【技术实现步骤摘要】
控制方法、装置和系统
本专利技术涉及物联网
,尤其涉及一种控制方法、装置和系统。
技术介绍
通常物联网(internetofthings,IoT)解决方案中包含IoT设备和用于控制IoT设备的IoT应用。随着IoT设备和IoT应用的快速增长,控制IoT设备的安全性越来越受到重视。一般情况下,IoT应用可以为APP。装载有IoT应用的控制设备通过无线保真(wireless-fidelity,Wi-Fi)、紫蜂(zigbee)、蓝牙低功耗(bluetoothlowenergy,BLE)等通信技术直接连接到IoT设备上,或通过IoT云转发控制消息给可直接连接因特网的IoT设备。但是,如果IoT设备直接连接IoT云,IoT设备就暴露在公网里,被攻击的风险就会变大。现有技术中,为了解决上述问题,增加中枢设备(通常为常驻在家庭中的设备,如电视、音箱、路由器、IoT网关等)。中枢设备在本地通过Wi-Fi、Zigbee、BLE等通信技术与IoT设备连接,再通过近场/远程通信与控制设备连接,从而隔绝IoT设备与公网,降低IoT设备被攻击的风险。其中,控制设备与中枢设备之间的绑定关系建立过程中,控制设备与中枢设备通过PAKE协议建立近端安全通道,然后控制设备通过该近端安全通道将用于控制IoT设备的公私钥对发送给中枢设备,从而使中枢设备可以使用控制设备的身份作为代理去控制IoT设备。目前终端厂商均基于安全元件(secureelement,SE)和可信执行环境(trustedexecutionenvir ...
【技术保护点】
1.一种控制方法,第一设备与中枢设备拥有相同的可信执行环境TEE平台,第二设备与所述中枢设备拥有不同的TEE平台,其特征在于,所述方法包括:/n所述中枢设备接收所述第二设备发送的所述第二设备的身份凭证和所述第一设备的身份凭证的公钥信息;所述第二设备的身份凭证包括所述第二设备的公钥信息和所述第二设备的私钥信息;/n所述中枢设备根据所述第二设备的身份凭证,控制至少一个IoT设备;/n所述中枢设备接收所述第一设备发送的所述第一设备的身份凭证的私钥信息;/n所述中枢设备根据所述第一设备的公钥信息和所述第一设备的私钥信息构成的所述第一设备的身份凭证,控制所述至少一个IoT设备。/n
【技术特征摘要】
1.一种控制方法,第一设备与中枢设备拥有相同的可信执行环境TEE平台,第二设备与所述中枢设备拥有不同的TEE平台,其特征在于,所述方法包括:
所述中枢设备接收所述第二设备发送的所述第二设备的身份凭证和所述第一设备的身份凭证的公钥信息;所述第二设备的身份凭证包括所述第二设备的公钥信息和所述第二设备的私钥信息;
所述中枢设备根据所述第二设备的身份凭证,控制至少一个IoT设备;
所述中枢设备接收所述第一设备发送的所述第一设备的身份凭证的私钥信息;
所述中枢设备根据所述第一设备的公钥信息和所述第一设备的私钥信息构成的所述第一设备的身份凭证,控制所述至少一个IoT设备。
2.根据权利要求1所述的方法,其特征在于,所述中枢设备接收所述第二设备发送的所述第二设备的身份凭证和所述第一设备的身份凭证的公钥信息之前,还包括:
所述中枢设备接收所述第二设备发起的PAKE协议协商,与所述第二设备建立安全加密通道;
所述中枢设备接收所述第二设备发送的所述第二设备的身份凭证和所述第一设备的身份凭证的公钥信息,包括:
所述中枢设备通过所述安全加密通道接收所述第二设备发送加密后的所述第二设备的身份凭证和所述第一设备的身份凭证的公钥信息。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述中枢设备对所述第二设备的身份凭证和所述第一设备的身份凭证的公钥信息进行解密,然后存储在所述中枢设备中的安全存储单元中。
4.根据权利要求1所述的方法,其特征在于,所述中枢设备接收所述第一设备发送的所述第一设备的身份凭证的私钥信息之前,还包括:
所述中枢设备接收所述第一设备发起的STS协议协商,利用从所述第二设备接收到的所述第一设备的身份凭证的公钥信息验证所述第一设备的身份;
当所述中枢设备验证所述第一设备为从第二设备接收到的所述第一设备的身份凭证的公钥信息对应的设备时,与所述第一设备建立安全加密通道;
所述中枢设备接收所述第一设备发送的所述第一设备的身份凭证的私钥信息,包括:
所述中枢设备通过所述安全加密通道接收所述第一设备发送加密后的所述第一设备的身份凭证的私钥信息。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
对所述第一设备的私钥信息进行解密,然后存储在所述中枢设备中的安全存储单元中。
6.一种控制方法,第一设备与中枢设备拥有相同的可信执行环境TEE平台,第二设备与所述中枢设备拥有不同的TEE平台,其特征在于,所述方法包括:
所述中枢设备接收所述第一设备发送的所述第一设备的身份凭证以及所述第二设备的身份凭证或所述第二设备的身份凭证的公钥信息;所述第一设备的身份凭证包括所述第一设备的身份凭证的公钥信息和所述第一设备的身份凭证的私钥信息,所述第二设备的身份凭证包括所述第二设备的身份凭证的公钥信息和所述第二设备的身份凭证的私钥信息;
所述中枢设备根据所述第一设备的身份凭证,控制至少一个IoT设备。
7.根据权利要求6所述的方法,其特征在于,所述中枢设备接收所述第一设备发送的所述第一设备的身份凭证以及所述第二设备的身份凭证或所述第二设备的身份凭证的公钥信息之前,还包括:
所述中枢设备接收所述第一设备发起的PAKE协议协商,与所述第一设备建立安全加密通道;
所述中枢设备接收所述第一设备发送的所述第一设备的身份凭证以及所述第二设备的身份凭证或所述第二设备的身份凭证的公钥信息,包括:
所述中枢设备通过所述安全加密通道接收所述第一设备发送加密后的所述第一设备的身份凭证以及所述第二设备的身份凭证或所述第二设备的身份凭证的公钥信息。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述中枢设备对所述第一设备的身份凭证以及所述第二设备的身份凭证或所述第二设备的公钥信息进行解密,然后存储在所述中枢设备中的安全存储单元中。
9.根据权利要求6所述的方法,其特征在于,当所述中枢设备接收所述第一设备发送的所述第一设备的身份凭证以及所述第二设备的身份凭证的公钥信息时,所述方法还包括:
所述中枢设备接收所述第二设备发送所述第二设备的身份凭证的私钥信息;
所述中枢设备根据所述第二设备的公钥信息和所述第二设备的私钥信息构成的所述第二设备的身份凭证,控制所述至少一个IoT设备。
10.根据权利要...
【专利技术属性】
技术研发人员:甘璐,马小双,黄剑豪,何超,
申请(专利权)人:华为终端有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。