專利名稱:一種業(yè)務應用安全實現(xiàn)方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及業(yè)務應用安全實現(xiàn)方法及系統(tǒng)。
背景技術:
目前,設備之間通過近距離通信模塊或遠距離通信模塊進行通信的應用越來越 多,其中最典型的應用是物聯(lián)網(wǎng)。所謂“物聯(lián)網(wǎng)”(Internet of Things),指的是將各種信息傳感設備,如射頻識別 (RFID)裝置、紅外感應器、全球定位系統(tǒng)、激光掃描器等種種裝置與互聯(lián)網(wǎng)結合起來而形成 的一個巨大網(wǎng)絡。其目的,是讓所有的物品都與網(wǎng)絡連接在一起,方便識別和管理。物聯(lián)網(wǎng) 是利用無所不在的網(wǎng)絡技術建立起來的,可以劃分為三個層次感知層、網(wǎng)絡層和應用層。圖1所示是物聯(lián)網(wǎng)的一種示例性的應用場景,感知層包括傳感器、攝像頭等數(shù)據(jù) 采集設備,采集到的外部物理世界的數(shù)據(jù)通過RFID、藍牙、紅外、Zigbee、現(xiàn)場總線等近距離 通信技術傳遞到網(wǎng)關設備;網(wǎng)關設備收到后,可以進行解析和處理并通過近距離通信技術 向數(shù)據(jù)采集設備發(fā)送控制指令,實現(xiàn)物物控制,也可以通過遠距離通信技術將采集到的數(shù) 據(jù)或處理后的數(shù)據(jù)經(jīng)網(wǎng)絡發(fā)送到用戶終端設備和/或業(yè)務應用系統(tǒng);用戶終端設備和業(yè)務 應用系統(tǒng)可以通過網(wǎng)關設備向數(shù)據(jù)采集設備下發(fā)命令和參數(shù)。在其他應用中,數(shù)據(jù)采集設 備也可安裝遠距離通信模塊,直接與業(yè)務應用系統(tǒng)通信;網(wǎng)關設備之間,數(shù)據(jù)采集設備之間 均可以進行直接通信。圖中的網(wǎng)絡層可以是移動通信網(wǎng)、國際互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、各類專網(wǎng)、小型局域 網(wǎng)等網(wǎng)絡或其組合。網(wǎng)絡層解決的是將感知層所獲得的數(shù)據(jù)通過有線網(wǎng)絡(如短距離的現(xiàn) 場總線和中長距離的可支持IP的網(wǎng)絡(包括PSTN,ADSL和HFC數(shù)字電視Cable等)和無線 網(wǎng)絡(如短距離的RFID、藍牙、ZIGBEE、WIFI、WIMAX等和中長距離的GSM、TDSCDMA\WCMDA、 衛(wèi)星通信等)傳給應用層進行信息處理。業(yè)務應用系統(tǒng)解決的是信息處理和人機界面的問題,包括各種類型的服務平臺, 涵蓋了國民經(jīng)濟和社會的每一領域,包括電力、醫(yī)療、銀行、交通、環(huán)保、物流、工業(yè)、農(nóng)業(yè)、城 市管理、家居生活等,包括支付、監(jiān)控、安保、定位、盤點、預測等,可用于政府、企業(yè)、社會組 織、家庭、個人等。隨著物聯(lián)網(wǎng)業(yè)務應用于國內(nèi)的各行各業(yè),特別是工業(yè)、信息業(yè)、警務軍隊以及日常 生活等領域,物體安全控制、行業(yè)數(shù)據(jù)保密極為關鍵,業(yè)務使用的安全性問題逐步凸顯。由于缺乏統(tǒng)一的物聯(lián)網(wǎng)業(yè)務安全標準與規(guī)范,在業(yè)務數(shù)據(jù)傳輸安全保護上和設備 之間的相互認證上,業(yè)務與技術實現(xiàn)方法差異大;在物聯(lián)網(wǎng)業(yè)務應用中對密鑰存儲、加解密 算法適配與存儲、密鑰的分發(fā)與管理、安全機制的執(zhí)行等均為各個企業(yè)自己定義,導致了巨 大的安全風險與不一致性,難以適應未來物聯(lián)網(wǎng)的廣泛推廣應用和互聯(lián)互通。目前,設備之間在進行近距離傳輸時,有網(wǎng)絡層協(xié)議(如藍牙、ZIGBEE, WIFI等) 提供的加密認證機制,使用的認證密鑰是由用戶輸入的,如用戶未輸入則采用默認的密鑰。 由于用戶經(jīng)常不輸入密鑰或者輸入的密鑰強度和算法不夠安全,藍牙、WIFI傳輸?shù)募用軘?shù)據(jù)出現(xiàn)了大量的被非法破解情況,其他通信技術的密鑰和使用配對安全也有待加強。而進行遠距離通信的設備與業(yè)務應用系統(tǒng)之間使用的是批次密鑰,大量設備使用 相同密鑰,一旦被破解,存在大批量風險的問題,這也降低了安全性。另外,已有設備使用的密鑰通常保存在FLASH區(qū)存儲,易被讀出,導致業(yè)務安全性 難以得到有效保證。
在物聯(lián)網(wǎng)之外的其他領域,同樣存在上述業(yè)務數(shù)據(jù)傳輸安全保護和設備之間的相 互認證的問題。
發(fā)明內(nèi)容
本發(fā)明要解決的技術問題是提供一種業(yè)務應用安全實現(xiàn)方法及系統(tǒng),可以提高業(yè) 務數(shù)據(jù)傳輸?shù)陌踩?。為了解決上述問題,本發(fā)明提供了一種業(yè)務應用安全實現(xiàn)方法,用于包括可相互 通信的第一設備和第二設備,及業(yè)務安全平臺的系統(tǒng),該方法包括密鑰灌裝過程生成配合使用的第一密鑰和第二密鑰,所述第一密鑰預置在第一 設備中或由業(yè)務安全平臺下發(fā)給第一設備,所述第二密鑰由該業(yè)務安全平臺保存并下發(fā)給 第二設備;密鑰使用過程該第一設備和第二設備相互通信時,基于所述第一密鑰和第二密 鑰實現(xiàn)對交互數(shù)據(jù)的加密和解密。進一步地,所述密鑰灌裝過程具體包括由可信任的機構生成配合使用的所述第一密鑰和第二密鑰;將所述第一密鑰預置在該第一設備的安全模塊內(nèi),所述第二密鑰和第一設備的安 全模塊標識保存在業(yè)務安全平臺并相互關聯(lián);該業(yè)務安全平臺收到對該第一設備和第二設備的關聯(lián)請求,該關聯(lián)請求中包含該 第一設備和第二設備的安全模塊標識;該業(yè)務安全平臺根據(jù)該關聯(lián)請求將與該第一設備的安全模塊標識關聯(lián)的第二密 鑰下發(fā)到該第二設備,該第二設備在安全模塊保存所述第二密鑰。進一步地,所述密鑰灌裝過程具體包括由可信任的機構生成配合使用的所述第一密鑰和第二密鑰;將所述第一密鑰和第二密鑰保存在該業(yè)務安全平臺并與該第一設備的安全模塊 標識相關聯(lián);該業(yè)務安全平臺收到將第二設備與第一設備關聯(lián)的關聯(lián)請求,該關聯(lián)請求中包含 第一設備和第二設備的安全模塊標識;該業(yè)務安全平臺根據(jù)該關聯(lián)請求將與該第一設備的安全模塊標識關聯(lián)的第二密 鑰下發(fā)到該第二設備,該第二設備在安全模塊保存所述第二密鑰。進一步地,所述密鑰灌裝過程具體包括該第一設備生成配合使用的所述第一密鑰和第二密鑰;該第一設備保存所述第一密鑰,將所述第二密鑰和預置的本設備的安全模塊標識 加密后上傳到該業(yè)務安全平臺,該業(yè)務安全平臺解密后保存所述第二密鑰和第一設備的安 全模塊標識并將兩者關聯(lián)起來;
該業(yè)務安全平臺收到將第二設備與第一設備關聯(lián)的關聯(lián)請求,該關聯(lián)請求中包含 該第一設備和第二設備的安全模塊標識;該業(yè)務安全平臺根據(jù)該關聯(lián)請求將與該第一設備的安全模塊標識關聯(lián)的第二密 鑰下發(fā)到該第二設備,該第二設備在安全模塊保存所述第二密鑰。進一步地,該第一設備的安全模塊為一安全芯片或智能卡,該第二設備的安全模 塊為一安全芯片或智能卡。進一步地,所述第一密鑰預置在第一設備的安全芯片中,所有發(fā)行的安全芯片中預置的第一密鑰均不相同。進一步地,該業(yè)務安全平臺收到該關聯(lián)請求后,先按以下方式判斷該關聯(lián)請求是 否合法,如果合法再根據(jù)該關聯(lián)請求進行密鑰下發(fā)業(yè)務安全平臺判斷該關聯(lián)請求是否是將其他設備與該第一設備關聯(lián)的首次關聯(lián) 請求如是對該第一設備的首次關聯(lián)請求,且在數(shù)據(jù)庫中查找到該關聯(lián)請求中第一設備 的安全模塊標識,則判定該關聯(lián)請求合法,否則不合法;如非對該第一設備的首次關聯(lián)請求,則該業(yè)務安全平臺判定該關聯(lián)請求不合法; 或者,該業(yè)務安全平臺在數(shù)據(jù)庫中查找到該關聯(lián)請求中的安全模塊標識且滿足以下條件之 一時,判定該關聯(lián)請求合法,否則判定該關聯(lián)請求不合法條件一,提出該關聯(lián)請求的用戶 具有足夠的權限;條件二,用戶在預設的允許匹配次數(shù)內(nèi)輸入了正確的身份驗證信息。進一步地,該第二設備保存有該業(yè)務安全平臺的數(shù)據(jù)傳輸公鑰,業(yè)務安全平臺用對應的數(shù)據(jù) 傳輸私鑰對所述第二密鑰做數(shù)字簽名再下發(fā)給該第二設備,該第二設備用該數(shù)據(jù)傳輸公鑰 解密后將所述第二密鑰保存到安全模塊;和/或該業(yè)務安全平臺保存有該第二設備用于數(shù)據(jù)傳輸?shù)墓€或對稱密鑰,該業(yè)務安全 平臺用該公鑰或對稱密鑰對所述第二密鑰加密后下發(fā)給該第二設備,該第二設備用自己用 于數(shù)據(jù)傳輸?shù)乃借€或對稱密鑰解密后將所述第二密鑰保存到安全模塊。進一步地,灌裝到該第一設備和第二設備的第一密鑰和第二密鑰是作為業(yè)務數(shù)據(jù)加解密密 鑰,第一設備和第二設備之間基于該第一密鑰和第二密鑰對業(yè)務數(shù)據(jù)進行加解密,實現(xiàn)該 兩個設備間應用層業(yè)務數(shù)據(jù)的密文傳輸;或者灌裝到該第一設備和第二設備的第一密鑰和第二密鑰是作為第一設備和第二設 備在網(wǎng)絡層的認證密鑰,第一設備和第二設備之間基于該第一密鑰和第二密鑰來實現(xiàn)該兩 個設備間在網(wǎng)絡層的相互認證;或者為該第一設備和第二設備灌裝了至少二組第一密鑰和第二密鑰,其中一組第一密 鑰和第二密鑰是作為第一設備和第二設備在網(wǎng)絡層的認證密鑰,另一組第一密鑰和第二密 鑰是作為應用層的業(yè)務數(shù)據(jù)加解密密鑰。進一步地,該業(yè)務安全平臺向該第一設備和/或第二設備下發(fā)密鑰時,根據(jù)該第二設備和/ 或第一設備的同時作為通信標識的安全模塊標識進行下發(fā);或者,根據(jù)第一設備和/或第二設備的安全模塊標識關聯(lián)的通信標識進行下發(fā),該業(yè)務安全平臺在該第一設備和/或第 二設備的注冊過程中根據(jù)輸入信息建立起該第一設備和/或第二設備的安全模塊標識和 通信標識的關聯(lián)關系。相應地,本發(fā)明提供了一種業(yè)務應用安全實現(xiàn)系統(tǒng),至少包括通過相互通信實現(xiàn) 業(yè)務應用的第一設備和第二設備,以及業(yè)務安全平臺,其中所述業(yè)務安全平臺包括密鑰管理子系統(tǒng),用于保存和維護包含第一設備在內(nèi)的各設備的安全模塊標識及 其關聯(lián)的第二密鑰;業(yè)務訂購管理子系統(tǒng),用于進行業(yè)務訂購的管理,收到將第二設備與第一設備關 聯(lián)的帶有第一設備和第二設備的安全模塊標識的關聯(lián)請求后,通知業(yè)務使用認證與管理子 系統(tǒng)對該關聯(lián)請求進行驗證; 業(yè)務使用認證管理子系統(tǒng),用于對該關聯(lián)請求進行驗證,如驗證通過,通過通信子 系統(tǒng)向該第二設備下發(fā)與該第一設備的安全模塊標識關聯(lián)的第二密鑰;通信子系統(tǒng),用于實現(xiàn)業(yè)務安全平臺與其他系統(tǒng)和設備間的數(shù)據(jù)收發(fā);所述第二設備用于在收到下發(fā)的第二密鑰后,將所述第二密鑰保存在安全模塊 中。進一步地,所述第一設備的安全模塊中預置了所述第一密鑰;或者所述第一設備中預置了密鑰生成算法,所述第一設備使用該密鑰生成算法生成所 述第一密鑰和第二密鑰,將所述第一密鑰保存在安全模塊中,將所述第二密鑰和預置的本 設備的安全模塊標識上傳到所述業(yè)務安全平臺。進一步地,所述密鑰管理子系統(tǒng)還用于保存和維護與設備的安全模塊標識關聯(lián)的第一密 鑰;所述業(yè)務使用認證管理子系統(tǒng)還用于在對該關聯(lián)請求的驗證通過后,通過通信子 系統(tǒng)向第一設備下發(fā)第一設備的安全模塊標識關聯(lián)的第一密鑰;所述第一設備用于在收到下發(fā)的第一密鑰后,將所述第一密鑰保存在安全模塊 中。進一步地,該業(yè)務安全平臺的業(yè)務使用認證管理子系統(tǒng)收到該關聯(lián)請求后,判斷該關聯(lián)請求 是否是將其他設備與該第一設備關聯(lián)的首次關聯(lián)請求如是對該第一設備的首次關聯(lián)請求,且在數(shù)據(jù)庫中查找到該關聯(lián)請求中第一設備 的安全模塊標識,則判定該關聯(lián)請求合法,否則不合法;如非對該第一設備的首次關聯(lián)請求,則該業(yè)務安全平臺判定該關聯(lián)請求不合法; 或者,該業(yè)務安全平臺在數(shù)據(jù)庫中查找到該關聯(lián)請求中的安全模塊標識且滿足以下條件之 一時,判定該關聯(lián)請求合法,否則判定該關聯(lián)請求不合法條件一,提出該關聯(lián)請求的用戶 具有足夠的權限;條件二,用戶在預設的允許匹配次數(shù)內(nèi)輸入了正確的身份驗證信息。進一步地,所述業(yè)務安全平臺還包括應用管理子系統(tǒng),用于保存和維護業(yè)務應用的數(shù)據(jù);
業(yè)務應用下載管理子系統(tǒng),用于從應用管理子系統(tǒng)找到第二設備需下載的業(yè)務應 用,通過通信子系統(tǒng)將該業(yè)務應用的數(shù)據(jù)下載到第二設備;所述業(yè)務使用認證與管理子系統(tǒng)還可用于在關聯(lián)請求的驗證通過后,通知業(yè)務應 用下載管理子系統(tǒng)向第二設備下載相應的業(yè)務應用。進一步地,所述第一設備的安全模塊為一安全芯片或智能卡,所述第二設備的安全模塊為一 安全芯片或智能卡。為了解決上述技術問題,本發(fā)明還提供了一種業(yè)務應用安全實現(xiàn)方法,用于包括 終端設備、業(yè)務安全平臺和業(yè)務應用系統(tǒng)的系統(tǒng),該方法包括生成配合使用的第一密鑰和第二密鑰,將該第一密鑰灌裝到所述終端設備中,將 該第二密鑰及所述終端設備的安全模塊標識保存在所述業(yè)務安全平臺并相互關聯(lián),所述 業(yè)務安全平臺將所述終端設備的安全模塊標識及關聯(lián)的第二密鑰同步到所述業(yè)務應用系 統(tǒng);所述終端設備用所述第一密鑰將業(yè)務數(shù)據(jù)加密后發(fā)送到所述業(yè)務應用系統(tǒng);所述業(yè)務應用系統(tǒng)收到加密的業(yè)務數(shù)據(jù)后,使用同步得到的所述第二密鑰將所述 加密的業(yè)務數(shù)據(jù)解密,然后進行解析和處理。進一步地,所述業(yè)務應用系統(tǒng)包括傳輸協(xié)議解析服務器和業(yè)務應用服務平臺,所述業(yè)務安全 平臺是將所述終端設備的安全模塊標識及關聯(lián)的第二密鑰同步到所述傳輸協(xié)議解析服務 器中;所述終端設備發(fā)送到該業(yè)務應用系統(tǒng)的加密的業(yè)務數(shù)據(jù)被路由到所述傳輸協(xié)議 解析服務器,所述傳輸協(xié)議解析服務器對加密的業(yè)務數(shù)據(jù)進行解密后再交給所述業(yè)務應用 服務平臺進行解析和處理。相應的業(yè)務應用安全實現(xiàn)系統(tǒng)包括終端設備、業(yè)務安全平臺和業(yè)務應用系統(tǒng),所 述業(yè)務安全平臺包括密鑰同步模塊,所述業(yè)務應用系統(tǒng)包括業(yè)務應用服務平臺和傳輸協(xié)議 解析服務器,所述傳輸協(xié)議解析服務器進一步包括密鑰同步和存儲模塊和傳輸協(xié)議解析模 塊,其中業(yè)務安全平臺的密鑰同步模塊用于與傳輸協(xié)議解析服務器的密鑰同步和存儲模 塊配合,將終端設備的安全模塊標識及第二密鑰同步到業(yè)務應用系統(tǒng);傳輸協(xié)議解析服務器的密鑰同步和存儲模塊用于與業(yè)務安全平臺的密鑰同步模 塊配合,將終端設備的安全模塊標識及其第二密鑰同步到業(yè)務應用系統(tǒng)并保存;傳輸協(xié)議解析服務器的傳輸協(xié)議解析模塊用于在收到終端設備加密的業(yè)務數(shù)據(jù) 后,從密鑰同步和存儲模塊查找到該終端設備的第二密鑰,對加密的業(yè)務數(shù)據(jù)進行解密后 發(fā)送到業(yè)務應用服務平臺;業(yè)務應用服務平臺用于接收解密后的業(yè)務數(shù)據(jù)并進行業(yè)務處理;終端設備用于對要發(fā)送到業(yè)務應用系統(tǒng)的數(shù)據(jù),先采用第一密鑰進行加密后再發(fā) 送,發(fā)送到業(yè)務應用系統(tǒng)的加密的業(yè)務數(shù)據(jù)首先被路由到傳輸協(xié)議解析服務器。進一步地,所述業(yè)務應用服務平臺還可用于將要發(fā)送給終端設備的控制數(shù)據(jù)先發(fā)送到傳輸協(xié)議解析服務器;所述傳輸協(xié)議解析服務器的傳輸協(xié)議解析模塊還用于在收到業(yè)務應用平臺發(fā)送 給終端設備的控制數(shù)據(jù)后,從密鑰同步和存儲模塊查找到該終端設備的第二密鑰,使用第 二密鑰對該控制指令加密后發(fā)送給該終端設備;所述終端設備還用于在收到業(yè)務應用系統(tǒng)發(fā)來的加密數(shù)據(jù)后,用第一密鑰進行解 密后再進行解析和處理。本發(fā)明的實施例能實現(xiàn)相互通信的設備之間,設備與業(yè)務應用系統(tǒng)之間基于業(yè)務 安全平臺的相互認證和業(yè)務數(shù)據(jù)的加密傳輸。可按不同需求靈活適配、具有很高的安全性, 適合于應用于物聯(lián)網(wǎng)或其他類似領域。
本發(fā)明的實施例的業(yè)務安全實現(xiàn)方法和系統(tǒng)可以采用基于芯片級的硬加密并兼 容軟加密,更具有安全性,且安全等級根據(jù)業(yè)務需求靈活可配置,并能靈活實現(xiàn)通信模塊與 卡的實時綁定,支持一對一和一對多綁定,解決了物聯(lián)網(wǎng)模塊無法預知配合使用卡信息的 難題。本發(fā)明實施例的業(yè)務安全實現(xiàn)方法和系統(tǒng)可根據(jù)不同業(yè)務安全需要,靈活適配使 用不同的安全加解密算法和密鑰,可實現(xiàn)不同安全算法和身份認證的統(tǒng)一管理。
圖1為已有的物聯(lián)網(wǎng)的架構圖;圖2為本發(fā)明具有業(yè)務安全平臺的物聯(lián)網(wǎng)的架構圖;圖3為本發(fā)明第一實施例密鑰的生成、保存和下發(fā)方法的示意圖;圖4為本發(fā)明第一實施例方法的流程圖;圖5為圖2中業(yè)務安全平臺的模塊圖;圖6為本發(fā)明第二實施例密鑰的生成、保存和下發(fā)方法的示意圖;圖7為本發(fā)明第二實施例方法的流程圖;圖8為本發(fā)明第三實施例密鑰的生成、保存和下發(fā)方法的示意圖;圖9為本發(fā)明第四實施例的流程圖;圖10為本發(fā)明第四實施例的系統(tǒng)示意圖。
具體實施例方式下面以物聯(lián)網(wǎng)為例,結合附圖對本發(fā)明的具體實施例進行詳細說明。需要說明的是,如果不沖突,本發(fā)明實施例以及實施例中的各個特征可以相互結 合,均在本發(fā)明的保護范圍之內(nèi)。另外,在附圖的流程圖示出的步驟可以在諸如一組計算機 可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行,并且,雖然在流程圖中示出了邏輯順序,但是在不改變方 案實質的情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。另外,本發(fā)明不僅適用于物聯(lián)網(wǎng),而是可以應用于任何涉及設備之間,設備與服務 平臺之間業(yè)務安全的系統(tǒng)。第一實施例本實施例提供的物聯(lián)網(wǎng)業(yè)務安全系統(tǒng)如圖2所示,在原有的物聯(lián)網(wǎng)架構中建設了 一個業(yè)務安全平臺,該業(yè)務安全平臺可以通過網(wǎng)絡與業(yè)務應用系統(tǒng)、物聯(lián)網(wǎng)的無線通信設備和用戶終端設備通信。還可以與OTA(空中下載)平臺、BOSS(業(yè)務運營支撐系統(tǒng))及其他業(yè)務安全平臺通信。為了提高設備之間數(shù)據(jù)傳輸?shù)陌踩裕緦嵤├ㄟ^業(yè)務安全平臺實現(xiàn)密鑰的安 全保存和下發(fā),由于配合使用的設備之間的關系存在極大的不確定性和不可預知性,比如 在一個寵物項圈中內(nèi)置一個具有定位功能的被控設備,密鑰可預置在該設備中。用戶購買 該寵物項圈后,才能確定使用如移動終端作為主控設備。這就需要該用戶從某個平臺去下 載相應的密鑰。這涉及到密鑰生成、密鑰保存、密鑰下發(fā)和密鑰使用等處理。目前的密鑰灌裝平臺是在營業(yè)廳通過有線方式進行應用交易密鑰的灌裝,灌裝的 密鑰是針對某一類型應用的業(yè)務數(shù)據(jù)加解密密鑰,并且是使用統(tǒng)一的根密鑰分散出來的, 同類型卡都能使用該應用,如所有手機錢包支付卡都能使用手機錢包,不能實現(xiàn)單一卡與 單一讀卡器的綁定。物聯(lián)網(wǎng)的很多設備是無法拿到營業(yè)廳去灌裝的,而物聯(lián)網(wǎng)采集和傳輸 的很多信息具有很高和私密性,如果不能實現(xiàn)對配合使用的物聯(lián)網(wǎng)設備之間的綁定,這些 信息就有泄露的危險。另一方面,已有的密鑰灌裝方式使用的業(yè)務數(shù)據(jù)加解密密鑰是用根 密鑰分散出來的,一旦根密鑰泄漏,則所有使用該根密鑰分散出來的業(yè)務數(shù)據(jù)加解密密鑰 的設備之間的通信都不安全。本實施例通過為相互通信的兩個設備配置匹配的密鑰來實現(xiàn)設備之間通信安全, 該通信可以是無線通信也可以是有線通信,可以是近距離通信也可以是遠距離通信。對于 本發(fā)明,該兩個設備也可以不是物聯(lián)網(wǎng)設備。相應的密鑰生成、保存和下發(fā)過程(也稱為密 鑰灌裝過程)的示意圖如圖3所示。相應的流程圖如圖4所示,包括步驟110,由可信任的機構生成配合使用的第一密鑰和第二密鑰;可信任的機構如可以是無線或有線網(wǎng)絡的運營商或其信任的機構,如安全芯片提 供商,該可信任的機構采用密鑰生成算法生成的密鑰可以具有足夠的強度。如果生成的是對稱密鑰,第一密鑰和第二密鑰相同。如果是非對稱密鑰,則第一密 鑰為第一設備的私鑰,第二密鑰為第一設備的公鑰;或者第一密鑰為第一設備的公鑰,第二 密鑰為第一設備的私鑰。如果業(yè)務安全平臺下發(fā)到第二設備的是第一設備的公鑰,通過對 下發(fā)對象合法性的驗證,也可以保證第一設備只能夠與合法的第二設備之間進行通信。其 他實施例同此。步驟120,將第一密鑰預置在第一設備的安全模塊內(nèi),將第二密鑰和第一設備的安 全模塊標識保存在業(yè)務安全平臺并相互關聯(lián);第一設備的安全模塊標識可以與第一密鑰和第二密鑰同時生成,也可以是上述可 信任的機構從外部獲取的如設備廠商提供的。該安全模塊標識可以是一序列號,也可以是 一序列號和一密碼,或者任何具有標識作用的信息。為第一設備灌裝的第一密鑰可以有一個或多個,相應地,也可以為第二設備灌裝 相同數(shù)量的第二密鑰,多個密鑰可同時灌裝。在第一設備和第二設備分別灌裝了多個第一 密鑰和第二密鑰時,兩個設備可以使用約定的密鑰選取規(guī)則進行密鑰選取。其他實施例同 此。本實施例中,在業(yè)務安全平臺中,每個第二密鑰只允許關聯(lián)到一個第一設備,保證 為第一設備及其關聯(lián)設備灌裝的密鑰與為其他設備灌裝的密鑰不同,具有唯一性。第一設備的關聯(lián)設備可以有多個。但在其他的實施例中,同時出售和配套使用的多個第一設備 (如用于對同一對象進行檢測的溫度傳感設備和濕度傳感設備),也可以使用同一個第一 密鑰并在業(yè)務安全平臺中關聯(lián)到相同的第二密鑰。步驟130,業(yè)務安全平臺收到將第二設備與第一設備關聯(lián)的關聯(lián)請求,該關聯(lián)請求 中包含第一設備和第二設備的安全模塊標識;因為該請求觸發(fā)業(yè)務安全平臺向第二設備下發(fā)第一設備的第二密鑰,將第二設備 與第一設備關聯(lián)起來,因此稱之為關聯(lián)請求。也可以稱為其他名稱,但應視為等同的變化。關聯(lián)請求可以是用戶通過終端設備發(fā)起的。用戶可以通過終端設備的卡片菜單或 終端應用菜單輸入第一設備和第二設備的安全模塊標識。該終端設備也可以是電腦,通過 WEB網(wǎng)站的界面發(fā)起該關聯(lián)請求。本發(fā)明不局限于任何一種特定的方式。該安全模塊用于保存灌裝的密鑰,可以是一個安全芯片,也可以是智能卡等等,安 全芯片可以與設備的通信模塊集成在一起也可以不集成。相應地,該安全模塊標識可為安 全芯片的序列號,也可以是智能卡的標識等等。如果終端設備和業(yè)務安全 平臺通信時會攜 帶第二設備的安全模塊標識(如智能卡號),用戶也可以不輸入第二設備的安全模塊標識。 需要說明的是,第一設備可能有多個安全模塊,如藍牙、Zigbee、紅外等通信模塊各集成有 一個安全芯片,相應地具有多個安全模塊標識。此時根據(jù)需要,可以輸入其中的一個或多個 安全模塊的標識,實現(xiàn)兩個設備上對應的一個或多個安全模塊之間的綁定。關聯(lián)請求可以是平臺管理人員通過業(yè)務安全平臺的管理界面發(fā)起的。關聯(lián)請求也可以是第二設備判斷需要建立與第一設備的關聯(lián)關系時發(fā)起的,例 如,用戶可以在第二設備輸入要關聯(lián)的第一設備的安全模塊標識,第二設備判斷還沒有保 存該安全模塊標識對應的密鑰時,主動向業(yè)務安全平臺發(fā)送上述關聯(lián)請求。步驟140,業(yè)務安全平臺對該關聯(lián)請求進行合法性驗證,如驗證通過,執(zhí)行下一步, 否則,拒絕該關聯(lián)請求;業(yè)務安全平臺收到該關聯(lián)請求后,可以判斷該關聯(lián)請求是否是將其他設備與第一 設備關聯(lián)的首次關聯(lián)請求如是對第一設備的首次關聯(lián)請求且在數(shù)據(jù)庫中查找到該關聯(lián)請求中第一設備的 安全模塊標識,則判定該關聯(lián)請求合法;如非對該第一設備的首次關聯(lián)請求,業(yè)務安全平臺可拒絕該請求,或者,該業(yè)務安 全平臺在數(shù)據(jù)庫中查找到該關聯(lián)請求中的安全模塊標識且滿足以下條件之一時,判定該關 聯(lián)請求合法,否則判定該關聯(lián)請求不合法條件一,提出該關聯(lián)請求的用戶具有足夠的權限 (如是管理人員收到用戶請求并驗證其身份后提出的);條件二,用戶在預設的允許匹配次 數(shù)內(nèi)輸入了正確的身份驗證信息。所述身份驗證信息如可以是身份證號和密碼,可以是用 戶購買第一設備時提供并導入業(yè)務安全平臺的或者在發(fā)首次關聯(lián)請求時提供并保存在業(yè) 務安全平臺的。其他實施例同此。為了提高安全性,每個安全模塊標識可以帶有一個密碼,業(yè)務安全平臺收到關聯(lián) 請求后還要驗證第一設備的安全模塊標識附帶的密碼是否正確,如不正確,也判定該關聯(lián) 請求不合法。步驟150,業(yè)務安全平臺查找到與該安全模塊標識對應的第二密鑰并下發(fā)到第二 設備,第二設備將第二密鑰保存在安全模塊內(nèi);
如第二設備保存有業(yè)務安全平臺的數(shù)據(jù)傳輸公鑰,業(yè)務安全平臺可以用對應的數(shù) 據(jù)傳輸私鑰做數(shù)字簽名,再下發(fā)給第二設備,第二設備用該數(shù)據(jù)傳輸公鑰解密后保存。和/ 或,如果業(yè)務安全平臺保存有第二設備用于數(shù)據(jù)傳輸?shù)墓€或對稱密鑰,則業(yè)務安全平臺 可以用該公鑰或對稱密鑰對所述第二密鑰加密再下發(fā)給第二設備,第二設備用自己用于數(shù) 據(jù)傳輸?shù)乃借€或對稱密鑰解密后保存。下發(fā)可以采用數(shù)據(jù)短信、GPRS BIP等通道按一定的 數(shù)據(jù)格式加密后下發(fā),也可以采用其他方式。第二設備的安全模塊標識與第二設備的通信標識可能相同(如為智能卡卡號), 業(yè)務安全平臺可以直接根據(jù)該安全模塊標識下發(fā)第二密鑰。如果不同,業(yè)務安全平臺根據(jù) 第二設備的安全模塊標識(如安全芯片的序列號)所關聯(lián)的第二設備的通信標識來下發(fā)第 二密鑰,業(yè)務安全平臺可以在第二設備的注冊過程中根據(jù)輸入信息建立起該安全模塊標識 和通信標識之間的關聯(lián)關系。其他實施例中,也可采用該方法確定第一設備的通信標識。步驟160,第一設備和第二設備之間基于該第一密鑰和第二密鑰對應用層的業(yè)務 數(shù)據(jù)進行加解密,實現(xiàn)設備間業(yè)務數(shù)據(jù)的密文傳輸。
設備間應用層業(yè)務數(shù)據(jù)的密文傳輸可以是雙向的,也可以是單向的。第一密鑰和第二密鑰可以作為初始密鑰,之后使用密鑰更新算法進行更新。另外, 第一密鑰和第二密鑰可以是真隨機序列方式的密鑰,也可以是采用分散算法方式的根密 鑰,此時,將采用該根密鑰和分散算法計算出來的密鑰進行加解密。第二設備可能保存有多個不同設備的第二密鑰。此時,第二設備需要建立第一設 備的識別標識與第二密鑰的關聯(lián)關系,以便根據(jù)與第一設備通信時可以獲取的該識別標識 找到對應的第二密鑰。該識別標識可以是第一設備的安全模塊標識但不局限于此。該識別 標識可以由用戶直接輸入到第二設備(如在發(fā)送關聯(lián)請求時)由第二設備建立該識別標識 與該第二密鑰的關聯(lián)關系,或者該識別標識攜帶在發(fā)送給業(yè)務安全平臺的關聯(lián)請求中,由 業(yè)務安全平臺將該識別標識與第二密鑰一起下發(fā)給第二設備,第二設備收到后建立上述關 聯(lián)關系。從上述流程可以看出,使用上述流程進行業(yè)務密鑰的生成、保存和分發(fā),可以保證 業(yè)務密鑰的強度和在保存、分發(fā)過程中的安全,而由于對業(yè)務數(shù)據(jù)的加密傳輸,只有保存了 相應密鑰的設備才能解密,這樣第一設備和第二設備通過各自的安全模塊建立起了綁定關 系(可以是不同設備的智能卡之間,安全芯片之間或安全芯片與智能卡之間的綁定關系), 其他設備即使破解了網(wǎng)絡層的加密算法如藍牙的SAFER+算法,WIFI的TOP算法,ZIGBEE的 AES算法,也無法獲取明文的業(yè)務數(shù)據(jù),大大增強了業(yè)務安全性。在物聯(lián)網(wǎng)的應用中,上述設備可以是數(shù)據(jù)采集設備、網(wǎng)關設備和用戶終端設備等。 第一設備和第二設備可以是相同的設備,也可以是不同的設備。在物物控制的場景下,業(yè) 務應用在第一設備和第二設備之間進行,上述方式即可保證第一設備和第二設備的通信安 全。在其他應用中,上述兩個設備可以是任意的需保證相互間通信安全的設備。該系統(tǒng)中的業(yè)務安全平臺的結構如圖5所示,包括密鑰管理子系統(tǒng),用于保存和維護包含第一設備在內(nèi)的各設備的安全模塊標識及 其關聯(lián)的第二密鑰。業(yè)務訂購管理子系統(tǒng),用于進行業(yè)務訂購的管理,收到將第二設備與第一設備關 聯(lián)的帶有第一設備和第二設備的安全模塊標識的關聯(lián)請求后,通知業(yè)務使用認證與管理子系統(tǒng)對該關聯(lián)請求進行驗證。業(yè)務使用認證管理子系統(tǒng),用于對該關聯(lián)請求進行驗證,如驗證通過,向第二設備 下發(fā)該第一設備的安全模塊標識關聯(lián)的第二密鑰,認證的具體方法參見流程。通信子系統(tǒng),用于實現(xiàn)業(yè)務安全平臺與其他系統(tǒng)和設備之間的數(shù)據(jù)的接收和發(fā) 送。 可選地,本實施例的業(yè)務安全平臺還包括應用管理子系統(tǒng),用于保存和維護業(yè)務應用的數(shù)據(jù)。業(yè)務應用下載管理子系統(tǒng),用于從應用管理子系統(tǒng)找到第二設備需下載的業(yè)務應 用,通過通信子系統(tǒng)將該業(yè)務應用的數(shù)據(jù)下載到第二設備。該業(yè)務應用可以是用戶選擇的, 也可以是在密鑰管理子系統(tǒng)或應用管理子系統(tǒng)中預先與第一設備的安全模塊標識綁定在 一起的業(yè)務應用。業(yè)務使用認證與管理子系統(tǒng)還可用于在關聯(lián)請求的驗證通過后,通知業(yè)務應用下 載管理子系統(tǒng)向第二設備下載相應的業(yè)務應用,下載時也可以和下發(fā)密鑰一樣對業(yè)務應用 進行加密。業(yè)務應用的獲取方式很多,不限于從業(yè)務安全平臺下載,如還可以預置在第二設 備中,或者在出售第一設備時提供第二設備所需的業(yè)務應用如保存在光盤中,用戶將其安 裝到第二設備中。這里不再一一枚舉。本實施例和第二、第三實施例中,在第一設備和第二設備封裝的安全芯片中保存 上述密鑰,可以很容易地實現(xiàn)一安全芯片一密鑰,即所有發(fā)行的安全芯片中預置的第一密 鑰均不相同。該安全芯片可以與設備中的通信芯片采用不可分割地方式封裝在一起,這樣 很難在兩者插入第三方監(jiān)控設備,即使被破解也只能破解一個。但本發(fā)明并不局限于此,密 鑰也可以保存在設備使用的智能卡或其他芯片中。在采用安全芯片時,上述密鑰生成和保存過程在業(yè)務上的流程可通過以下的步驟 來實施由制造安全芯片的卡商生成配套使用的安全模塊標識、第一密鑰和第二密鑰,將 第一密鑰預置在一安全芯片中,安全模塊標識如可以從安全芯片中使用接口函數(shù)讀出,打 印在標簽上并將該標簽粘貼在安全芯片上,也可采用覆膜密碼標簽等其他各種方式提供給 用戶;卡商將安全芯片及其安全模塊標識提供給設備廠商,設備廠商將帶有安全模塊標 識的安全芯片封裝到第一設備中;卡商將包含安全模塊標識和對應的第二密鑰的數(shù)據(jù)提供給運營商,由運營商導入 業(yè)務安全平臺。上述過程中只有兩方可以獲知具體的密鑰信息,對設備廠商是保密的,使得密鑰 的保存和分發(fā)過程的保密性大大增強。通過對不同的安全芯片預置不同的第一密鑰,可以 很容易地實現(xiàn)一安全芯片一密,避免了批次密鑰帶來的安全隱患。但本發(fā)明還可以有很多 其他的實施方式,如該安全模塊標識、第一密鑰和第二密鑰也可由運營商或其信任的其他 機構生成,運營商在業(yè)務安全平臺保存安全模塊標識和第二密鑰,將安全模塊標識和第一 密鑰提供給安全芯片的卡商或者自己進行密鑰灌裝后提供給設備廠造商。此處的變化可以 有很多種,不再一一枚舉。
在安全芯片內(nèi)部還可以灌裝各種算法程序(如DES、AES等傳統(tǒng)對稱密碼算法, RSA、ECC等公鑰密碼算法),以及安全模塊標識。第二實施例本實施例的物聯(lián)網(wǎng)業(yè)務安全系統(tǒng)與第一實施例相同,也具有一個業(yè)務安全平臺。 本實施例的密鑰生成、保存和下發(fā)過程與第一實施例有所不同,其示意圖如圖6所示。相應 的流程如圖7所示,包括步驟210,由可信任的機構生成第一密鑰和第二密鑰,同步驟110 ;步驟220,將第一密鑰和第二密鑰保存在業(yè)務安全平臺并建立與第一設備的安全 模塊標識的關聯(lián)關系;該安全模塊標識較佳由生成第一密鑰和第二密鑰的機構生成或獲取,然后提供給 管理業(yè)務安全平臺的運營商。步驟230,業(yè)務安全平臺收到將第二設備與第一設備關聯(lián)的關聯(lián)請求,該關聯(lián)請求 中包含 第一設備和第二設備的安全模塊標識;要關聯(lián)的第一設備和第二設備的安全模塊標識和對應的第一密鑰和第二密鑰可 有可能保存在業(yè)務安全平臺中,用戶也可能同時輸入兩個設備的安全模塊標識,此時的第 一設備可以由用戶或業(yè)務安全平臺來指定,業(yè)務安全平臺將下發(fā)該第一設備的第一密鑰和
·~-"S" ο步驟240,業(yè)務安全平臺對關聯(lián)請求進行合法性驗證,如驗證通過,執(zhí)行下一步,否 則拒絕該關聯(lián)請求;對關聯(lián)請求合法性的驗證基本同第一實施例,只是此時該關聯(lián)請求中的安全模塊 標識有兩個,即第一設備和第二設備的安全模塊標識。步驟250,業(yè)務安全平臺查找到與第一設備的安全模塊標識對應的第一密鑰和第 二密鑰,將第一密鑰下發(fā)到第一設備,將第二密鑰下發(fā)到第二設備,第一設備和第二設備將 下發(fā)的密鑰保存在安全模塊內(nèi);業(yè)務安全平臺下發(fā)密鑰時可以加密,具體請參見對步驟150的說明。步驟260,第一設備和第二設備之間基于該第一密鑰和第二密鑰對應用層業(yè)務數(shù) 據(jù)進行加解密,實現(xiàn)設備間業(yè)務數(shù)據(jù)的密文傳輸。如需要,第二設備可以按照第一實施例描述的方式建立第一設備的通信標識與第 二密鑰的關聯(lián)關系,而第一設備也可以用相同方式建立第二設備的通信標識與第二密鑰的 關聯(lián)關系。上述流程可以保證業(yè)務密鑰的強度和在保存、分發(fā)過程中的安全,并且通過對業(yè) 務數(shù)據(jù)的加密傳輸大大增強業(yè)務的安全性。相應地,本實施例業(yè)務安全平臺的結構仍如圖5所示,功能略有不同,其中密鑰管理子系統(tǒng),用于保存和維護設備的安全模塊標識及其關聯(lián)的第一密鑰和第 -~-jSj 朗 ο業(yè)務訂購管理子系統(tǒng),用于進行業(yè)務訂購的管理,收到帶有第一設備和第二設備 的安全模塊標識的關聯(lián)請求后,通知業(yè)務使用認證與管理子系統(tǒng)對該關聯(lián)請求進行驗證。業(yè)務使用認證管理子系統(tǒng),用于對該關聯(lián)請求進行驗證,如驗證通過,向第一設備 下發(fā)第一設備的安全模塊標識關聯(lián)的第一密鑰,向第二設備下發(fā)第一設備的安全模塊標識關聯(lián)的第二密鑰,認證的具體方法參見流程。通信子系統(tǒng),用于實現(xiàn)業(yè)務安全平臺與其他系統(tǒng)和設備之間的數(shù)據(jù)的接收和發(fā)送??蛇x地,本實施例的業(yè)務安全平臺還包括應用管理子系統(tǒng),用于保存和維護業(yè)務應用的數(shù)據(jù)。業(yè)務應用下載管理子系統(tǒng),用于從應用管理子系統(tǒng)找到第一設備和第二設備需下 載的業(yè)務應用,通過通信子系統(tǒng)分別下載到第一設備和第二設備。業(yè)務應用可以是用戶選 擇的,也可以是業(yè)務安全平臺根據(jù)上述安全模塊標識查找到的。業(yè)務使用認證與管理子系統(tǒng)還可用于在對關聯(lián)請求的驗證通過后,通知業(yè)務應用 下載管理子系統(tǒng)向第一設備和第二設備下載相應的業(yè)務應用,下載時也可以和下發(fā)密鑰一 樣對業(yè)務應用進行加密。第三實施例本實施例的物聯(lián)網(wǎng)業(yè)務安全系統(tǒng)與第一實施例相同,也具有一個業(yè)務安全平臺。 本實施例的密鑰生成、保存和下發(fā)過程與第一和第二實施例有所不同,其示意圖如圖8所 示。相應的流程包括步驟一,第一設備生成配合使用的第一密鑰和第二密鑰;步驟二,第一設備保存生成的第一密鑰,將第二密鑰和預置的本設備的安全模塊 標識加密后上傳到業(yè)務安全平臺,業(yè)務安全平臺解密后保存該第二密鑰和安全模塊標識并 建立兩者的關聯(lián)關系;第一設備可以用業(yè)務安全平臺用于數(shù)據(jù)傳輸?shù)墓€加密,業(yè)務安全平臺用自己用 于數(shù)據(jù)傳輸?shù)乃借€解密;或者,第一設備也可以用自己用于數(shù)據(jù)傳輸?shù)乃借€或對稱密鑰加 密,業(yè)務安全平臺用保存的第一設備相應的公鑰或對應密鑰來解密。之后的步驟同步驟130 160。相應的業(yè)務安全平臺各子系統(tǒng)的功能同第一實施例。本實施例與實施例一的差別 主要在于生成密鑰的主體不同。在第一設備中預置了密鑰生成算法,該第一設備還用于使 用該密鑰生成算法生成第一密鑰和第二密鑰,將第一密鑰保存在安全芯片中,將第二密鑰 和預置的安全模塊標識上傳到該業(yè)務安全平臺。在該三個實施例中,灌裝到第一設備和第二設備的密鑰是作為業(yè)務數(shù)據(jù)加解密密 鑰,實現(xiàn)設備間業(yè)務數(shù)據(jù)的密文傳輸,但各實施例的密鑰生成、保存和下發(fā)方式不同?;?該三個實施例的密鑰生成、保存和下發(fā)方式,也可以將灌裝到第一設備和第二設備的密鑰 作為網(wǎng)絡層設備間的認證密鑰,第一設備和第二設備之間基于該第一密鑰和第二密鑰來實 現(xiàn)網(wǎng)絡層的相互認證,得到另外三個變例。或者,同時或先后向第一設備和第二設備灌裝二 組密鑰(每組密鑰均包括第一密鑰和第二密鑰),一組作為對業(yè)務數(shù)據(jù)進行加解密的業(yè)務 數(shù)據(jù)加解密密鑰,一組作為網(wǎng)絡層設備間的認證密鑰,此時認證密鑰和業(yè)務數(shù)據(jù)加解密密 鑰的生成、保存和下發(fā)方式可以采有第一至第三實施例中的一種方式,可以相同也可以不 同。也即設備之間的認證密鑰和業(yè)務數(shù)據(jù)加解密密鑰可根據(jù)實際需要全部使用或選其一使 用。這樣可以得到變化后的多個實施例。這些實施例均可以保證業(yè)務密鑰的強度和在保存、 分發(fā)過程中的安全,保證兩個設備之間業(yè)務數(shù)據(jù)傳輸?shù)陌踩?。上述第一設備和第二設備可以配置一個或多個加解密算法和/或安全協(xié)議,如果
17配置有多個,兩個設備之間可以協(xié)商確定當前要采用的加解密算法和/或安全協(xié)議。第一 設備和/或第二設備的加解密算法和/或安全協(xié)議可以預置,也可以由業(yè)務安全平臺隨密 鑰一起下發(fā)到設備或通過其他方式下載,可以和密鑰保存在同一安全芯片或不同的安全芯 片中。采用業(yè)務安全體系平臺控制下的安全芯片解決方案,從密鑰的生成方式、算法的 使用策略、安全芯片與無線通信模塊產(chǎn)品的外部軟硬件及結構接口等各個方面均可以實現(xiàn) 高度的統(tǒng)一標準,使得目前標準不統(tǒng)一、規(guī)范混亂的現(xiàn)狀得到根本解決。下面用一個應用示例對上述三個實施例完成對第一設備和第二設備的密鑰灌裝 后,兩者之間進行業(yè)務數(shù)據(jù)信息的交互處理進行一下說明。在下面的示例中,以裝有ZIGBEE模塊的家庭信息機為第二設備,以裝有ZIGBEE模 塊的空調為第一設備。假定兩個設備都已灌裝第一設備的認證密鑰和業(yè)務數(shù)據(jù)加解密密 鑰,并設定好相應的認證算法和業(yè)務數(shù)據(jù)加解密算法,認證密鑰、業(yè)務數(shù)據(jù)加解密密鑰和業(yè) 務數(shù)據(jù)加解密算法保存在設備內(nèi)的安全芯片中,兩個設備還包括主控CPU。家庭信息機向空調發(fā)送指令后的處理流程如下家庭信息機主控CPU將打開空調的指令發(fā)給ZIGBEE模塊的安全芯片;安全芯片 使用存儲的業(yè)務數(shù)據(jù)加密密鑰和業(yè)務數(shù)據(jù)加密算法對該指令進行數(shù)據(jù)加密,然后由ZIGBEE 模塊調用安全芯片的認證密鑰進行ZIGBEE協(xié)議本身定義的算法進行識別與加密,發(fā)給空 調的ZIGBEE模塊;空調的ZIGBEE模塊先使用安全芯片的認證密鑰進行ZIGBEE協(xié)議本身定義的算法 進行識別和解密后,再使用存儲的業(yè)務數(shù)據(jù)加密密鑰進行對家庭信息機發(fā)過來的業(yè)務數(shù)據(jù) 信息按業(yè)務數(shù)據(jù)加解密算法進行解密,然后空調主控CPU處理ZIGBEE模塊的打開空調的指 令,使空調開始運行。第四實施例本實施例涉及終端設備與業(yè)務應用系統(tǒng)之間的數(shù)據(jù)傳輸。該通信終端可以是上述 實施例中的第一設備,也可以是第二設備,也可以是其他設備。本實施例方法的流程如圖9所示,包括步驟410,生成配合使用的第一密鑰和第二密鑰,將第一密鑰灌裝到終端設備中, 將第二密鑰及終端設備的安全模塊標識保存在業(yè)務安全平臺并建立兩者的關聯(lián)關系,且業(yè) 務安全平臺將終端設備的安全模塊標識及其第二密鑰同步到業(yè)務應用系統(tǒng);上述第一密鑰和第二密鑰是用于業(yè)務數(shù)據(jù)加解密的密鑰。所述密鑰的生成和保存 仍然可以采用第一至第三實施例中的方法,可以是機構生成的,也可以是由使用的設備生 成的,這里不再重復。業(yè)務應用系統(tǒng)與業(yè)務安全平臺進行密鑰同步時,密鑰傳輸使用加密模式,加密算 法和密鑰可采用相對應的硬件加密機或USBKEY等不同模式。步驟420,終端設備用第一密鑰將業(yè)務數(shù)據(jù)加密后,發(fā)送到業(yè)務應用系統(tǒng);終端設備具有遠程通信模塊時,可以直接將加密的業(yè)務數(shù)據(jù)發(fā)送到業(yè)務應用系 統(tǒng)。在某些情況下,如終端設備只具有近程通信模塊時,終端設備可以將加密的業(yè)務 數(shù)據(jù)發(fā)送到一個中間設備,由該中間設備轉發(fā)到業(yè)務應用系統(tǒng)。此時,終端設備和該中間設備可以采用上述第一、第二或第三實施例的變例來進行相互的認證,與上述實施例不同的 是,中間設備收到終端設備發(fā)來的加密的業(yè)務數(shù)據(jù)后不進行解析和處理,直接發(fā)送到業(yè)務 應用系統(tǒng)。步驟430,業(yè)務應用系統(tǒng)收到加密的業(yè)務數(shù)據(jù)后,使用終端設備的第二密鑰將業(yè)務 數(shù)據(jù)解密,然后進行解析和處理。業(yè)務應用系統(tǒng)需要對終端設備進行控制時,業(yè)務應用系統(tǒng)將要發(fā)送到終端設備的 控制數(shù)據(jù)用第二密鑰加密,直接或經(jīng)中間設備發(fā)送到該終端設備,該終端設備用第一密鑰 進行解密后進行解析和處理。終端設備和業(yè)務應用系統(tǒng)采用的加解密算法可以由業(yè)務安全平臺隨第二密鑰一 起同步到業(yè)務應用系統(tǒng),也可以直接在業(yè)務應用系統(tǒng)配置,由業(yè)務應用系統(tǒng)和第一設備協(xié) 商使用的算法或者采用默認的算法。下面給出本實施例具體應用的一個示例,以裝有ZIGBEE模塊的家庭信息機為中 間設備,以裝有ZIGBEE模塊的空調為終端設備??照{的安全芯片中灌裝了用于業(yè)務數(shù)據(jù)加 解密的第一密鑰和用于網(wǎng)絡層認證的第一密鑰,業(yè)務安全平臺將相應的用于業(yè)務數(shù)據(jù)加解 密的第二密鑰同步到業(yè)務應用系統(tǒng),將用于網(wǎng)絡層認證的第二密鑰下發(fā)給家庭信息機。下面是空調將采集的數(shù)據(jù)上傳業(yè)務應用系統(tǒng)的處理流程空調主控CPU將當前的溫度信息通過安全芯片使用存儲的用于業(yè)務數(shù)據(jù)加解密 的第一密鑰和對應的算法加密后,再用用于網(wǎng)絡層認證的第一密鑰按ZIGBEE協(xié)議定義的 算法進行加密,發(fā)給家庭信息機的ZIGBEE模塊;家庭信息機的ZIGBEE模塊先使用安全芯片存儲的用于網(wǎng)絡層認證的第二密鑰和 ZIGBEE協(xié)議定義的算法進行識別和解密后,直接通過遠程無線通信或有線方式將含有溫度 信息的加密的業(yè)務數(shù)據(jù)發(fā)給業(yè)務應用系統(tǒng);業(yè)務應用系統(tǒng)使用從業(yè)務安全平臺同步得到的該空調用于業(yè)務數(shù)據(jù)加解密的第 二密鑰和對應的算法將業(yè)務數(shù)據(jù)解密,并進行業(yè)務協(xié)議解析和處理。本實施例基于的系統(tǒng)如圖10所示,業(yè)務應用系統(tǒng)包括業(yè)務應用服務平臺以及連 接在業(yè)務應用服務平臺和終端設備之間的傳輸協(xié)議解析服務器,該傳輸協(xié)議解析服務器可 與業(yè)務安全平臺交互,進一步包括密鑰同步和存儲模塊和傳輸協(xié)議解析模塊。相應地,業(yè)務 安全平臺也包括一密鑰同步模塊,其中業(yè)務安全平臺的密鑰同步模塊用于與傳輸協(xié)議解析服務器的密鑰同步和存儲模 塊配合,將終端設備的安全模塊標識及其第二密鑰同步到業(yè)務應用系統(tǒng);傳輸協(xié)議解析服務器的密鑰同步和存儲模塊用于與傳輸協(xié)議解析服務器的密鑰 同步和存儲模塊配合,將終端設備的安全模塊標識及其第二密鑰同步到業(yè)務應用系統(tǒng)并保 存該關聯(lián)的安全模塊標識和第二密鑰;傳輸協(xié)議解析模塊用于在收到終端設備加密的業(yè)務數(shù)據(jù)后,從密鑰同步和存儲模 塊查找到該終端設備的第二密鑰,對加密的業(yè)務數(shù)據(jù)進行解密后發(fā)送到業(yè)務應用服務平 臺;可選地,傳輸協(xié)議解析模塊還用于在收到業(yè)務應用平臺發(fā)送給終端設備的控制數(shù)據(jù)后, 從密鑰同步和存儲模塊查找到該終端設備的第二密鑰,使用第二密鑰對該控制指令加密后 發(fā)送給該終端設備。如可以通過數(shù)據(jù)短信、BIP協(xié)議等方式。業(yè)務應用服務平臺用于接收解密后的業(yè)務數(shù)據(jù)并進行業(yè)務處理,還可用于將要發(fā)送給終端設備的控制數(shù)據(jù)先發(fā)送到傳輸協(xié)議解析模塊。終端設備用于對要發(fā)送到業(yè)務應用系統(tǒng)的數(shù)據(jù),先采用第一密鑰進行加密后再發(fā) 送,發(fā)送到業(yè)務應用系統(tǒng)的加密的業(yè)務數(shù)據(jù)將首先被路由到傳輸協(xié)議解析服務器;還可用 于在收到業(yè)務應用系統(tǒng)發(fā)來的加密數(shù)據(jù)后,用第一密鑰進行解密后再進行解析和處理。在實體上,傳輸協(xié)議解析服務器可以單獨放置,也可以放在業(yè)務應用服務平臺上, 還可以放在業(yè)務安全平臺上。本實施例考慮到數(shù)據(jù)安全性和大量業(yè)務數(shù)據(jù)的分擔負荷處 理,將傳輸協(xié)議解析服務器放在業(yè)務應用服務平臺上。上述第一密鑰和第二密鑰是終端設備的業(yè)務數(shù)據(jù)加解密密鑰。本實施例提出的方 案使得在具有業(yè)務安全平臺的系統(tǒng)架構下,終端設備與業(yè)務應用系統(tǒng)之間進行數(shù)據(jù)加密傳 輸成為可能,避免了業(yè)務安全平臺承擔大量加解密工作的負荷。
20
權利要求
一種業(yè)務應用安全實現(xiàn)方法,用于包括可相互通信的第一設備和第二設備,及業(yè)務安全平臺的系統(tǒng),該方法包括密鑰灌裝過程生成配合使用的第一密鑰和第二密鑰,所述第一密鑰預置在第一設備中或由業(yè)務安全平臺下發(fā)給第一設備,所述第二密鑰由該業(yè)務安全平臺保存并下發(fā)給第二設備;密鑰使用過程該第一設備和第二設備相互通信時,基于所述第一密鑰和第二密鑰實現(xiàn)對交互數(shù)據(jù)的加密和解密。
2.如權利要求1的方法,其特征在于,所述密鑰灌裝過程具體包括 由可信任的機構生成配合使用的所述第一密鑰和第二密鑰;將所述第一密鑰預置在該第一設備的安全模塊內(nèi),所述第二密鑰和第一設備的安全模 塊標識保存在業(yè)務安全平臺并相互關聯(lián);該業(yè)務安全平臺收到對該第一設備和第二設備的關聯(lián)請求,該關聯(lián)請求中包含該第一 設備和第二設備的安全模塊標識;該業(yè)務安全平臺根據(jù)該關聯(lián)請求將與該第一設備的安全模塊標識關聯(lián)的第二密鑰下 發(fā)到該第二設備,該第二設備在安全模塊保存所述第二密鑰。
3.如權利要求1的方法,其特征在于,所述密鑰灌裝過程具體包括 由可信任的機構生成配合使用的所述第一密鑰和第二密鑰;將所述第一密鑰和第二密鑰保存在該業(yè)務安全平臺并與該第一設備的安全模塊標識 相關聯(lián);該業(yè)務安全平臺收到將第二設備與第一設備關聯(lián)的關聯(lián)請求,該關聯(lián)請求中包含第一 設備和第二設備的安全模塊標識;該業(yè)務安全平臺根據(jù)該關聯(lián)請求將與該第一設備的安全模塊標識關聯(lián)的第二密鑰下 發(fā)到該第二設備,該第二設備在安全模塊保存所述第二密鑰。
4.如權利要求1的方法,其特征在于,所述密鑰灌裝過程具體包括 該第一設備生成配合使用的所述第一密鑰和第二密鑰;該第一設備保存所述第一密鑰,將所述第二密鑰和預置的本設備的安全模塊標識加密 后上傳到該業(yè)務安全平臺,該業(yè)務安全平臺解密后保存所述第二密鑰和第一設備的安全模 塊標識并將兩者關聯(lián)起來;該業(yè)務安全平臺收到將第二設備與第一設備關聯(lián)的關聯(lián)請求,該關聯(lián)請求中包含該第 一設備和第二設備的安全模塊標識;該業(yè)務安全平臺根據(jù)該關聯(lián)請求將與該第一設備的安全模塊標識關聯(lián)的第二密鑰下 發(fā)到該第二設備,該第二設備在安全模塊保存所述第二密鑰。
5.如權利要求1或2或3或4所述的方法,其特征在于,該第一設備的安全模塊為一安全芯片或智能卡,該第二設備的安全模塊為一安全芯片 或智能卡。
6.如權利要求2所述的方法,其特征在于,所述第一密鑰預置在第一設備的安全芯片中,所有發(fā)行的安全芯片中預置的第一密鑰 均不相同。
7.如權利要求2或3或4所述的方法,其特征在于,該業(yè)務安全平臺收到該關聯(lián)請求后,先按以下方式判斷該關聯(lián)請求是否合法,如果合法再根據(jù)該關聯(lián)請求進行密鑰下發(fā)業(yè)務安全平臺判斷該關聯(lián)請求是否是將其他設備與該第一設備關聯(lián)的首次關聯(lián)請求如是對該第一設備的首次關聯(lián)請求,且在數(shù)據(jù)庫中查找到該關聯(lián)請求中第一設備的安 全模塊標識,則判定該關聯(lián)請求合法,否則不合法;如非對該第一設備的首次關聯(lián)請求,則該業(yè)務安全平臺判定該關聯(lián)請求不合法;或者, 該業(yè)務安全平臺在數(shù)據(jù)庫中查找到該關聯(lián)請求中的安全模塊標識且滿足以下條件之一時, 判定該關聯(lián)請求合法,否則判定該關聯(lián)請求不合法條件一,提出該關聯(lián)請求的用戶具有足 夠的權限;條件二,用戶在預設的允許匹配次數(shù)內(nèi)輸入了正確的身份驗證信息。
8.如權利要求2或3或4所述的方法,其特征在于,該第二設備保存有該業(yè)務安全平臺的數(shù)據(jù)傳輸公鑰,業(yè)務安全平臺用對應的數(shù)據(jù)傳輸 私鑰對所述第二密鑰做數(shù)字簽名再下發(fā)給該第二設備,該第二設備用該數(shù)據(jù)傳輸公鑰解密 后將所述第二密鑰保存到安全模塊;和/或該業(yè)務安全平臺保存有該第二設備用于數(shù)據(jù)傳輸?shù)墓€或對稱密鑰,該業(yè)務安全平臺 用該公鑰或對稱密鑰對所述第二密鑰加密后下發(fā)給該第二設備,該第二設備用自己用于數(shù) 據(jù)傳輸?shù)乃借€或對稱密鑰解密后將所述第二密鑰保存到安全模塊。
9.如權利要求1或2或3或4所述的方法,其特征在于,灌裝到該第一設備和第二設備的第一密鑰和第二密鑰是作為業(yè)務數(shù)據(jù)加解密密鑰,第 一設備和第二設備之間基于該第一密鑰和第二密鑰對業(yè)務數(shù)據(jù)進行加解密,實現(xiàn)該兩個設 備間應用層業(yè)務數(shù)據(jù)的密文傳輸;或者灌裝到該第一設備和第二設備的第一密鑰和第二密鑰是作為第一設備和第二設備在 網(wǎng)絡層的認證密鑰,第一設備和第二設備之間基于該第一密鑰和第二密鑰來實現(xiàn)該兩個設 備間在網(wǎng)絡層的相互認證;或者為該第一設備和第二設備灌裝了至少二組第一密鑰和第二密鑰,其中一組第一密鑰和 第二密鑰是作為第一設備和第二設備在網(wǎng)絡層的認證密鑰,另一組第一密鑰和第二密鑰是 作為應用層的業(yè)務數(shù)據(jù)加解密密鑰。
10.如權利要求1或2或3或4所述的方法,其特征在于,該業(yè)務安全平臺向該第一設備和/或第二設備下發(fā)密鑰時,根據(jù)該第二設備和/或第 一設備的同時作為通信標識的安全模塊標識進行下發(fā);或者,根據(jù)第一設備和/或第二設 備的安全模塊標識關聯(lián)的通信標識進行下發(fā),該業(yè)務安全平臺在該第一設備和/或第二設 備的注冊過程中根據(jù)輸入信息建立起該第一設備和/或第二設備的安全模塊標識和通信 標識的關聯(lián)關系。
11.一種業(yè)務應用安全實現(xiàn)系統(tǒng),至少包括通過相互通信實現(xiàn)業(yè)務應用的第一設備和 第二設備,其特征在于,還包括業(yè)務安全平臺,其中所述業(yè)務安全平臺包括密鑰管理子系統(tǒng),用于保存和維護包含第一設備在內(nèi)的各設備的安全模塊標識及其關 聯(lián)的第二密鑰;業(yè)務訂購管理子系統(tǒng),用于進行業(yè)務訂購的管理,收到將第二設備與第一設備關聯(lián)的 帶有第一設備和第二設備的安全模塊標識的關聯(lián)請求后,通知業(yè)務使用認證與管理子系統(tǒng)對該關聯(lián)請求進行驗證;業(yè)務使用認證管理子系統(tǒng),用于對該關聯(lián)請求進行驗證,如驗證通過,通過通信子系統(tǒng) 向該第二設備下發(fā)與該第一設備的安全模塊標識關聯(lián)的第二密鑰;通信子系統(tǒng),用于實現(xiàn)業(yè)務安全平臺與其他系統(tǒng)和設備間的數(shù)據(jù)收發(fā); 所述第二設備用于在收到下發(fā)的第二密鑰后,將所述第二密鑰保存在安全模塊中。
12.如權利要求11所述的系統(tǒng),其特征在于 所述第一設備的安全模塊中預置了所述第一密鑰;或者所述第一設備中預置了密鑰生成算法,所述第一設備使用該密鑰生成算法生成所述第 一密鑰和第二密鑰,將所述第一密鑰保存在安全模塊中,將所述第二密鑰和預置的本設備 的安全模塊標識上傳到所述業(yè)務安全平臺。
13.如權利要求11所述的系統(tǒng),其特征在于所述密鑰管理子系統(tǒng)還用于保存和維護與設備的安全模塊標識關聯(lián)的第一密鑰; 所述業(yè)務使用認證管理子系統(tǒng)還用于在對該關聯(lián)請求的驗證通過后,通過通信子系統(tǒng) 向第一設備下發(fā)第一設備的安全模塊標識關聯(lián)的第一密鑰;所述第一設備用于在收到下發(fā)的第一密鑰后,將所述第一密鑰保存在安全模塊中。
14.如權利要求11或12或13所述的系統(tǒng),其特征在于該業(yè)務安全平臺的業(yè)務使用認證管理子系統(tǒng)收到該關聯(lián)請求后,判斷該關聯(lián)請求是否 是將其他設備與該第一設備關聯(lián)的首次關聯(lián)請求如是對該第一設備的首次關聯(lián)請求,且在數(shù)據(jù)庫中查找到該關聯(lián)請求中第一設備的安 全模塊標識,則判定該關聯(lián)請求合法,否則不合法;如非對該第一設備的首次關聯(lián)請求,則該業(yè)務安全平臺判定該關聯(lián)請求不合法;或者, 該業(yè)務安全平臺在數(shù)據(jù)庫中查找到該關聯(lián)請求中的安全模塊標識且滿足以下條件之一時, 判定該關聯(lián)請求合法,否則判定該關聯(lián)請求不合法條件一,提出該關聯(lián)請求的用戶具有足 夠的權限;條件二,用戶在預設的允許匹配次數(shù)內(nèi)輸入了正確的身份驗證信息。
15.如權利要求11或12或13所述的系統(tǒng),其特征在于,所述業(yè)務安全平臺還包括 應用管理子系統(tǒng),用于保存和維護業(yè)務應用的數(shù)據(jù);業(yè)務應用下載管理子系統(tǒng),用于從應用管理子系統(tǒng)找到第二設備需下載的業(yè)務應用, 通過通信子系統(tǒng)將該業(yè)務應用的數(shù)據(jù)下載到第二設備;所述業(yè)務使用認證與管理子系統(tǒng)還可用于在關聯(lián)請求的驗證通過后,通知業(yè)務應用下 載管理子系統(tǒng)向第二設備下載相應的業(yè)務應用。
16.如權利要求11或12或13所述的系統(tǒng),其特征在于所述第一設備的安全模塊為一安全芯片或智能卡,所述第二設備的安全模塊為一安全 芯片或智能卡。
17.—種業(yè)務應用安全實現(xiàn)方法,用于包括終端設備、業(yè)務安全平臺和業(yè)務應用系統(tǒng)的 系統(tǒng),該方法包括生成配合使用的第一密鑰和第二密鑰,將該第一密鑰灌裝到所述終端設備中,將該第 二密鑰及所述終端設備的安全模塊標識保存在所述業(yè)務安全平臺并相互關聯(lián),所述業(yè)務安 全平臺將所述終端設備的安全模塊標識及關聯(lián)的第二密鑰同步到所述業(yè)務應用系統(tǒng); 所述終端設備用所述第一密鑰將業(yè)務數(shù)據(jù)加密后發(fā)送到所述業(yè)務應用系統(tǒng);所述業(yè)務應用系統(tǒng)收到加密的業(yè)務數(shù)據(jù)后,使用同步得到的所述第二密鑰將所述加密 的業(yè)務數(shù)據(jù)解密,然后進行解析和處理。
18.如權利要求17所述的方法,其特征在于所述業(yè)務應用系統(tǒng)包括傳輸協(xié)議解析服務器和業(yè)務應用服務平臺,所述業(yè)務安全平 臺是將所述終端設備的安全模塊標識及關聯(lián)的第二密鑰同步到所述傳輸協(xié)議解析服務器 中;所述終端設備發(fā)送到該業(yè)務應用系統(tǒng)的加密的業(yè)務數(shù)據(jù)被路由到所述傳輸協(xié)議解析 服務器,所述傳輸協(xié)議解析服務器對加密的業(yè)務數(shù)據(jù)進行解密后再交給所述業(yè)務應用服務 平臺進行解析和處理。
19.一種業(yè)務應用安全實現(xiàn)系統(tǒng),包括終端設備和業(yè)務應用系統(tǒng),其特征在于,還包括 業(yè)務安全平臺,所述業(yè)務安全平臺包括密鑰同步模塊,所述業(yè)務應用系統(tǒng)包括業(yè)務應用服 務平臺和傳輸協(xié)議解析服務器,所述傳輸協(xié)議解析服務器進一步包括密鑰同步和存儲模塊 和傳輸協(xié)議解析模塊,其中業(yè)務安全平臺的密鑰同步模塊用于與傳輸協(xié)議解析服務器的密鑰同步和存儲模塊配 合,將終端設備的安全模塊標識及第二密鑰同步到業(yè)務應用系統(tǒng);傳輸協(xié)議解析服務器的密鑰同步和存儲模塊用于與業(yè)務安全平臺的密鑰同步模塊配 合,將終端設備的安全模塊標識及其第二密鑰同步到業(yè)務應用系統(tǒng)并保存;傳輸協(xié)議解析服務器的傳輸協(xié)議解析模塊用于在收到終端設備加密的業(yè)務數(shù)據(jù)后,從 密鑰同步和存儲模塊查找到該終端設備的第二密鑰,對加密的業(yè)務數(shù)據(jù)進行解密后發(fā)送到 業(yè)務應用服務平臺;業(yè)務應用服務平臺用于接收解密后的業(yè)務數(shù)據(jù)并進行業(yè)務處理;終端設備用于對要發(fā)送到業(yè)務應用系統(tǒng)的數(shù)據(jù),先采用第一密鑰進行加密后再發(fā)送, 發(fā)送到業(yè)務應用系統(tǒng)的加密的業(yè)務數(shù)據(jù)首先被路由到傳輸協(xié)議解析服務器。
20.如權利要求19所述的系統(tǒng),其特征在于所述業(yè)務應用服務平臺還可用于將要發(fā)送給終端設備的控制數(shù)據(jù)先發(fā)送到傳輸協(xié)議 解析服務器;所述傳輸協(xié)議解析服務器的傳輸協(xié)議解析模塊還用于在收到業(yè)務應用平臺發(fā)送給終 端設備的控制數(shù)據(jù)后,從密鑰同步和存儲模塊查找到該終端設備的第二密鑰,使用第二密 鑰對該控制指令加密后發(fā)送給該終端設備;所述終端設備還用于在收到業(yè)務應用系統(tǒng)發(fā)來的加密數(shù)據(jù)后,用第一密鑰進行解密后 再進行解析和處理。
全文摘要
一種業(yè)務應用安全實現(xiàn)方法及系統(tǒng),該系統(tǒng)包括可相互通信的第一設備和第二設備,及業(yè)務安全平臺,該方法包括密鑰灌裝過程生成配合使用的第一密鑰和第二密鑰,所述第一密鑰預置在第一設備中或由業(yè)務安全平臺下發(fā)給第一設備,所述第二密鑰由該業(yè)務安全平臺保存并下發(fā)給第二設備;密鑰使用過程該第一設備和第二設備相互通信時,基于所述第一密鑰和第二密鑰實現(xiàn)對交互數(shù)據(jù)的加密和解密。本發(fā)明還涉及終端設備與業(yè)務應用系統(tǒng)之間的加密傳輸。本發(fā)明可以提高業(yè)務數(shù)據(jù)傳輸?shù)陌踩浴?br>
文檔編號H04W12/04GK101873588SQ201010193289
公開日2010年10月27日 申請日期2010年5月27日 優(yōu)先權日2010年5月27日
發(fā)明者王京陽, 趙綸, 鄭輝 申請人:大唐微電子技術有限公司