CN115333732A - 一种物联网设备防克隆结构与方法 - Google Patents
一种物联网设备防克隆结构与方法 Download PDFInfo
- Publication number
- CN115333732A CN115333732A CN202210966602.7A CN202210966602A CN115333732A CN 115333732 A CN115333732 A CN 115333732A CN 202210966602 A CN202210966602 A CN 202210966602A CN 115333732 A CN115333732 A CN 115333732A
- Authority
- CN
- China
- Prior art keywords
- equipment
- management system
- random number
- activation code
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及一种物联网设备防克隆结构与方法。该结构包括相互连接的终端设备、设备管理系统和业务管理系统。该方法包括将初次使用的终端设备和设备管理系统建立连接,对所述终端设备进行设备激活,生成激活码;设备激活成功后,将激活后的终端设备与业务管理系统进行双向设备认证,并更新激活码;设备认证成功后,将终端设备与业务系统进行数据交互,并更新激活码;数据交互成功后,得到设备防克隆及被克隆后的终端设备,对终端设备进行恢复。本发明能够解决物联网设备防克隆能力差、被克隆后没有有效应对措施的问题。
Description
技术领域
本发明涉及物联网安全应用领域,特别是涉及一种物联网设备防克隆结构与方法。
背景技术
随着物联网的不断发展,物联网设备的数据信息被盗用的风险也逐渐增大,故有必要提供一种物联网设备防克隆的方法来防范这种风险。现有的设备防克隆技术中,常用的方案是使用基于安全芯片的终端设备安全加密装置。该装置拥有独立的处理器和存储单元,可存储密钥和特征数据,为设备提供加密和安全认证服务,具有安全性强、接口丰富、加解密速度快、功耗低、性价比高的优点。其具体细节如下:
安全芯片加密装置包括主控制器、加密芯片、通信单元和信号指示单元;所述主控制器通过通信单元分别连接终端设备和主站,实现与终端设备和主站之间的数据传输;所述加密芯片内嵌在安全芯片加密装置内,加密芯片上集成加密算法和通讯模块,所述加密算法分别对终端设备和主站输入的数据进行加密和解密,所述通讯模块用于数据的传输;所述信号指示单元与主控制器之间信号连接,对终端设备和主站之间双向认证的结果进行提示。
数据下发时,主站通过预装的私钥对报文进行签名得到数字签名,再使用密钥对数字签名进行加密,再将加密后的数字签名加载在报文和时间戳中,通过通信单元发送给安全芯片加密装置;安全芯片加密装置使用密钥对收到的报文进行解密,先使用公钥验证签名,判断报文的合法性,如果不合法,就丢弃报文;然后安全芯片加密装置将解密后的明文发送给终端设备。
数据上报时,数据从终端设备发出,经过安全芯片加密装置中的加密芯片对数据进行加密处理,加密后的数据经由数据网送给主站,主站通过其内置的软件对所接收的数据进行解密。
虽然使用基于安全芯片的终端设备可以初步实现设备防克隆的需求,但该方案存在以下问题亟待解决:
1)小型设备使用安全芯片的成本太高,单个物联网设备的价值较低,对于小型设备而言使用安全芯片的成本太高,这使其不能很好的应用于实际物联网设备中,因此物联网设备防克隆能力差。
2)终端设备被克隆后,没有有效的监测机制与应对机制。
发明内容
针对上述问题,本发明的目的是提供一种物联网设备防克隆结构与方法,能够解决物联网设备防克隆能力差、被克隆后没有有效应对措施的问题。
为实现上述目的,本发明提供了如下方案:
一种物联网设备防克隆结构,包括相互连接的终端设备、设备管理系统和业务管理系统;所述终端设备用于预置设备端公私钥对、设备端证书和CA根证书;所述设备管理系统用于预置设备管理系统公私钥对、设备管理系统证书和CA根证书;所述业务管理系统用于预置业务端公私钥对、业务端证书和CA根证书。
一种物联网设备防克隆方法,包括:
将初次使用的终端设备和设备管理系统建立连接,对所述终端设备进行设备激活,生成激活码;
设备激活成功后,将激活后的终端设备与业务管理系统进行双向设备认证,并更新激活码;
设备认证成功后,将所述终端设备与所述业务管理系统进行数据交互,并更新激活码;
数据交互成功后,得到设备防克隆及被克隆后的终端设备,对所述设备防克隆及被克隆后的终端设备进行恢复。
可选地,在所述设备认证成功后,将所述终端设备与所述业务管理系统进行数据交互,并更新激活码之前,还包括:
对更新后的激活码进行校验。
可选地,所述将初次使用的终端设备和设备管理系统建立连接,对所述终端设备进行设备激活,生成激活码,具体包括:
将终端设备与设备管理系统建立连接,双方生成随机数并交换;
获取设备端ID、设备端证书、初始激活码和设备端证书;
在所述终端设备中,对接收到的随机数签名,得到第一随机数签名值;将所述第一随机数签名值、所述设备端ID、所述设备端证书和所述初始激活码打包发送至所述设备管理系统;
在所述设备管理系统中,对所述设备端证书和所述第一随机数签名值验签,验签通过后,保存设备端证书,使用设备管理系统公钥对接收到的随机数进行签名操作,得到第二随机数签名值;使用随机数生成器产生一个随机数作为新激活码,并将所述设备端ID、所述新激活码、所述设备管理系统证书和所述第二随机数签名值打包发送至所述终端设备,同时将所述设备端ID及所述新激活码发送至所述业务管理系统;
在所述终端设备中,对所述设备管理系统证书和所述第二随机数签名值进行验签,验签通过后激活成功,并将初始激活码替换为新激活码。
可选地,所述设备激活成功后,将激活后的终端设备与业务管理系统进行双向设备认证,并更新激活码,具体包括:
对终端设备与业务管理系统建立连接,双方生成随机数并交换;
获取设备端ID、设备端证书、激活码和业务管理系统证书;
在所述终端设备中,使用私钥对接收到的随机数签名,得到第三随机数签名值,将所述第三随机数签名值、所述设备端ID、所述设备端证书和所述激活码打包发送至所述业务管理系统;
在所述业务管理系统中,对所述设备端证书和所述第三随机数签名值进行验签;验签通过后,保存设备端证书,使用所述业务管理系统私钥对接收到的随机数签名,得到第四随机数签名值,并产生一个随机数作为新激活码;将所述设备端ID、所述新激活码、所述业务管理系统证书、所述第四随机数签名值打包发送至所述终端设备;
在所述终端设备中,对所述业务管理系统证书和所述第四随机数签名值进行验签,验签通过后认证成功,并将旧激活码替换为新激活码。
可选地,所述设备认证成功后,将所述终端设备与所述业务管理系统进行数据交互,并更新激活码,具体包括:
在所述终端设备中,产生一个随机数并进行签名,得到第五随机数签名值;
获取随机数原文、设备端ID、激活码和数据密文;
将所述第五随机数签名值、所述随机数原文、所述设备端ID、所述激活码和所述数据密文打包发送至所述业务管理系统;
在所述业务管理系统中,使用设备端公钥对所述第五随机数签名值进行验签,验签通过后,对所述设备端ID和所述激活码进行校验,校验通过后得到加密数据,调用密码模块对所述加密数据进行解密得到明文数据;产生一个随机数作为新激活码,对所述明文数据和所述新激活码进行加密得到密文,将所述密文发送至终端设备;
在所述终端设备中,对所述密文进行解密并保存激活码。
可选地,所述数据交互成功后,得到设备防克隆及被克隆后的终端设备,对所述设备防克隆及被克隆后的终端设备进行恢复,具体包括:
当业务管理系统发现终端设备通过验签认证,但激活码校验失败时,拒绝接入,发出警告,并通过定位分析找到被抄板的终端设备;
对所述被抄板的终端设备进行重新激活与认证,恢复所述终端设备的功能。根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明提供一种物联网终端设备数据防克隆结构与方法,该方法通过终端设备激活认证时添加激活码,以及每次数据交互时进行激活码更新的手段,为设备防克隆提供了保障,即提高了物联网设备防克隆能力;通过重新激活、抢先认证的手段,为设备被克隆后的功能恢复提供了保障,从而解决了设备数据被克隆后无应对机制的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明物联网设备防克隆结构组成示意图;
图2为本发明物联网设备防克隆方法流程图;
图3为本发明设备激活流程图;
图4为本发明设备认证流程图;
图5为本发明数据交互流程图;
图6为本发明设备被克隆后的检测及恢复流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种物联网设备防克隆结构与方法,能够解决物联网设备防克隆能力差、被克隆后没有有效应对措施的问题。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明属于物联网安全应用领域,是设备激活认证技术、激活码防抄板技术以及公钥基础设施PKI证书体系的结合,适用于物联网终端设备,能够实现物联网终端设备防克隆的安全需求。
本发明提供一种物联网设备防克隆结构,如图1所示,所述物联网设备防克隆结构包括相互连接的终端设备1、设备管理系统2和业务管理系统3。在设备出厂时,所述终端设备1用于预置设备端公私钥对、设备端证书和CA根证书。所述设备管理系统2用于预置设备管理系统公私钥对、设备管理系统证书和CA根证书。所述业务管理系统3用于预置业务端公私钥对、业务端证书和CA根证书。
本发明还提供一种物联网设备防克隆方法,如图2所示,所述物联网设备防克隆方法包括:
步骤101:将初次使用的终端设备和设备管理系统建立连接,对所述终端设备进行设备激活,生成激活码。该步骤101具体包括:
步骤1011:将终端设备与设备管理系统建立连接,双方生成随机数并交换。
步骤1012:获取设备端ID、设备端证书、初始激活码和设备端证书。
步骤1013:在所述终端设备中,对接收到的随机数签名,得到第一随机数签名值;将所述第一随机数签名值、所述设备端ID、所述设备端证书和所述初始激活码打包发送至所述设备管理系统。
步骤1014:在所述设备管理系统中,对所述设备端证书和所述第一随机数签名值验签,验签通过后,保存设备端证书,使用设备管理系统公钥对接收到的随机数进行签名操作,得到第二随机数签名值;使用随机数生成器产生一个随机数作为新激活码,并将所述设备端ID、所述新激活码、所述设备管理系统证书和所述第二随机数签名值打包发送至所述终端设备,同时将所述设备端ID及所述新激活码发送至所述业务管理系统。
步骤1015:在所述终端设备中,对所述设备管理系统证书和所述第二随机数签名值进行验签,验签通过后激活成功,并将初始激活码替换为新激活码。
步骤102:设备激活成功后,将激活后的终端设备与业务管理系统进行双向设备认证,并更新激活码。该步骤102具体包括:
步骤1021:对终端设备与业务管理系统建立连接,双方生成随机数并交换。
步骤1022:获取设备端ID、设备端证书、激活码和业务管理系统证书。
步骤1023:在所述终端设备中,使用私钥对接收到的随机数签名,得到第三随机数签名值,将所述第三随机数签名值、所述设备端ID、所述设备端证书和所述激活码打包发送至所述业务管理系统。
步骤1024:在所述业务管理系统中,对所述设备端证书和所述第三随机数签名值进行验签;验签通过后,保存设备端证书,使用所述业务管理系统私钥对接收到的随机数签名,得到第四随机数签名值,并产生一个随机数作为新激活码;将所述设备端ID、所述新激活码、所述业务管理系统证书、所述第四随机数签名值打包发送至所述终端设备。
步骤1025:在所述终端设备中,对所述业务管理系统证书和所述第四随机数签名值进行验签,验签通过后认证成功,并将旧激活码替换为新激活码。
步骤103:设备认证成功后,将所述终端设备与所述业务管理系统进行数据交互,并更新激活码。该步骤103具体包括:
步骤1031:在所述终端设备中,产生一个随机数并进行签名,得到第五随机数签名值。
步骤1032:获取随机数原文、设备端ID、激活码和数据密文;
步骤1033:将所述第五随机数签名值、所述随机数原文、所述设备端ID、所述激活码和所述数据密文打包发送至所述业务管理系统。
步骤1034:在所述业务管理系统中,使用设备端公钥对所述第五随机数签名值进行验签,验签通过后,对所述设备端ID和所述激活码进行校验,校验通过后得到加密数据,调用密码模块对所述加密数据进行解密得到明文数据;产生一个随机数作为新激活码,对所述明文数据和所述新激活码进行加密得到密文,将所述密文发送至终端设备。
步骤1035:在所述终端设备中,对所述密文进行解密并保存激活码。
步骤104:数据交互成功后,得到设备防克隆及被克隆后的终端设备,对所述设备防克隆及被克隆后的终端设备进行恢复。该步骤104具体包括:
步骤1041:当业务管理系统发现终端设备通过验签认证,但激活码校验失败时,拒绝接入,发出警告,并通过定位分析找到被抄板的终端设备。
步骤1042:对所述被抄板的终端设备进行重新激活与认证,恢复所述终端设备的功能。
作为一种具体的实施例,在步骤103之前,还包括:
对更新后的激活码进行校验。
以下结合附图3-6对步骤101-103进行具体的论述:
终端设备激活,为了实现物联网设备防克隆的需求,每个终端设备在初次使用时均需要进行设备激活,并生成激活码。图3为本发明设备激活流程图,该图阐述了设备初次使用时激活的工作流程,其中涉及终端设备与设备管理系统的通信以及激活码的生成。具体而言,设备激活主要包括以下四步操作(见图3):
1)终端设备与设备管理系统建立连接后,终端设备首先通过随机数生成器产生随机数1,并发送至设备管理系统(见图3的①)。设备管理系统接收到随机数1后,保存随机数1并使用随机数生成器产生随机数2发回终端设备(见图3的②)。
2)终端设备接收到随机数2后,使用设备端私钥对其进行签名操作,然后再使用随机数生成器产生一个随机数作为初始激活码。上述工作完成后,终端设备将设备端公钥作为ID,与设备端证书、随机数2签名值、初始激活码打包发送至设备管理系统(见图3的③)。
3)设备管理系统接收到数据后,首先使用CA根证书对设备端证书进行验签,得出设备端公钥,并保存设备端证书。然后使用设备端公钥、随机数2原文、随机数2签名值进行验签。验签通过后,使用设备管理系统私钥对收到的随机数1进行签名操作。然后使用随机数生成器产生一个随机数作为新激活码。上述工作完成后,设备管理系统将设备ID、新激活码、设备管理系统证书、随机数1签名值打包发送至终端设备(见图3的④)。并将该设备ID及新激活码发送至业务管理系统(见图3的⑤)。
4)终端设备接收到数据后,首先使用CA根证书对设备管理系统证书进行验签,得出设备管理系统公钥并保存设备管理系统证书。然后使用设备管理系统公钥、随机数1原文、随机数1签名值进行验签,验签通过后激活成功,并将初始激活码替换为新激活码。
终端设备认证,设备激活成功后,激活设备首次与业务管理系统进行数据交互时,需要与业务管理系统进行双向认证。图4为本发明设备认证流程图,该图阐述了激活成功后设备与业务管理系统进行数据交互时,与业务管理系统进行的双向认证过程,主要包括认证过程以及激活码的更新过程。具体而言,设备认证主要包括以下四步操作:
1)终端设备与业务管理系统建立连接,终端设备首先通过随机数生成器产生随机数1,并将其发送至业务管理系统(见图4的①)。业务管理系统收到随机数1后,保存随机数1并使用随机数生成器产生随机数2发回终端设备(见图4的②)。
2)终端设备接收到随机数2后,使用设备端私钥对其进行签名操作。上述工作完成后,终端设备将设备ID、设备端证书、随机数2签名值、激活码打包发送至业务管理系统(见图4的③)。
3)业务管理系统接收到数据后,先使用CA根证书对设备端证书进行验签,得出设备端公钥并保存设备端证书。然后使用设备端公钥、随机数2原文、随机数2签名值进行验签。验签通过后,使用业务管理系统私钥对收到的随机数1进行签名操作。然后使用随机数生成器产生一个随机数作为新激活码。上述操作完成后,业务管理系统将设备ID、新激活码、业务管理系统证书、随机数1签名值打包发送至终端设备(见图4的④)。
4)终端设备接收到数据后,首先使用CA根证书对业务管理系统证书进行验签,得出业务管理系统公钥并保存业务管理系统证书。然后使用业务管理系统公钥、随机数1原文、随机数1签名值进行验签,验签通过后认证成功,并将旧激活码替换为新激活码。
设备数据传输,设备端进行激活认证后,每次与业务系统进行数据交互时,都需要进行数据加密及设备认证,并且每次进行设备数据传输都需要进行激活码更新。(数据加密可以使用数字信封或者密钥协商的手段,依据具体情况而定,本发明不进行具体阐述。)图5为本发明数据交互流程图,该图阐述了激活认证后终端设备与业务管理系统进行数据传输的工作流程,主要包括数据传输过程以及激活码的更新过程。具体而言,设备数据交互主要包括以下四步操作:
1)激活认证后的设备在与业务管理系统进行数据交互时,首先使用随机数生成器产生一个随机数,然后使用设备端私钥对随机数进行签名操作。然后通过密码模块对上报数据进行加密,然后将随机数原文、随机数签名值、设备ID、激活码、上报数据密文打包发送至业务管理系统(见图5的①)。
2)业务管理系统接收到数据后,先使用设备端公钥对签名值进行验签,验签通过后,再对设备ID、激活码进行校验。校验通过后,调用密码模块对加密数据进行解密获取明文数据。
3)业务管理系统通过随机数生成器产生一个随机数作为新激活码,然后调用密码模块对下发数据和新激活码进行加密,将密文发送至终端设备(见图5的②)。
4)终端设备接收到密文后,使用密码模块对其解密并替换旧激活码。
图6为本发明设备被克隆后的检测及恢复流程图,该图阐述了设备被克隆后的检测及功能恢复流程,主要包括激活码校验失败后拒绝设备接入、发出警告、设备定位及设备功能恢复的过程。设备防克隆及被克隆后的设备恢复,不法分子拷贝设备数据后,会克隆出一批具有相同公私钥对、激活码、设备端证书的设备。当其使用克隆设备与业务管理系统进行数据传输时,仅第一个设备能够通过认证并进行激活码更新。激活码更新后,其克隆的其它大量设备由于没有新生成的激活码,将不能通过业务管理系统的校验。当业务管理系统发现某设备可以通过验签认证,但激活码校验失败时,拒绝其接入并出警告,并可通过设备ID定位分析出被抄板的终端设备。定位到该设备后,业务管理系统可允许该ID设备进行重新激活与认证,通过抢先认证更新激活码的方式,便可恢复该设备的功能(见图6)。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (7)
1.一种物联网设备防克隆结构,其特征在于,包括相互连接的终端设备、设备管理系统和业务管理系统;所述终端设备用于预置设备端公私钥对、设备端证书和CA根证书;所述设备管理系统用于预置设备管理系统公私钥对、设备管理系统证书和CA根证书;所述业务管理系统用于预置业务端公私钥对、业务端证书和CA根证书。
2.一种基于权利要求1所述的结构的物联网设备防克隆方法,其特征在于,包括:
将初次使用的终端设备和设备管理系统建立连接,对所述终端设备进行设备激活,生成激活码;
设备激活成功后,将激活后的终端设备与业务管理系统进行双向设备认证,并更新激活码;
设备认证成功后,将所述终端设备与所述业务管理系统进行数据交互,并更新激活码;
数据交互成功后,得到设备防克隆及被克隆后的终端设备,对所述设备防克隆及被克隆后的终端设备进行恢复。
3.根据权利要求2所述的物联网设备防克隆方法,其特征在于,在所述设备认证成功后,将所述终端设备与所述业务管理系统进行数据交互,并更新激活码之前,还包括:
对更新后的激活码进行校验。
4.根据权利要求2所述的物联网设备防克隆方法,其特征在于,所述将初次使用的终端设备和设备管理系统建立连接,对所述终端设备进行设备激活,生成激活码,具体包括:
将终端设备与设备管理系统建立连接,双方生成随机数并交换;
获取设备端ID、设备端证书、初始激活码和设备端证书;
在所述终端设备中,对接收到的随机数签名,得到第一随机数签名值;将所述第一随机数签名值、所述设备端ID、所述设备端证书和所述初始激活码打包发送至所述设备管理系统;
在所述设备管理系统中,对所述设备端证书和所述第一随机数签名值验签,验签通过后,保存所述设备端证书,使用设备管理系统公钥对接收到的随机数进行签名操作,得到第二随机数签名值;使用随机数生成器产生一个随机数作为新激活码,并将所述设备端ID、所述新激活码、所述设备管理系统证书和所述第二随机数签名值打包发送至所述终端设备,同时将所述设备端ID及所述新激活码发送至所述业务管理系统;
在所述终端设备中,对所述设备管理系统证书和所述第二随机数签名值进行验签,验签通过后激活成功,并将初始激活码替换为新激活码。
5.根据权利要求2所述的物联网设备防克隆方法,其特征在于,所述设备激活成功后,将激活后的终端设备与业务管理系统进行双向设备认证,并更新激活码,具体包括:
对终端设备与业务管理系统建立连接,双方生成随机数并交换;
获取设备端ID、设备端证书、激活码和业务管理系统证书;
在所述终端设备中,使用私钥对接收到的随机数签名,得到第三随机数签名值,将所述第三随机数签名值、所述设备端ID、所述设备端证书和所述激活码打包发送至所述业务管理系统;
在所述业务管理系统中,对所述设备端证书和所述第三随机数签名值进行验签;验签通过后,保存所述设备端证书,使用所述业务管理系统私钥对接收到的随机数签名,得到第四随机数签名值,并产生一个随机数作为新激活码;将所述设备端ID、所述新激活码、所述业务管理系统证书、所述第四随机数签名值打包发送至所述终端设备;
在所述终端设备中,对所述业务管理系统证书和所述第四随机数签名值进行验签,验签通过后认证成功,并将旧激活码替换为新激活码。
6.根据权利要求2所述的物联网设备防克隆方法,其特征在于,所述设备认证成功后,将所述终端设备与所述业务管理系统进行数据交互,并更新激活码,具体包括:
在所述终端设备中,产生一个随机数并进行签名,得到第五随机数签名值;
获取随机数原文、设备端ID、激活码和数据密文;
将所述第五随机数签名值、所述随机数原文、所述设备端ID、所述激活码和所述数据密文打包发送至所述业务管理系统;
在所述业务管理系统中,使用设备端公钥对所述第五随机数签名值进行验签,验签通过后,对所述设备端ID和所述激活码进行校验,校验通过后得到加密数据,调用密码模块对所述加密数据进行解密得到明文数据;产生一个随机数作为新激活码,对所述明文数据和所述新激活码进行加密得到密文,将所述密文发送至终端设备;
在所述终端设备中,对所述密文进行解密并保存激活码。
7.根据权利要求2所述的物联网设备防克隆方法,其特征在于,所述数据交互成功后,得到设备防克隆及被克隆后的终端设备,对所述设备防克隆及被克隆后的终端设备进行恢复,具体包括:
当业务管理系统发现终端设备通过验签认证,但激活码校验失败时,拒绝接入,发出警告,并通过定位分析找到被抄板的终端设备;
对所述被抄板的终端设备进行重新激活与认证,恢复所述终端设备的功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210966602.7A CN115333732A (zh) | 2022-08-12 | 2022-08-12 | 一种物联网设备防克隆结构与方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210966602.7A CN115333732A (zh) | 2022-08-12 | 2022-08-12 | 一种物联网设备防克隆结构与方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115333732A true CN115333732A (zh) | 2022-11-11 |
Family
ID=83923836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210966602.7A Pending CN115333732A (zh) | 2022-08-12 | 2022-08-12 | 一种物联网设备防克隆结构与方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115333732A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118133265A (zh) * | 2024-05-07 | 2024-06-04 | 中国人民解放军国防科技大学 | 一种嵌入式软件防克隆方法 |
-
2022
- 2022-08-12 CN CN202210966602.7A patent/CN115333732A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118133265A (zh) * | 2024-05-07 | 2024-06-04 | 中国人民解放军国防科技大学 | 一种嵌入式软件防克隆方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6058188A (en) | Method and apparatus for interoperable validation of key recovery information in a cryptographic system | |
| US6839841B1 (en) | Self-generation of certificates using secure microprocessor in a device for transferring digital information | |
| CN112702318A (zh) | 一种通讯加密方法、解密方法、客户端及服务端 | |
| EP1151579A2 (en) | Self-generation of certificates using a secure microprocessor in a device for transferring digital information | |
| CN101399666A (zh) | 文件数字证书安全控制方法及系统 | |
| CN111435390B (zh) | 一种配电终端运维工具安全防护方法 | |
| CN101272616A (zh) | 一种无线城域网的安全接入方法 | |
| CN114900304B (zh) | 数字签名方法和装置、电子设备和计算机可读存储介质 | |
| CN112020038A (zh) | 一种适用于轨道交通移动应用的国产加密终端 | |
| CN115065472B (zh) | 基于多密钥加密解密的安全芯片加密解密方法及装置 | |
| CN114650173A (zh) | 一种加密通讯方法及系统 | |
| CN112865965B (zh) | 一种基于量子密钥的列车业务数据处理方法及系统 | |
| CN111147257A (zh) | 身份认证和信息保密的方法、监控中心和远程终端单元 | |
| CN110740116B (zh) | 一种多应用身份认证的系统及方法 | |
| CN115051813B (zh) | 一种新能源平台控制指令保护方法及系统 | |
| CN111654503A (zh) | 一种远程管控方法、装置、设备及存储介质 | |
| CN113115309B (zh) | 车联网的数据处理方法、装置、存储介质和电子设备 | |
| CN114826659A (zh) | 一种加密通讯方法及系统 | |
| CN115333732A (zh) | 一种物联网设备防克隆结构与方法 | |
| CN114598533A (zh) | 一种区块链侧链跨链身份可信认证及数据加密传输方法 | |
| CN112738101B (zh) | 一种报文处理方法及装置 | |
| CN107171784B (zh) | 突发环境事件应急指挥调度方法及系统 | |
| CN114331456A (zh) | 一种通信方法、装置、系统以及可读存储介质 | |
| CN111435389A (zh) | 一种配电终端运维工具安全防护系统 | |
| CN112020037A (zh) | 一种适用于轨道交通的国产通信加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |