一、设备认证技术简述设备接入是物联网平台发挥作用的基础。验证。常见的解决方案包括以下实现形式:?基于MAC、设备序列号等设备标识的简单认证。这种认证方式只涵盖单向等批量破解。?基于一类一秘钥的认证。一些物联网设备制造商在所有出厂设备中预置了相同的平台对称密钥或平台公钥,并使用预置密钥对MAC、SN等设备标识符进行加密传输。业务平台侧获取并验证解密后的设备身份,平台完成设备身份认证。平台返回加密后的认证结果,物联网设备接收并解密认证结果,完成整个双向认证过程。由于所有设备都预设了相同的密钥,这种认证方式的黑客可以通过破解一台设备获得平台密钥,进而批量破解其他设备,特别适用于家庭、可穿戴等消费物联网,以及公共行业如交通、城市安全、水电等。在物联网场景中,黑客可以轻松购买或获取此类物联网设备。?基于一机一密的设备密钥认证,即每台设备使用不同的密钥加密设备ID进行认证。这种认证方式解决了不同设备具有唯一性和唯一性的密钥供应成本相对较高的问题。综上所述的技术方案,设备身份认证的安全级别太低,容易被破解,而一类一密的认证技术存在被大规模破解和攻击的风险。一机一密认证技术的安全性高。虽然存在设备密钥预置成本高的问题,但可以通过使用产线烧录工具无缝插入到设备产线中解决该问题;安全烧录工具可以保证烧录效率和安全性,降低集成和预置成本。二、一机一密认证技术方案整个认证技术方案由密钥分发安全烧录和设备访问安全认证两部分组成:1.密钥分发安全烧录图1基于生产线加密Key的安全烧录流程图烧录组件:该组件作为设备生产线的一部分提供给设备制造商,密钥在生产过程中直接烧录到设备上。整个烧录过程不经过任何第三方,保证烧录过程的安全。?设备密钥加密烧录:密钥分发中心下发的设备密钥采用根密钥进行加密,保证即使攻击者读取设备密钥也无法使用。?基于安全芯片载体的安全存储:采用安全芯片加密,密钥存储在硬件中,实现与物联网设备的物理和逻辑隔离,数据不可窃取。除安全芯片外,还支持扩展其他安全存储方式。安全性从高到低依次为:SIM卡、TEE、安全MCU、软沙箱。2.设备安全认证图2安全认证流程图安全认证SDK通过一机一密实现设备安全认证和工作密钥的安全分发。安装和部署。3.详细流程图3详细认证流程图(1)物联网设备产线生产阶段,可信认证平台首先添加物联网设备产线网络白名单,物联网平台同步物联网与可信认证平台设备的唯一ID。(2)物联网设备携带设备ID向可信认证平台申请设备唯一密钥,并使用可信认证平台密钥对请求进行加密。可信认证平台首先验证来源是否可信,并使用平台密钥解密验证制造商信息和??来源。来源验证成功后,可信认证平台检查设备唯一标识是否在厂商设备标识列表中,验证设备唯一标识的合法性。(3)可信认证平台成功为设备生成设备唯一密钥,返回给物联网设备。可信认证平台不保存设备密钥。(4)在物联网设备在线激活或使用阶段,根据设备的唯一密钥生成一次性验证码,并与验证码等信息一起发送至物联网平台进行真伪验证装置。物联网平台将验证请求转发给可信认证平台进行验证。(5)可信认证平台根据物联网平台的来源信息和设备验证码进行验证,验证所需的密钥由硬件加密机根据设备信息和厂商信息实时生成。验证成功后,将加密后的验证成功信息和通信连接密钥返回给物联网平台。物联网平台记录设备验证成功结果并保存通信工作密钥,并将验证成功信息返回给物联网设备。(6)物联网设备成功解密验证信息,实现物联网设备对平台的认证并保留通信密钥,最终实现物联网设备与物联网平台安全连接通道的建立。3、一机一密认证技术方案特点?基于预置密钥实现业务平台与物联网终端之间的双向可信身份认证;?实现基于可信身份认证的物联网终端工作密钥的安全分发;?兼容国内外主流芯片、通信模块和嵌入式操作系统;?软件按需部署,支持热更新机制,保证更新包快速部署。4.结论综上所述,本方案可以帮助物联网设备实现一机一密,设备与服务器之间的双向身份认证,以及建立安全通道的能力,有效防止假冒设备攻击,设备密钥被破解、伪造服务器指令、监控或篡改关键信息等攻击手段,通过设备生产线安全漏洞窃取密钥等。截至目前,智能家居运营中心自建的一机一密认证服务中心已覆盖140多家厂商的近300种设备。提供安全认证保证。
