一种获得设备标识的方法及装置制造方法及图纸

本申请提供了一种获取设备标识ID的方法，终端和网络设备。该方法包括：终端向网络设备发送用于获取设备ID的第一消息，所述设备ID用于全局唯一的标识所述终端；所述终端接收所述网络设备发送的经过加密的密钥对，所述密钥对包括第一公钥和第一私钥；所述终端接收所述网络设备发送的信息，所述信息用于标识所述第一公钥为所述终端的设备ID；所述终端确定所述第一公钥为所述设备ID。该方法能够有效避免设备ID重复，简化配置流程，节省系统开销，提高获取设备ID的整体方案的安全性和可用性。

【技术实现步骤摘要】
一种获得设备标识的方法及装置
本申请涉及通信
，涉及一种获得设备标识的方法以及装置，尤其是涉及一种物联网中获得终端的设备标识的方法及装置。
技术介绍
物联网(英文：Internetofthings，IoT)是通过使用射频识别(英文：RadioFrequencyIdentification，RFID)、传感器、红外感应器、全球定位系统、激光扫描器等信息采集设备，按约定的协议，把任何物品与互联网连接起来，进行信息交互和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网将各种具备信息传感功能的终端，通过移动通信网络和物联网平台连接。具备信息传感功能的终端也可以称之为终端设备或物联网终端或物联网设备。随着物联网产业蓬勃发展，海量不同类型的终端通过固定或者移动互联网的互联网协议(英文：InternetProtocol，IP)数据通道与网络和应用进行信息交互，为此，需要为终端分配设备标识，以便于对终端进行管理。在传统网络中，通常采用预配置的方式来配置终端的设备标识。例如，对于移动终端，运营商提供给终端的用户标识信息和出厂时写入终端的识别信息计算生成终端的身份识别标识，用于移动终端的认证。对于有线终端，运营商提供的入网密钥和出厂时写入终端的识别信息生成身份识别标识。由于不同的厂家采用不同的配置方式，不同厂家为终端配置的标识的类型，规格可能都不相同。另外，也存在不同厂家为不同的终端配置了相同标识的情形。上述情况给物联网中的设备管理带来一定的复杂性。为了配置全局唯一的设备标识，对于移动终端，现有技术中采用例如国际移动设备标识(英文：internationalmobileequipmentidentify，IMEI)来对终端进行唯一标识，但是需要预先到注册机构进行注册，配置流程相对复杂，并且注册成本高，标识循环使用效率低。进一步地，采用上述方式生成的设备标识存在过于简单而被盗用身份的问题，在被盗窃或者非法入侵时，限于设备标识过于简单，很容易被仿冒成功。作为安全管理的重要一环，如何对设备进行可信认证，如何生成唯一的的设备标识，以便于管理，简化配置流程，以及提高获得设备标识的整体方案的安全性和可用性，成为目前亟待解决的问题。
技术实现思路
有鉴于此，本申请实施例提供了一种获取设备ID的方法，用于提供一种具有更高的安全性和可用的获得设备ID的整体方案。第一方面，本申请实施例提供了一种获取设备ID的方法，该方法包括：终端向网络设备发送用于为该终端请求所述设备ID的第一消息，所述设备ID用于全局唯一的标识所述终端。该终端接收该网络设备发送的经过加密的密钥对，该密钥对包括第一公钥和第一私钥。该终端接收该网络设备发送的信息，所述信息用于标识所述第一公钥为所述终端的设备ID。该终端基于接收到的所述密钥对和所述信息，确定所述第一公钥为所述设备ID。该终端接收所述网络设备发送的密钥对和该终端接收到的该网络设备发送的信息可以是携带在同一消息中，也可以是携带在不同的消息中的。当所述密钥对和所述信息携带在同一个消息中时，该终端接收该网络设备发送的经过加密的密钥对的操作(为了便于表述，简称为操作1)以及该终端接收该网络设备发送的信息的操作(操作2)可以被理解成是由同一个操作完成的。当所述密钥对和所述信息携带在不同的消息中时，操作1可以在操作2之前，之后或者与操作2同时执行。在上述方案中，由终端生成获取设备ID的请求，网络设备基于接收到的请求，向终端发送密钥对，并向终端发送信息指示密钥对中包括的公钥为所述设备ID。由此，网络设备基于终端的请求，动态的向终端分配设备ID，无需采用预配置的方式对终端进行ID分配，也无需预先到注册机构进行注册，简化了配置流程，节省了注册成本，并且由于无需预配置设备ID，提高了设备ID的循环使用效率。另外，采用密钥对中的公钥作为设备ID，保证了设备ID的唯一性，避免设备ID发生重复，并且基于公钥的设备ID相对现有的设备ID相对复杂，降低了设备标识过于简单而被仿冒的可能性。在一个可能的设计中，所述方法还包括：所述终端向所述网络设备发送经过所述第一私钥签名的第二消息，所述第二消息携带作为所述终端的的设备ID的所述第一公钥。在一个可能的设计中，所述第一消息中携带第二公钥，所述第二公钥为所述终端基于物理不可克隆功能生成的公钥。在一个可能的设计中，所述终端接收所述网络设备发送的经过加密的密钥对，包括：所述终端接收所述网络设备发送的经过所述第二公钥加密的所述密钥对。终端接收到网络设备发送的经过第二公钥加密的所述密钥对以后，只能采用与所述第二公钥对应的第二私钥进行解密。由于第二公钥和第二私钥是终端基于PUF生成的密钥，并且只有终端自身保存有所述第二私钥，因此，第二私钥难以仿冒，能够有效提高密钥对的传输安全。在一个可能的设计中，所述终端接收所述网络设备发送的经过加密的密钥对之后，所述方法还包括：所述终端保存所述第一私钥，采用所述第二公钥对保存的所述第一私钥进行加密。通过第二公钥对存储的第一私钥进行加密，只能通过与所述第二公钥对应的第二私钥才能解密，因为第二公钥和第二私钥是基于PUF生成的，并且，只有终端自身拥有所述第二私钥，因此第二私钥无法轻易被仿冒，能够有效保证第一私钥的存储安全。在一个可能的设计中，所述第一消息中携带由证书颁发中心CA签发的公钥证书，所述公钥证书中携带所述第二公钥。通过CA签发证书，使得不必提前将第二公钥部署到网络设备中，简化了配置流程。第二方面，本申请提供了一种获取设备ID的方法，该方法包括：第一网络设备接收终端发送的用于为所述终端请求所述设备ID的第一消息，所述设备ID用于全局唯一地标识所述终端；所述第一网络设备向所述终端发送经过加密的密钥对，所述密钥对包括第一公钥和第一私钥；所述第一网络设备向所述终端发送第一信息，所述第一信息用于标识所述第一公钥为所述终端的设备ID。第二方面所提供的方法的技术效果参见第一方面的说明，此处不再赘述。所述网络设备向所述终端发送的所述密钥对和所述网络设备向所述终端发送的所述信息可以是携带在同一个消息中的，也可以是携带在不同的消息中的。当所述密钥对和所述信息是携带在同一个消息中时，所述第一网络设备向所述终端发送经过加密的密钥对的操作(为了便于表述，称之为操作1)和所述第一网络设备向所述终端发送第一信息(操作2)也可以被理解成是由同一个操作完成的。当所述密钥对和所述信息是携带在不同的消息中时，操作1可以在操作2之前，之后或者与操作2同时执行。在一个可能的设计中，所述第一网络设备中部署有设备管理系统，所述第一网络设备接收所述终端发送的经过所述第一私钥签名的第二消息，所述第二消息携带作为所述终端的设备ID的所述第一公钥。该第二消息可以用于向第一网络设备中部署的设备管理系统上报设备ID，即第一公钥、设备状态信息、设备位置信息和/或设备类型等信息。具体地，可以通过第二消息中的消息类型，也可以通过第二消息中相应的比特位来标识第二消息所要执行的操作。第二消息中可以携带作为设备ID的第一公钥。第一网络设备接收到第二消息后，可以采用第一公钥验证签名，进而对终端的身份进行验证。由此，由于在上述方案中，网络设备基于终端发送的获取设备ID的请求，向终端返回一个密钥对。终端采用密钥对中本文档来自技高网...

【技术保护点】
1.一种获取设备标识ID的方法，其特征在于，包括:终端向网络设备发送用于为所述终端请求所述设备ID的第一消息，所述设备ID用于全局唯一的标识所述终端；所述终端接收所述网络设备发送的经过加密的密钥对，所述密钥对包括第一公钥和第一私钥；所述终端接收所述网络设备发送的信息，所述信息用于标识所述第一公钥为所述终端的设备ID；所述终端确定所述第一公钥为所述设备ID。

【技术特征摘要】
1.一种获取设备标识ID的方法，其特征在于，包括:终端向网络设备发送用于为所述终端请求所述设备ID的第一消息，所述设备ID用于全局唯一的标识所述终端；所述终端接收所述网络设备发送的经过加密的密钥对，所述密钥对包括第一公钥和第一私钥；所述终端接收所述网络设备发送的信息，所述信息用于标识所述第一公钥为所述终端的设备ID；所述终端确定所述第一公钥为所述设备ID。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述终端向所述网络设备发送经过所述第一私钥签名的第二消息，所述第二消息携带作为所述终端的设备ID的所述第一公钥。3.根据权利要求1或2所述的方法，其特征在于，所述第一消息中携带第二公钥，所述第二公钥为所述终端基于物理不可克隆功能生成的公钥。4.根据权利要求3所述的方法，其特征在于，所述终端接收所述网络设备发送的经过加密的密钥对，包括：所述终端接收所述网络设备发送的经过所述第二公钥加密的所述密钥对。5.根据权利要求3或4所述的方法，其特征在于，所述终端接收所述网络设备发送的经过加密的密钥对之后，所述方法还包括：所述终端保存所述第一私钥，并采用所述第二公钥对保存的所述第一私钥进行加密。6.根据权利要求3-5任一项所述的方法，其特征在于，所述第一消息中携带由证书颁发中心CA签发的公钥证书，所述公钥证书中携带所述第二公钥。7.一种获取设备标识ID的方法，其特征在于，包括:第一网络设备接收终端发送的用于为所述终端请求所述设备ID的第一消息，所述设备ID用于全局唯一地标识所述终端；所述第一网络设备向所述终端发送经过加密的密钥对，所述密钥对包括第一公钥和第一私钥；所述第一网络设备向所述终端发送第一信息，所述第一信息用于标识所述第一公钥为所述终端的设备ID。8.根据权利要求7所述的方法，其特征在于，所述方法还包括：所述第一网络设备接收所述终端发送的经过所述第一私钥签名的第二消息，所述第二消息携带作为所述终端的设备ID的所述第一公钥。9.根据权利要求7或8所述的方法，其特征在于，所述第一消息中携带第二公钥，所述第二公钥为所述终端基于物理不可克隆功能PUF生成的公钥。10.根据权利要求9所述的方法，其特征在于，在所述第一网络设备接收所述第一消息之后，所述第一网络设备向所述终端发送经过加密的密钥对之前，所述方法还包括：所述第一网络设备生成第三消息，所述第三消息携带所述第二公钥，所述第二公钥用于被第二网络设备对所述终端进行身份验证；所述第一网络设备向所述第二网络设备发送所述第三消息；所述第一网络设备接收所述第二网络设备发送的所述密钥对以及第二信息，所述第二信息用于指示所述密钥对中包括的所述第一公钥为所述设备ID。11.根据权利要求9或10所述的方法，其特征在于，所述第一网络设备向所述终端发送经过加密的密钥对，包括：所述第一网络设备向所述终端发送经过所述第二公钥加密的所述密钥对。12.根据权利要9-11任一项所述的方法，其特征在于，所述第一消息中携带由证书颁发中心CA签发的公钥证书，所述公钥证书中携带所述第二公钥。13.一...

【专利技术属性】
技术研发人员：周冲，付天福，张大成，魏建雄，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44