本申請實施例提供一種物聯(lián)網(wǎng)公鑰驗證系統(tǒng)、方法、電子設備及存儲介質(zhì)，涉及物聯(lián)網(wǎng)技術領域。該系統(tǒng)包括受限物聯(lián)網(wǎng)設備，接收所述服務器發(fā)送的所述臨時訪問授權證書并進行驗證，并在驗證成功后與所述受限物聯(lián)網(wǎng)設備建立APK?DTLS連接；物聯(lián)網(wǎng)信任錨設備，與所述受限物聯(lián)網(wǎng)設備處于同一管理域中，與所述受限物聯(lián)網(wǎng)設備具有信任關系且通信連接，與所述服務器具有信任關系且通信連接，接收服務器發(fā)起的TLS連接請求，以與所述服務器建立TLS連接，并生成訪問所述受限物聯(lián)網(wǎng)設備所需的臨時訪問授權證書，將所述臨時訪問授權證書和所述公鑰發(fā)送至所述服務器，解決現(xiàn)有方法需要占用較大內(nèi)存且公鑰需要額外驗證的問題。

技術領域

本申請涉及物聯(lián)網(wǎng)技術領域，具體而言，涉及一種物聯(lián)網(wǎng)公鑰驗證系統(tǒng)、方法、電子設備及存儲介質(zhì)。

背景技術

為了在物聯(lián)網(wǎng)(IoT)中提供端到端的安全連接，傳統(tǒng)的端到端IP安全協(xié)議的變體，如DTLS、最小IKEv2等，已經(jīng)用于受限物聯(lián)網(wǎng)，且這些協(xié)議變體在其協(xié)議設計中都考慮了公鑰密碼技術，并且基于證書公鑰密碼技術較成熟，能夠提供高的安全性保證。但在受限物聯(lián)網(wǎng)環(huán)境中使用基于證書的公鑰密碼技術機制，存在如下缺點：會產(chǎn)生大量的處理和傳輸開銷，實現(xiàn)需要占用較大的RAM和ROM，能耗高。但采用基于原始公開密鑰機制的RPK-DTLS(RFC7250)協(xié)議提供端到端的安全連接，需要公鑰額外驗證的問題。

發(fā)明內(nèi)容

本申請實施例的目的在于提供一種物聯(lián)網(wǎng)公鑰驗證系統(tǒng)、方法、電子設備及存儲介質(zhì)，服務器可利用物聯(lián)網(wǎng)信任錨設備獲取臨時訪問授權證書，從而與受限物聯(lián)網(wǎng)設備建立端到端的DTLS安全通信連接，進行公鑰驗證，無需通信雙方預置已經(jīng)驗證的對方的公鑰，解決現(xiàn)有方法需要占用較大內(nèi)存且公鑰需要額外驗證的問題。

本申請實施例提供了一種物聯(lián)網(wǎng)公鑰驗證系統(tǒng)，所述系統(tǒng)包括：

受限物聯(lián)網(wǎng)設備，接收所述服務器發(fā)送的所述臨時訪問授權證書并進行驗證，并在驗證成功后與所述受限物聯(lián)網(wǎng)設備建立APK-DTLS連接；

物聯(lián)網(wǎng)信任錨設備，與所述受限物聯(lián)網(wǎng)設備處于同一管理域中，與所述受限物聯(lián)網(wǎng)設備具有信任關系且通信連接，與所述服務器具有信任關系且通信連接，接收服務器發(fā)起的TLS連接請求，以與所述服務器建立TLS連接，并生成訪問所述受限物聯(lián)網(wǎng)設備所需的臨時訪問授權證書，將所述臨時訪問授權證書和所述公鑰發(fā)送至所述服務器。

在上述實現(xiàn)過程中，該系統(tǒng)可以使受限物聯(lián)網(wǎng)設備與服務器采用APK-DTLS協(xié)議實現(xiàn)端到端的安全通信，只在受限物聯(lián)網(wǎng)設備和它所信任的物聯(lián)網(wǎng)信任錨設備之間共享密鑰，共享密鑰只用于生成和驗證臨時訪問授權證書，不在網(wǎng)絡上傳輸，提高了共享密鑰的安全性，解決了現(xiàn)有方法需要占用較大內(nèi)存且公鑰需要額外驗證(RPK-DTLS協(xié)議本身不包括公鑰驗證的方法，需要通過其他方式進行驗證)的問題。

進一步地，所述受限物聯(lián)網(wǎng)設備包括驗證模塊，所述驗證模塊用于：

判斷所述臨時訪問授權證書中的物聯(lián)網(wǎng)信任錨設備ID是否存在于預設的物聯(lián)網(wǎng)信任錨列表中；

若是，則判斷所述臨時訪問授權證書中的序列號是否大于TAitem.SequenceNumber；

若是，則判斷所述臨時訪問授權證書中的公鑰是否與所述受限物聯(lián)網(wǎng)設備中的公鑰是否配置一致；

若是，則基于所述臨時訪問授權證書中的MAC算法、TAitem.Ki計算得到MAC值，以判斷是否與所述臨時訪問授權證書中的MAC相同；

若是，則驗證成功。

在上述實現(xiàn)過程中，通過臨時訪問授權證書中的物聯(lián)網(wǎng)信任錨設備ID的有效性、序列號的有效性、公鑰的有效性以及臨時訪問授權證書的真實性和完整性等幾方面來對臨時訪問授權證書進行驗證，從而保證臨時訪問授權證書的安全、可靠。

本申請實施例還提供一種物聯(lián)網(wǎng)公鑰驗證方法，所述方法包括：