一种基于公网的预置密钥共享系统及方法与流程

本发明涉及物联网安全领域，具体涉及一种基于公网的预置密钥共享方法及系统。

背景技术：

随着移动互联网技术、人工智能技术等技术的推进，智慧社区建设逐渐成为未来发展的趋势，大量的物联网设备如智能门禁、智能路灯等在智能建筑、智慧交通中普遍使用。大量智能设备的应用方便了人们的生活，同时也产生了一系列管理方面的问题，其中最为突出的问题是，智能设备来源于不同的厂家，如何在保证安全的情况下，实现不同厂家之间的智能设备的互联互通。

目前的物联网设备认证方案主要分为三种，第一种是从物联网设备安全考虑，在物联网终端内置安全芯片或者安全硬件，第二种是从物联网云平台角度设计物联网整体安全性，设备需要通过证书或者token的方式完成认证，第三种是从通讯安全入手。在万物互联时代，要求不同厂家的智能设备都植入安全芯片或者安全硬件是困难的，且不同厂家的安全芯片或者安全硬件可能会面临巨大的兼容性维护问题，加之成本问题，也是不现实的。另外一方面，通讯安全只是网络安全中的一环，当大规模终端被恶意控制发起网络攻击时，最有效降低危害影响的方法是停止设备的网络接入服务，但这样会给用户带来极大的不便，因此如何在公网环境下安全实现物联网设备的互联互通也是一个亟待解决的问题。

技术实现要素：

本发明的目的在于针对现有技术中存在的不足，提供一种基于公网的预置密钥共享系统及方法。

为达到上述目的，本发明首先提供了一种基于公网的预置密钥共享系统，所述系统包括厂商设备、物联网设备、kms系统、业务系统和开放认证协议服务器；

所述物联网设备通过所述厂商设备与所述kms系统建立通信连接，用于向kms系统请求并获取预置共享密钥；

所述厂商设备与所述开放认证协议服务器建立通信连接，用于实现物联网设备在开放认证协议服务器上的注册；

所述业务系统分别与所述物联网设备和所述开放认证协议服务器建立通信连接，所述开放认证协议服务器与所述kms系统建立通信连接，用于根据预置共享密钥进行物联网设备的身份验证。

进一步地，所述厂商设备，接收所述物联网设备发送的密钥请求，根据所述密钥请求向所述kms系统发送预置密钥请求，接收所述kms系统返回的预置共享密钥并转发给所述物联网设备，以及接收所述物联网设备发送的设备注册请求并转发至所述开放认证协议服务器，进行物联网设备注册。

进一步地，所述物联网设备内置有开放认证协议，向所述厂商设备发送密钥请求和设备注册请求，以及向所述业务系统发送设备身份认证请求，接收所述业务系统发送的随机信息，并将通过预置共享密钥对随机信息加密后返回至所述业务系统。

进一步地，所述kms系统，接收所述厂商设备发送预置密钥请求，根据预置密钥请求返回预置共享密钥至所述厂商设备，以及接收所述开放认证协议服务器发送的验证信息请求，根据预置共享密钥对验证信息请求中的加密信息进行解密，并将解密信息返回至所述开放认证协议服务器。

进一步地，所述业务系统，接收所述物联网设备发送的设备身份认证请求，以及向所述物联网设备发送随机信息，接收所述物联网设备加密后的随机信息并发送给所述开放认证协议服务器，以及接收所述开放认证协议服务器返回的解密信息，并将所述解密信息与所述随机信息进行比对进行物联网设备的身份验证。

进一步地，所述开放认证协议服务器，接收所述厂商设备发送的设备注册请求，并保存设备注册请求中的物联网设备注册信息，以及接收所述业务系统发送的设备身份认证请求，根据所述设备身份认证请求向所述kms系统发送验证信息请求，接收所述kms系统返回的解密信息并将所述解密信息转发至所述业务系统。

本发明还提供了一种基于公网的预置密钥共享方法，所述方法包括：

物联网设备通过厂商设备向kms系统请求并获取预置共享密钥，并通过厂商设备完成物联网设备在开发认证协议服务器上的注册；

物联网设备身份认证时：

所述物联网设备向业务系统发送设备身份认证请求；

所述业务系统接收到所述设备身份认证请求后，向所述物联网设备返回随机信息；

所述物联网设备接收到所述随机信息后，利用预置共享密钥对所述随机信息进行加密，并通过所述业务系统将加密后的随机信息发送至所述开放认证协议服务器；

所述开放认证协议服务器接收到加密后的随机信息后，通过kms系统解密得出新随机信息，并返回给所述业务系统；所述业务系统进行随机信息比对，完成物联网设备身份认证。

进一步地，物联网设备通过厂商设备向kms系统请求并获取共享密钥时，执行：

所述物联网设备向所述厂商设备发送密钥请求；

所述厂商设备接收到所述密钥请求后，根据所述密钥请求向所述kms系统发送预置密钥请求；所述kms系统接收到所述预置密钥请求后，根据所述预置密钥请求向所述厂商设备返回预置共享密钥；

所述厂商设备将所述预置共享密钥转发至所述物联网设备。

进一步地，通过厂商设备完成物联网设备在开发认证协议服务器上的注册时，执行：

所述物联网设备向所述厂商设备发送设备注册请求；

所述厂商设备接收所述设备注册请求并转发至所述开放认证协议服务器；

所述开放认证协议服务器，接收所述设备注册请求，并保存设备注册请求中的物联网设备注册信息，完成所述物联网设备的注册。

进一步地，通过kms系统解密得出新随机信息，并返回给所述业务系统；所述业务系统进行随机信息比对，完成物联网设备身份认证时，执行：

kms系统接收到所述开放认证协议服务器发送的验证信息请求后，根据预置共享密钥对验证信息请求中的加密信息进行解密获得新随机信息，并将新随机信息通过所述开放认证协议服务器返回至所述业务系统；

所述业务系统对随机信息进行比对，若新随机信息与原来的随机信息一致，则判定物联网设备身份验证通过。

本发明的有益效果如下：

本发明通过厂商设备将物联网设备和kms系统相关联，通过kms系统将物联网设备和开放协议认证服务器相关联，通过厂商设备实现物联网设备到开放认证服务器的注册，从而保证了物联网设备的身份不可伪造，避免了非法设备入侵的风险；

由于物联网设备内置有开放协议接口，从而保证了不同厂商的物联网设备可以安全连接在开放协议基础上实现互联互通；

同时由于物联网设备无需内置安全芯片或安全硬件，从而降低了设备开发制造的成本。

附图说明

图1为一种基于公网的预置密钥共享系统架构图。

图2为一种基于公网的预置密钥共享系统方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细描述。应当理解，此处所描述的具体实施例仅仅用于解释本发明，并不用于限定本发明。相反，本发明涵盖任何由权利要求定义的在本发明的精髓和范围上做的替代、修改、等效方法以及方案。进一步，为了使公众对本发明有更好的了解，在下文对本发明的细节描述中，详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。

如图1所示，一种基于公网的预置密钥共享系统，所述系统包括厂商设备、物联网设备、kms系统、业务系统和开放认证协议服务器。所述物联网设备通过所述厂商设备与所述kms系统建立通信连接，用于向kms系统请求并获取预置共享密钥；所述厂商设备与所述开放认证协议服务器建立通信连接，用于实现物联网设备在开放认证协议服务器上的注册；所述业务系统分别与所述物联网设备和所述开放认证协议服务器建立通信连接，所述开放认证协议服务器与所述kms系统建立通信连接，用于根据预置共享密钥进行物联网设备的身份验证。

本实施例中，所述厂商设备为物联网设备的生产厂商的专用设备，设备内置有专用的安全硬件承载数字证书，并与所述物联网设备、所述kms系统、所述开放认证协议服务器建立通信连接；其中，所述物联网设备可选地为智能家居设备，如智能水表、智能电表、智能门锁等，设备内置有开放认证协议，无内置的专用安全硬件，并与所述厂商设备、所述业务系统建立通信连接；所述kms系统提供安全接入、公共安全服务中间件、安全服务、emm、基础服务等能力，构建终端安全环境，同时为第三方应用提供安全服务，在本发明中主要用于实现密钥分发、密钥管理功能，并与所述厂商设备、所述开放认证协议服务器建立通信连接；所述业务系统为所述厂商设备进行身份认证、发起业务请求提供接口，并与所述物联网设备、所述开放认证协议服务器建立通信连接；所述开放认证协议服务器基于开放认证协议的软件协议栈为业务系统提供开放认证协议支持，支持目前现有的oauth、fido等公开协议，并与所述厂商设备、所述业务系统、所述kms系统建立通信连接。

进一步地，所述厂商设备，用于接收所述物联网设备发送的密钥请求，根据所述密钥请求向所述kms系统发送预置密钥请求，接收所述kms系统返回的预置共享密钥并转发给所述物联网设备，以及接收所述物联网设备发送的设备注册请求并转发至所述开放认证协议服务器，进行物联网设备注册。

进一步地，所述物联网设备内置有开放认证协议，用于向所述厂商设备发送密钥请求和设备注册请求，以及向所述业务系统发送设备身份认证请求，接收所述业务系统发送的随机信息，并将通过预置共享密钥对随机信息加密后返回至所述业务系统，完成设备注册及设备身份认证。

进一步地，所述kms系统，接收所述厂商设备发送预置密钥请求，根据预置密钥请求返回预置共享密钥至所述厂商设备，实现kms系统与厂商设备之间的密钥协商；以及接收所述开放认证协议服务器发送的验证信息请求，根据预置共享密钥对验证信息请求中的加密信息进行解密，并将解密信息返回至所述开放认证协议服务器。

进一步地，所述业务系统，接收所述物联网设备发送的设备身份认证请求，以及向所述物联网设备发送随机信息，接收所述物联网设备加密后的随机信息并发送给所述开放认证协议服务器，以及接收所述开放认证协议服务器返回的解密信息，并将所述解密信息与所述随机信息进行比对进行物联网设备的身份验证。

所述业务系统用于在所述物联网设备进行身份认证时向所述物联网设备发送随机信息，并将所述物联网设备加密后的随机信息发送给所述开放认证协议服务器进行身份验证；需要说明的是，所述随机信息可以是业务系统生成的随机数，也可以是业务系统调用其他系统生成的随机信息，所述随机信息可以是和所述物联网设备、厂商设备或其他相关模块信息结合经过密码运算生成的加密信息，在此处不做限制。

进一步地，所述开放认证协议服务器，接收所述厂商设备发送的设备注册请求，并保存设备注册请求中的物联网设备注册信息，以及接收所述业务系统发送的设备身份认证请求，根据所述设备身份认证请求向所述kms系统发送验证信息请求，接收所述kms系统返回的解密信息并将所述解密信息转发至所述业务系统。

如图2所示，本发明还给出一种基于公网的预置密钥共享方法，所述方法包括：

物联网设备通过厂商设备向kms系统请求并获取预置共享密钥，并通过厂商设备完成物联网设备在开发认证协议服务器上的注册；

物联网设备身份认证时：所述物联网设备向业务系统发送设备身份认证请求；所述业务系统接收到所述设备身份认证请求后，向所述物联网设备返回随机信息；所述物联网设备接收到所述随机信息后，利用预置共享密钥对所述随机信息进行加密，并通过所述业务系统将加密后的随机信息发送至所述开放认证协议服务器；所述开放认证协议服务器接收到加密后的随机信息后，通过kms系统解密得出新随机信息，并返回给所述业务系统；所述业务系统进行随机信息比对，完成物联网设备身份认证。

进一步地，物联网设备通过厂商设备向kms系统请求并获取共享密钥时，执行：所述物联网设备向所述厂商设备发送密钥请求；所述厂商设备接收到所述密钥请求后，根据所述密钥请求向所述kms系统发送预置密钥请求；所述kms系统接收到所述预置密钥请求后，根据所述预置密钥请求向所述厂商设备返回预置共享密钥；所述厂商设备将所述预置共享密钥转发至所述物联网设备。

如附图2所示，物联网设备向厂商设备请求并获取密钥，同时完成所述物联网设备在开发认证协议服务器的注册；具体地，所述获取密钥和完成注册的过程如下，s101所述物联网设备向厂商设备请求密钥，s102所述厂商设备向kms系统请求预置密钥，s103所述kms系统向所述厂商设备返回预置共享密钥，s104所述厂商设备向所述物联网设备返回所述预置共享密钥，s105同时所述厂商设备将所述物联网设备的有关信息发送至所述开放认证协议服务器，完成所述物联网设备的注册。

进一步地，通过厂商设备完成物联网设备在开发认证协议服务器上的注册时，执行：所述物联网设备向所述厂商设备发送设备注册请求；所述厂商设备接收所述设备注册请求并转发至所述开放认证协议服务器；所述开放认证协议服务器，接收所述设备注册请求，并保存设备注册请求中的物联网设备注册信息，完成所述物联网设备的注册。

进一步地，所述厂商设备内置有专用的安全硬件承载数字证书，与kms系统建立通信连接可以完成密钥协商和分发；所述物联网设备内置有开放认证协议，没有内置的专用安全硬件，可以接收厂商设备发送的密钥信息。

进一步地，通过kms系统解密得出新随机信息，并返回给所述业务系统；所述业务系统进行随机信息比对，完成物联网设备身份认证时，执行：kms系统接收到所述开放认证协议服务器发送的验证信息请求后，根据预置共享密钥对验证信息请求中的加密信息进行解密获得新随机信息，并将新随机信息通过所述开放认证协议服务器返回至所述业务系统；所述业务系统对随机信息进行比对，若新随机信息与原来的随机信息一致，则判定物联网设备身份验证通过。

如附图2所示，步骤s201，业务系统向所述物联网设备发送随机信息，在本实施例中，所述随机信息为随机数；s202所述物联网设备使用预置共享密钥加密所述随机信息（预置共享密钥的方法已在s104中进行描述），并将所述已加密的随机信息发送至所述业务系统；s203所述业务系统将所述已加密的随机信息发送给所述开放认证协议服务器；需要说明的是，所述随机信息可以是业务系统生成的随机数，也可以是业务系统调用其他系统生成的随机信息，所述随机信息可以是和所述物联网设备、厂商设备或其他相关模块信息结合经过密码运算生成的加密信息，在此处不做限制；

参见步骤s204，所述开放认证协议服务器将所述已加密的随机信息发送给所述kms系统进行解密，s205所述kms系统使用所述预置共享密钥解密得出所述随机信息，s206所述kms系统将已解密的随机信息返回给所述开放协议认证服务器，s207所述开放协议认证服务器将所述随机信息发送至所述业务系统，s208所述业务系统将接收到的所述随机信息和之前发送给所述物联网设备的随机信息进行比对，完成所述物联网设备的身份验证。

本发明通过厂商设备将物联网设备和kms系统相关联，通过kms系统将物联网设备和开放协议认证服务器相关联，通过厂商设备实现物联网设备到开放认证服务器的注册，从而保证了物联网设备的身份不可伪造，避免了非法设备入侵的风险；

由于物联网设备内置有开放协议接口，从而保证了不同厂商的物联网设备可以基于安全连接在开放协议基础上实现互联互通；

同时由于物联网设备无需内置安全芯片或安全硬件，从而降低了设备开发制造的成本。

最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制，所属领域的普通技术人员在不脱离本发明技术方案的精神下，对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换，其均应涵盖在本发明请求保护的技术方案范围当中。