云端服务器。
可选的,配网平台网关通过配网平台云,与设备平台云交互指的是:配网平台网关向配网平台云发送消息A,配网平台云向设备平台云转发消息A;或者,设备平台云向配网平台云发送消息B,配网平台云向配网平台网关转发消息B。
认证端信任中心链接密钥(TrustCenterLinkKey,TCLK)是基于第一随机数以及许可密钥生成的密钥。可选的,认证端信任中心链接密钥由配网平台网关生成,或由设备平台云生成。即:认证端信任中心链接密钥是配网平台网关侧或设备平台云侧生成的用于进行第一接入认证的密钥。
步骤204,待认证设备基于第一随机数以及许可密钥,生成设备端信任中心链接密钥。
许可密钥是存放于待认证设备以及设备平台云中的密钥。可选的,许可密钥在出厂的时候预烧录在待 认证设备的安全存储区域。可选的,设备平台云中存储有待认证设备的设备地址标识与许可密钥之间的关系表。
待认证设备基于自身生成的第一随机数以及存储的许可密钥,生成设备端信任中心链接密钥。设备端信任中心链接密钥是待认证设备侧生成的用于进行第一接入认证的密钥。
可以理解的是,本申请实施例对步骤203和步骤204的实施顺序不进行限定。
步骤205,配网平台网关和待认证设备分别使用认证端信任中心链接密钥以及设备端信任中心链接密钥,进行第一接入认证。
在待认证设备生成设备端信任中心链接密钥,以及配网平台网关获取认证端信任中心链接密钥后,配网平台网关和待认证设备分别使用认证端信任中心链接密钥以及设备端信任中心链接密钥,进行第一接入认证。
可选的,在待认证设备生成的设备端信任中心链接密钥与配网平台网关获取的认证端信任中心链接密钥相同的情况下,第一接入认证成功。可选的,第一接入认证成功后,待认证设备即可加入配网平台网关所组建的网络。
综上所述,本实施例提供的方法,待认证设备广播的信标帧中携带第一随机数,第一随机数用于生成配网平台网关和待认证设备之间执行第一接入认证所需的认证端信任中心链接密钥以及设备端信任中心链接密钥,第一随机数是每次进行第一接入认证所动态产生的,保障第一接入认证的安全性。并且,本申请实施例中,配网平台网关通过配网平台云与设备平台云进行交互,获取第一接入认证所需的认证端信任中心链接密钥,再由配网平台网关配网平台网关和待认证设备分别使用认证端信任中心链接密钥以及设备端信任中心链接密钥,进行第一接入认证,从而实现了待认证设备的跨平台接入认证,扩展了待认证设备接入认证的实施场景。
在基于图2的可选实施例中,待认证设备侧执行第一接入认证的过程包括:待认证设备基于设备端信任中心链接密钥,获取网络密钥(NetworkKey),网络密钥用于在第一接入认证后对网络层的数据进行加密。也即:待认证设备通过执行第一接入流程,得到正确的网络密钥,从而加入网络。
下面,对第一接入认证的过程进行示例性的说明。
图3示出了本申请一个示例性实施例提供的接入认证方法的流程图。该方法可以应用于如图1示出的智能设备跨平台接入认证***中,该方法包括:
步骤301,待认证设备广播信标帧,信标帧携带第一随机数、设备标识、厂商标识和设备地址标识。
可选的,信标帧为增强信标(EnhanceBeacon)帧。增强信标帧是在IEEE802.15.4中所规定的,有别于常规信标帧的一种信标帧,增强信标帧的具体格式可以参见如上表一。
可选的,增强信标帧携带第一随机数、设备标识、厂商标识和设备地址标识。其中,第一随机数、设备标识和厂商标识填充在增强信标帧的头信息单元(HeaderIEs)中,设备地址标识填充在增强信标帧的信标有效载荷(Beacon Payload)中。
在一种可能的实现方式中,步骤301替换实现为:待认证设备广播增强信标帧。在另一种可能的实现方式中,步骤301替换实现为:待认证设备交替广播增强信标帧和常规信标帧,用以实现常规信标帧的兼容。
步骤302,配网平台网关接收信标帧。
可选的,信标帧为增强信标帧,配网平台网关接收待认证设备广播的增强信标帧,从增强信号帧中获取第一随机数、设备标识、厂商标识和设备地址标识。
步骤303,配网平台网关向待认证设备发送信标响应。
其中,信标响应用于响应信标帧。可选的,信标响应中携带配网平台网关所构建的网络的PAN ID。可选的,在配网平台网关同意待认证设备加入网络的情况下,配网平台网关向待认证设备发送信标响应。
可选的,信标帧携带设备标识,设备标识用于标识待认证设备的类型。在发送信标响应之前,配网平台网关还将执行如下步骤:向控制设备发送设备标识,控制设备用于控制配网平台网关;接收控制设备发送的接入请求,接入请求用于触发配网平台网关反馈信标响应,信标响应用于响应信标帧。
示例性的,配网平台网关为路由器,控制终端为用户使用的手机。在接收到信标帧后,配网平台网关将信标帧中的设备标识发送给手机,手机对设备标识所对应的待认证设备的类型进行播报,如:该设备标识所对应的待认证设备的类型为温度传感器,用户通过播报了解待认证设备的类型,并控制手机发送接入请求,配网平台网关在接收到接入请求后,根据接入请求的指示,向待认证设备发送信标响应。
步骤304,待认证设备接收信标响应。
可选的,待认证设备通过接收信标响应,确定配网平台网关处存在可以加入的网络,该网络用PAN ID进行标识。
步骤305,待认证设备向配网平台网关发送关联请求。
其中,关联请求(association request)用于请求接入配网平台网关构建的网络。
可选的,在接收信标响应后,若待认证设备选择接入配网平台网关所构建的网络,则待认证设备向配网平台网关发送关联请求。
步骤306,配网平台网关接收关联请求。
步骤307,配网平台网关向待认证设备发送关联响应。
其中,关联响应(association response)用于响应关联请求。在接收待认证设备发送的关联请求后,配网平台网关单播反馈关联响应给待认证设备。
可选的,关联响应中携带配网平台网关分配给待认证设备的网络地址(network address)。其中,网络地址是16位的短地址,网络地址用于在配网平台网关所构建的网络中唯一地标识该待认证设备。
步骤308,待认证设备接收关联响应。
步骤309,配网平台网关通过配网平台云,与设备平台云交互,获取认证端信任中心链接密钥。
配网平台网关获取认证端信任中心链接密钥的方式具体参见图4对应实施例,在此不进行赘述。
步骤310,待认证设备基于第一随机数以及许可密钥,生成设备端信任中心链接密钥。
在一种可能的实现方式中,待认证设备将生成的设备端安装码作为设备端信任中心链接密钥。也即,步骤310包括:待认证设备采用第一密钥生成算法,对第一随机数以及许可密钥进行处理,生成设备端安装码,将设备端安装码作为设备端信任中心链接密钥。可选的,第一密钥生成算法是一种对称加密算法,第一密钥生成算法包括:高级加密标准(Advanced Encryption Standard,AES)-MMO(Matyas-Meyer-Oseas)哈希算法。
示例性的,TCLK=InstallCode=AES-MMO(Kc|R1)。其中,TCLK为设备端信任中心链接密钥,InstallCode为设备端安装码,Kc为许可密钥,R1为第一随机数。
在另一种可能的实现方式中,待认证设备在生成设备端安装码后,对设备端安装码进行进一步处理,得到设备端信任中心链接密钥。也即,步骤310包括:待认证设备采用第一密钥生成算法,对第一随机数以及许可密钥进行处理,生成设备端安装码;采用第二密钥生成算法,对设备端安装码进行处理,生成设备端信任中心链接密钥。可选的,第一密钥生成算法和第二密钥算法是对称加密算法,第一密钥生成算法包括:AES-MMO哈希算法;第二密钥生成算法包括:AES-MMO哈希算法。
示例性的,InstallCode=AES-MMO(Kc|R1),TCLK=AES-MMO(Install Code)。其中,TCLK为设备端信任中心链接密钥,InstallCode为设备端安装码,Kc为许可密钥,R1为第一随机数。
可以理解的是,在上述两种实现方式中,由于第一随机数是每次待认证设备试图入网时生成的随机数,则设备端安装码是动态生成的,从而待认证设备根据设备端安装码而确定的设备端信任中心链接密钥也是动态生成的。
步骤311,配网平台网关向待认证设备发送加密密钥信息,加密密钥信息是根据认证端信任中心链接密钥对网络密钥进行加密得到的信息。
网络密钥是配网平台网关在构建网络时生成的随机字符串。可选的,网络中的所有入网设备共享同一个网络密钥。
配网平台网关在获取认证端信任中心链接密钥之后,使用认证端信任中心链接密钥对网络密钥进行加密,得到加密密钥信息,并将加密密钥信息发送给待认证设备,以供待认证设备从加密密钥信息中获取网络密钥。
步骤312,待认证设备接收加密密钥信息。
步骤313,待认证设备使用设备端信任中心链接密钥对加密密钥信息进行处理,得到网络密钥。
网络密钥用于对网络层的数据进行加密。可选的,待认证设备获取网络密钥之后,基于网络密钥与配网平台网关进行通信。
由于加密密钥信息是配网平台网关根据认证端信任中心链接密钥对网络密钥进行加密得到的信息,则在待认证设备侧生成的设备端信任中心链接密钥与认证端信任中心链接密钥相等的情况下,待认证设备能够使用设备端信任中心链接密钥对加密密钥信息进行处理,得到正确的网络密钥。
步骤314,待认证设备广播设备声明消息。
设备声明广播消息用于表示待认证设备已接入配网平台网关构建的网络。
步骤315,配网平台网关接收设备声明消息。
配网平台网关接收待认证设备广播的设备声明消息。
综上所述,本实施例提供的方法,待认证设备广播的信标帧为增强信标帧,由于增强信标帧中存在可以由待认证设备所属的厂商自定义的字段,便于在增强信标帧中携带第一随机数、设备标识、厂商标识和设备地址标识,从而保障后续执行第一接入认证过程。
同时,本实施例提供的方法,配网平台网关从设备云平台处获取认证端安装码,不需要用户手动输入或扫描,再由用户将认证端安装码发送给设备云平台,减少人为交互,提高接入认证的效率。
下面,对步骤309中配网平台网关获取认证端信任中心链接密钥的方式进行示例性的说明。
图4示出了本申请一个示例性实施例提供的接入认证方法的流程图。该方法可以应用于如图1示出的智能设备跨平台接入认证***中,该方法包括:
步骤3091,配网平台网关通过配网平台云,向设备平台云发送安装码请求。
其中,安装码请求携带设备地址标识和第一随机数,第一随机数用于供设备平台云生成认证端安装码,设备地址标识用于标识待认证设备的MAC地址。
可选的,安装码请求还携带厂商标识。配网平台网关向配网平台云发送安装码请求,配网平台云根据厂商标识,确定设备平台云,并将安装码请求转发给设备平台云。
步骤3092,设备平台云接收安装码请求。
安装码请求的源地址为配网平台网关,安装码请求携带待认证设备对应的设备地址标识和第一随机数。
可选的,设备平台云从配网平台云处接收源地址为配网平台网关的安装码请求。
步骤3093,设备平台云基于第一随机数,生成认证端安装码。
可选的,步骤3093包括:设备平台云根据设备地址标识,确定待认证设备对应的许可密钥;采用第一密钥生成算法,对第一随机数以及许可密钥进行处理,生成认证端安装码。
可选的,在设备平台云中存储有设备地址标识与许可密钥之间的关系表,设备平台云根据设备地址标识在关系表中进行查找,确定待认证设备对应的许可密钥。可选的,第一密钥生成算法是一种对称加密算法,第一密钥生成算法包括:AES-MMO哈希算法。
示例性的,InstallCode’=AES-MMO(Kc|R1)。其中,InstallCode’为认证端安装码,Kc为许可密钥,R1为第一随机数。
步骤3094,设备平台云发送安装码响应,安装码响应的目的地址为配网平台网关。
其中,安装码响应携带认证端安装码,认证端安装码用于供配网平台网关确定认证端信任中心链接密钥。
可选的,设备平台云向配网平台云发送安装码响应,配网平台云将安装码响应转发给配网平台网关。
步骤3095,配网平台网关接收安装码响应。
可选的,配网平台网关通过配网平台云,接收源地址为设备平台云的安装码响应。
步骤3096,配网平台网关基于安装码响应,确定认证端信任中心链接密钥。
其中,安装码响应携带认证端安装码,认证端安装码用于供配网平台网关确定认证端信任中心链接密钥。
在一种可能的实现方式中,配网平台网关将获取的认证端安装码作为设备端信任中心链接密钥。
在另一种可能的实现方式中,配网平台网关在获取认证端安装码后,对认证端安装码进行进一步处理,得到认证端信任中心链接密钥。步骤3096包括:配网平台网关采用第二密钥生成算法,对认证端安装码进行处理,生成认证端信任中心链接密钥。可选的,第二密钥生成算法是一种对称加密算法,第二密钥生成算法包括:AES-MMO哈希算法。
示例性的,TCLK’=AES-MMO(Install Code’)。其中,TCLK’为认证端信任中心链接密钥,InstallCode’为认证端安装码。
综上所述,本实施例提供的方法,设备端安装码以及认证端安装码是由待认证设备和配网平台网关基于第一随机数生成的,由于第一随机数是每次待认证设备试图入网时生成的随机数,则设备端安装码是动态生成的,从而待认证设备根据设备端安装码而确定的设备端信任中心链接密钥也是动态生成的,避免了由于设备端安装码固定不变而带来的设备端安装码泄露的风险。
可选的,在基于图2的可选实施例中,在第一接入认证之后,待认证设备将基于设备平台云生成的第二随机数进行第二接入认证。
下面,对第二接入认证过程进行示例性的说明。
图5示出了本申请一个示例性实施例提供的接入认证方法的流程图。该方法可以应用于如图1示出的智能设备跨平台接入认证***中,该方法包括:
步骤501,配网平台网关向待认证设备的自定义簇发送随机数写入请求,随机数写入请求携带第二随机数。
第二随机数是设备平台云生成的随机数。可选的,配网平台网关从源地址为设备平台云的安装码响应中获取第二随机数。
自定义簇是由待认证设备所属的厂商所定义的簇(Cluster)。待认证设备的簇支持配网平台网关进行访问,访问类型包括:写、写后返回、读取等等。可选的,步骤501包括:配网平台网关获取自定义簇的访问类型;响应于自定义簇的访问类型为写后返回,向自定义簇发送随机数写入请求。在自定义簇的访问类 型为写后返回的情况下,便于配网平台网关在发送随机数写入请求后,从待认证设备处接收到返回的设备端认证密钥。
步骤502,待认证设备接收随机数写入请求。
其中,随机数写入请求携带第二随机数。
步骤503,待认证设备基于第二随机数生成设备端认证密钥。
其中,设备端认证密钥用于进行待认证设备的第二接入认证。
可选的,步骤503包括:待认证设备采用第三密钥生成算法,对第二随机数以及许可密钥进行处理,生成设备端认证密钥。可选的,第三密钥生成算法是一种对称加密算法,第三密钥生成算法包括:AES-MMO哈希算法。
示例性的,Auth=AES-MMO(Kc|R2)。其中,Auth为设备端认证密钥,Kc为许可密钥,R2为第二随机数。
可选的,在生成设备端认证密钥之后,待认证设备将设备端认证密钥存储于自定义簇的属性中。自定义簇包括至少一个属性(Attribute),属性是反映待认证设备的状态或性质的一种数据实体。在本申请实施例中,属性用于存储待认证设备对应的设备端认证密钥。可选的,自定义簇的访问类型为写后返回。
步骤504,待认证设备向配网平台网关发送设备端认证密钥。
在生成并存储设备端认证密钥之后,待认证设备向配网平台网关发送设备端认证密钥。
步骤505,配网平台网关接收设备端认证密钥。
步骤506,配网平台网关通过配网平台云,向设备平台云发送认证设备请求,认证设备请求携带设备地址标识和设备端认证密钥。
认证设备请求用于请求设备平台云进行第二接入认证。
可选的,认证设备请求还携带厂商标识。配网平台网关向配网平台云发送认证设备请求,配网平台云根据厂商标识,确定设备平台云,并将认证设备请求转发给设备平台云。
步骤507,设备平台云接收认证设备请求。
认证设备请求的源地址为配网平台网关,认证设备请求携带设备地址标识和设备端认证密钥,设备端认证密钥是待认证设备基于第二随机数生成的密钥。可选的,设备平台云从配网平台云处接收源地址为配网平台网关的认证设备请求。
步骤508,设备平台云根据第二随机数,对设备端认证密钥进行第二接入认证。
第二随机数是设备平台云生成的随机数。可选的,第二随机数的长度为4个字节。
可选的,步骤508包括:设备平台云根据设备地址标识,确定待认证设备对应的许可密钥;采用第三密钥生成算法,对第二随机数以及许可密钥进行处理,生成云端认证密钥;对云端认证密钥与设备端认证密钥进行验证,确定认证结果。
可选的,在设备平台云中存储有设备地址标识与许可密钥之间的关系表,设备平台云根据设备地址标识在关系表中进行查找,确定待认证设备对应的许可密钥。可选的,第三密钥生成算法是一种对称加密算法,第三密钥生成算法包括:AES-MMO哈希算法。
示例性的,Auth’=AES-MMO(Kc|R2)。其中,Auth’为云端认证密钥,Kc为许可密钥,R2为第二随机数。
示例性的,若云端认证密钥与设备端认证密钥相等,则认证结果为认证成功;若云端认证密钥与设备端认证密钥不相等,则认证结果为认证失败。
步骤509,设备平台云发送认证结果,认证结果的目的地址为配网平台网关。
可选的,设备平台云向配网平台云发送认证结果,配网平台云将认证结果转发给配网平台网关。
步骤510,配网平台网关接收认证结果。
可选的,配网平台网关通过配网平台云,接收源地址为设备平台云的认证结果。
可选的,在接收认证结果之后,配网平台网关还将执行如下步骤中的任意一种:响应于认证结果为认证成功,更新认证端信任中心链接密钥;响应于认证结果为认证失败,将待认证设备添加至设备黑名单,设备黑名单用于记录配网失败的设备。可选的,设备黑名单中的待认证设备被移出配网平台网关所构建的网络。
可以理解的是,由于在第一接入认证过程中,已验证认证端信任中心链接密钥等于设备端信任中心链接密钥,且待认证设备已加入配网平台网关所构建的网络,所以,认证成功之后的配网平台网关更新认证端信任中心链接密钥,指的是:配网平台网关与待认证设备一起同步更新两侧的信任中心链接密钥。
综上所述,本实施例提供的方法,在第一接入验证之后,利用设备平台云生成的第二随机数生成云端认证密钥与设备端认证密钥,使用云端认证密钥与设备端认证密钥对待认证设备进行第二接入验证,相比于只进行单向的第一接入验证,通过进行第二接入验证实现双向验证,进一步提高接入验证的可靠性。
下面,结合如下实施例,对本申请所示出的方案进行示例性的说明。在本实施例中,待认证设备为Zigbee设备,配网平台网关配置Zigbee网络。
在如下实施例中,以CID表示厂商标识、R1表示第一随机数、Device ID表示设备标识、EUI表示设备地址标识、R2表示第二随机数、Kc表示许可密钥、Install Code表示设备端安装码、Install Code’表示认证端安装码、TCLK表示设备端信任中心链接密钥、TCLK’表示认证端信任中心链接密钥、Network Key表示网络密钥、Auth表示设备端认证密钥、Auth’表示云端认证密钥进行示例性的说明。
图6示出了本申请一个示例性实施例提供的接入认证方法的流程图。该方法可以应用于如图1示出的智能设备跨平台接入认证***中,该方法包括:
步骤61,配网平台网关构建Zigbee网络。
配网平台网关是具备配置Zigbee网络能力的设备。
步骤62,用户通过APP或者语音激活配网平台网关。
步骤63,配网平台网关执行允许接入。
可选的,配网平台通过广播允许接入(Permit Join)消息执行允许接入。
步骤64,配网平台网关执行信道扫描。
步骤65,Zigbee设备使用增强信标帧格式,在头信息单元中填充CID|R1|Device ID,在信标有效载荷中填充EUI。
可选的,增强信标帧的单元标识(ElementID)为0x00。可选的,CID为3个字节,R1为4个字节,DeviceID为2个字节。
步骤66,配网平台网关广播增强信标帧,携带数据CID|R1|Device ID|EUI。
可选的,采用如下两种广播方式中的任意一种:只广播增强信标帧;或,交替广播增强信标帧和常规信标帧,兼容常规信标帧。
步骤67,配网平台网关返回Device ID。
可选的,DeviceID为16bit用于标识设备类型的标识。
步骤68,用户侧播报设备类型。
可选的,用户侧根据Device ID确定Zigbee设备的设备类型,并进行播报。
步骤69,用户执行输入:连接设备。
用户侧获取Zigbee设备的设备类型后向配网平台网关发送接入请求。
步骤610,配网平台网关向Zigbee设备发送信标响应。
信标响应用于响应Zigbee设备广播发送的增强信标帧。
步骤611,Zigbee设备向配网平台网关发送关联请求。
关联请求用于请求接入配网平台网关构建的Zigbee网络。
步骤612,配网平台网关向Zigbee设备发送关联响应。
关联响应用于响应关联请求。可选的,关联响应中携带配网平台网关分配给Zigbee设备的网络地址。
步骤613,配网平台网关发送安装码请求,携带数据CID|R1|EUI。
步骤613.1,配网平台云根据CID查询设备平台云。
配网平台云通过CID可知Zigbee设备不属于该配网平台云,根据CID获取对应厂商的云平台信息。
步骤613.2,配网平台云向设备平台云发送安装码请求,携带数据R1|EUI。
步骤613.3,设备平台云根据EUI找到设备Kc,生成Install Code’=AES-MMO(Kc|R1),产生随机数R2。
可选的,设备平台云中存储有EUI与Kc之间的对应关系表。
步骤613.4,设备平台返回安装码响应至配网平台云,携带数据Install Code’和R2。
步骤614,配网平台云返回安装码响应至配网平台网关,携带数据Install Code’和R2。
步骤615,配网平台网关生成TCLK’=AES-MMO(Install Code’)。
配网平台网关在获取到Install Code’之后,根据Install Code’生成TCLK’。
可选的,配网平台网关建立并存储EUI与TCLK’之间的对应关系表。
步骤616,Zigbee设备生成Install Code=AES-MMO(Kc|R1),TCLK=AES-MMO(Install Code)。
其中,Kc只能存放于Zigbee设备和设备平台云中。
步骤617,配网平台网关和Zigbee设备通过TCLK建立网络层安全通道,传输Network Key。
配网平台网关通过TCLK’加密NetworkKey并将加密后的数据发送给Zigbee设备。
步骤618,Zigbee设备获取Network Key。
如果Zigbee设备的InstallCode与设备平台云的InstallCode’不一致,则无法接入到配网平台网关建立的Zigbee网络;只有Zigbee设备的InstallCode与设备平台云的InstallCode’一致,Zigbee设备才能够得到正确的NetworkKey。
步骤619,配网平台网关和Zigbee设备进行设备声明广播。
设备声明(Deviceannounce)广播用于表示Zigbee设备接入配网平台网关构建的Zigbee网络。
步骤620,配网平台网关发送随机数写入请求,携带数据R2。
可选的,配网平台网关获取Zigbee设备的自定义簇的访问类型;响应于自定义簇的访问类型为写后返回(W*R),向自定义簇发送随机数写入请求。
步骤621,Zigbee设备生成Auth=AES-MMO(Kc|R2),将该Auth存储至自定义簇的属性中。
步骤622,Zigbee设备返回Auth至配网平台网关。
步骤623,配网平台网关发送认证设备请求至配网平台云,携带数据CID|Auth|EUI。
步骤623.1,配网平台云根据CID查询设备平台云。
配网平台云通过CID可知Zigbee设备不属于该配网平台云,根据CID获取对应厂商的云平台信息。
步骤623.2,配网平台云向设备平台云发送认证设备请求,携带数据Auth|EUI。
步骤623.3,设备平台云根据EUI找到设备Kc,生成设备Auth’=AES-MMO(Kc|R2),对Auth’与Auth进行验证。
可选的,设备平台云中存储有EUI与Kc之间的对应关系表。如果Auth’=Auth表示认证成功,否则失败。
步骤623.4,设备平台云返回认证结果至配网平台云。
步骤624,配网平台云返回认证结果至配网平台网关。
步骤625,配网平台网关若认证失败,添加设备黑名单。
设备黑名单用于记录配网失败的设备。可选的,设备黑名单中的Zigbee设备被移出配网平台网关所构建的Zigbee网络。
配网平台网关若认证成功,则执行后续步骤。
步骤626,配网平台网关与Zigbee设备更新TCLK,建立正常连接。
可选的,更新的TCLK用于加密应用程序支持层(Application Support Sublayer,APS)的数据传输。
图6对应的实施例中,认证端信任中心链接密钥在配网平台网关侧生成。在另一种可能的实现方式中,认证端信任中心链接密钥在设备平台云侧生成。
图7示出了本申请一个示例性实施例提供的接入认证方法的流程图。该方法可以应用于如图1示出的智能设备跨平台接入认证***中。在图6的基础上,该方法的如下步骤进行了调整:
步骤713.3,设备平台云根据EUI找到设备Kc,生成TCLK’=AES-MMO(Kc|R1),产生随机数R2。
InstallCode’由Kc|R1的组合隐含表示,TCLK’=InstallCode’=AES-MMO(Kc|R1)。
可选的,设备平台云中存储有EUI与Kc之间的对应关系表。
步骤713.4,设备平台返回安装码响应至配网平台云,携带数据TCLK’和R2。
步骤714,配网平台云返回安装码响应至配网平台网关,携带数据TCLK’和R2。
步骤715,配网平台网关建立EUI与TCLK’之间的对应关系表。
步骤716,Zigbee设备生成TCLK=AES-MMO(Kc|R1)。
其中,Kc只能存放于Zigbee设备和设备平台云中。
可以理解的是,图7中的其他步骤参见上述实施例,在此不进行赘述。
综上所述,本实施例提供的方法,认证端信任中心链接密钥以及设备端信任中心链接密钥直接基于第一随机数以及许可密钥生成,不需要对认证端安装码或设备端安装码进行进一步处理,提升了对Zigbee设备进行接入认证的效率。
需要说明的是,上述方法实施例可以分别单独实施,也可以组合实施,本申请对此不进行限制。
图8示出了本申请一个示例性实施例提供的接入认证装置的结构框图,该装置可以实现成为待认证设备,或者,实现成为待认证设备中的一部分,该装置包括:信标帧广播模块801、密钥生成模块802和第一认证模块803;
所述信标帧广播模块801,用于广播信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
所述密钥生成模块802,用于基于所述第一随机数以及许可密钥,生成设备端信任中心链接密钥,所述许可密钥是存放于所述待认证设备以及设备平台云中的密钥;
所述第一认证模块803,用于使用所述设备端信任中心链接密钥,与配网平台网关进行第一接入认证。
在一个可选的实施例中,所述第一认证模块803,用于基于所述设备端信任中心链接密钥,获取网络密钥,所述网络密钥用于在所述第一接入认证后对网络层的数据进行加密。
在一个可选的实施例中,所述第一认证模块803,用于接收所述配网平台网关发送的加密密钥信息, 所述加密密钥信息由所述配网平台网关根据认证端信任中心链接密钥进行加密,所述认证端信任中心链接密钥由所述配网平台网关或所述设备平台云生成;使用所述设备端信任中心链接密钥对所述加密密钥信息进行处理,得到所述网络密钥。
在一个可选的实施例中,所述装置还包括:设备声明广播模块;所述设备声明广播模块,用于广播设备声明消息,所述设备声明消息用于表示所述待认证设备已接入所述配网平台网关构建的网络。
在一个可选的实施例中,所述密钥生成模块802,用于采用第一密钥生成算法,对所述第一随机数以及所述许可密钥进行处理,生成设备端安装码,将所述设备端安装码作为所述设备端信任中心链接密钥;或,所述密钥生成模块802,用于采用所述第一密钥生成算法,对所述第一随机数以及所述许可密钥进行处理,生成所述设备端安装码;采用第二密钥生成算法,对所述设备端安装码进行处理,生成所述设备端信任中心链接密钥。
在一个可选的实施例中,所述第一密钥生成算法包括:AES-MMO哈希算法;所述第二密钥生成算法包括:所述AES-MMO哈希算法。
在一个可选的实施例中,所述信标帧为增强信标帧,所述第一随机数填充在所述增强信标帧的头信息单元字段。
在一个可选的实施例中,所述信标帧广播模块801,用于广播所述增强信标帧;或,所述信标帧广播模块801,用于交替广播所述增强信标帧和常规信标帧。
在一个可选的实施例中,所述信标帧还携带设备标识,所述设备标识用于标识所述待认证设备的类型。
在一个可选的实施例中,所述信标帧还携带厂商标识,所述厂商标识用于标识所述待认证设备所属的厂商。
在一个可选的实施例中,所述信标帧还携带设备地址标识,所述设备地址标识用于标识所述待认证设备的MAC地址。
在一个可选的实施例中,所述装置还包括:信标响应接收模块和关联模块;所述信标响应接收模块,用于接收所述配网平台网关发送的信标响应,所述信标响应用于响应所述信标帧;所述关联模块,用于向所述配网平台网关发送关联请求,所述关联请求用于请求接入所述配网平台网关构建的网络;接收所述配网平台网关发送的关联响应,所述关联响应用于响应所述关联请求。
在一个可选的实施例中,所述装置还包括:第二认证模块;所述第二认证模块,用于基于所述设备平台云生成的第二随机数生成设备端认证密钥,所述设备端认证密钥用于进行所述待认证设备的第二接入认证;向所述配网平台网关发送所述设备端认证密钥。
在一个可选的实施例中,所述第二认证模块,用于采用第三密钥生成算法,对所述第二随机数以及所述许可密钥进行处理,生成所述设备端认证密钥。
在一个可选的实施例中,所述第三密钥生成算法包括:AES-MMO哈希算法。
在一个可选的实施例中,所述装置还包括:请求接收模块;所述请求接收模块,用于接收所述配网平台网关向所述待认证设备的自定义簇发送的随机数写入请求,所述随机数写入请求携带所述第二随机数。
在一个可选的实施例中,所述装置还包括:密钥存储模块;所述密钥存储模块,用于将所述设备端认证密钥存储于所述自定义簇的属性中。
在一个可选的实施例中,所述自定义簇的访问类型为写后返回。
图9示出了本申请一个示例性实施例提供的接入认证装置的结构框图,该装置可以实现成为配网平台网关,或者,实现成为配网平台网关中的一部分,该装置包括:信标帧接收模块901、密钥确定模块902和第一认证模块903;
所述信标帧接收模块901,用于接收待认证设备广播的信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
所述密钥确定模块902,用于通过所述配网平台云,与设备平台云交互,获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是基于所述第一随机数以及许可密钥生成的密钥,所述许可密钥是存放于所述待认证设备以及所述设备平台云中的密钥;
所述第一认证模块903,用于使用所述认证端信任中心链接密钥,与所述待认证设备进行第一接入认证。
在一个可选的实施例中,所述第一认证模块903,用于向所述待认证设备发送加密密钥信息,所述加密密钥信息是根据所述认证端信任中心链接密钥对网络密钥进行加密得到的信息,所述网络密钥用于在所述第一接入认证后对网络层的数据进行加密。
在一个可选的实施例中,所述装置还包括:设备声明接收模块;所述设备声明接收模块,用于接收所述待认证设备发送的设备声明消息,所述设备声明消息用于表示所述待认证设备已接入所述配网平台网关构建的网络。
在一个可选的实施例中,所述信标帧还携带所述待认证设备的设备地址标识,所述设备地址标识用于标识所述待认证设备的MAC地址;所述密钥确定模块902,用于通过所述配网平台云,向所述设备平台云发送安装码请求,所述安装码请求携带所述设备地址标识和所述第一随机数,所述第一随机数用于供所述设备平台云生成认证端安装码;通过所述配网平台云,接收源地址为所述设备平台云的安装码响应;基于所述安装码响应,确定所述认证端信任中心链接密钥。
在一个可选的实施例中,所述安装码响应携带所述认证端安装码;所述密钥确定模块902,用于将所述认证端安装码作为所述认证端信任中心链接密钥;或,所述密钥确定模块902,用于采用第二密钥生成算法,对所述认证端安装码进行处理,生成所述认证端信任中心链接密钥。
在一个可选的实施例中,所述第二密钥生成算法包括:AES-MMO哈希算法。
在一个可选的实施例中,所述安装码响应还携带所述设备平台云生成的第二随机数。
在一个可选的实施例中,所述装置还包括:认证请求模块;所述认证模块,用于向所述待认证设备的自定义簇发送随机数写入请求,所述随机数写入请求携带第二随机数,所述第二随机数由所述配网平台网关从源地址为所述设备平台云的安装码响应中获取;接收所述待认证设备发送的设备端认证密钥,所述设备端认证密钥用于进行所述待认证设备的第二接入认证;通过所述配网平台云,向所述设备平台云发送认证设备请求,所述认证设备请求携带设备地址标识和所述设备端认证密钥,所述设备地址标识用于标识所述待认证设备的MAC地址。
在一个可选的实施例中,所述认证请求模块,用于获取所述自定义簇的访问类型;响应于所述自定义簇的访问类型为写后返回,向所述自定义簇发送所述随机数写入请求。
在一个可选的实施例中,所述装置还包括:认证结果处理模块;所述认证结果处理模块,用于通过所述配网平台云,接收源地址为所述设备平台云的认证结果;响应于所述认证结果为认证成功,更新所述认证端信任中心链接密钥;响应于所述认证结果为认证失败,将所述待认证设备添加至设备黑名单,所述设备黑名单用于记录配网失败的设备。
在一个可选的实施例中,所述装置还包括:信标响应发送模块和关联模块;所述信标响应发送模块,用于向所述待认证设备发送信标响应,所述信标响应用于响应所述信标帧;所述关联模块,用于接收所述待认证设备发送的关联请求,所述关联请求用于请求接入所述配网平台网关构建的网络;向所述待认证设备发送关联响应,所述关联响应用于响应所述关联请求。
在一个可选的实施例中,所述信标帧还携带设备标识,所述设备标识用于标识所述待认证设备的类型,所述装置还包括:接入请求接收模块;所述接入请求接收模块,用于向控制设备发送所述设备标识,所述控制设备用于控制所述配网平台网关;接收所述控制设备发送的接入请求,所述接入请求用于触发所述配网平台网关反馈信标响应,所述信标响应用于响应所述信标帧。
在一个可选的实施例中,所述信标帧为增强信标帧,所述第一随机数填充在所述增强信标帧的头信息单元字段。
图10示出了本申请一个示例性实施例提供的接入认证装置的结构框图,该装置可以实现成为设备平台云,或者,实现成为设备平台云中的一部分,该装置包括:密钥确定模块1001;
所述密钥确定模块1001,用于与配网平台网关交互,使得所述配网平台网关获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是根据所述待认证设备生成的第一随机数生成的密钥,所述认证端信任中心链接密钥用于进行所述待认证设备的第一接入认证。
在一个可选的实施例中,所述密钥确定模块1001,用于接收安装码请求,所述安装码请求的源地址为所述配网平台网关,所述安装码请求携带所述待认证设备对应的设备地址标识和所述第一随机数,所述设备地址标识用于标识所述待认证设备的MAC地址;基于所述第一随机数,生成认证端安装码;发送安装码响应,所述安装码响应的目的地址为所述配网平台网关,所述安装码响应携带所述认证端安装码,所述认证端安装码用于供所述配网平台网关确定所述认证端信任中心链接密钥。
在一个可选的实施例中,所述密钥确定模块1001,用于根据所述设备地址标识,确定所述待认证设备对应的许可密钥;采用第一密钥生成算法,对所述第一随机数以及所述许可密钥进行处理,生成所述认证端安装码。
在一个可选的实施例中,所述第一密钥生成算法包括:AES-MMO哈希算法。
在一个可选的实施例中,所述安装码响应还携带所述设备平台云生成的第二随机数。
在一个可选的实施例中,所述装置还包括:第二认证模块;所述第二认证模块,用于接收认证设备请求,所述认证设备请求的源地址为所述配网平台网关,所述认证设备请求携带设备地址标识和设备端认证密钥,所述设备端认证密钥是所述待认证设备基于第二随机数生成的密钥,所述第二随机数由所述设备平台云生成;根据所述第二随机数,对所述设备端认证密钥进行第二接入认证,所述设备地址标识用于标识所述待认证设备的MAC地址。
在一个可选的实施例中,所述第二认证模块,用于根据所述设备地址标识,确定所述待认证设备对应的许可密钥;采用第三密钥生成算法,对所述第二随机数以及所述许可密钥进行处理,生成云端认证密钥;对所述云端认证密钥与所述设备端认证密钥进行验证,确定认证结果。
在一个可选的实施例中,所述第三密钥生成算法包括:AES-MMO哈希算法。
在一个可选的实施例中,所述装置还包括:认证结果发送模块;所述认证结果发送模块,用于发送所述认证结果,所述认证结果的目的地址为所述配网平台网关。
需要说明的是,上述实施例提供的装置在实现其功能时,仅以上述各个功能模块的划分进行举例说明,实际应用中,可以根据实际需要而将上述功能分配由不同的功能模块完成,即将设备的内容结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图11示出了本申请一个示例性实施例提供的计算机设备(如待认证设备、配网平台网关或设备平台云)的结构示意图,该计算机设备包括:处理器101、接收器102、发射器103、存储器104和总线105。
处理器101包括一个或者一个以上处理核心,处理器101通过运行软件程序以及模块,从而执行各种功能应用以及信息处理。
接收器102和发射器103可以实现为一个通信组件,该通信组件可以是一块通信芯片。
存储器104通过总线105与处理器101相连。
存储器104可用于存储至少一个指令,处理器101用于执行该至少一个指令,以实现上述方法实施例中的各个步骤。
此外,存储器104可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,易失性或非易失性存储设备包括但不限于:磁盘或光盘,电可擦除可编程只读存储器(Electrically-Erasable Programmable Read Only Memory,EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM),静态随时存取存储器(Static Random Access Memory,SRAM),只读存储器(Read-Only Memory,ROM),磁存储器,快闪存储器,可编程只读存储器(Programmable Read-Only Memory,PROM)。
在示例性实施例中,所述计算机设备包括处理器、存储器和收发器(该收发器可以包括接收器和发射器,接收器用于接收信息,发射器用于发送信息)。
在一种可能的实现方式中,当计算机设备实现为待认证设备时,
所述收发器,用于广播信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
所述处理器,用于基于所述第一随机数以及许可密钥,生成设备端信任中心链接密钥,所述许可密钥是存放于所述待认证设备以及设备平台云中的密钥;
所述处理器,用于使用所述设备端信任中心链接密钥,与配网平台网关进行第一接入认证。
其中,当计算机设备实现为待认证设备时,本申请实施例涉及的计算机设备中的处理器和收发器,可以执行上述图2至图5任一所示的方法中,由待认证设备执行的步骤,此处不再赘述。
在一种可能的实现方式中,当计算机设备实现为配网平台网关时,
所述收发器,用于接收待认证设备广播的信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
所述处理器,用于通过所述配网平台云,与设备平台云交互,获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是基于所述第一随机数以及许可密钥生成的密钥,所述许可密钥是存放于所述待认证设备以及所述设备平台云中的密钥;
所述处理器,用于使用所述认证端信任中心链接密钥,与所述待认证设备进行第一接入认证。
其中,当计算机设备实现为配网平台网关时,本申请实施例涉及的计算机设备中的处理器和收发器,可以执行上述图2至图5任一所示的方法中,由配网平台网关执行的步骤,此处不再赘述。
在一种可能的实现方式中,当计算机设备实现为设备平台云时,
所述处理器,用于与配网平台网关交互,使得所述配网平台网关获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是根据所述待认证设备生成的第一随机数生成的密钥,所述认证端信任中心链接密钥用于进行所述待认证设备的第一接入认证。
其中,当计算机设备实现为设备平台云时,本申请实施例涉及的计算机设备中的处理器和收发器,可以执行上述图2至图5任一所示的方法中,由设备平台云执行的步骤,此处不再赘述。
在示例性实施例中,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现上述各个方法实施例提供的由计算机设备执行的接入认证方法。
在示例性实施例中,还提供了一种计算机程序产品,该计算机程序产品在计算机设备的处理器上运行时,使得网络设备执行上述方面所述的接入认证方法。
在示例性实施例中,还提供了一种芯片,所述芯片包括可编程逻辑电路和/或程序指令,当所述芯片在计算机设备上运行时,用于实现上述方面所述的接入认证方法。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (84)

  1. 一种接入认证方法,其特征在于,应用于待认证设备,所述方法包括:
    广播信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
    基于所述第一随机数以及许可密钥,生成设备端信任中心链接密钥,所述许可密钥是存放于所述待认证设备以及设备平台云中的密钥;
    使用所述设备端信任中心链接密钥,与配网平台网关进行第一接入认证。
  2. 根据权利要求1所述的方法,其特征在于,所述使用所述设备端信任中心链接密钥,与配网平台网关进行第一接入认证,包括:
    基于所述设备端信任中心链接密钥,获取网络密钥,所述网络密钥用于在所述第一接入认证后对网络层的数据进行加密。
  3. 根据权利要求2所述的方法,其特征在于,所述基于所述设备端信任中心链接密钥,获取网络密钥,包括:
    接收所述配网平台网关发送的加密密钥信息,所述加密密钥信息由所述配网平台网关根据认证端信任中心链接密钥进行加密,所述认证端信任中心链接密钥由所述配网平台网关或所述设备平台云生成;
    使用所述设备端信任中心链接密钥对所述加密密钥信息进行处理,得到所述网络密钥。
  4. 根据权利要求2所述的方法,其特征在于,所述方法还包括:
    广播设备声明消息,所述设备声明消息用于表示所述待认证设备已接入所述配网平台网关构建的网络。
  5. 根据权利要求1至4任一所述的方法,其特征在于,所述基于所述第一随机数以及许可密钥,生成设备端信任中心链接密钥,包括:
    采用第一密钥生成算法,对所述第一随机数以及所述许可密钥进行处理,生成设备端安装码,将所述设备端安装码作为所述设备端信任中心链接密钥;
    或,
    采用第一密钥生成算法,对所述第一随机数以及所述许可密钥进行处理,生成设备端安装码;采用第二密钥生成算法,对所述设备端安装码进行处理,生成所述设备端信任中心链接密钥。
  6. 根据权利要求5所述的方法,其特征在于,
    所述第一密钥生成算法包括:高级加密标准AES-MMO哈希算法;
    所述第二密钥生成算法包括:所述AES-MMO哈希算法。
  7. 根据权利要求1至4任一所述的方法,其特征在于,
    所述信标帧为增强信标帧,所述第一随机数填充在所述增强信标帧的头信息单元字段。
  8. 根据权利要求7所述的方法,其特征在于,所述广播信标帧,包括:
    广播所述增强信标帧;
    或,
    交替广播所述增强信标帧和常规信标帧。
  9. 根据权利要求1至4任一所述的方法,其特征在于,
    所述信标帧还携带设备标识,所述设备标识用于标识所述待认证设备的类型。
  10. 根据权利要求1至4任一所述的方法,其特征在于,
    所述信标帧还携带厂商标识,所述厂商标识用于标识所述待认证设备所属的厂商。
  11. 根据权利要求1至4任一所述的方法,其特征在于,
    所述信标帧还携带设备地址标识,所述设备地址标识用于标识所述待认证设备的媒体访问控制MAC地址。
  12. 根据权利要求1至4任一所述的方法,其特征在于,所述方法还包括:
    接收所述配网平台网关发送的信标响应,所述信标响应用于响应所述信标帧;
    向所述配网平台网关发送关联请求,所述关联请求用于请求接入所述配网平台网关构建的网络;
    接收所述配网平台网关发送的关联响应,所述关联响应用于响应所述关联请求。
  13. 根据权利要求1至4任一所述的方法,其特征在于,所述方法还包括:
    基于所述设备平台云生成的第二随机数生成设备端认证密钥,所述设备端认证密钥用于进行所述待认证设备的第二接入认证;
    向所述配网平台网关发送所述设备端认证密钥。
  14. 根据权利要求13所述的方法,其特征在于,所述基于所述设备平台云生成的第二随机数生成设备端认证密钥,包括:
    采用第三密钥生成算法,对所述第二随机数以及所述许可密钥进行处理,生成所述设备端认证密钥。
  15. 根据权利要求14所述的方法,其特征在于,
    所述第三密钥生成算法包括:AES-MMO哈希算法。
  16. 根据权利要求13所述的方法,其特征在于,所述方法还包括:
    接收所述配网平台网关向所述待认证设备的自定义簇发送的随机数写入请求,所述随机数写入请求携带所述第二随机数。
  17. 根据权利要求16所述的方法,其特征在于,所述方法还包括:
    将所述设备端认证密钥存储于所述自定义簇的属性中。
  18. 根据权利要求16所述的方法,其特征在于,
    所述自定义簇的访问类型为写后返回。
  19. 一种接入认证方法,其特征在于,应用于配网平台网关中,所述配网平台网关支持构建网络,所述配网平台网关对应的云端服务器为配网平台云,所述方法包括:
    接收待认证设备广播的信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
    通过所述配网平台云,与设备平台云交互,获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是基于所述第一随机数以及许可密钥生成的密钥,所述许可密钥是存放于所述待认证设备以及所述设备平台云中的密钥;
    使用所述认证端信任中心链接密钥,与所述待认证设备进行第一接入认证。
  20. 根据权利要求19所述的方法,其特征在于,所述使用所述认证端信任中心链接密钥,与所述待认证设备进行第一接入认证,包括:
    向所述待认证设备发送加密密钥信息,所述加密密钥信息是根据所述认证端信任中心链接密钥对网络密钥进行加密得到的信息,所述网络密钥用于在所述第一接入认证后对网络层的数据进行加密。
  21. 根据权利要求20所述的方法,其特征在于,所述方法还包括:
    接收所述待认证设备发送的设备声明消息,所述设备声明消息用于表示所述待认证设备已接入所述配网平台网关构建的网络。
  22. 根据权利要求19至21任一所述的方法,其特征在于,所述信标帧还携带所述待认证设备的设备地址标识,所述设备地址标识用于标识所述待认证设备的媒体访问控制MAC地址;
    所述通过所述配网平台云,与设备平台云交互,获取认证端信任中心链接密钥,包括:
    通过所述配网平台云,向所述设备平台云发送安装码请求,所述安装码请求携带所述设备地址标识和所述第一随机数,所述第一随机数用于供所述设备平台云生成认证端安装码;
    通过所述配网平台云,接收源地址为所述设备平台云的安装码响应;
    基于所述安装码响应,确定所述认证端信任中心链接密钥。
  23. 根据权利要求22所述的方法,其特征在于,所述安装码响应携带所述认证端安装码;
    所述基于所述安装码响应,确定所述认证端信任中心链接密钥,包括:
    将所述认证端安装码作为所述认证端信任中心链接密钥;
    或,
    采用第二密钥生成算法,对所述认证端安装码进行处理,生成所述认证端信任中心链接密钥。
  24. 根据权利要求23所述的方法,其特征在于,
    所述第二密钥生成算法包括:高级加密标准AES-MMO哈希算法。
  25. 根据权利要求22所述的方法,其特征在于,
    所述安装码响应还携带所述设备平台云生成的第二随机数。
  26. 根据权利要求19至21任一所述的方法,其特征在于,所述方法还包括:
    向所述待认证设备的自定义簇发送随机数写入请求,所述随机数写入请求携带第二随机数,所述第二随机数由所述配网平台网关从源地址为所述设备平台云的安装码响应中获取;
    接收所述待认证设备发送的设备端认证密钥,所述设备端认证密钥用于进行所述待认证设备的第二接入认证;
    通过所述配网平台云,向所述设备平台云发送认证设备请求,所述认证设备请求携带设备地址标识和所述设备端认证密钥,所述设备地址标识用于标识所述待认证设备的MAC地址。
  27. 根据权利要求26所述的方法,其特征在于,所述向所述待认证设备的自定义簇发送随机数写入请求,包括:
    获取所述自定义簇的访问类型;
    响应于所述自定义簇的访问类型为写后返回,向所述自定义簇发送所述随机数写入请求。
  28. 根据权利要求26所述的方法,其特征在于,所述方法还包括:
    通过所述配网平台云,接收源地址为所述设备平台云的认证结果;
    响应于所述认证结果为认证成功,更新所述认证端信任中心链接密钥;
    响应于所述认证结果为认证失败,将所述待认证设备添加至设备黑名单,所述设备黑名单用于记录配网失败的设备。
  29. 根据权利要求19至21任一所述的方法,其特征在于,所述方法还包括:
    向所述待认证设备发送信标响应,所述信标响应用于响应所述信标帧;
    接收所述待认证设备发送的关联请求,所述关联请求用于请求接入所述配网平台网关构建的网络;
    向所述待认证设备发送关联响应,所述关联响应用于响应所述关联请求。
  30. 根据权利要求19至21任一所述的方法,其特征在于,所述信标帧还携带设备标识,所述设备标识用于标识所述待认证设备的类型,所述方法还包括:
    向控制设备发送所述设备标识,所述控制设备用于控制所述配网平台网关;
    接收所述控制设备发送的接入请求,所述接入请求用于触发所述配网平台网关反馈信标响应,所述信标响应用于响应所述信标帧。
  31. 根据权利要求19至21任一所述的方法,其特征在于,
    所述信标帧为增强信标帧,所述第一随机数填充在所述增强信标帧的头信息单元字段。
  32. 一种接入认证方法,其特征在于,应用于设备平台云中,所述设备平台云是待认证设备所属的厂商的云端服务器,所述方法包括:
    与配网平台网关交互,使得所述配网平台网关获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是根据所述待认证设备生成的第一随机数生成的密钥,所述认证端信任中心链接密钥用于进行所述待认证设备的第一接入认证。
  33. 根据权利要求32所述的方法,其特征在于,所述与配网平台网关交互,使得所述配网平台网关获取认证端信任中心链接密钥,包括:
    接收安装码请求,所述安装码请求的源地址为所述配网平台网关,所述安装码请求携带所述待认证设备对应的设备地址标识和所述第一随机数,所述设备地址标识用于标识所述待认证设备的媒体访问控制MAC地址;
    基于所述第一随机数,生成认证端安装码;
    发送安装码响应,所述安装码响应的目的地址为所述配网平台网关,所述安装码响应携带所述认证端安装码,所述认证端安装码用于供所述配网平台网关确定所述认证端信任中心链接密钥。
  34. 根据权利要求33所述的方法,其特征在于,所述基于所述第一随机数,生成认证端安装码,包括:
    根据所述设备地址标识,确定所述待认证设备对应的许可密钥;
    采用第一密钥生成算法,对所述第一随机数以及所述许可密钥进行处理,生成所述认证端安装码。
  35. 根据权利要求34所述的方法,其特征在于,
    所述第一密钥生成算法包括:高级加密标准AES-MMO哈希算法。
  36. 根据权利要求33所述的方法,其特征在于,
    所述安装码响应还携带所述设备平台云生成的第二随机数。
  37. 根据权利要求32至36任一所述的方法,其特征在于,所述方法还包括:
    接收认证设备请求,所述认证设备请求的源地址为所述配网平台网关,所述认证设备请求携带设备地址标识和设备端认证密钥,所述设备端认证密钥是所述待认证设备基于第二随机数生成的密钥,所述第二随机数由所述设备平台云生成,所述设备地址标识用于标识所述待认证设备的MAC地址;
    根据所述第二随机数,对所述设备端认证密钥进行第二接入认证。
  38. 根据权利要求37所述的方法,其特征在于,所述根据所述第二随机数,对所述设备端认证密钥进行第二接入认证,包括:
    根据所述设备地址标识,确定所述待认证设备对应的许可密钥;
    采用第三密钥生成算法,对所述第二随机数以及所述许可密钥进行处理,生成云端认证密钥;
    对所述云端认证密钥与所述设备端认证密钥进行验证,确定认证结果。
  39. 根据权利要求38所述的方法,其特征在于,
    所述第三密钥生成算法包括:AES-MMO哈希算法。
  40. 根据权利要求38所述的方法,其特征在于,所述方法还包括:
    发送所述认证结果,所述认证结果的目的地址为所述配网平台网关。
  41. 一种接入认证装置,其特征在于,应用于待认证设备,所述装置包括:信标帧广播模块、密钥生成模块和第一认证模块;
    所述信标帧广播模块,用于广播信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
    所述密钥生成模块,用于基于所述第一随机数以及许可密钥,生成设备端信任中心链接密钥,所述许可密钥是存放于所述待认证设备以及设备平台云中的密钥;
    所述第一认证模块,用于使用所述设备端信任中心链接密钥,与配网平台网关进行第一接入认证。
  42. 根据权利要求41所述的装置,其特征在于,
    所述第一认证模块,用于基于所述设备端信任中心链接密钥,获取网络密钥,所述网络密钥用于在所述第一接入认证后对网络层的数据进行加密。
  43. 根据权利要求42所述的装置,其特征在于,所述第一认证模块,用于,
    接收所述配网平台网关发送的加密密钥信息,所述加密密钥信息由所述配网平台网关根据认证端信任中心链接密钥进行加密,所述认证端信任中心链接密钥由所述配网平台网关或所述设备平台云生成;
    使用所述设备端信任中心链接密钥对所述加密密钥信息进行处理,得到所述网络密钥。
  44. 根据权利要求42所述的装置,其特征在于,所述装置还包括:设备声明广播模块;
    所述设备声明广播模块,用于广播设备声明消息,所述设备声明消息用于表示所述待认证设备已接入所述配网平台网关构建的网络。
  45. 根据权利要求41至44任一所述的装置,其特征在于,
    所述密钥生成模块,用于采用第一密钥生成算法,对所述第一随机数以及所述许可密钥进行处理,生成设备端安装码,将所述设备端安装码作为所述设备端信任中心链接密钥;
    或,
    所述密钥生成模块,用于采用第一密钥生成算法,对所述第一随机数以及所述许可密钥进行处理,生成设备端安装码;采用第二密钥生成算法,对所述设备端安装码进行处理,生成所述设备端信任中心链接密钥。
  46. 根据权利要求45所述的装置,其特征在于,
    所述第一密钥生成算法包括:高级加密标准AES-MMO哈希算法;
    所述第二密钥生成算法包括:所述AES-MMO哈希算法。
  47. 根据权利要求41至44任一所述的装置,其特征在于,
    所述信标帧为增强信标帧,所述第一随机数填充在所述增强信标帧的头信息单元字段。
  48. 根据权利要求47所述的装置,其特征在于,
    所述信标帧广播模块,用于广播所述增强信标帧;
    或,
    所述信标帧广播模块,用于交替广播所述增强信标帧和常规信标帧。
  49. 根据权利要求41至44任一所述的装置,其特征在于,
    所述信标帧还携带设备标识,所述设备标识用于标识所述待认证设备的类型。
  50. 根据权利要求41至44任一所述的装置,其特征在于,
    所述信标帧还携带厂商标识,所述厂商标识用于标识所述待认证设备所属的厂商。
  51. 根据权利要求41至44任一所述的装置,其特征在于,
    所述信标帧还携带设备地址标识,所述设备地址标识用于标识所述待认证设备的媒体访问控制MAC地址。
  52. 根据权利要求41至44任一所述的装置,其特征在于,所述装置还包括:信标响应接收模块和关联模块;
    所述信标响应接收模块,用于接收所述配网平台网关发送的信标响应,所述信标响应用于响应所述信标帧;
    所述关联模块,用于向所述配网平台网关发送关联请求,所述关联请求用于请求接入所述配网平台网关构建的网络;接收所述配网平台网关发送的关联响应,所述关联响应用于响应所述关联请求。
  53. 根据权利要求41至44任一所述的装置,其特征在于,所述装置还包括:第二认证模块;所述第二认证模块,用于,
    基于所述设备平台云生成的第二随机数生成设备端认证密钥,所述设备端认证密钥用于进行所述待认证设备的第二接入认证;
    向所述配网平台网关发送所述设备端认证密钥。
  54. 根据权利要求53所述的装置,其特征在于,
    所述第二认证模块,用于采用第三密钥生成算法,对所述第二随机数以及所述许可密钥进行处理,生成所述设备端认证密钥。
  55. 根据权利要求54所述的装置,其特征在于,
    所述第三密钥生成算法包括:AES-MMO哈希算法。
  56. 根据权利要求53所述的装置,其特征在于,所述装置还包括:请求接收模块;
    所述请求接收模块,用于接收所述配网平台网关向所述待认证设备的自定义簇发送的随机数写入请求,所述随机数写入请求携带所述第二随机数。
  57. 根据权利要求56所述的装置,其特征在于,所述装置还包括:密钥存储模块;
    所述密钥存储模块,用于将所述设备端认证密钥存储于所述自定义簇的属性中。
  58. 根据权利要求56所述的装置,其特征在于,
    所述自定义簇的访问类型为写后返回。
  59. 一种接入认证装置,其特征在于,应用于配网平台网关中,所述配网平台网关支持构建网络,所述配网平台网关对应的云端服务器为配网平台云,所述装置包括:信标帧接收模块、密钥确定模块和第一认证模块;
    所述信标帧接收模块,用于接收待认证设备广播的信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
    所述密钥确定模块,用于通过所述配网平台云,与设备平台云交互,获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是基于所述第一随机数以及许可密钥生成的密钥,所述许可密钥是存放于所述待认证设备以及所述设备平台云中的密钥;
    所述第一认证模块,用于使用所述认证端信任中心链接密钥,与所述待认证设备进行第一接入认证。
  60. 根据权利要求59所述的装置,其特征在于,
    所述第一认证模块,用于向所述待认证设备发送加密密钥信息,所述加密密钥信息是根据所述认证端信任中心链接密钥对网络密钥进行加密得到的信息,所述网络密钥用于在所述第一接入认证后对网络层的数据进行加密。
  61. 根据权利要求60所述的装置,其特征在于,所述装置还包括:设备声明接收模块;
    所述设备声明接收模块,用于接收所述待认证设备发送的设备声明消息,所述设备声明消息用于表示所述待认证设备已接入所述配网平台网关构建的网络。
  62. 根据权利要求59至61任一所述的装置,其特征在于,所述信标帧还携带所述待认证设备的设备地址标识,所述设备地址标识用于标识所述待认证设备的媒体访问控制MAC地址;所述密钥确定模块,用于,
    通过所述配网平台云,向所述设备平台云发送安装码请求,所述安装码请求携带所述设备地址标识和所述第一随机数,所述第一随机数用于供所述设备平台云生成认证端安装码;
    通过所述配网平台云,接收源地址为所述设备平台云的安装码响应;
    基于所述安装码响应,确定所述认证端信任中心链接密钥。
  63. 根据权利要求62所述的装置,其特征在于,所述安装码响应携带所述认证端安装码;
    所述密钥确定模块,用于将所述认证端安装码作为所述认证端信任中心链接密钥;
    或,
    所述密钥确定模块,用于采用第二密钥生成算法,对所述认证端安装码进行处理,生成所述认证端信任中心链接密钥。
  64. 根据权利要求63所述的装置,其特征在于,
    所述第二密钥生成算法包括:高级加密标准AES-MMO哈希算法。
  65. 根据权利要求62所述的装置,其特征在于,
    所述安装码响应还携带所述设备平台云生成的第二随机数。
  66. 根据权利要求59至61任一所述的装置,其特征在于,所述装置还包括:认证请求模块;所述认证请求模块,用于,
    向所述待认证设备的自定义簇发送随机数写入请求,所述随机数写入请求携带第二随机数,所述第二随机数由所述配网平台网关从源地址为所述设备平台云的安装码响应中获取;
    接收所述待认证设备发送的设备端认证密钥,所述设备端认证密钥用于进行所述待认证设备的第二接入认证;
    通过所述配网平台云,向所述设备平台云发送认证设备请求,所述认证设备请求携带设备地址标识和所述设备端认证密钥,所述设备地址标识用于标识所述待认证设备的MAC地址。
  67. 根据权利要求66所述的装置,其特征在于,
    所述认证请求模块,用于获取所述自定义簇的访问类型;响应于所述自定义簇的访问类型为写后返回,向所述自定义簇发送所述随机数写入请求。
  68. 根据权利要求66所述的装置,其特征在于,所述装置还包括:认证结果处理模块;所述认证结 果处理模块,用于,
    通过所述配网平台云,接收源地址为所述设备平台云的认证结果;
    响应于所述认证结果为认证成功,更新所述认证端信任中心链接密钥;
    响应于所述认证结果为认证失败,将所述待认证设备添加至设备黑名单,所述设备黑名单用于记录配网失败的设备。
  69. 根据权利要求59至61任一所述的装置,其特征在于,所述装置还包括:信标响应发送模块和关联模块;
    所述信标响应发送模块,用于向所述待认证设备发送信标响应,所述信标响应用于响应所述信标帧;
    所述关联模块,用于接收所述待认证设备发送的关联请求,所述关联请求用于请求接入所述配网平台网关构建的网络;向所述待认证设备发送关联响应,所述关联响应用于响应所述关联请求。
  70. 根据权利要求59至61任一所述的装置,其特征在于,所述信标帧还携带设备标识,所述设备标识用于标识所述待认证设备的类型,所述装置还包括:接入请求接收模块;所述接入请求接收模块,用于,
    向控制设备发送所述设备标识,所述控制设备用于控制所述配网平台网关;
    接收所述控制设备发送的接入请求,所述接入请求用于触发所述配网平台网关反馈信标响应,所述信标响应用于响应所述信标帧。
  71. 根据权利要求59至61任一所述的装置,其特征在于,
    所述信标帧为增强信标帧,所述第一随机数填充在所述增强信标帧的头信息单元字段。
  72. 一种接入认证装置,其特征在于,应用于设备平台云中,所述设备平台云是待认证设备所属的厂商的云端服务器,所述装置包括:密钥确定模块;
    所述密钥确定模块,用于与配网平台网关交互,使得所述配网平台网关获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是根据所述待认证设备生成的第一随机数生成的密钥,所述认证端信任中心链接密钥用于进行所述待认证设备的第一接入认证。
  73. 根据权利要求72所述的装置,其特征在于,所述密钥确定模块,用于,
    接收安装码请求,所述安装码请求的源地址为所述配网平台网关,所述安装码请求携带所述待认证设备对应的设备地址标识和所述第一随机数,所述设备地址标识用于标识所述待认证设备的媒体访问控制MAC地址;
    基于所述第一随机数,生成认证端安装码;
    发送安装码响应,所述安装码响应的目的地址为所述配网平台网关,所述安装码响应携带所述认证端安装码,所述认证端安装码用于供所述配网平台网关确定所述认证端信任中心链接密钥。
  74. 根据权利要求73所述的装置,其特征在于,所述密钥确定模块,用于,
    根据所述设备地址标识,确定所述待认证设备对应的许可密钥;
    采用第一密钥生成算法,对所述第一随机数以及所述许可密钥进行处理,生成所述认证端安装码。
  75. 根据权利要求74所述的装置,其特征在于,
    所述第一密钥生成算法包括:高级加密标准AES-MMO哈希算法。
  76. 根据权利要求73所述的装置,其特征在于,
    所述安装码响应还携带所述设备平台云生成的第二随机数。
  77. 根据权利要求72至76任一所述的装置,其特征在于,所述装置还包括:第二认证模块;所述第二认证模块,用于,
    接收认证设备请求,所述认证设备请求的源地址为所述配网平台网关,所述认证设备请求携带设备地址标识和设备端认证密钥,所述设备端认证密钥是所述待认证设备基于第二随机数生成的密钥,所述第二随机数由所述设备平台云生成,所述设备地址标识用于标识所述待认证设备的MAC地址;
    根据所述第二随机数,对所述设备端认证密钥进行第二接入认证。
  78. 根据权利要求77所述的装置,其特征在于,所述第二认证模块,用于,
    根据所述设备地址标识,确定所述待认证设备对应的许可密钥;
    采用第三密钥生成算法,对所述第二随机数以及所述许可密钥进行处理,生成云端认证密钥;
    对所述云端认证密钥与所述设备端认证密钥进行验证,确定认证结果。
  79. 根据权利要求78所述的装置,其特征在于,
    所述第三密钥生成算法包括:AES-MMO哈希算法。
  80. 根据权利要求78所述的装置,其特征在于,所述装置还包括:认证结果发送模块;
    所述认证结果发送模块,用于发送所述认证结果,所述认证结果的目的地址为所述配网平台网关。
  81. 一种待认证设备,其特征在于,所述待认证设备包括:处理器和与所述处理器相连的收发器;其中,
    所述收发器,用于广播信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
    所述处理器,用于基于所述第一随机数以及许可密钥,生成设备端信任中心链接密钥,所述许可密钥是存放于所述待认证设备以及设备平台云中的密钥;
    所述处理器,用于使用所述设备端信任中心链接密钥,与配网平台网关进行第一接入认证。
  82. 一种配网平台网关,其特征在于,所述配网平台网关支持构建网络,所述配网平台网关对应的云端服务器为配网平台云,所述配网平台网关包括:处理器和与所述处理器相连的收发器;其中,
    所述收发器,用于接收待认证设备广播的信标帧,所述信标帧携带所述待认证设备生成的第一随机数;
    所述处理器,用于通过所述配网平台云,与设备平台云交互,获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是基于所述第一随机数以及许可密钥生成的密钥,所述许可密钥是存放于所述待认证设备以及所述设备平台云中的密钥;
    所述处理器,用于使用所述认证端信任中心链接密钥,与所述待认证设备进行第一接入认证。
  83. 一种设备平台云,其特征在于,所述设备平台云是待认证设备所属的厂商的云端服务器,所述设备平台云包括:处理器和与所述处理器相连的收发器;其中,
    所述处理器,用于与配网平台网关交互,使得所述配网平台网关获取认证端信任中心链接密钥,所述认证端信任中心链接密钥是根据所述待认证设备生成的第一随机数生成的密钥,所述认证端信任中心链接密钥用于进行所述待认证设备的第一接入认证。
  84. 一种计算机可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现如权利要求1至40任一所述的接入认证方法。
CN202080107382.1A 2020-12-03 2020-12-03 接入认证方法、装置、设备及存储介质 Pending CN116508292A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2020/133686 WO2022116110A1 (zh) 2020-12-03 2020-12-03 接入认证方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN116508292A true CN116508292A (zh) 2023-07-28

Family

ID=81852816

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080107382.1A Pending CN116508292A (zh) 2020-12-03 2020-12-03 接入认证方法、装置、设备及存储介质

Country Status (2)

Country Link
CN (1) CN116508292A (zh)
WO (1) WO2022116110A1 (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102711103B (zh) * 2012-05-14 2016-04-20 中国电力科学研究院 一种无线传感器网络中节点掉线重连接的安全路由方法
CN107690138B (zh) * 2016-08-05 2020-08-14 华为技术有限公司 一种快速漫游方法、装置、***、接入点和移动站
US10601813B2 (en) * 2017-10-26 2020-03-24 Bank Of America Corporation Cloud-based multi-factor authentication for network resource access control
CN111163107B (zh) * 2020-01-03 2022-08-30 杭州涂鸦信息技术有限公司 一种zigbee的安全通信方法及***

Also Published As

Publication number Publication date
WO2022116110A1 (zh) 2022-06-09

Similar Documents

Publication Publication Date Title
US11979274B2 (en) Network management method and apparatus
US8533472B2 (en) Terminal identification method, authentication method, authentication system, server, terminal, wireless base station, program, and recording medium
CN106797409B (zh) 用于在物联网(iot)中的设备位置注册的服务器
KR101908618B1 (ko) 디지털 홈에서의 스마트 객체 식별
US8392712B1 (en) System and method for provisioning a unique device credential
EP2950497B1 (en) Method and apparatus for controlling access in wireless communication system
WO2019011203A1 (zh) 设备接入方法、设备及***
CN107948339B (zh) 一种网络寻址方法、设备和装置
US20210219353A1 (en) Methods and systems for connecting a wireless device to a wireless network
US20190372973A1 (en) Device onboarding with automatic ipsk provisioning in wireless networks
CN113099440A (zh) 网络配置方法、装置、设备和***
CN116420338A (zh) 物联网设备接入认证方法、装置、设备及存储介质
WO2022002244A1 (zh) 在线签约方法、装置及***
EP4401433A2 (en) Service layer message templates in a communications network
US20230156466A1 (en) Bluetooth Networking Method for Electronic Device and Related Device
CN114390521A (zh) 密钥更新方法、装置、设备及存储介质
CN116508292A (zh) 接入认证方法、装置、设备及存储介质
EP4187953A1 (en) Communication method, apparatus and system
CN114125725B (zh) 广播消息的发送方法、接收方法、装置、设备及存储介质
US11606199B2 (en) Management of groups of connected objects using wireless communication protocols
WO2022147843A1 (zh) 接入认证的方法和装置
CN116097688A (zh) 通信方法、装置及***
WO2022217602A1 (zh) 建立设备绑定关系的方法和设备
WO2024067046A1 (zh) 一种通信方法及装置
CN113242060B (zh) 接入网络的方法和装置、存储介质及电子装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination