CN112019647B 一种获得设备标识的方法及装置 （华为技术有限公司）

201810147255.92018.02.12备发送用于为所述用户设备请求所述设备标识2所述用户设备接收所述网络设备发送的经过加密的密钥对和信所述用户设备根据所述信息确定所述第一公钥为所述所述用户设备向所述网络设备发送经过所述第一私钥签名的第二二公钥为所述用户设备基于物理不可克隆功能生成的公所述用户设备接收所述网络设备发送的经过所述第二公钥加密的所述所述用户设备保存所述第一私钥，并采用所述第二公钥对保存的所述所述用户设备保存所述第一私钥，并采用所述第二公钥对保存的所述所述第一消息中携带由证书颁发中心CA签发的公钥证书，所述公钥证书中携带所述所述第一消息中携带由证书颁发中心CA签发的公钥证书，所述公钥证书中携带所述第一网络设备接收用户设备发送的用于为所述用户设备请求所述设备标识的第一消所述第一网络设备向所述用户设备发送经过加密的密钥对和第一括第一公钥和第一私钥，所述第一信息用于标识所述第一公钥为所述用户设备的设备标所述第一网络设备接收所述用户设备发送的经过所述第一私钥签第二消息携带作为所述用户设备的设备标识的所述第第二公钥为所述用户设备基于物理不可克隆功能PUF生成3所述第一网络设备生成第三消息，所述第三消息携带第二公钥，所述所述第一网络设备向所述第二网络设备发送所述第一网络设备接收所述第二网络设备发送的所述密钥对以及第二信信息用于指示所述密钥对中包括的所述第一所述第一网络设备向所述用户设备发送经过所述第二公钥加密的所述所述第一网络设备向所述用户设备发送经过所述第二公钥加密的所述所述第一消息中携带由证书颁发中心CA签发的公钥证书，所述公钥证书中携带所述所述第一消息中携带由证书颁发中心CA签发的公钥证书，所述公钥证书中携带所述4[0003]物联网(英文：Internetofthings，IoT)是通过使用射频识别(英文：Radio着物联网产业蓬勃发展，海量不同类型的终端通过固定或者移动互联网的互联网协议(英备标识(英文：internationalmobileequipmentidentify，IMEI)来对终端进行唯一标5[0011]该终端接收所述网络设备发送的密钥对和该终端接收到的该网络设备发送的信携带在同一个消息中时，该终端接收该网络设备发送的经过加密的密钥对的操作(为了便于表述，简称为操作1)以及该终端接收该网络设备发送的信息的操作(操作2)可以被理解基于物理不可克隆功能生成的公钥。[0016]在一个可能的设计中，所述终端接收所述网络设备发送的经过加密的密钥对之[0017]在一个可能的设计中，所述第一消息中携带由证书颁发中6第一公钥为所述终端的设备ID。第二方面所提供的方法的技术效果参见第一方面的说明，[0019]所述网络设备向所述终端发送的所述密钥对和所述网络设备向所述终端发送的低了系统开销。基于物理不可克隆功能PUF生成的公钥。[0025]通过对终端进行身份验证，使得ID管理系统只对通过身份验证的终端分配设备7[0027]在一个可能的设计中，所述第一消息中携带由证书颁发中意可能的设计中的方法中所述网络设备执行面任意可能的实现方式或第二方面任意可能的实现方式中8[0045]本申请实施例描述的应用场景是为了更加清楚的说明本[0049]本申请所述的“PUF”，是指物理不可克隆功能(英文：physicalunclonable例如通用关键字密码(英文：Rivest-Shamir-Adelman，RSA)算法或数字签名算法(英文：CommunicationService，PCS)电话、无绳电话、会话发起协议(SessionInitiationProtocol，SIP)话机、无线本地环路(WirelessLocalLoop，WLL)站、个人数字助理NB)，LTE系统中的演进型基站(EvolutionalNodeB，eNB或eNodeB)，GSM或CDMA中的基站(BaseTransceiverStation，BTS))，可以是新无线控制器(NewRadiocontroller，NR9输点(TransmissionPoint，TP)，还可以是云无线接入网络(CloudRadioAccess码/IP地址/MAC资源管理等。应用开发平台可以提供应用开发和统一数据存储的平台即服分析平台的部分或者全部功能，网络设备中可以部署有设备管理系统和/或标识(英文：终端管理平台中。“ID管理系统”例如可以是身份认证即服务(英文：Identityasa[0060]图1是本申请实施例提供的一种物联网系统的系统架构示意图，物联网系统包括台103中部署在至少一个网络设备中，图1中仅以两个网络设备(网络设备107和网络设备统和ID管理系统也可以部署在不同的网络设备中，例如设备管理系统部署在网络设备107于证明证书中列出的用户合法拥有证书中列出的公开密钥。需要说明的是，图1仅是示意网络架构中的终端101，网络设备1可以是图1所示的网络架构中部署有设备管理系统的网络设备108，网络设备2可以是图1所示的网络架构中的部署有ID管理系统的网络设备107，[0064]消息1用于向网络设备1发送注册请求，同时也用于向网络设备1指示为终端请求可以通过消息类型来标识该消息2用于请求设备ID，也可以通过相应的比特位来标识该消在消息1中携带该认证凭据。网络设备1向网络设备2发送的消息2中也携带所述认证凭据。钥1对密钥对2进行加密保护，终端接收到经过公钥1加密的密钥对2后，采用私钥1进行解[0091]需要说明的是，S207中终端保存密钥对2的操作与S208的操作的执行顺序不分先[0094]具体来说，消息2可用于向网络设备1中部署的设备管理系统确认终端注册成的公钥1，对终端进行身份验证。如果消息1中携带的公钥2与网络设备1中保存的公钥1相[0106]通过对终端进行身份验证，使得网络设备2中的ID管理系统只对通过身份验证的络设备1可以是图1所示的网络架构中网络设备108，网络设备2可以是图1所示的网络架构举例来说，S501可以在S304之前完成，也可以在S304之后完成，也可以与S304同时完成；网络设备1可以是图1所示的网络架构中的网络设备107或网络设备108。网络设备1中部署消息1可以通过消息类型来标识该消息1用于为终端请求设备ID以及向设备管理系统进行注册，也可以通过相应的比特位来标识该消息1用于为终端请求设备ID以及向设备管理系[0140]网络设备1对终端进行身份验证的方式，与方法300中网络设备1对终端进行身份[0141]通过对终端进行身份验证，使得网络设备2中的ID管理系统只对通过身份验证的[0152]具体来说，消息2可用于向网络设备1中部署的设备管理系统确认终端注册成该第一消息用于请求设备ID，也可以通过相应的比特位来标识该第一消息用于请求设备括第一公钥和第一私钥。[0161]该信息可以是消息类型，也可以是消息中相应的比特位。S703中发送的信息和[0162]所述终端在S702接收到的密钥对和在S703中接收到的信息可以是携带在同一个网络设备根据第一消息中携带的第二公钥与自身保存的第二公钥，对终端进行身份验证。到终端发送的第一消息后，会生成并向第二网络设备发送携带有所述第二公钥的第二消[0169]在一种实施方式中，所述终端接收所述第一网络设备发与所述第二公钥对应的第二私钥进行解密。由于第二公钥和第二私钥是终端基于PUF生成[0173]所述终端保存所述第一私钥，采用所述第二公钥对保存的所述第一私钥进行加[0176]S801、第一网络设备接收终端发送的用于为所述终端请求所述设备ID的第一消该第一消息用于请求设备ID，也可以通过相应的比特位来标识该第一消息用于请求设备[0182]S802中发送的的密钥对和在S803中发送的第一信息可以是携带在同一个消息中述第二消息携带作为所述终端的设备ID的所述第一公钥。PUF生成第二公钥和第二私钥。网络管理员或者网络管理系统可以将第二公钥提前配置到第二信息用于指示所述密钥对中包括的所述第一公钥述第三消息中携带的所述第二公钥与自身保存的所述第二公钥，对所述终端进行身份验所述第一网络设备向所述终端发送经过所述第二公钥加密的所述理器(英文：centralprocessingunit，缩写：CPU)，网络处理器(英文：network请求设备ID的消息1，通过收发器930接收网络设备1发送的包括公钥1和密钥1的密钥对和[0197]发送模块921用于向网络设备发送用于为所述终端请求所述设备ID的第一消息，所述设备ID用于全局唯一的标识所述终端。接收模块923用于接收所述网络设备发送的经[0198]发送模块921还用于向所述网络设备发送经过所述第一私钥签名的第二消息，所述第二消息携带作为所述终端的的设备ID的所述第一公钥。终端基于物理不可克隆功能生成的公钥。接收模块923还用于接收接收所述网络设备发送用于图1所示的网络架构中，例如可以是图1所示的网络架构中的网络设备107或者网络设收终端发送所述请求设备ID的消息1，通过收发器1030向终端发送包括公钥1和密钥1的密[0201]接收模块1023用于接收终端发送的用于为所述终端请求所密钥对,所述密钥对包括第一公钥和第一私钥。发送模块1021还用于向所述终端发送第一述公钥证书中携带所述第二公钥。[0210]本领域技术任何还可以了解到本申请实施例列出的各种步骤(step)可以通过电