一种物联网设备防克隆结构与方法技术

本发明专利技术涉及一种物联网设备防克隆结构与方法。该结构包括相互连接的终端设备、设备管理系统和业务管理系统。该方法包括将初次使用的终端设备和设备管理系统建立连接，对所述终端设备进行设备激活，生成激活码；设备激活成功后，将激活后的终端设备与业务管理系统进行双向设备认证，并更新激活码；设备认证成功后，将终端设备与业务系统进行数据交互，并更新激活码；数据交互成功后，得到设备防克隆及被克隆后的终端设备，对终端设备进行恢复。本发明专利技术能够解决物联网设备防克隆能力差、被克隆后没有有效应对措施的问题。有有效应对措施的问题。有有效应对措施的问题。

【技术实现步骤摘要】
一种物联网设备防克隆结构与方法


[0001]本专利技术涉及物联网安全应用领域，特别是涉及一种物联网设备防克隆结构与方法。

技术介绍

[0002]随着物联网的不断发展，物联网设备的数据信息被盗用的风险也逐渐增大，故有必要提供一种物联网设备防克隆的方法来防范这种风险。现有的设备防克隆技术中，常用的方案是使用基于安全芯片的终端设备安全加密装置。该装置拥有独立的处理器和存储单元，可存储密钥和特征数据，为设备提供加密和安全认证服务，具有安全性强、接口丰富、加解密速度快、功耗低、性价比高的优点。其具体细节如下：
[0003]安全芯片加密装置包括主控制器、加密芯片、通信单元和信号指示单元；所述主控制器通过通信单元分别连接终端设备和主站，实现与终端设备和主站之间的数据传输；所述加密芯片内嵌在安全芯片加密装置内，加密芯片上集成加密算法和通讯模块，所述加密算法分别对终端设备和主站输入的数据进行加密和解密，所述通讯模块用于数据的传输；所述信号指示单元与主控制器之间信号连接，对终端设备和主站之间双向认证的结果进行提示。
[0004]数据下发时，主站通过预装的私钥对报文进行签名得到数字签名，再使用密钥对数字签名进行加密，再将加密后的数字签名加载在报文和时间戳中，通过通信单元发送给安全芯片加密装置；安全芯片加密装置使用密钥对收到的报文进行解密，先使用公钥验证签名，判断报文的合法性，如果不合法，就丢弃报文；然后安全芯片加密装置将解密后的明文发送给终端设备。
[0005]数据上报时，数据从终端设备发出，经过安全芯片加密装置中的加密芯片对数据进行加密处理，加密后的数据经由数据网送给主站，主站通过其内置的软件对所接收的数据进行解密。
[0006]虽然使用基于安全芯片的终端设备可以初步实现设备防克隆的需求，但该方案存在以下问题亟待解决：
[0007]1)小型设备使用安全芯片的成本太高，单个物联网设备的价值较低，对于小型设备而言使用安全芯片的成本太高，这使其不能很好的应用于实际物联网设备中，因此物联网设备防克隆能力差。
[0008]2)终端设备被克隆后，没有有效的监测机制与应对机制。

技术实现思路

[0009]针对上述问题，本专利技术的目的是提供一种物联网设备防克隆结构与方法，能够解决物联网设备防克隆能力差、被克隆后没有有效应对措施的问题。
[0010]为实现上述目的，本专利技术提供了如下方案：
[0011]一种物联网设备防克隆结构，包括相互连接的终端设备、设备管理系统和业务管
理系统；所述终端设备用于预置设备端公私钥对、设备端证书和CA根证书；所述设备管理系统用于预置设备管理系统公私钥对、设备管理系统证书和CA根证书；所述业务管理系统用于预置业务端公私钥对、业务端证书和CA根证书。
[0012]一种物联网设备防克隆方法，包括：
[0013]将初次使用的终端设备和设备管理系统建立连接，对所述终端设备进行设备激活，生成激活码；
[0014]设备激活成功后，将激活后的终端设备与业务管理系统进行双向设备认证，并更新激活码；
[0015]设备认证成功后，将所述终端设备与所述业务管理系统进行数据交互，并更新激活码；
[0016]数据交互成功后，得到设备防克隆及被克隆后的终端设备，对所述设备防克隆及被克隆后的终端设备进行恢复。
[0017]可选地，在所述设备认证成功后，将所述终端设备与所述业务管理系统进行数据交互，并更新激活码之前，还包括：
[0018]对更新后的激活码进行校验。
[0019]可选地，所述将初次使用的终端设备和设备管理系统建立连接，对所述终端设备进行设备激活，生成激活码，具体包括：
[0020]将终端设备与设备管理系统建立连接，双方生成随机数并交换；
[0021]获取设备端ID、设备端证书、初始激活码和设备端证书；
[0022]在所述终端设备中，对接收到的随机数签名，得到第一随机数签名值；将所述第一随机数签名值、所述设备端ID、所述设备端证书和所述初始激活码打包发送至所述设备管理系统；
[0023]在所述设备管理系统中，对所述设备端证书和所述第一随机数签名值验签，验签通过后，保存设备端证书，使用设备管理系统公钥对接收到的随机数进行签名操作，得到第二随机数签名值；使用随机数生成器产生一个随机数作为新激活码，并将所述设备端ID、所述新激活码、所述设备管理系统证书和所述第二随机数签名值打包发送至所述终端设备，同时将所述设备端ID及所述新激活码发送至所述业务管理系统；
[0024]在所述终端设备中，对所述设备管理系统证书和所述第二随机数签名值进行验签，验签通过后激活成功，并将初始激活码替换为新激活码。
[0025]可选地，所述设备激活成功后，将激活后的终端设备与业务管理系统进行双向设备认证，并更新激活码，具体包括：
[0026]对终端设备与业务管理系统建立连接，双方生成随机数并交换；
[0027]获取设备端ID、设备端证书、激活码和业务管理系统证书；
[0028]在所述终端设备中，使用私钥对接收到的随机数签名，得到第三随机数签名值，将所述第三随机数签名值、所述设备端ID、所述设备端证书和所述激活码打包发送至所述业务管理系统；
[0029]在所述业务管理系统中，对所述设备端证书和所述第三随机数签名值进行验签；验签通过后，保存设备端证书，使用所述业务管理系统私钥对接收到的随机数签名，得到第四随机数签名值，并产生一个随机数作为新激活码；将所述设备端ID、所述新激活码、所述
业务管理系统证书、所述第四随机数签名值打包发送至所述终端设备；
[0030]在所述终端设备中，对所述业务管理系统证书和所述第四随机数签名值进行验签，验签通过后认证成功，并将旧激活码替换为新激活码。
[0031]可选地，所述设备认证成功后，将所述终端设备与所述业务管理系统进行数据交互，并更新激活码，具体包括：
[0032]在所述终端设备中，产生一个随机数并进行签名，得到第五随机数签名值；
[0033]获取随机数原文、设备端ID、激活码和数据密文；
[0034]将所述第五随机数签名值、所述随机数原文、所述设备端ID、所述激活码和所述数据密文打包发送至所述业务管理系统；
[0035]在所述业务管理系统中，使用设备端公钥对所述第五随机数签名值进行验签，验签通过后，对所述设备端ID和所述激活码进行校验，校验通过后得到加密数据，调用密码模块对所述加密数据进行解密得到明文数据；产生一个随机数作为新激活码，对所述明文数据和所述新激活码进行加密得到密文，将所述密文发送至终端设备；
[0036]在所述终端设备中，对所述密文进行解密并保存激活码。
[0037]可选地，所述数据交互成功后，得到设备防克隆及被克隆后的终端设备，对所述设备防克隆及被克隆后的终端设备进行恢复，具体包括：
[0038]当业务管理系统发现终端设备通过验签认证，但激活码校验失败时，拒绝接本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种物联网设备防克隆结构，其特征在于，包括相互连接的终端设备、设备管理系统和业务管理系统；所述终端设备用于预置设备端公私钥对、设备端证书和CA根证书；所述设备管理系统用于预置设备管理系统公私钥对、设备管理系统证书和CA根证书；所述业务管理系统用于预置业务端公私钥对、业务端证书和CA根证书。2.一种基于权利要求1所述的结构的物联网设备防克隆方法，其特征在于，包括：将初次使用的终端设备和设备管理系统建立连接，对所述终端设备进行设备激活，生成激活码；设备激活成功后，将激活后的终端设备与业务管理系统进行双向设备认证，并更新激活码；设备认证成功后，将所述终端设备与所述业务管理系统进行数据交互，并更新激活码；数据交互成功后，得到设备防克隆及被克隆后的终端设备，对所述设备防克隆及被克隆后的终端设备进行恢复。3.根据权利要求2所述的物联网设备防克隆方法，其特征在于，在所述设备认证成功后，将所述终端设备与所述业务管理系统进行数据交互，并更新激活码之前，还包括：对更新后的激活码进行校验。4.根据权利要求2所述的物联网设备防克隆方法，其特征在于，所述将初次使用的终端设备和设备管理系统建立连接，对所述终端设备进行设备激活，生成激活码，具体包括：将终端设备与设备管理系统建立连接，双方生成随机数并交换；获取设备端ID、设备端证书、初始激活码和设备端证书；在所述终端设备中，对接收到的随机数签名，得到第一随机数签名值；将所述第一随机数签名值、所述设备端ID、所述设备端证书和所述初始激活码打包发送至所述设备管理系统；在所述设备管理系统中，对所述设备端证书和所述第一随机数签名值验签，验签通过后，保存所述设备端证书，使用设备管理系统公钥对接收到的随机数进行签名操作，得到第二随机数签名值；使用随机数生成器产生一个随机数作为新激活码，并将所述设备端ID、所述新激活码、所述设备管理系统证书和所述第二随机数签名值打包发送至所述终端设备，同时将所述设备端ID及所述新激活码发送至所述业务管理系统；在所述终端设备中，对所述设备管理系统证书和所述第二随机数签名值进行验签，验签通过后激活成功，并将初始激活码替换为新激活码。5.根据权利要求2所述的物联网设备防克隆方法，其特征在于，所述设...

【专利技术属性】
技术研发人员：崔军，刘琦，林志贵，栗晓东，李忠献，朱勋，栗李川，张德强，
申请(专利权)人：天津灵创智恒软件技术有限公司，
类型：发明
国别省市：