一种传感器的安全认证方法、传感器及其认证系统

摘要

本发明实施例提供了一种传感器的安全认证方法，包括：从在线设备管理中心获取认证信息，所述认证信息包括时间戳和随机数；获取传感器的设备标识；将认证信息发送给传感器请求签名；获取经过传感器数字签名的认证信息；向在线设备管理中心上传认证请求，所述认证请求包括所述设备标识、认证信息以及经过传感器数字签名的认证信息；获取在线设备管理中心的认证结果。相应地本发明实施例还公开了一种传感器及其认证系统。通过实施本发明，实现了对传感器设备的安全管理，避免了因为使用非法传感器设备带来的安全隐患。

说明书

技术领域

本发明涉及电子信息技术领域，尤其涉及一种传感器的安全认证方法、一种传感器及其认证系统。

背景技术

随着射频技术、传感器技术的发展与产品的推广，越来越多的传感器进入各行各业，同样传感器设备的安全管理面临越来越多的挑战。以读卡器为例，常见的读卡器通常只包含功能性模块，没有考虑安全管理的问题。从而有可能导致各种非法读卡器或经过非法篡改或伪造的读卡器对用户的智能卡进行非法操作，给智能卡用户带来了极大的安全隐患。

发明内容

有鉴于此，本发明实施例通过获取经过传感器进行签名的认证信息发往在线设备管理中心进行认证，实现对传感器设备的安全管理，避免因为使用非法传感器设备带来的安全隐患。

本发明实施例提供了一种传感器的在线认证方法，包括：

从在线设备管理中心获取认证信息，所述认证信息包括时间戳和随机数；

获取传感器的设备标识；

将认证信息发送给传感器请求签名；

获取经过传感器数字签名的认证信息；

向在线设备管理中心上传认证请求，所述认证请求包括所述设备标识、认证信息以及经过传感器数字签名的认证信息；

获取在线设备管理中心的认证结果。

相应地本发明实施例还提供了一种带有安全认证功能的传感器，所述传感器包括：

密钥生成单元，用于生成非对称密钥对，所述密钥对包括公钥和私钥；

安全储存单元，用于安全储存所述私钥；

数字签名单元，用于使用安全储存单元中储存的私钥对认证信息进行数字签名。

相应地本发明实施例还提供了一种传感器的应用设备终端，所述传感器的应用设备终端包括：

设备标识获取单元，用于获取传感器的设备标识；

认证信息获取单元，用于从在线设备管理中心获取认证信息，所述认证信息包括时间戳和随机数；

签名请求单元，用于将认证信息发送给传感器；

签名获取单元，用于获取经过传感器数字签名的认证信息；

认证请求单元，用于向在线设备管理中心上传认证请求，所述认证请求包括所述设备标识、认证信息以及经过传感器数字签名的认证信息；

认证结果获取单元，用于获取在线设备管理中心的认证结果。

相应地本发明实施例还提供了一种传感器的认证系统，所述传感器的认证系统包括传感器、应用设备终端以及在线设备管理中心，其中：

所述传感器用于生成非对称密钥对，包括公钥和私钥，安全储存所述私钥并使用所述私钥对认证信息进行数字签名；

所述应用设备终端用于获取所述传感器的设备标识，从所述在线设备管理中心获取所述认证信息，将所述认证信息发给传感器进行数字签名后获取所述经过数字签名的认证信息，向所述在线设备管理中心发送认证请求，从在线设备管理中心获取认证结果，所述认证请求包括设备标识、认证信息以及经过传感器数字签名的认证信息；

所述在线设备管理中心用于生成认证信息，向应用设备终端发送所述认证信息，从应用设备终端获取认证请求，对所述认证请求进行认证并向应用设备终端返回认证结果。

本发明实施例通过获取经过传感器进行签名的认证信息发往在线设备管理中心进行认证，实现了对传感器设备的安全管理，避免了因为使用非法传感器设备带来的安全隐患。

附图说明

图1为本发明实施例中一种传感器的认证系统结构组成示意图；

图2为本发明实施例中一种带有安全认证功能的传感器的结构组成示意图；

图3为本发明实施例中一种传感器的应用设备终端的结构组成示意图；

图4为本发明实施例中一种传感器的在线认证方法的流程示意图；

图5为本发明实施例中一种传感器的在线认证方法中线设备管理中心的认证流程示意图；

图6为本发明一种传感器的在线认证方法实施例中传感器的初始化流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例中一种传感器的认证系统结构组成示意图，如图所示该认证系统包括传感器10、应用设备终端20以及在线设备管理中心30，其中：

传感器10用于生成非对称密钥对，包括公钥和私钥，安全储存所述私钥并使用所述私钥对认证信息进行数字签名。具体地，所述传感器可以为读卡器、指纹识别器、温度传感器、触摸传感器等接触及非接触传感器。

应用设备终端20用于获取传感器10的设备标识，从所述在线设备管理中心30获取所述认证信息，将所述认证信息发给传感器10进行数字签名后获取所述经过数字签名的认证信息，向在线设备管理中心30发送认证请求，从在线设备管理中心30获取认证结果，所述认证请求包括设备标识、认证信息以及经过传感器数字签名的认证信息。具体地，所述应用设备终端20可以为与所述传感器10通过有线或无线方式连接的应用设备，包括个人电脑、个人数码助理(Personal Digital Assistant，PDA)、手机、销售点终端(Point of sale，POS)等传感器应用设备。应用设备终端20可以在发起对传感器10的业务调用之前首先对传感器10进行在线认证，认证通过则进行该业务调用，若认证失败则不允许对该传感器进行业务调用。所述应用设备终端20通过互联网访问所述在线设备管理中心30。

在线设备管理中心30用于生成所述认证信息，向应用设备终端20发送所述认证信息，从应用设备终端20获取认证请求，对所述认证请求进行认证并向应用设备终端20返回认证结果。进一步地，所述在线设备管理中心30为传感器设备提供在线认证服务和设备使用状态的更新维护。

图2为本发明实施例中一种带有安全认证功能的传感器的结构组成示意图，如图所示该传感器包括密钥生成单元101，安全储存单元102以及数字签名单元103，其中：

密钥生成单元101用于生成非对称密钥对，所述密钥对包括公钥和私钥。具体地，所述密钥生成单元101可以在传感器初始化时，根据获取初始化软件的密钥请求生成所述非对称密钥对。

安全储存单元102用于安全储存所述私钥。具体地，所述传感器中可以包括一个安全储存区域，设备出厂时为可读写状态，经初始化成功后关闭可读写状态。进一步地初始化写入数字证书成功后，数字证书中的公钥和其他信息对外为可读不可写，私钥信息对外为不可读也不可写，但可以被数字签名单元103调用对认证信息进行数字签名。

数字签名单元103用于使用安全储存单元102中储存的私钥对认证信息进行数字签名。具体地，当传感器获取应用设备终端发来的认证信息后，数字签名单元103调用所述安全储存单元102中的所述私钥对所述认证信息进行数字签名，即使用所述私钥对认证信息进行非对称加密。

图3为本发明实施例中一种传感器的应用设备终端的结构组成示意图，如图3所示该应用设备终端包括设备标识获取单元201、认证信息获取单元202、签名请求单元203、签名获取单元204、认证请求单元205以及认证结果获取单元206，其中：

设备标识获取单元201用于获取传感器的设备标识。具体地，所述设备标识为设备发行商为传感器分配的设备标识，可以为条形码、设备生产流水号码等具有唯一性的设备标识，设备出厂后就保存在传感器中可供应用设备终端读取。

认证信息获取单元202用于从在线设备管理中心获取认证信息，所述认证信息包括时间戳和随机数。具体地，当应用设备终端感知到将要发起对传感器设备的应用业务的时候，即触发认证信息获取单元202从在线设备管理中心获取所述认证信息。

签名请求单元203用于将认证信息发送给传感器。签名请求单元203将认证信息发送给传感器请求传感器进行数字签名。

签名获取单元204用于获取经过传感器数字签名的认证信息。

认证请求单元205用于向在线设备管理中心上传认证请求，所述认证请求包括所述设备标识、认证信息以及经过传感器数字签名的认证信息；

认证结果获取单元206用于获取在线设备管理中心的认证结果。进一步地，所述应用设备终端根据认证结果获取单元206获取到的认证结果决定是否能够对所述传感器进行业务调用，例如若认证失败则认为该传感器为非安全设备，禁止对其进行业务调用。

以下通过对传感器的认证流程实施例详细说明本发明传感器的在线认证方法的实现：

图4为本发明实施例中一种传感器的在线认证方法的流程示意图，如图所示该方法流程包括：

步骤S401，从在线设备管理中心获取认证信息，所述认证信息包括时间戳和随机数。具体地，当所述传感器的应用设备终端识别到与传感器的连接时，或与所述传感器已经连接，在要发起对所述传感器的业务调用时，发起对所述传感器的在线设备认证流程，应用设备终端访问在线设备管理中心，请求获取所述认证信息，在线设备管理中心生成所述认证信息，将所述认证信息返回给应用设备终端并记录。

步骤S402，获取传感器的设备标识。具体地，所述设备标识为设备发行商为传感器分配的设备标识，可以为条形码、设备生产流水号码等具有唯一性的设备标识，设备出厂后就保存在传感器中可供应用设备终端读取。

步骤S403，将认证信息发送给传感器请求签名。

步骤S404，获取经过传感器数字签名的认证信息。具体地，传感器获取所述认证信息后，调用私钥对所述认证信息进行数字签名，即使用所述私钥对所述认证信息进行非对称加密，向应用设备终端返回所述经过数字签名的认证信息。

步骤S405，向在线设备管理中心上传认证请求，所述认证请求包括所述设备标识、认证信息以及经过传感器数字签名的认证信息；

步骤S406；获取在线设备管理中心的认证结果。进一步地，所述应用设备终端从所述在线设备管理中心获取认证成功的返回结果，则判断该传感器为安全设备，允许进一步的业务调用；若获取认证失败的返回结果，则判断该传感器为非安全设备，则禁止应用设备对其进一步的业务调用。

图5为本发明实施例中一种传感器的在线认证方法中在线设备管理中心的认证流程示意图，如图所示该流程包括：

步骤S501，在线设备管理中心从应用设备终端获取所述认证请求。具体地，所述认证请求包括所述设备标识、认证信息以及经过传感器数字签名的认证信息。所述认证信息包括时间戳和随机数，为应用设备终端发起认证流程时，线设备管理中心根据应用设备终端的请求生成并发送给所述应用设备终端的。

步骤S502，根据认证请求中的设备标识查找对应的数字证书。具体地，所述数字证书为设备初始化时初始化软件上传至在线设备管理中心，每一个传感器在在线设备管理中心中都唯一的有其对应的数字证书，认证过程中在线设备管理中心根据认证请求中的设备标识查找对应的数字证书，若查找不到，则向应用设备终端返回认证失败，若查找到了对应数字证书，则进行步骤S503.

步骤S503，使用所述数字证书中的公钥对经过加密的认证信息进行解密，从而对认证请求进行鉴权。具体地，当查找到了与所述设备标识对应的数字证书，则使用所述数字证书中的公钥对认证请求中经过数字签名的认证信息进行解密，将解密后的数据与认证请求中的未经数字签名的认证信息内容进行比对，若解密失败或解密后得到的数据与认证请求中的未经数字签名的认证信息内容不相同，则向应用设备终端返回认证失败，若比对结果为一致，即鉴权成功，则向应用设备终端返回认证成功。

进一步地，在线设备管理中心的认证流程还可以包括步骤S504，根据认证请求中的设备标识查询设备状态，若查找到设备状态为不可用，则返回认证失败。进一步地，所述传感器初始化成功时，在线设备管理中心将传感器的设备状态设为可用状态，当传感器挂失或注销时，在线设备管理中心则将传感器的设备状态设为不可用或改为对应的挂失状态或已注销状态，认证流程中在线设备管理中心鉴权成功后根据认证请求中的设备标识查找该传感器的设备状态，当设备状态为可用状态时则向应用设备终端返回认证成功，若查找到设备状态为不可用则返回认证失败或将设备状态返回给应用设备终端。进一步地该步骤S504可以在在线管理中心进行认证流程中的S501～S503任意一步之后进行，查找到设备状态不可用则直接返回认证失败结束流程，查找到设备状态可用则进行下一步骤。

图6为本发明一种传感器的在线认证方法实施例中传感器的初始化流程示意图，如图所示该流程包括：

步骤S601，所述传感器生成非对称密钥对，包括公钥和私钥。具体地，所述传感器在初始化时，初始化软件请求所述传感器生成非对称生成密钥对，所述传感器根据初始化软件的请求生成所述非对称密钥对。

步骤S602，设备初始化软件从所述传感器获取传感器的设备标识和所述公钥。

步骤S603，初始化软件向证书授权中心提交证书申请信息，所述证书申请信息包括所述设备标识和公钥。

步骤S604，初始化软件获取证书授权中心返回的数字证书，并将所述数字证书上传至设备管理中心，所述数字证书包括所述设备标识和公钥。具体地，所述证书授权中心获取所述初始化软件提交的证书申请信息后，对证书申请信息进行审核，包括对所述传感器的设备标识、生产商信息、出厂日期等设备信息进行审核。审核通过则根据所述设备标识和公钥签发数字证书，并向所述初始化软件返回所述数字证书。所述初始化软件将所述数字证书上传至在线设备管理中心进行同步。进一步地，所述初始化软件获取所述数字证书后，写入所述传感器中，并关闭所述传感器的可读写状态，完成所述传感器的初始化。

本发明实施例通过获取经过传感器进行签名的认证信息发往在线设备管理中心进行认证，实现了对传感器设备的安全管理，避免了因为使用非法传感器设备带来的安全隐患。

通过上述实施例的描述，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取介质中，该程序在执行时，可包括如上述各方法的实施例的的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。