【技术实现步骤摘要】
本申请涉及安全,尤其涉及一种设备安全认证方法、设备、设备身份认证平台、存储介质。
技术介绍
1、在车路云一体化场景中,车端和路端需要与云端建立安全的消息传输通道,用于端侧数据的上报以及云端指令的下发。例如,车端上的设备和云端交互频繁,通常的场景在于设备会将车和路的数据上报到云端做事件分析,云端会向设备下发控制指令和路径规划来指导自动驾驶。
2、在现有的直接连接传输模式中,缺乏设备和云端的身份认证,攻击者便可伪造任意一端与对端进行通信,可伪造设备端上报异常出具,也可伪造云端下发控车指令,最终会导致数据泄露,功能受到影响,甚至影响车辆正常行驶。
3、因此需要在通信链路建立之前,进行双向身份认证,即端认证云端身份,云端认证端身份,以此保障接入的安全性。
技术实现思路
1、为了解决上述技术缺陷之一,本申请提供了一种设备安全认证方法、设备、设备身份认证平台、存储介质。
2、本申请第一个方面,提供了一种设备安全认证方法,该方法应用于设备;该方法包括:
3、向业务平台发送认证请求,认证请求中包括设备的指纹device_id和设备的证书device_cert,以使业务平台向设备身份认证平台发送device_id和device_cert,并获取设备身份认证平台对device_id和device_cert的合法性验证结果,向设备返回合法性验证结果;
4、接收业务平台返回的合法性验证结果;
5、其中,device_id和device
6、可选地,若设备的硬件安全能力为高安全级别,则设备的空中下载ota包中包括设备所属产品线的指纹product_id和设备所属产品线的密钥product_secret,且设备的电可编程只读存储器efuse被烧写device_id和设备的私钥device_priv_key;
7、若设备的硬件安全能力为中安全级别,则设备的efuse被烧写product_id和product_secret;
8、若设备的硬件安全能力为低安全级别,则设备的ota包中包括product_id和product_secret;
9、其中,product_id,product_secret和device_priv_key由设备身份认证平台生成。
10、可选地,向业务平台发送认证请求之前,还包括:激活过程;
11、该激活过程,具体包括:
12、若设备的硬件安全能力为高安全级别,则从efuse中读取device_id;若设备的硬件安全能力为中安全级别,或者,设备的硬件安全能力为低安全级别,则根据device_sn、product_id和product_secret生成device_id;
13、生成激活请求,激活请求包括product_id和通过product_secret加密的device_sn,device_id;
14、向设备身份认证平台发送激活请求,以使设备身份认证平台根据product_id确定product_secret,通过确定的product_secret解密出device_sn和device_id,对解密出的device_id进行校验,在校验通过后,根据解密出的device_sn生成激活参数,向设备反馈激活参数;
15、接收设备身份认证平台反馈的激活参数;
16、其中,若设备的硬件安全能力为高安全级别,则激活参数包括device_cert和根证书root_cert;若设备的硬件安全能力为中安全级别,或者,设备的硬件安全能力为低安全级别,则激活参数包括device_cert,root_cert和device_priv_key。
17、可选地,接收设备身份认证平台反馈的激活参数之后,还包括:
18、若设备的硬件安全能力为高安全级别,则从efuse中读取device_id;若设备的硬件安全能力为中安全级别,或者,设备的硬件安全能力为低安全级别,则根据device_sn、product_id和product_secret生成device_id;
19、生成更新请求,更新请求包括product_id和通过product_secret加密的device_id;
20、向设备身份认证平台发送更新请求,以使设备身份认证平台根据product_id确定product_secret,通过确定的product_secret解密出device_id,对解密出的device_id进行校验,在校验通过后,反馈更新的device_cert;
21、接收设备身份认证平台反馈的更新的device_cert;
22、将当前的device_cert更新为更新的device_cert。
23、本申请第二个方面,提供了一种设备安全认证方法,该方法应用于设备身份认证平台;该方法包括:
24、获取业务平台发送的设备的指纹device_id和设备的证书device_cert;其中,device_id和device_cert是由设备通过认证请求发送至业务平台的;
25、验证device_id的合法性;
26、在验证device_id合法后,根据device_id验证device_cert的合法性;
27、若验证device_cert合法,则生成验证合法的合法性验证结果;若验证device_id不合法,或者,验证device_cert不合法,则生成验证不合法的合法性验证结果;
28、向业务平台发送合法性验证结果,以使业务平台将合法性验证结果返回至设备。
29、可选地,获取业务平台发送的设备的指纹device_id和设备的证书device_cert之前,还包括:
30、生成设备所属产品线的指纹product_id和设备所属产品线的密钥product_secret;
31、获取设备的序列号device_sn后,根据device_sn生成device_id、device_cert和设备的私钥device_priv_key;
32、若所述设备的硬件安全能力为中安全级别,则所述product_id和所述product_secret被烧写至所述设备的电可编程只读存储器efuse;若所述设备的硬件安全能力为低安全级别,则所述product_id和所述product_secret被放入所述设备的空中下载ota包中;若所述设备的硬件安全能力为高安全级别,则所述device_id和所述device_priv_key被烧写至所述设备的efuse,且所述product_id和所述product_secret被放入所述设备的ota包中。
33、可选地,根据dev本文档来自技高网...
【技术保护点】
1.一种设备安全认证方法,其特征在于,所述方法应用于设备;
2.根据权利要求1所述的方法,其特征在于,若所述设备的硬件安全能力为高安全级别,则所述设备的空中下载OTA包中包括所述设备所属产品线的指纹product_id和所述设备所属产品线的密钥product_secret,且所述设备的电可编程只读存储器EFUSE被烧写device_id和所述设备的私钥device_priv_key;
3.根据权利要求2所述的方法,其特征在于,所述向业务平台发送认证请求之前,还包括:激活过程;
4.根据权利要求3所述的方法,其特征在于,所述接收所述设备身份认证平台反馈的激活参数之后,还包括:
5.一种设备安全认证方法,其特征在于,所述方法应用于设备身份认证平台;
6.根据权利要求5所述的方法,其特征在于,所述获取业务平台发送的设备的指纹device_id和所述设备的证书device_cert之前,还包括:
7.根据权利要求6所述的方法,其特征在于,所述根据所述device_SN生成device_id、device_cert和所
8.根据权利要求7所述的方法,其特征在于,所述向该设备反馈所述激活参数之后,还包括:
9.一种设备,其特征在于,所述设备包括:
10.一种设备身份认证平台,其特征在于,所述设备身份认证平台包括:
11.一种电子设备,其特征在于,包括:
12.一种计算机可读存储介质,其特征在于,其上存储有计算机程序;所述计算机程序被处理器执行以实现如权利要求1-4或5-8任一项所述的方法。
...【技术特征摘要】
1.一种设备安全认证方法,其特征在于,所述方法应用于设备;
2.根据权利要求1所述的方法,其特征在于,若所述设备的硬件安全能力为高安全级别,则所述设备的空中下载ota包中包括所述设备所属产品线的指纹product_id和所述设备所属产品线的密钥product_secret,且所述设备的电可编程只读存储器efuse被烧写device_id和所述设备的私钥device_priv_key;
3.根据权利要求2所述的方法,其特征在于,所述向业务平台发送认证请求之前,还包括:激活过程;
4.根据权利要求3所述的方法,其特征在于,所述接收所述设备身份认证平台反馈的激活参数之后,还包括:
5.一种设备安全认证方法,其特征在于,所述方法应用于设备身份认证平台;
6.根据权利要求5所述的方法,...
【专利技术属性】
技术研发人员:曲乐炜,郭杏荣,何建章,
申请(专利权)人:智道网联科技北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。