2. 技术
  3. 配置密钥的方法、装置、设备和系统与流程

配置密钥的方法、装置、设备和系统与流程

xiaoxiao23天前  17

本技术涉及物联网,特别涉及一种配置密钥的方法、装置、设备和系统。


背景技术:

1、物联网技术在日常生活中的应用越来越广泛,在物联网技术中传感器、摄像头等各种终端会频繁向服务器发送业务数据。服务器在接收到终端发送的业务数据时,需要对终端进行身份验证,验证通过后才会处理业务数据。

2、相关技术中基于数字证书(certificate)进行身份认证。服务器和终端都具有对应的certificate,certificate一般都是由服务器生成,并导入至相应的终端。服务器与终端之间通过certificate进行数据加密和身份认证。

3、采用相关技术中的方法对进行身份认证,需要在终端上预先导入部署certificate。由于certificate数据量较大、处理过程复杂并且物联网中的终端的硬件性能较差,导致certificate占用终端大量的设备资源,影响正常业务的处理。


技术实现思路

1、本技术实施例提供了一种配置密钥的方法、装置、设备和系统,能够解决相关技术的问题。技术方案如下:

2、第一方面,提供了一种配置密钥的方法。该方法可以由物联网系统中的第一分布式网关执行,物联网系统可以包括第一分布式网关和第二分布式网关,第一分布式网关中包含第一密钥。第一分布式网关接收第一终端发送的用于获取第二密钥的请求,然后可以基于第一密钥生成第二密钥并发送至第一终端,其中,第二密钥用于对第一终端进行身份认证,第一终端连接第一分布式网关。

3、本技术实施例所示的方案,第一密钥可以是预共享密钥(pre-shared key,psk)加密密钥,第一密钥是多个终端共享的,第二密钥可以是加密后的psk。第一终端确定本地不存在未过期的第二密钥后,可以向第一分布式网关发送用于获取第二密钥的请求,该请求可以称为密钥获取请求,也可以称为终端问候(clienthello)请求,clienthello请求中可以不封装共享密钥拓展(clenthello.keyshare extension)字段。第一终端确定本地存在未过期的第二密钥后,可以向第一分布式网关发送用于重新获取第二密钥的clienthello请求,clienthello请求中可以封装clenthello.keyshare extension字段,clenthello.keyshare extension字段中可以包含未过期的第二密钥。

4、采用上述方案,由分布式网关为终端配置密钥可以减轻服务器的处理压力,使用加密后的psk对终端进行身份认证,无需存储数字证书的大量相关数据,也无需进行数字证书相关的复杂处理,可以减少终端设备资源的占用,降低对终端正常业务的处理的影响。

5、在一种可能实现方式中,第一终端可以是连接第一分布式网关中的任一个。

6、本技术实施例所示的方案,同一分布式网关连接的所有终端可以共享一个psk加密密钥。

7、采用上述方案,可以节约分布式网关的存储资源。

8、在一种可能实现方式中,第一分布式网关还可以包括第三密钥,第三密钥用于生成第四密钥,第四密钥用于对第二终端进行身份认证,第二终端连接第一分布式网关,第二终端与第一终端属于不同的终端组。

9、本技术实施例所示的方案,可以将每个分布式网关连接的终端按照一定规则划分为多个终端组,同一终端组内的终端可以共享一个psk加密密钥。

10、采用上述方案,将终端按照一定规则分为多个终端组,便于对终端的密钥进行管理,也可以节约分布式网关的存储资源。

11、在一种可能实现方式中,第二分布式网关可以包括第三密钥,第三密钥用于生成第四密钥,第三密钥不同于第一密钥。

12、本技术实施例所示的方案,不同分布式网关连接的终端可以对应不同的psk加密密钥。

13、采用上述方案,可以提高分布式网关配置密钥的安全性。

14、在一种可能实现方式中,第二分布式网关可以包括第三密钥,第三密钥用于生成第四密钥,第一密钥与第三密钥相同,第四密钥用于对第二终端进行身份认证,第二终端连接第二分布式网关,第一分布式网关与第二分布式网关可以属于同一个网关组。

15、本技术实施例所示的方案,可以将多个分布式网关按照一定规则划分为多个网关组,划分规则可以为分布式网关连接的终端的位置、设备类型等等,每个网关组内的分布式网关连接的终端共享一个psk加密密钥。

16、采用上述方案,将分布式网关按照一定规则分为多个网关组,便于对网关进行管理,同一网关组连接的终端共享一个psk加密密钥,可以节约分布式网关的存储资源。

17、在一种可能实现方式中,第二终端与第一终端可以属于不同的终端组,划分终端组的规则可以为第一终端与第二终端位于不同的区域,或,第一终端与第二终端的设备类型不同。

18、采用上述方案,将终端按照区域或设备类型分为多个终端组,便于对终端进行管理。

19、在一种可能实现方式中,第一分布式网关还可以向连接的服务器发送用于获取第一密钥的请求,然后接收并存储服务器发送的第一密钥。

20、本技术实施例所示的方案,在第一终端接入第一分布式网关之前,或第一分布式网关确定终端标识名单中包括第一终端的标识之后,第一分布式网关可以向连接的服务器发送用于获取第一密钥的请求,该请求也可以称为psk加密密钥获取请求,该请求中可以携带有第一分布式网关的标识。

21、采用上述方案,服务器只需生成psk加密密钥,配置密钥的主要流程由分布式网关执行,可以减轻服务器的处理压力。

22、在一种可能实现方式中,第一分布式网关向第一终端发送第二密钥之前,第一分布式网关还可以与第一终端进行密钥协商,生成会话密钥,其中,会话密钥用于对会话消息加密。

23、本技术实施例所示的方案,会话密钥可以使用迪菲-赫尔曼(diffie-hellman,dh)算法、椭圆曲线迪菲-赫尔曼(elliptic curve diffie-hellman ephemeral,ecdhe)算法或李维斯特-沙米尔-阿德曼(rivest-shamir-adleman,rsa)算法等密钥协商算法生成。

24、采用上述方案,通过密钥协商生成会话密钥可以保证安全性的同时简化处理过程,减少设备资源占用。

25、在一种可能实现方式中,第一分布式网关可以基于会话密钥对第二密钥进行加密,得到加密的第二密钥并发送至第一终端。

26、本技术实施例所示的方案,第一分布式网关用会话密钥对新会话票据(newsession ticket)消息的载荷(payload)进行加密,payload中包括第二密钥,向第一终端发送new session ticket消息。

27、采用上述方案,可以保证配置密钥过程中会话消息的安全性。

28、在一种可能实现方式中,用于获取第二密钥的请求中可以携带有第一终端的标识。

29、本技术实施例所示的方案,第一分布式网关在接收到第一终端的密钥获取请求之后,可以获取密钥获取请求中携带的第一终端的标识。然后确定该标识是否在终端标识名单中,终端标识名单可以包括所有新接入第一分布式网关的终端的标识,该名单可以在终端接入第一分布式网关之前预先存储,也可以为终端接入第一分布式网关后由安装人员上传。若确定终端标识名单中包括第一终端的标识,则继续配置密钥,否则停止配置密钥,向第一终端发送配置密钥失败(eap-failure)消息。

30、采用上述方案,对终端进行身份认证,防止未认证设备获取配置密钥的相关信息。

31、第二方面,提供了一种配置密钥的方法。该方法可以由物联网系统中的服务器执行,物联网系统包括服务器、第一分布式网关和第二分布式网关。服务器接收第一分布式网关发送的用于获取第一密钥的请求,然后向第一分布式网关发送第一密钥,其中,第一密钥用于为第一终端生成第二密钥,第二密钥用于对第一终端进行身份认证,第一终端连接第一分布式网关。

32、本技术实施例所示的方案,第一密钥可以由服务器预先生成并存储,也可以在接收到psk加密密钥获取请求之后生成,第一密钥可以使用对称加密算法或非对称加密算法生成。

33、采用上述方案,服务器只需生成psk加密密钥,配置密钥的主要流程由分布式网关执行,可以减轻服务器的处理压力,使用加密后的psk对终端进行身份认证,无需存储数字证书的大量相关数据,也无需进行数字证书相关的复杂处理,可以减少终端设备资源的占用,降低对终端正常业务的处理的影响。

34、在一种可能实现方式中,服务器还可以向第一分布式网关发送第三密钥,其中,第三密钥用于生成第四密钥,第四密钥用于对第二终端进行身份认证,第二终端连接第一分布式网关,第二终端与第一终端属于不同的终端组。

35、本技术实施例所示的方案,终端组的划分规则可以由服务器确定。服务器可以为第一分布式网关内每个终端组分别生成一个psk加密密钥,服务器中也可以预先生成并存储多个psk加密密钥,可以在多个psk加密密钥中随机为每个终端组分配一个psk加密密钥。为第一分布式网关连接的终端组分配psk加密密钥后,服务器可以向第一分布式网关发送多个psk加密密钥,多个psk加密密钥中包括第一密钥,服务器还可以将每个psk加密密钥与终端组的对应关系发送至第一分布式网关。

36、采用上述方案,将终端按照一定规则分为多个终端组,便于对终端进行管理。

37、在一种可能实现方式中,服务器还可以接收第二分布式网关发送的用于获取第三密钥的请求,向第二分布式网关发送第三密钥,其中,第三密钥用于生成第四密钥,第一密钥与第三密钥相同,第四密钥用于对第二终端进行身份认证,第二终端连接第二分布式网关,第一分布式网关与第二分布式网关属于同一个网关组。

38、本技术实施例所示的方案,网关组的划分规则可以由服务器确定。服务器可以为每个网关组分别生成一个psk加密密钥,服务器中也可以预先生成并存储多个psk加密密钥,可以在多个psk加密密钥中随机为每个网关组分配一个psk加密密钥。为网关组分配psk加密密钥后,服务器可以向分布式网关发送psk加密密钥。

39、采用上述方案,将分布式网关按照一定规则分为多个网关组,便于对网关进行管理。

40、在一种可能实现方式中,服务器还可以接收第二分布式网关发送的用于获取第三密钥的请求,向第二分布式网关发送第三密钥,其中,第三密钥用于生成第四密钥,第三密钥不同于第一密钥,第四密钥用于对第二终端进行身份认证,第二终端连接第二分布式网关。

41、本技术实施例所示的方案,服务器可以生成一个psk加密密钥作为第三密钥,服务器中也可以预先生成并存储多个psk加密密钥,在多个psk加密密钥中随机分配一个psk加密密钥作为第三密钥,还可以将每个psk加密密钥与一个预先分配的分布式网关的标识对应存储,当接收到用于获取第三密钥的请求后,根据携带的标识确定对应的psk加密密钥作为第三密钥。

42、采用上述方案,可以提高分布式网关配置密钥的安全性。

43、第三方面,提供了一种配置密钥的装置,该装置包括至少一个模块,该至少一个模块用于实现上述第一方面及其可能的实现方式所提供的配置密钥的方法。

44、第四方面,提供了一种配置密钥的装置,该装置包括至少一个模块,该至少一个模块用于实现上述第二方面及其可能的实现方式所提供的配置密钥的方法。

45、第五方面,提供了一种分布式网关,分布式网关包括存储器和处理器,存储器用于存储计算机指令;处理器执行存储器存储的计算机指令,以使分布式网关执行第一方面及其可能的实现方式所提供的配置密钥的方法。

46、第六方面,提供了一种服务器,服务器包括存储器和处理器,存储器用于存储计算机指令;处理器执行存储器存储的计算机指令,以使服务器执行第二方面及其可能的实现方式所提供的配置密钥的方法。

47、第七方面,提供了一种物联网系统,该系统包括终端、分布式网关和服务器。分布式网关用于执行上述第一方面及其可能的实现方式所提供的配置密钥的方法。服务器用于执行上述第二方面及其可能的实现方式所提供的配置密钥的方法。

48、第八方面,提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序代码,响应于计算机程序代码被计算机设备执行,计算机设备执行第一方面、第二方面及其可能的实现方式所提供的配置密钥的方法。

49、第九方面,提供了一种计算机程序产品,计算机程序产品包括计算机程序代码,响应于计算机程序代码被计算机设备执行,计算机设备执行第一方面、第二方面及其可能的实现方式所提供的配置密钥的方法。


技术特征:

1.一种配置密钥的方法,其特征在于,所述方法由物联网系统中的第一分布式网关执行,所述物联网系统包括第一分布式网关和第二分布式网关,所述第一分布式网关中包含第一密钥,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述第一终端是连接所述第一分布式网关中的任一个。

3.根据权利要求1所述的方法,其特征在于,所述第一分布式网关还包括第三密钥,所述第三密钥用于生成第四密钥,所述第四密钥用于对第二终端进行身份认证,所述第二终端连接所述第一分布式网关,所述第二终端与所述第一终端属于不同的终端组。

4.根据权利要求1所述的方法,其特征在于,所述第二分布式网关包括第三密钥,所述第三密钥用于生成第四密钥,所述第三密钥不同于所述第一密钥。

5.根据权利要求1所述的方法,其特征在于,所述第二分布式网关包括第三密钥,所述第三密钥用于生成第四密钥,所述第一密钥与所述第三密钥相同,所述第四密钥用于对第二终端进行身份认证,所述第二终端连接所述第二分布式网关,所述第一分布式网关与所述第二分布式网关属于同一个网关组。

6.根据权利要求3所述的方法,其特征在于,所述第二终端与所述第一终端属于不同的终端组,包括:

7.根据权利要求1-6任一项所述的方法,其特征在于,所述方法还包括:

8.根据权利要求1-7任一项所述的方法,其特征在于,向所述第一终端发送所述第二密钥之前,所述方法还包括:

9.根据权利要求8所述的方法,其特征在于,向所述第一终端发送所述第二密钥,包括:

10.根据权利要求1-9任一项所述的方法,其特征在于,所述用于获取第二密钥的请求中携带有所述第一终端的标识。

11.一种配置密钥的方法,其特征在于,所述方法由物联网系统中的服务器执行,所述物联网系统包括所述服务器、第一分布式网关和第二分布式网关,所述方法包括:

12.根据权利要求11所述的方法,其特征在于,所述方法还包括:

13.根据权利要求11所述的方法,其特征在于,所述方法还包括:

14.根据权利要求11所述的方法,其特征在于,所述方法还包括:

15.一种配置密钥的装置,其特征在于,所述装置应用于物联网系统中的第一分布式网关,所述物联网系统包括第一分布式网关和第二分布式网关,所述第一分布式网关中包含第一密钥,所述装置包括:

16.根据权利要求15所述的装置,其特征在于,所述第一终端是连接所述第一分布式网关中的任一个。

17.根据权利要求15所述的装置,其特征在于,所述第一分布式网关还包括第三密钥,所述第三密钥用于生成第四密钥,所述第四密钥用于对第二终端进行身份认证,所述第二终端连接所述第一分布式网关,所述第二终端与所述第一终端属于不同的终端组。

18.根据权利要求15所述的装置,其特征在于,所述第二分布式网关包括第三密钥,所述第三密钥用于生成第四密钥,所述第三密钥不同于所述第一密钥。

19.根据权利要求15所述的装置,其特征在于,所述第二分布式网关包括第三密钥,所述第三密钥用于生成第四密钥,所述第一密钥与所述第三密钥相同,所述第四密钥用于对第二终端进行身份认证,所述第二终端连接所述第二分布式网关,所述第一分布式网关与所述第二分布式网关属于同一个网关组。

20.根据权利要求17所述的装置,其特征在于,所述第二终端与所述第一终端属于不同的终端组,包括:

21.根据权利要求15-20任一项所述的装置,其特征在于,所述发送模块,还用于向连接所述第一分布式网关的服务器发送用于获取第一密钥的请求;

22.根据权利要求15-21任一项所述的装置,其特征在于,所述装置还包括:

23.根据权利要求22所述的装置,其特征在于,所述发送模块,用于:

24.根据权利要求15-23任一项所述的装置,其特征在于,所述用于获取第二密钥的请求中携带有所述第一终端的标识。

25.一种分布式网关,其特征在于,所述分布式网关包括存储器和处理器,所述存储器用于存储计算机指令;

26.一种服务器,其特征在于,所述服务器包括存储器和处理器,所述存储器用于存储计算机指令;

27.一种物联网系统,其特征在于,所述系统包括终端、分布式网关和服务器,所述分布式网关用于执行如权利要求1-10所述的方法。


技术总结
本申请实施例公开了一种配置密钥的方法、装置、设备和系统,属于物联网技术领域。在物联网系统中使用分布式网关为终端分配密钥,使用该密钥作为身份认证的凭证。分布式网关进行配置密钥的处理可以缓解服务器的处理压力,使用密钥作为身份认证的凭证可以减少终端设备资源的占用,减小设备认证对正常业务处理的影响。

技术研发人员:张永康,韩志冲,张镇伟,杨庆平
受保护的技术使用者:华为技术有限公司
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)