鎖,其安全模塊配置于物聯(lián)網(wǎng)鎖內(nèi),從而避免了遺失或被盜的風(fēng)險(xiǎn)。所述安全模塊內(nèi)的處理器能夠隨機(jī)生成非對(duì)稱密鑰,且能進(jìn)行加解密計(jì)算,從而使相關(guān)加解密步驟僅在安全模塊內(nèi)進(jìn)行,符合安全要求。
[0037]當(dāng)所述安全模塊內(nèi)隨機(jī)產(chǎn)生非對(duì)稱密鑰對(duì)(包括公鑰和私鑰)后,公鑰和所述物聯(lián)網(wǎng)鎖的基本信息導(dǎo)出安全模塊,并發(fā)送至可信的第三方CA認(rèn)證中心。第三方CA認(rèn)證中心經(jīng)確認(rèn)信息無(wú)誤后,發(fā)放數(shù)字證書(shū)。所述數(shù)字證書(shū)包含鎖的基本信息和簽名公鑰,證明了所述簽名公鑰和與之對(duì)應(yīng)的物聯(lián)網(wǎng)鎖之間的唯一對(duì)應(yīng)關(guān)系。同時(shí),所述私鑰始終保存于安全模塊內(nèi),從而保證了其私密性;外界無(wú)法讀取或修改該私鑰,確保了私鑰和與之對(duì)應(yīng)的物聯(lián)網(wǎng)鎖之間的唯一對(duì)應(yīng)關(guān)系。
[0038]作為本實(shí)施例中物聯(lián)網(wǎng)鎖的進(jìn)一步改進(jìn),所述安全模塊支持多種信息安全算法(國(guó)密算法及國(guó)際通用算法),包括但不限于對(duì)稱算法(SM1,DES/3DES)和非對(duì)稱算法(SM2,RSA, ECC)、雜湊和哈希算法(SM3,SHA-1),從而提高了所述安全模塊的通用性,使配置有所述安全模塊的物聯(lián)網(wǎng)鎖應(yīng)用范圍更廣。同時(shí),支持多種算法也使得所述安全模塊能夠靈活選取算法,以及綜合采用多種算法進(jìn)行加密,進(jìn)一步提高了其安全性能。
[0039]本實(shí)施例中的物聯(lián)網(wǎng)鎖,可結(jié)合成熟的PKI/CA體系,通過(guò)第三方CA中心,將用戶公鑰和其他標(biāo)識(shí)信息捆綁,進(jìn)行用戶身份驗(yàn)證,并通過(guò)加密保證信息傳輸?shù)谋C苄?、完整性,通過(guò)簽名保證身份的真實(shí)性和抗抵賴,具有極高的安全性能。
[0040]本發(fā)明還提供了一種上述的物聯(lián)網(wǎng)鎖入網(wǎng)身份識(shí)別方法,在其一個(gè)較佳實(shí)施例中,包括如下步驟:
[0041]步驟一,生成密鑰對(duì):所述安全模塊隨機(jī)生成非對(duì)稱密鑰對(duì),所述非對(duì)稱密鑰對(duì)包括公鑰PK和私鑰SK ;
[0042]步驟二,申請(qǐng)數(shù)字證書(shū):從所述安全模塊導(dǎo)出所述公鑰PK和物聯(lián)網(wǎng)鎖的基本信息,發(fā)送至權(quán)威第三方CA認(rèn)證中心,CA認(rèn)證中心經(jīng)過(guò)信息核實(shí)無(wú)誤后,發(fā)放數(shù)字證書(shū),所述數(shù)字證書(shū)包含所述物聯(lián)網(wǎng)鎖的基本信息和公鑰PK,證明所述公鑰PK和與之對(duì)應(yīng)的物聯(lián)網(wǎng)鎖的唯一對(duì)應(yīng)關(guān)系;
[0043]步驟三,數(shù)字證書(shū)公開(kāi):公開(kāi)所述物聯(lián)網(wǎng)鎖對(duì)應(yīng)的數(shù)字證書(shū);
[0044]步驟四,簽名/驗(yàn)簽:當(dāng)所述物聯(lián)網(wǎng)鎖向物聯(lián)網(wǎng)設(shè)備或互聯(lián)網(wǎng)發(fā)送信息時(shí),所述安全模塊用私鑰SK對(duì)信息X進(jìn)行加密簽名,接收方收到信息X后用已經(jīng)公開(kāi)的所述物聯(lián)網(wǎng)鎖的數(shù)字證書(shū)上的公鑰PK解密信息,從而確認(rèn)信息X的發(fā)送者是否為該數(shù)字證書(shū)對(duì)應(yīng)的物聯(lián)網(wǎng)鎖。
[0045]優(yōu)選的,如圖1所示,本實(shí)施例中,所述步驟四中簽名/驗(yàn)簽方式為:
[0046]所述安全模塊用私鑰SK加密信息X后發(fā)送,接收方用所述數(shù)字證書(shū)上的公鑰PK解密;若解密出明文,則確定消息X的發(fā)送者為所述數(shù)字證書(shū)對(duì)應(yīng)的物聯(lián)網(wǎng)鎖;若不能解密出明文,則確定消息X的發(fā)送者不是與所述數(shù)字證書(shū)對(duì)應(yīng)的物聯(lián)網(wǎng)鎖,或是消息X中途被篡改。
[0047]采用此種驗(yàn)簽方式,能夠確認(rèn)消息的發(fā)送者是否為與所述數(shù)字證書(shū)對(duì)應(yīng)的物聯(lián)網(wǎng)鎖,從而使所述的物聯(lián)網(wǎng)鎖可信、可識(shí)別。
[0048]本實(shí)施例中的物聯(lián)網(wǎng)鎖入網(wǎng)身份識(shí)別方法,其密鑰對(duì)的生成在所述物聯(lián)網(wǎng)鎖的安全模塊內(nèi)進(jìn)行,且保存私鑰不出安全模塊,確保了私鑰的安全性,且保證了所述私鑰與安全模塊及與之對(duì)應(yīng)的物聯(lián)網(wǎng)鎖的唯一對(duì)應(yīng)關(guān)系。所述公鑰和鎖的基本信息導(dǎo)出后,經(jīng)可信的第三方CA認(rèn)證中心認(rèn)證并發(fā)放數(shù)字證書(shū),證明了數(shù)字證書(shū)中的簽名公鑰確實(shí)是與之對(duì)應(yīng)的物聯(lián)網(wǎng)鎖所有。該數(shù)字證書(shū)經(jīng)公開(kāi)后,可被其它物聯(lián)網(wǎng)設(shè)備或互聯(lián)網(wǎng)上的其它終端獲取。從而在所述物聯(lián)網(wǎng)鎖向外發(fā)送信息時(shí),用私鑰對(duì)信息進(jìn)行加密簽名,接收方用數(shù)字證書(shū)上的公鑰解密信息驗(yàn)簽。由于相應(yīng)的私鑰在物聯(lián)網(wǎng)鎖的安全模塊內(nèi)隨機(jī)生成,且與該物聯(lián)網(wǎng)鎖具有唯一對(duì)應(yīng)關(guān)系,因而可以通過(guò)公鑰驗(yàn)簽確認(rèn)發(fā)送信息者是否為對(duì)應(yīng)的物聯(lián)網(wǎng)鎖,保證了物聯(lián)網(wǎng)鎖身份的真實(shí)性和抗抵賴特性。采用本發(fā)明的方法,能夠完全避免第三方偽造數(shù)字證書(shū)來(lái)建立通信渠道,極大的提高了所述物聯(lián)網(wǎng)鎖的安全性能。
[0049]作為本發(fā)明的進(jìn)一步改進(jìn),如圖2所示,在本發(fā)明的物聯(lián)網(wǎng)鎖入網(wǎng)身份識(shí)別方法的另一個(gè)實(shí)施例中,所述步驟四中簽名/驗(yàn)簽方式為:
[0050]所述安全模塊對(duì)信息X進(jìn)行HASH函數(shù)運(yùn)算,得到值H,然后用私鑰SK加密H得到Esh (H),之后發(fā)送信息X和Esh (H);
[0051]接收方用所述數(shù)字證書(shū)上的公鑰PK解密Esk (H),然后對(duì)消息X進(jìn)行HASH函數(shù)運(yùn)算,得到值H',之后比較H和H'的值是否相同;
[0052]若H和H'的值相同,則確定消息X的發(fā)送者為所述數(shù)字證書(shū)對(duì)應(yīng)的物聯(lián)網(wǎng)鎖;若不相同,則確定消息X的發(fā)送者不是與所述數(shù)字證書(shū)對(duì)應(yīng)的物聯(lián)網(wǎng)鎖,或是消息X中途被篡改。
[0053]采用上述驗(yàn)簽方式,進(jìn)一步提高了簽名/驗(yàn)簽的保密性和安全性,及信息傳輸?shù)耐暾浴?br>[0054]本發(fā)明上述實(shí)施例中的物聯(lián)網(wǎng)鎖,經(jīng)上述入網(wǎng)身份識(shí)別方法確認(rèn)后,所述物聯(lián)網(wǎng)鎖與其它物聯(lián)網(wǎng)設(shè)備或互聯(lián)網(wǎng)終端建立起保密的通信渠道,保證了信息傳輸?shù)谋C苄院屯暾裕瑸檫M(jìn)一步傳輸其余指令,如開(kāi)鎖、鎖定等指令奠定了安全基礎(chǔ);而簽名/驗(yàn)簽程序保證了鎖的身份的真實(shí)性和抗抵賴性,從整體上提高了采用本發(fā)明的物聯(lián)網(wǎng)鎖的系統(tǒng)的安全性能,使之可廣泛應(yīng)用于安全要求較高的重要場(chǎng)所。
[0055]以上實(shí)施例的說(shuō)明只是用于幫助理解本發(fā)明的方法及其核心思想。應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明原理的前提下,還可以對(duì)本發(fā)明進(jìn)行若干改進(jìn)和修飾,這些改進(jìn)和修飾也落入本發(fā)明權(quán)利要求的保護(hù)范圍內(nèi)。
【主權(quán)項(xiàng)】
1.一種帶CA數(shù)字證書(shū)作為入網(wǎng)身份識(shí)別的物聯(lián)網(wǎng)鎖,能與物聯(lián)網(wǎng)設(shè)備通信或連接到互聯(lián)網(wǎng),其特征在于: 所述物聯(lián)網(wǎng)鎖配置有安全模塊,所述安全模塊設(shè)有一處理器及一存儲(chǔ)單元,所述處理器用于隨機(jī)生成非對(duì)稱密鑰對(duì)及進(jìn)行加解密運(yùn)算,所述非對(duì)稱密鑰對(duì)包括公鑰和私鑰;所述存儲(chǔ)單元用于存儲(chǔ)所述非對(duì)稱密鑰對(duì),且所述私鑰始終保存于所述安全模塊內(nèi); 所述安全模塊內(nèi)還包含所述物聯(lián)網(wǎng)鎖的基本信息,所述公鑰和所述基本信息導(dǎo)出安全模塊后經(jīng)第三方CA認(rèn)證中心認(rèn)證后發(fā)放數(shù)字證書(shū),所述數(shù)字證書(shū)包含所述基本信息和簽名公鑰,用于證明所述簽名公鑰和與之對(duì)應(yīng)的物聯(lián)網(wǎng)鎖之間的唯一對(duì)應(yīng)關(guān)系。2.如權(quán)利要求1所述的帶CA數(shù)字證書(shū)作為入網(wǎng)身份識(shí)別的物聯(lián)網(wǎng)鎖,其特征在于:所述安全模塊包括一安全芯片,所述安全芯片集成于所述物聯(lián)網(wǎng)鎖中。3.如權(quán)利要求2所述的帶CA數(shù)字證書(shū)作為入網(wǎng)身份識(shí)別的物聯(lián)網(wǎng)鎖,其特征在于:所述安全芯片的封裝方式包括TF卡封裝。4.如權(quán)利要求1-3任一項(xiàng)所述的帶CA數(shù)字證書(shū)作為入網(wǎng)身份識(shí)別的物聯(lián)網(wǎng)鎖,其特征在于:所述安全模塊支持多種信息安全算法,包括對(duì)稱算法、非對(duì)稱算法、雜湊和哈希算法。5.一種如權(quán)利要求1-4任一項(xiàng)所述的物聯(lián)網(wǎng)鎖入網(wǎng)身份識(shí)別方法,其特征在于,包括如下步驟: 步驟一,生成密鑰對(duì):所述安全模塊隨機(jī)生成非對(duì)稱密鑰對(duì),所述非對(duì)稱密鑰對(duì)包括公鑰PK和私鑰SK ; 步驟二,申請(qǐng)數(shù)字證書(shū):從所述安全模塊導(dǎo)出所述公鑰PK和物聯(lián)網(wǎng)鎖的基本信息,發(fā)送至權(quán)威第三方CA認(rèn)證中心,CA認(rèn)證中心經(jīng)過(guò)信息核實(shí)無(wú)誤后,發(fā)放數(shù)字證書(shū),所述數(shù)字證書(shū)包含所述物聯(lián)網(wǎng)鎖的基本信息和公鑰PK,證明所述公鑰PK和與之對(duì)應(yīng)的物聯(lián)網(wǎng)鎖的唯一對(duì)應(yīng)關(guān)系; 步驟三,數(shù)字證書(shū)公開(kāi):公開(kāi)所述物聯(lián)網(wǎng)鎖對(duì)應(yīng)的數(shù)字證書(shū); 步驟四,簽名/驗(yàn)簽:當(dāng)所述物聯(lián)網(wǎng)鎖向物聯(lián)網(wǎng)設(shè)備或互聯(lián)網(wǎng)發(fā)送信息時(shí),所述安全模塊用私鑰SK對(duì)信息X進(jìn)行加密簽名,接收方收到信息X后用已經(jīng)公開(kāi)的所述物聯(lián)網(wǎng)鎖的數(shù)字證書(shū)上的公鑰PK解密信息,從而確認(rèn)信息X的發(fā)送者是否為該數(shù)字證書(shū)對(duì)應(yīng)的物聯(lián)網(wǎng)鎖。6.如權(quán)利要求5所述的物聯(lián)網(wǎng)鎖入網(wǎng)身份識(shí)別方法,其特征在于,所述步驟四中,簽名/驗(yàn)簽方式為: 所述安全模塊用私鑰SK加密信息X后發(fā)送,接收方用所述數(shù)字證書(shū)上的公鑰PK解密;若解密出明文,則確定消息X的發(fā)送者為所述數(shù)字證書(shū)對(duì)應(yīng)的物聯(lián)網(wǎng)鎖;若不能解密出明文,則確定消息X的發(fā)送者不是與所述數(shù)字證書(shū)對(duì)應(yīng)的物聯(lián)網(wǎng)鎖,或是消息X中途被篡改。7.如權(quán)利要求5所述的物聯(lián)網(wǎng)鎖入網(wǎng)身份識(shí)別方法,其特征在于,所述步驟四中,簽名/驗(yàn)簽方式為: 所述安全模塊對(duì)信息X進(jìn)行HASH函數(shù)運(yùn)算,得到值H,然后用私鑰SK加密Η得到ESK (Η),之后發(fā)送信息X和ESK (Η); 接收方用所述數(shù)字證書(shū)上的公鑰ΡΚ解密ESK (Η),然后對(duì)消息X進(jìn)行HASH函數(shù)運(yùn)算,得到值H',之后比較Η和H'的值是否相同; 若Η和Η'的值相同,則確定消息X的發(fā)送者為所述數(shù)字證書(shū)對(duì)應(yīng)的物聯(lián)網(wǎng)鎖;若不相 同,則確定消息X的發(fā)送者不是與所述數(shù)字證書(shū)對(duì)應(yīng)的物聯(lián)網(wǎng)鎖,或是消息X中途被篡改。
【專利摘要】本發(fā)明提供了一種帶CA數(shù)字證書(shū)作為入網(wǎng)身份識(shí)別的物聯(lián)網(wǎng)鎖,能與物聯(lián)網(wǎng)設(shè)備通信或連接到互聯(lián)網(wǎng),所述物聯(lián)網(wǎng)鎖配置有安全模塊,所述安全模塊設(shè)有一處理器及一存儲(chǔ)單元,所述處理器用于隨機(jī)生成非對(duì)稱密鑰對(duì)及進(jìn)行加解密運(yùn)算;所述存儲(chǔ)單元用于存儲(chǔ)所述非對(duì)稱密鑰對(duì),且私鑰始終保存于所述安全模塊內(nèi),公鑰和鎖的基本信息導(dǎo)出安全模塊后經(jīng)第三方CA認(rèn)證中心認(rèn)證后發(fā)放數(shù)字證書(shū),所述數(shù)字證書(shū)用于證明簽名公鑰和與之對(duì)應(yīng)的物聯(lián)網(wǎng)鎖之間的唯一對(duì)應(yīng)關(guān)系。本發(fā)明的物聯(lián)網(wǎng)鎖,可與其它物聯(lián)網(wǎng)設(shè)備或互聯(lián)網(wǎng)終端建立起保密的通信渠道,保證信息傳輸?shù)谋C苄院屯暾裕约版i的身份的真實(shí)性和抗抵賴性,具有良好的安全性能。
【IPC分類】H04L29/06, H04L9/32, H04L9/14
【公開(kāi)號(hào)】CN105281910
【申請(qǐng)?zhí)枴緾N201510369438
【發(fā)明人】應(yīng)卓韜, 應(yīng)軍
【申請(qǐng)人】浙江巨聯(lián)科技股份有限公司
【公開(kāi)日】2016年1月27日
【申請(qǐng)日】2015年6月26日