物联网安全认证方法及设备技术

本发明专利技术实施例提供一种物联网安全认证方法及设备，该方法包括：向物联网云平台发送平台认证请求消息；接收所述物联网云平台发送的所述物联网云平台的平台证书和平台根证书；通过运行于所述eUICC中的第一应用判断所述平台根证书与设备根证书的证书签发机构是否相同，若相同，则使用所述设备根证书对所述平台证书进行校验，若校验通过，则确定所述物联网云平台为可信平台；向所述物联网云平台发送设备认证请求消息，所述设备认证请求消息用于请求由所述物联网云平台对所述物联网设备进行认证，实现了物联网设备和物联网云平台之间的双向安全认证，形成了证书的信任链，极大的保证了物联网云平台和物联网设备的可信来源，从而提高了安全性。高了安全性。高了安全性。

【技术实现步骤摘要】
物联网安全认证方法及设备


[0001]本专利技术涉及物联网
，具体涉及一种物联网安全认证方法及设备。

技术介绍

[0002]物联网（Internet of things，IoT）是继计算机、互联网之后世界信息产业发展的第三次浪潮，是新一代信息技术的重要组成部分，其通过智能感知、识别技术与普适计算等技术构建物物相连的互联网。物联网设备依赖于移动运营商提供的无线蜂窝网络进行互联。随着嵌入式通用集成电路卡(embedded Universal Integrated Circuit Card，eUICC)技术的发展，支持远程码号（Profile）下载及网络鉴权功能，即支持嵌入式用户识别模块（embedded Subscriber Identity Module，eSIM）的eUICC已逐渐应用于物联网设备中。
[0003]随着用户安全意识的不断提高，越来越多的物联网应用场景的安全需求也变得越来越高。如在智能家居、智能门锁、车联网等应用场景中，物联网设备既要支持eSIM，又要能够完成安全认证。目前物联网设备利用eUICC开放的加解密算法的接口进行物联网设备与物联网云平台之间的安全认证，但是无法验证物联网云平台和物联网设备的可信来源，安全性有待提高。

技术实现思路

[0004]本专利技术实施例提供一种物联网安全认证方法及设备，用以解决现有物联网安全认证方法由于无法验证物联网云平台和物联网设备的可信来源，而导致的安全性低的问题。
[0005]根据第一方面，本专利技术实施例提供一种物联网安全认证方法，应用于物联网设备，所述物联网设备包括嵌入式通用集成电路卡eUICC，所述eUICC的安全存储区域包括相互隔离的第一存储区域和第二存储区域，所述eUICC的应用层包括相互隔离的第一应用和第二应用，所述第一存储区域用于存储所述物联网设备的设备证书和设备私钥，所述第一应用用于根据所述第一存储区域存储的设备证书和设备私钥进行安全认证，所述第二存储区域用于存储嵌入式用户识别模块eSIM相关信息，所述第二应用用于根据所述第二存储区域存储的eSIM相关信息连接网络；所述方法包括：向物联网云平台发送平台认证请求消息，所述平台认证请求消息用于请求由所述物联网设备对所述物联网云平台进行认证；接收所述物联网云平台发送的所述物联网云平台的平台证书和平台根证书；通过运行于所述eUICC中的第一应用判断所述平台根证书与设备根证书的证书签发机构是否相同，若不相同，则终止认证过程，若相同，则使用所述设备根证书对所述平台证书进行校验，若检验不通过，则终止认证过程，若校验通过，则确定所述物联网云平台为可信平台；向所述物联网云平台发送设备认证请求消息，所述设备认证请求消息包括所述物联网设备的设备证书，所述设备认证请求消息用于请求由所述物联网云平台对所述物联网设备
进行认证。
[0006]可选的，所述方法还包括：接收所述物联网云平台发送的会话请求消息，所述会话请求消息包括随机数密文；通过运行于所述eUICC中的第一应用根据所述设备私钥和平台公钥采用密钥协商算法生成设备侧会话密钥，采用所述设备侧会话密钥对所述随机数密文进行解密，获取随机数明文，将所述随机数明文与所述物联网设备的标识信息进行拼接，采用所述设备侧会话密钥对拼接后的信息进行加密，生成标识信息密文，所述平台公钥从校验通过的所述平台证书中获得；向所述物联网云平台发送会话应答消息，所述会话应答消息包括所述标识信息密文。
[0007]可选的，所述方法还包括：采用所述设备侧会话密钥对待传递的数据进行加密，将加密后的数据发送至所述物联网云平台。
[0008]可选的，所述密钥协商算法包括椭圆曲线密钥协商算法和RSA算法。
[0009]根据第二方面，本专利技术实施例提供一种物联网安全认证方法，应用于物联网云平台，所述物联网云平台作为证书签发机构，用于签发平台证书和设备证书；所述方法包括：接收物联网设备发送的平台认证请求消息，所述平台认证请求消息用于请求由所述物联网设备对所述物联网云平台进行认证；根据所述平台认证请求消息向所述物联网设备发送所述物联网云平台的平台证书和平台根证书；接收所述物联网设备发送的设备认证请求消息，所述设备认证请求消息包括所述物联网设备的设备证书，所述设备认证请求消息用于请求由所述物联网云平台对所述物联网设备进行认证；判断所述平台根证书与所述设备证书的证书签发机构是否相同，若不相同，则终止认证过程，若相同，则使用所述平台根证书对所述设备证书进行校验，若检验不通过，则终止认证过程，若校验通过，则确定所述物联网设备为可信设备。
[0010]可选的，在确定所述物联网设备为可信设备之后，所述方法还包括：根据所述物联网云平台的平台私钥和所述物联网设备的设备公钥采用密钥协商算法生成平台侧会话密钥，所述设备公钥从校验通过的所述设备证书中获得；生成随机数，采用所述平台侧会话密钥对所述随机数进行加密，生成随机数密文；向所述物联网设备发送会话请求消息，所述会话请求消息包括所述随机数密文；接收所述物联网设备发送的会话应答消息，所述会话应答消息包括标识信息密文；采用所述平台侧会话密钥对所述标识信息密文进行解密，获取所述标识信息密文携带的随机数和标识信息；若所述标识信息密文携带的随机数与所述物联网云平台生成的随机数相同，且所述标识信息密文携带的标识信息与所述物联网云平台已导入的设备标识信息相匹配，则完成对所述物联网设备的安全认证。
[0011]可选的，所述方法还包括：采用所述平台侧会话密钥对待传递的数据进行加密，将加密后的数据发送至所述物联网设备。
[0012]第三方面，本专利技术实施例提供一种物联网设备，包括：嵌入式通用集成电路卡
eUICC、至少一个处理器和存储器；所述eUICC的安全存储区域包括相互隔离的第一存储区域和第二存储区域，所述eUICC的应用层包括相互隔离的第一应用和第二应用，所述第一存储区域用于存储所述物联网设备的设备证书和设备私钥，所述第一应用用于根据所述第一存储区域存储的设备证书和设备私钥进行安全认证，所述第二存储区域用于存储嵌入式用户识别模块eSIM相关信息，所述第二应用用于根据所述第二存储区域存储的eSIM相关信息连接网络；所述存储器存储计算机执行指令；所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如第一方面任一项所述的物联网安全认证方法。
[0013]第四方面，本专利技术实施例提供一种物联网云平台，包括：至少一个处理器和存储器；所述存储器存储计算机执行指令；所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如第二方面任一项所述的物联网安全认证方法。
[0014]第五方面，本专利技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现如第一方面和第二方面任一项所述的物联网安全认证方法。
[0015]本专利技术实施例提供的物联网安全认证方法及设备，物联网设备包括嵌入式通用集成电路卡eUICC，eUICC的安全存储区域包括本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种物联网安全认证方法，应用于物联网设备，其特征在于，所述物联网设备包括嵌入式通用集成电路卡eUICC，所述eUICC的安全存储区域包括相互隔离的第一存储区域和第二存储区域，所述eUICC的应用层包括相互隔离的第一应用和第二应用，所述第一存储区域用于存储所述物联网设备的设备证书和设备私钥，所述第一应用用于根据所述第一存储区域存储的设备证书和设备私钥进行安全认证，所述第二存储区域用于存储嵌入式用户识别模块eSIM相关信息，所述第二应用用于根据所述第二存储区域存储的eSIM相关信息连接网络；所述方法包括：向物联网云平台发送平台认证请求消息，所述平台认证请求消息用于请求由所述物联网设备对所述物联网云平台进行认证；接收所述物联网云平台发送的所述物联网云平台的平台证书和平台根证书；通过运行于所述eUICC中的第一应用判断所述平台根证书与设备根证书的证书签发机构是否相同，若不相同，则终止认证过程，若相同，则使用所述设备根证书对所述平台证书进行校验，若检验不通过，则终止认证过程，若校验通过，则确定所述物联网云平台为可信平台；向所述物联网云平台发送设备认证请求消息，所述设备认证请求消息包括所述物联网设备的设备证书，所述设备认证请求消息用于请求由所述物联网云平台对所述物联网设备进行认证。2.如权利要求1所述的方法，其特征在于，所述方法还包括：接收所述物联网云平台发送的会话请求消息，所述会话请求消息包括随机数密文；通过运行于所述eUICC中的第一应用根据所述设备私钥和平台公钥采用密钥协商算法生成设备侧会话密钥，采用所述设备侧会话密钥对所述随机数密文进行解密，获取随机数明文，将所述随机数明文与所述物联网设备的标识信息进行拼接，采用所述设备侧会话密钥对拼接后的信息进行加密，生成标识信息密文，所述平台公钥从校验通过的所述平台证书中获得；向所述物联网云平台发送会话应答消息，所述会话应答消息包括所述标识信息密文。3.如权利要求2所述的方法，其特征在于，所述方法还包括：采用所述设备侧会话密钥对待传递的数据进行加密，将加密后的数据发送至所述物联网云平台。4.如权利要求2或3任一项所述的方法，其特征在于，所述密钥协商算法包括椭圆曲线密钥协商算法和RSA算法。5.一种物联网安全认证方法，应用于物联网云平台，其特征在于，所述物联网云平台作为证书签发机构，用于签发平台证书和设备证书；所述方法包括：接收物联网设备发送的平台认证请求消息，所述平台认证请求消息用于请求由所述物联网设备对所述物联网云平台进行认证；根据所述平台认证请求消息向所述物联网设备发送所述物联网云平台的平台证书和平台根证书；接收所述物联网设备发送的设备认证请求消息，所述设备...

【专利技术属性】
技术研发人员：金辉，陈晓波，
申请(专利权)人：深圳杰睿联科技有限公司，
类型：发明
国别省市：