[发明专利]一种密钥在线分发方法、系统及介质

说明书

本发明公开了一种密钥在线分发方法、系统及介质，方法包括：通过终端将生成的第一公钥发送至物联网通用使能平台；根据所述第一公钥通过物联网通用使能平台向所述终端发送对应的第二私钥的密文；根据所述第二私钥的密文通过终端生成终端签名信息，并将所述终端签名信息发送至所述物联网通用使能平台，由物联网通用使能平台完成身份认证和/或数据加密。本发明能够实现终端私钥的在线分发，且在分发过程中只传输私钥密文，保证了私钥传输的安全性；另外，本发明的交互流程简单，拓展性强，可适用于身份认证和数据加密等应用场景，可广泛应用于物联网技术领域。

技术领域

本发明涉及物联网技术领域，尤其是一种密钥在线分发方法、系统及介质。

背景技术

签名认证是基于数字签名的认证方式，终端用于签名的私钥一般由平台生成，目前对于私钥的分发过程一般通过线下操作实现，需要人工从平台下载私钥再导入到终端。对于批量生产的物联网终端设备而言，这种密钥的罐装的过程很消耗时间，而且密钥安全性也不能保证。

另外，对于密钥安全性问题，数据包传输层安全性协议(Datagram TransportLayer Security，DTLS)可以实现密钥的安全协商，但是在应用中也存在以下局限性：

1)DTLS实现了通道加密，并不适用于单纯只需要进行身份认证的应用场景；

2)DTLS依赖于SSL库的实现，可以选用的加密套件和安全算法受到限制，可扩展性较差；

3)握手过程复杂，报文交互周期长，对网络性能要求较高。

发明内容

有鉴于此，本发明实施例提供一种安全性高、拓展性强且交互流程简单的密钥在线分发方法、系统及介质。

本发明的第一方面提供了一种密钥在线分发方法，应用于终端，包括：

将生成的第一公钥发送至物联网通用使能平台；

接收所述物联网通用使能平台发送的第二私钥的密文；

根据所述第二私钥的密文生成终端签名信息，并将所述终端签名信息发送至所述物联网通用使能平台。

在一些实施例中，所述将生成的公钥发送至物联网通用使能平台，包括：

通过安全模块单元生成第一公私钥对；

根据所述第一公私钥对，通过所述安全模块向控制单元发送第一公钥；

通过所述控制单元向所述物联网通用使能平台发送所述第一公钥。

在一些实施例中，所述根据所述私钥密文生成终端签名信息，包括：

通过控制单元将所述第二私钥的密文发送至安全模块；

通过所述安全模块将所述第二私钥的密文对应的第二私钥的明文发送至所述控制单元；

根据所述第二私钥明文对身份信息进行签名，生成终端签名信息。

本发明的第二方面提供了一种密钥在线分发方法，应用于物联网通用使能平台，包括：

接收终端发送的第一公钥；

根据所述第一公钥向所述终端发送对应的第二私钥的密文；

接收终端发送的终端签名信息，并根据所述终端签名信息进行身份认证和/或数据加密。

在一些实施例中，还包括以下步骤：

通过第一密码机为终端分配第二私钥的明文。

在一些实施例中，所述根据所述第一公钥向所述终端发送对应的私钥密文，包括：

通过bootstrap服务端识别终端标识；