生成身份认证私钥的方法、终端、连接管理平台和系统技术方案

本公开提供了一种用于生成身份认证私钥的方法、物联网终端、物联网连接管理平台和系统。该方法包括：物联网终端将当前IMSI发送到物联网连接管理平台；以及该物联网连接管理平台根据该当前IMSI查询该物联网终端的物联网卡码号，根据该物联网卡码号生成物联网终端的身份认证私钥，并将该物联网终端的身份认证私钥发送到该物联网终端。本公开实现了生成身份认证私钥的目的。

【技术实现步骤摘要】
生成身份认证私钥的方法、终端、连接管理平台和系统
本公开涉及安全认证
，特别涉及一种用于生成身份认证私钥的方法、物联网终端、物联网连接管理平台和系统。
技术介绍
传统低功耗物联网(例如LORA(LongRangeRadio，远距离无线电)等)应用一般采用专用局域网，物联网终端一般部署在相对比较安全的环境内(例如办公楼宇等)。物联网终端的安全问题往往靠人工巡检或采用较低级别的安全认证方案解决。低功耗蜂窝物联网终端主要应用于智能抄表、环境监测、消防监测等物联网应用场景，主要特点是低成本，低功耗(电池供电)。但是由于单终端硬件资源受限，因此需要大量部署物联网终端设备。低功耗蜂窝物联网终端部署在广域网，终端往往暴露在相对开放的地域(例如沙漠环境监测、居民楼的智能水表等)，相对于传统低功耗物联网终端，受攻击的可能性更大，受攻击后造成的损失也更大。由于物联网终端的硬件资源受限、低功耗等特性，传统密码体系无法满足上述要求。
技术实现思路
本公开实施例解决的一个技术问题是：提供一种用于生成身份认证私钥的方法。根据本公开实施例的一个方面，提供了一种用于生成身份认证私钥的方法，包括：物联网终端将当前IMSI发送到物联网连接管理平台；以及所述物联网连接管理平台根据所述当前IMSI查询所述物联网终端的物联网卡码号，根据所述物联网卡码号生成所述物联网终端的身份认证私钥，并将所述物联网终端的身份认证私钥发送到所述物联网终端。在一些实施例中，物联网终端将当前IMSI发送到物联网连接管理平台的步骤包括：在物联网终端上电后，所述物联网终端的主控制器调用通信模组进行安全初始化；以及所述通信模组在安全初始化的过程中，从物联网卡获取当前IMSI，在所述物联网终端的设备身份信息不存在或者所述物联网终端的IMSI发生变化的情况下，将所述当前IMSI发送给物联网连接管理平台。在一些实施例中，所述方法还包括：所述通信模组将所述物联网终端的身份认证私钥保存到安全芯片，并将安全初始化成功的消息反馈给所述主控制器。在一些实施例中，在物联网终端将当前IMSI发送到物联网连接管理平台之前，所述方法还包括：所述物联网终端与所述物联网连接管理平台协商获得会话密钥；所述通信模组将所述当前IMSI发送给物联网连接管理平台的步骤包括：所述通信模组利用所述会话密钥对所述当前IMSI加密，并将加密后的当前IMSI发送给所述物联网连接管理平台；其中，所述物联网连接管理平台利用所述会话密钥对加密后的当前IMSI解密以获得所述当前IMSI。在一些实施例中，所述物联网连接管理平台将所述物联网终端的身份认证私钥发送到所述物联网终端的步骤包括：所述物联网连接管理平台利用所述会话密钥对所述物联网终端的身份认证私钥进行加密，并将加密后的所述物联网终端的身份认证私钥发送到所述物联网终端；其中，所述通信模组利用所述会话密钥对加密后的所述物联网终端的身份认证私钥进行解密以获得所述物联网终端的身份认证私钥。在一些实施例中，所述方法还包括：物联网应用平台将自身的身份隐私信息发送给所述物联网连接管理平台；以及所述物联网连接管理平台根据所述物联网应用平台的身份隐私信息生成所述物联网应用平台的身份认证私钥和平台身份标识，并将所述物联网应用平台的身份认证私钥和平台身份标识发送到所述物联网应用平台。根据本公开实施例的另一个方面，提供了一种物联网终端，包括：物联网卡，用于存储物联网终端的当前IMSI；以及通信模组，用于从所述物联网卡获取当前IMSI，在所述物联网终端的设备身份信息不存在或者所述物联网终端的IMSI发生变化的情况下，将所述当前IMSI发送给物联网连接管理平台；其中，所述物联网连接管理平台根据所述当前IMSI查询所述物联网终端的物联网卡码号，根据所述物联网卡码号生成所述物联网终端的身份认证私钥，并将所述物联网终端的身份认证私钥发送到所述物联网终端。在一些实施例中，所述物联网终端还包括：主控制器，用于在所述物联网终端上电后调用所述通信模组进行安全初始化。在一些实施例中，所述通信模组还用于将所述物联网终端的身份认证私钥保存到安全芯片，并将安全初始化成功的消息反馈给所述主控制器。在一些实施例中，所述通信模组与所述物联网连接管理平台协商获得会话密钥；所述通信模组还用于利用所述会话密钥对所述当前IMSI加密，并将加密后的当前IMSI发送给所述物联网连接管理平台；其中，所述物联网连接管理平台利用所述会话密钥对加密后的当前IMSI解密以获得所述当前IMSI。在一些实施例中，所述物联网连接管理平台利用所述会话密钥对所述物联网终端的身份认证私钥进行加密，并将加密后的所述物联网终端的身份认证私钥发送到所述物联网终端；所述通信模组还用于利用所述会话密钥对加密后的所述物联网终端的身份认证私钥进行解密以获得所述物联网终端的身份认证私钥。根据本公开实施例的另一个方面，提供了一种物联网连接管理平台，包括：获取单元，用于获取物联网终端的当前国际移动用户识别码IMSI；生成单元，用于根据所述当前IMSI查询所述物联网终端的物联网卡码号，根据所述物联网卡码号生成所述物联网终端的身份认证私钥；以及发送单元，用于将所述物联网终端的身份认证私钥发送到所述物联网终端。在一些实施例中，所述物联网终端与所述物联网连接管理平台协商获得会话密钥；其中，所述物联网终端利用所述会话密钥对所述当前IMSI加密，并将加密后的当前IMSI发送给所述物联网连接管理平台；所述获取单元用于利用所述会话密钥对加密后的当前IMSI解密以获得所述当前IMSI。在一些实施例中，所述发送单元还用于利用所述会话密钥对所述物联网终端的身份认证私钥进行加密，并将加密后的所述物联网终端的身份认证私钥发送到所述物联网终端；其中，所述物联网终端利用所述会话密钥对加密后的所述物联网终端的身份认证私钥进行解密以获得所述物联网终端的身份认证私钥。在一些实施例中，所述获取单元还用于获取物联网应用平台的身份隐私信息；所述生成单元还用于根据所述物联网应用平台的身份隐私信息生成所述物联网应用平台的身份认证私钥和平台身份标识；所述发送单元还用于将所述物联网应用平台的身份认证私钥和平台身份标识发送到所述物联网应用平台。根据本公开实施例的另一个方面，提供了一种用于生成身份认证私钥的系统，包括：如前所述的物联网终端、如前所述的物联网连接管理平台和物联网应用平台。根据本公开实施例的另一个方面，提供了一种用于生成身份认证私钥的系统，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器的指令执行如前所述的方法。根据本公开实施例的另一个方面，提供了一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现如前所述的方法的步骤。在上述方法中，物联网终端将当前IMSI发送到物联网连接管理平台；以及该物联网连接管理平台根据当前IMSI查询物联网终端的物联网卡码号，根据该物联网卡码号生成该物联网终端的身份认证私钥，并将该物联网终端的身份认证私本文档来自技高网...

【技术保护点】
1.一种用于生成身份认证私钥的方法，包括：/n物联网终端将当前国际移动用户识别码IMSI发送到物联网连接管理平台；以及/n所述物联网连接管理平台根据所述当前IMSI查询所述物联网终端的物联网卡码号，根据所述物联网卡码号生成所述物联网终端的身份认证私钥，并将所述物联网终端的身份认证私钥发送到所述物联网终端。/n

【技术特征摘要】
1.一种用于生成身份认证私钥的方法，包括：
物联网终端将当前国际移动用户识别码IMSI发送到物联网连接管理平台；以及
所述物联网连接管理平台根据所述当前IMSI查询所述物联网终端的物联网卡码号，根据所述物联网卡码号生成所述物联网终端的身份认证私钥，并将所述物联网终端的身份认证私钥发送到所述物联网终端。


2.根据权利要求1所述的方法，其中，物联网终端将当前IMSI发送到物联网连接管理平台的步骤包括：
在物联网终端上电后，所述物联网终端的主控制器调用通信模组进行安全初始化；以及
所述通信模组在安全初始化的过程中，从物联网卡获取当前IMSI，在所述物联网终端的设备身份信息不存在或者所述物联网终端的IMSI发生变化的情况下，将所述当前IMSI发送给物联网连接管理平台。


3.根据权利要求2所述的方法，还包括：
所述通信模组将所述物联网终端的身份认证私钥保存到安全芯片，并将安全初始化成功的消息反馈给所述主控制器。


4.根据权利要求2所述的方法，其中，
在物联网终端将当前IMSI发送到物联网连接管理平台之前，所述方法还包括：所述物联网终端与所述物联网连接管理平台协商获得会话密钥；
所述通信模组将所述当前IMSI发送给物联网连接管理平台的步骤包括：所述通信模组利用所述会话密钥对所述当前IMSI加密，并将加密后的当前IMSI发送给所述物联网连接管理平台；
其中，所述物联网连接管理平台利用所述会话密钥对加密后的当前IMSI解密以获得所述当前IMSI。


5.根据权利要求4所述的方法，其中，
所述物联网连接管理平台将所述物联网终端的身份认证私钥发送到所述物联网终端的步骤包括：
所述物联网连接管理平台利用所述会话密钥对所述物联网终端的身份认证私钥进行加密，并将加密后的所述物联网终端的身份认证私钥发送到所述物联网终端；
其中，所述通信模组利用所述会话密钥对加密后的所述物联网终端的身份认证私钥进行解密以获得所述物联网终端的身份认证私钥。


6.根据权利要求1所述的方法，还包括：
物联网应用平台将自身的身份隐私信息发送给所述物联网连接管理平台；以及
所述物联网连接管理平台根据所述物联网应用平台的身份隐私信息生成所述物联网应用平台的身份认证私钥和平台身份标识，并将所述物联网应用平台的身份认证私钥和平台身份标识发送到所述物联网应用平台。


7.一种物联网终端，包括：
物联网卡，用于存储物联网终端的当前国际移动用户识别码IMSI；以及
通信模组，用于从所述物联网卡获取当前IMSI，在所述物联网终端的设备身份信息不存在或者所述物联网终端的IMSI发生变化的情况下，将所述当前IMSI发送给物联网连接管理平台；
其中，所述物联网连接管理平台根据所述当前IMSI查询所述物联网终端的物联网卡码号，根据所述物联网卡码号生成所述物联网终端的身份认证私钥，并将所述物联网终端的身份认证私钥发送到所述物联网终端。


8.根据权利要求7所述的物联网终端，其中，
所述物联网终端还包括：主控制器，用于在所述物联网终端上电后调用所述通信模组进行安全初始化。
...

【专利技术属性】
技术研发人员：张学智，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京;11