CN102123138A - 物联网中基于ons的安全加密方法 - Google Patents
物联网中基于ons的安全加密方法 Download PDFInfo
- Publication number
- CN102123138A CN102123138A CN2011100003947A CN201110000394A CN102123138A CN 102123138 A CN102123138 A CN 102123138A CN 2011100003947 A CN2011100003947 A CN 2011100003947A CN 201110000394 A CN201110000394 A CN 201110000394A CN 102123138 A CN102123138 A CN 102123138A
- Authority
- CN
- China
- Prior art keywords
- ons
- key
- matrix
- user
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种物联网中基于ONS的安全加密方法,属于物联网系统安全技术领域。本发明采用混合加密技术实现ONS系统与客户端应用程序的安全交互,在子ONS服务器与根ONS服务器之间,使用虚拟专用网VPN技术实现数据保密;在客户端和子ONS服务器之间,使用基于身份加密算法IBE实现数据保密;所述IBE算法按照CPK方法中用户密钥生成方法生成用户公钥,实现身份到椭圆曲线点群的映射,利用系统主密钥矩阵代替单个系统主密钥,扩展系统主密钥空间。该发明具有重大的理论价值和应用价值,实现物联网的ONS数据安全。
Description
技术领域:
本发明涉及一种ONS安全加密方法,属于物联网安全技术领域。
背景技术:
物联网的研究和应用越来越广泛,它的目标是形成一个开环的全球性质的网络结构。物联网系统包括电子标签、RFID(Radio Frequency Identification Devices,射频识别识读器)、ALE(Arbitrary Lagrange-Euler,中间件)、ONS(Object Naming Service,对象名服务)、EPC(Entity Content Networking,实物物联网)信息服务等软硬件组件,系统复杂。
物联网当中ONS系统和EPCIS(EPC Information System,EPC信息服务)模块是关系到各个应用之间互相交互的核心部件,针对ONS解析过程当中的安全和可信是物联网研究的重点和难点。ONS的安全主要分为两个方面:一方面是ONS系统与客户端应用程序交互时候的安全,另一方面是ONS子服务器和根服务器交互的可信。
目前的物联网研究虽然已经对ONS的安全问题进行了一定程度的关注,但是还没有一套切实可行的方案解决这个问题。
发明内容
本发明的所要解决的技术问题是针对背景技术的缺陷,通过IBE(Internet BookingEngine,互联网订座引擎)技术实现ONS和客户端之间的数据保密,用VPN(VirtualPrivate Network,虚拟专用网络)技术实现根ONS与子ONS之间的数据保密,从而保证物联网ONS的安全。
本发明为实现上述发明目的采用如下技术方案:
一种物联网中基于ONS的安全加密方法,在子ONS服务器与根ONS服务器之间,使用虚拟专用网VPN技术实现数据保密;在客户端和子ONS服务器之间,使用基于身份加密算法IBE实现数据保密;所述基于身份加密算法IBE按照CPK方法中用户密钥生成方法生成用户公钥,实现身份到椭圆曲线点群的映射,利用系统主密钥矩阵代替单个系统主密钥,扩展系统主密钥空间。
进一步的,本发明的物联网中基于ONS的安全加密方法,其中基于身份加密算法IBE的加密方法包括如下步骤:
步骤1)系统参数生成
输入一个安全参数K,由私钥生成器PKG运行BDH参数生成器输出系统参数params,
params=<q,G1,G2,e,n,P,F,H>
其中,q为一个安全素数;G1为满足双线性映射性质的超奇异椭圆曲线的q阶加法子群;G2为有限域上乘法群的q阶子群;e:G1*G1--->G2为双线性映射;n是明文长度;P是G1的任意生成元,P∈G1、Ppub=sP,s是Z*q中一个随机数并作为系统的主密钥;F是将用户ID映射为矩阵中某些元素的映射函数集合;H是安全哈希函数;其中H1:{0,1}*->G1,H2:G2->{0,1}n。
步骤2)系统密钥矩阵生成
系统主密钥矩阵SSKM的每一个元素Sij,表示为系统公钥矩阵由系统主密钥矩阵决定;
步骤3)用户密钥矩阵生成
私钥生成器PKG秘密持有系统主密钥矩阵SSKM、用户辅助私钥矩阵USKM、公开系统公钥矩阵SPKM、用户公钥矩阵UPKM和系统参数params;
步骤4)用户密钥生成
给定用户的身份ID,令QID和dID分别表示用户的公钥和私钥,用户的公私钥间的关系与基于身份加密算法IBE中的公私钥间的关系相同,加解密算法也与基于身份加密算法IBE中的相同。
进一步的,本发明的物联网中基于ONS的安全加密方法,系统公钥PpubID和用户公钥QID的作用、地位可以互换,用户公钥QID可以作为系统公钥使用、系统公钥PpubID可以作为用户公钥使用。
在子ONS与根ONS之间,使用VPN技术实现数据保密。VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。
在客户端和子ONS之间,使用IBE技术实现数据保密。本发明采用按照组合公钥方法CPK中用户密钥生成方法生成用户公钥,实现身份到椭圆曲线点群的映射,利用系统主密钥矩阵代替单个系统主密钥,扩展系统主密钥空间,从而降低单个系统主密钥泄露导致系统被攻破的风险。
本发明采用上述技术方案具有如下有益效果:
本专利中提出的ONS安全方案通过加密技术和VPN技术使数据安全性得到了很好地保证。由于根ONS与子ONS以及ONS和客户端之间使用了不同的加密技术,安全性得到了更大保障,具体优点如下:
1)实现了ONS与客户端数据交互的安全;
2)实现了根ONS与子ONS数据交互的安全;
3)实现了物联网的信息安全。
附图说明:
图1是ONS架构图。
具体实施方案:
下面结合附图对技术方案的实施作进一步的详细描述:
如图1所示,图中给出了本地ONS服务器与根ONS服务器和客户端的架构,在子ONS与根ONS之间,使用VPN技术实现数据保密。VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。这里实现隧道技术使用的是路由封装(Generic Routing Encapsulation,GRE)L2TP和PPTP。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足物联网系统的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。不同的应用对网络通信有不同的要求,这些要求可用如下参数给予体现:带宽、反应时间、抖动和丢包率。
在客户端和子ONS之间,使用IBE(身份加密)技术实现数据保密。IBE按照CPK中用户密钥生成方法生成用户公钥,实现身份到椭圆曲线点群的映射,利用系统主密钥矩阵代替单个系统主密钥,扩展系统主密钥空间,从而降低单个系统主密钥泄露导致系统被攻破的风险。加密方案的实现步骤:
本文算法依次进行系统参数生成、系统密钥矩阵生成、用户密钥矩阵生成和用户密钥生成,具体过程如下:
1)系统参数生成
输入一个安全参数K,由PK G运行BDH参数生成器输出系统参数params:
params=<q,G1,G2,e,n,P,F,H>
其中,F是将用户ID映射为矩阵中某些元素的映射函数集合;H是安全哈希函数H:G2,其他参数与IBE算法相同。
2)系统密钥矩阵生成
系统主密钥矩阵SSKM的每一个元素sij,表示为系统公钥矩阵有系统主密钥矩阵决定;
3)用户密钥矩阵生成,PK G秘密持有系统主密钥矩阵SSKM、用户辅助私钥矩阵USKM、公开系统公钥矩阵SPKM、用户公钥矩阵UPKM和系统参数params;
4)用户密钥生成,给定用户的身份ID,令QID和dID分别表示用户的公钥和私钥。用户的公私钥间的关系与基于身份加密算法IBE中的公私钥间的关系相同,因此加解密算法也与IBE中的相同。
本文算法中系统公钥PpubID和用户公钥QID的作用、地位可以互换,即可以将用户公钥QID作为系统公钥,系统公钥PpubID作为用户公钥使用。
Claims (3)
1.一种物联网中基于ONS的安全加密方法,其特征在于:在子ONS服务器与根ONS服务器之间,使用虚拟专用网VPN技术实现数据保密;在客户端和子ONS服务器之间,使用基于身份加密算法IBE实现数据保密;所述基于身份加密算法IBE按照组合公钥方法CPK中用户密钥生成方法生成用户公钥,实现映射,利用系统主密钥矩阵代替单个系统主密钥,扩展系统主密钥空间。
2.根据权利要求1所述物联网中基于ONS的安全加密方法,其特征在于:所述基于身份加密算法IBE的加密方法包括如下步骤:
步骤1)系统参数生成
输入一个安全参数K,由私钥生成器PKG运行BDH参数生成器输出系统参数params,
params=<q,G1,G2,e,n,P,F,H>,
其中,q为一个安全素数;G1为满足双线性映射性质的超奇异椭圆曲线的q阶加法子群;G2为有限域上乘法群的q阶子群;e:G1*G1--->G2为双线性映射;n是明文长度;P是G1的任意生成元,P∈G1、Ppub=sP,s是Z*q中一个随机数并作为系统的主密钥;F是将用户ID映射为矩阵中某些元素的映射函数集合;H是安全哈希函数;其中H1:{0,1}*->G1,H2:G2->{0,1}n;
步骤2)系统密钥矩阵生成
系统主密钥矩阵SSKM的每一个元素Sij,表示为系统公钥矩阵由系统主密钥矩阵决定;
步骤3)用户密钥矩阵生成
私钥生成器PKG秘密持有系统主密钥矩阵SSKM、用户辅助私钥矩阵USKM、公开系统公钥矩阵SPKM、用户公钥矩阵UPKM和系统参数params;
步骤4)用户密钥生成
给定用户的身份ID,令QID和dID分别表示用户的公钥和私钥,用户的公私钥间的关系与基于身份加密算法IBE中的公私钥间的关系相同,加解密算法也与基于身份加密算法IBE中的相同。
3.根据权利要求2所述的物联网中基于ONS的安全加密方法,其特征在于:系统公钥PpubID和用户公钥QID的作用、地位可以互换。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110000394.7A CN102123138B (zh) | 2011-01-04 | 2011-01-04 | 物联网中基于ons的安全加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110000394.7A CN102123138B (zh) | 2011-01-04 | 2011-01-04 | 物联网中基于ons的安全加密方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102123138A true CN102123138A (zh) | 2011-07-13 |
| CN102123138B CN102123138B (zh) | 2014-12-10 |
Family
ID=44251593
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110000394.7A Active CN102123138B (zh) | 2011-01-04 | 2011-01-04 | 物联网中基于ons的安全加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102123138B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103281386A (zh) * | 2013-06-03 | 2013-09-04 | 复旦大学 | 一种为物品标识及其解析服务提供安全保护的方法 |
| CN104836657A (zh) * | 2015-05-27 | 2015-08-12 | 华中科技大学 | 一种具有高效解密特性的基于身份匿名广播加密方法 |
| CN105207969A (zh) * | 2014-06-10 | 2015-12-30 | 江苏大泰信息技术有限公司 | 一种应用于物联网低功耗环境下的轻量级流式加密方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030179885A1 (en) * | 2002-03-21 | 2003-09-25 | Docomo Communications Laboratories Usa, Inc. | Hierarchical identity-based encryption and signature schemes |
| CN101651666A (zh) * | 2008-08-14 | 2010-02-17 | 中兴通讯股份有限公司 | 一种基于虚拟专用网的身份认证及单点登录的方法和装置 |
| CN101873316A (zh) * | 2010-06-04 | 2010-10-27 | 吴梅兰 | 身份验证方法、系统及身份验证器 |
| CN101902384A (zh) * | 2010-03-29 | 2010-12-01 | 正文科技股份有限公司 | 具有多网段存取性的资料传输系统及其方法 |
-
2011
- 2011-01-04 CN CN201110000394.7A patent/CN102123138B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030179885A1 (en) * | 2002-03-21 | 2003-09-25 | Docomo Communications Laboratories Usa, Inc. | Hierarchical identity-based encryption and signature schemes |
| CN101651666A (zh) * | 2008-08-14 | 2010-02-17 | 中兴通讯股份有限公司 | 一种基于虚拟专用网的身份认证及单点登录的方法和装置 |
| CN101902384A (zh) * | 2010-03-29 | 2010-12-01 | 正文科技股份有限公司 | 具有多网段存取性的资料传输系统及其方法 |
| CN101873316A (zh) * | 2010-06-04 | 2010-10-27 | 吴梅兰 | 身份验证方法、系统及身份验证器 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103281386A (zh) * | 2013-06-03 | 2013-09-04 | 复旦大学 | 一种为物品标识及其解析服务提供安全保护的方法 |
| CN103281386B (zh) * | 2013-06-03 | 2016-05-11 | 复旦大学 | 一种为物品标识及其解析服务提供安全保护的方法 |
| CN105207969A (zh) * | 2014-06-10 | 2015-12-30 | 江苏大泰信息技术有限公司 | 一种应用于物联网低功耗环境下的轻量级流式加密方法 |
| CN104836657A (zh) * | 2015-05-27 | 2015-08-12 | 华中科技大学 | 一种具有高效解密特性的基于身份匿名广播加密方法 |
| CN104836657B (zh) * | 2015-05-27 | 2018-01-26 | 华中科技大学 | 一种具有高效解密特性的基于身份匿名广播加密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102123138B (zh) | 2014-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Feng et al. | Attribute-based encryption with parallel outsourced decryption for edge intelligent IoV | |
| Ni et al. | Efficient and secure service-oriented authentication supporting network slicing for 5G-enabled IoT | |
| CN103795523B (zh) | 用于电子招投标的电子标书多层加解密系统及方法 | |
| CN110519041B (zh) | 一种基于sm9标识加密的属性基加密方法 | |
| Xin | A mixed encryption algorithm used in internet of things security transmission system | |
| CN102523093B (zh) | 一种带标签的基于证书密钥封装方法及系统 | |
| CN106453246B (zh) | 设备身份信息分配方法、装置以及系统 | |
| EP3387576B1 (en) | Apparatus and method for certificate enrollment | |
| CN109787761A (zh) | 一种基于物理不可克隆函数的设备认证与密钥分发系统和方法 | |
| Li et al. | Cryptanalysis and improvement for certificateless aggregate signature | |
| CN102904896A (zh) | 车载自组织网络下基于生物加密技术的匿名认证方案 | |
| CN107483191A (zh) | 一种sm2算法密钥分割签名系统及方法 | |
| CN105227298B (zh) | 基于改进型gcm的智能变电站报文安全传输实现方法 | |
| CN109194474A (zh) | 一种数据传输方法及装置 | |
| CN101442522A (zh) | 一种基于组合公钥的通信实体标识认证方法 | |
| Murugesan et al. | Analysis on homomorphic technique for data security in fog computing | |
| CN110113150A (zh) | 基于无证书环境的可否认认证的加密方法和系统 | |
| CN103746811A (zh) | 从身份公钥系统到证书公钥系统的匿名签密方法 | |
| CN104200154A (zh) | 一种基于标识的安装包签名方法及其装置 | |
| CN106790259A (zh) | 一种非对称跨密码系统重加密、解密方法及系统 | |
| CN105610847A (zh) | 一种支持多交换节点电子公文安全传输交换的方法 | |
| CN102123138B (zh) | 物联网中基于ons的安全加密方法 | |
| CN115189903B (zh) | 一种车联网中支持隐私保护的分布式访问控制方法 | |
| CN110225028B (zh) | 一种分布式防伪系统及其方法 | |
| CN103269272B (zh) | 一种基于短期证书的密钥封装方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |