CN105282179B - 一种基于cpk的家庭物联网安全控制的方法 - Google Patents
一种基于cpk的家庭物联网安全控制的方法 Download PDFInfo
- Publication number
- CN105282179B CN105282179B CN201510846513.9A CN201510846513A CN105282179B CN 105282179 B CN105282179 B CN 105282179B CN 201510846513 A CN201510846513 A CN 201510846513A CN 105282179 B CN105282179 B CN 105282179B
- Authority
- CN
- China
- Prior art keywords
- internet
- key
- network server
- public network
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种基于CPK的家庭物联网安全控制的方法,涉及家庭物联网中的安全技术领域。本方法根据CPK的安全机制,通过CA证书中心生成需要的ID证书模块、系统不同设备之间通过认证类消息和ID证书模块提供的签名和验证签名的方法来完成对设备的合法性认证、通过密钥交换类消息和ID证书模块提供的私钥和公钥来完成密钥的交换、最后通过加密数据类消息和ID证书模块提供的加解密方法来完成业务消息的传输和加解密,完成家庭物联网内部业务数据的安全控制功能。本发明应用了CPK的认证加密方法,可以有效的保证家庭物联网内部数据的安全以及家庭物联网设备的合法性。
Description
技术领域
本发明属于家庭物联网中的安全技术领域,具体涉及一种基于CPK的家庭物联网安全控制的方法。特别适用于家庭物联网中物联网各级设备之间的认证和保证物联网内部数据传输安全性的场合。
背景技术
家庭物联网是跟智能家居密切相关的,智能家居是一个居住环境,是以住宅为平台,装有智能家居的场所。这个场所融合了自动化控制系统、计算机网络系统和网络通信技术的网络化、智能化的家居控制系统。智能家居将让用户有更方便的手段来管理家庭设备,比如,通过触摸屏、互联网或者语音识别控制家用设备,更可以执行场景操作,使多个设备形成互连和互动;智能家居内的各种设备相互间可以通信,从而给用户带来最大程度的高效、便利、舒适与安全。智能家居的出现给用户带来便利,大大改善了人类的生活;但智能家居的背后也隐藏着不少的安全问题,如敏感数据被盗导致个人隐私泄漏、智能家居被非法入侵等情况。如知名的厂商贝尔金由于产品中签名漏洞等问题导致旗下多款产品被黑客入侵,典型的如儿童监视器便被黑客入侵成为了窃听器。另外传统网络本身的安全问题也会对智能家居造成一定的威胁。
CPK是“Combined Public Key”的缩写,即中文名为组合公钥,是一种加密算法,以很小的资源,生成大规模密钥。CPK是基于组合的公钥体制,将密钥生产和密钥管理结合起来,能够实现数字签名和密钥交换,可以满足超大规模信息网络与非信息网络(包括物联)中的标识鉴别、实体鉴别、数据保密需求。
现在智能家居的控制,可以通过几级设备来实现在家庭外面通过手机或者其他智能终端来控制家庭内部的智能家居电器。智能家居安全性的保证就是一个要面临的问题,目前大部分智能家居设备是通过密码来保证其安全证,本方法采用了CPK技术实现设备间的认证和业务消息的加密,能够更好地保证家庭隐私的安全。
发明内容
本发明提供一种基于CPK的家庭物联网安全控制的方法,其保证家庭物联网系统更加安全、高效而又更加经济。
本发明的目的是这样实现的:
一种基于CPK的家庭物联网安全控制的方法,其特征在于包括以下步骤:
(1)开启公网服务器;
(2)家庭物联网网关A加电启动后建立与公网服务器B的通信,发起对公网服务器B的认证;
(3)认证完成后,家庭物联网网关A和公网服务器B之间进行密钥交换和业务数据的加密发送和处理;
(4)启动用于管理智能家居的手机客户端,分别建立与公网服务器B和家庭物联网网关A的通信,然后分别发起对公网服务器B和家庭物联网网关A的认证;
(5)认证完成后,手机客户端分别与公网服务器B和家庭物联网网关A进行密钥交换和业务数据的加密发送和处理。
其中,步骤(2)中的家庭物联网网关A发起对公网服务器B的认证步骤具体为:
(201)CA证书中心生成标示及密钥,密钥包括私钥和公钥,并对标示及密钥进行管理,将标示和密钥数据封装到ID证书模块中;
(202)家庭物联网网关A初始化后主动向公网服务器B发送由自己的ID证书模块生成的一串随机数R作为认证请求消息;
(203)公网服务器B收到认证请求消息后通过自己的ID证书模块对随机数R进行数字签名RB,然后把数字签名RB和通过它的ID证书模块获取的公网服务器B的标示作为认证响应消息发送给家庭物联网网关A;
(204)家庭物联网网关A对收到的认证响应消息进行验证:若验证正确则家庭物联网网关A通过自己的证书模块再次对随机数R进行数字签名RA,然后把数字签名RA和通过它的ID证书模块获取的家庭物联网网关A的标示作为认证确认消息发送给公网服务器B;
(205)公网服务器B对接收到的认证确认消息进行验证,验证正确则设备认证完成,验证错误则认证失败;
其中,步骤(3)中的密钥交换和业务数据的加密发送和处理具体为:
(301)家庭物联网网关A用公网服务器B的公钥来对新密钥KEY进行加密得到加密密钥,并把加密密钥作为密钥交换消息发送给公网服务器B;
(302)公网服务器B接收到密钥交换消息,用自己的私钥对消息进行解密,得到新密钥KEY保存起来;
(303)家庭物联网网关A和公网服务器B之间发送用新密钥KEY来进行加密的业务消息;
(304)家庭物联网网关A和公网服务器B收到对方发来的加密消息,用新密钥KEY对消息进行解密得到明文的业务消息,进行相应的业务处理。
其中,步骤(4)中的手机客户端发起对公网服务器B和家庭物联网网关A的认证方式与家庭物联网网关A发起对公网服务器B的认证方式相同。
其中,手机客户端分别与公网服务器B和家庭物联网网关A进行密钥交换和业务数据的加密发送和处理与家庭物联网网关A和公网服务器B之间密钥交换和业务数据的加密发送和处理的方式相同。
其中,步骤(201)中所述ID证书模块为物理存储体。
其中,所述物理存储器为ROM,PRROM,FLASH存储器中任意一种非易失性存储器。
本发明与现有技术相比具有以下优点:
本方法采用了CPK技术实现设备间的认证和业务消息的加密,因为CPK安全技术是基于硬件的认证技术,安全性能远远高于普通的软件加密技术,能够更好的完成家庭物联网中的各种设备的合法性认证,同时对家庭物联网内部业务数据的安全性进行保护,使家庭中的业务信息得到私密性的保护。
附图说明
图1为本发明方法的消息流程图。
具体实施方式
以下结合具体实施例对上述方法做进一步说明。应理解,该实施例是用于说明本发明而不限于限制本发明的范围。实施例中采用的实施条件可以根据具体应用的条件做进一步调整。
实施例:
本发明为一种基于CPK的家庭物联网安全控制的方法,现在应用在一个智能家居安防系统内,该安防系统包含3级设备:公网服务器、家庭物联网网关、手机客户端,应用本发明可以完成3级设备的合法性判断和确保相互之间交互数据的保密性和安全性。
一种基于CPK的家庭物联网安全控制的方法,包括以下步骤:
(1)开启公网服务器;
(2)家庭物联网网关A加电启动后建立与公网服务器B的通信,发起对公网服务器B的认证;认证步骤具体为:
(201)CA证书中心生成标示及密钥,密钥包括私钥和公钥,并对标示及密钥进行管理,将标示和密钥数据封装到ID证书模块中;公网服务器和家庭物联网网关为UKEY形式的ID证书模块,手机客户端为TF卡形式的ID证书模块;ID证书模块为物理存储体,包括ROM,PRROM,FLASH存储器中任意一种非易失性存储器。
(202)家庭物联网网关A初始化后主动向公网服务器B发送由自己的ID证书模块生成的一串随机数R作为认证请求消息;
(203)公网服务器B收到认证请求消息后通过自己的ID证书模块对随机数R进行数字签名RB,然后把数字签名RB和通过它的ID证书模块获取的公网服务器B的标示作为认证响应消息发送给家庭物联网网关A;
(204)家庭物联网网关A对收到的认证响应消息进行验证:若验证正确则家庭物联网网关A通过自己的证书模块再次对随机数R进行数字签名RA,然后把数字签名RA和通过它的ID证书模块获取的家庭物联网网关A的标示作为认证确认消息发送给公网服务器B;
(205)公网服务器B对接收到的认证确认消息进行验证,
(3)认证完成后,家庭物联网网关A和公网服务器B之间进行密钥交换和业务数据的加密发送和处理;加密发送和处理具体步骤为:
(301)家庭物联网网关A用公网服务器B的公钥来对新密钥KEY进行加密得到加密密钥,并把加密密钥作为密钥交换消息发送给公网服务器B;
(302)公网服务器B接收到密钥交换消息,用自己的私钥对消息进行解密,得到新密钥KEY保存起来;
(303)家庭物联网网关A和公网服务器B之间发送用新密钥KEY来进行加密的业务消息;
(304)家庭物联网网关A和公网服务器B收到对方发来的加密消息,用新密钥KEY对消息进行解密得到明文的业务消息,进行相应的业务处理。
(4)启动用于管理智能家居的手机客户端,分别建立与公网服务器B和家庭物联网网关A的通信,然后分别发起对公网服务器B和家庭物联网网关A的认证;认证方式与家庭物联网网关A对公网服务器B的认证方式相同。
(5)认证完成后,手机客户端分别与公网服务器B和家庭物联网网关A进行密钥交换和业务数据的加密发送和处理。密钥交换和业务数据的加密发送和处理与家庭物联网网关A和公网服务器B之间密钥交换和业务数据的加密发送和处理的方式相同。
Claims (7)
1.一种基于CPK的家庭物联网安全控制的方法,其特征在于包括以下步骤:
(1)开启公网服务器B;
(2)家庭物联网网关A加电启动后建立与公网服务器B的通信,发起对公网服务器B的认证;
(3)认证完成后,家庭物联网网关A和公网服务器B之间进行密钥交换和业务数据的加密发送和处理;
(4)启动用于管理智能家居的手机客户端,分别建立与公网服务器B和家庭物联网网关A的通信,然后分别发起对公网服务器B和家庭物联网网关A的认证;
(5)认证完成后,手机客户端分别与公网服务器B和家庭物联网网关A进行密钥交换和业务数据的加密发送和处理。
2.根据权利要求1所述的一种基于CPK的家庭物联网安全控制的方法,其特征在于,步骤(2)中的家庭物联网网关A发起对公网服务器B的认证步骤具体为:
(201)CA证书中心生成标示及密钥,密钥包括私钥和公钥,并对标示及密钥进行管理,将标示和密钥数据封装到ID证书模块中;
(202)家庭物联网网关A初始化后主动向公网服务器B发送由自己的ID证书模块生成的一串随机数R作为认证请求消息;
(203)公网服务器B收到认证请求消息后通过自己的ID证书模块对随机数R进行数字签名RB,然后把数字签名RB和通过它的ID证书模块获取的公网服务器B的标示作为认证响应消息发送给家庭物联网网关A;
(204)家庭物联网网关A对收到的认证响应消息进行验证:若验证正确则家庭物联网网关A通过自己的证书模块再次对随机数R进行数字签名RA,然后把数字签名RA和通过它的ID证书模块获取的家庭物联网网关A的标示作为认证确认消息发送给公网服务器B;
(205)公网服务器B对接收到的认证确认消息进行验证,验证正确则设备认证完成,验证错误则认证失败。
3.根据权利要求1所述的一种基于CPK的家庭物联网安全控制的方法,其特征在于,步骤(3)中的密钥交换和业务数据的加密发送和处理具体为:
(301)家庭物联网网关A用公网服务器B的公钥来对新密钥KEY进行加密得到加密密钥,并把加密密钥作为密钥交换消息发送给公网服务器B;
(302)公网服务器B接收到密钥交换消息,用自己的私钥对消息进行解密,得到新密钥KEY保存起来;
(303)家庭物联网网关A和公网服务器B之间发送用新密钥KEY来进行加密的业务消息;
(304)家庭物联网网关A和公网服务器B收到对方发来的加密消息,用新密钥KEY对消息进行解密得到明文的业务消息,进行相应的业务处理。
4.根据权利要求1所述的一种基于CPK的家庭物联网安全控制的方法,其特征在于,步骤(4)中的手机客户端分别发起对公网服务器B和家庭物联网网关A的认证方式与家庭物联网网关A发起对公网服务器B的认证方式相同。
5.根据权利要求1所述的一种基于CPK的家庭物联网安全控制的方法,其特征在于,手机客户端分别与公网服务器B和家庭物联网网关A进行密钥交换和业务数据的加密发送和处理与家庭物联网网关A和公网服务器B之间密钥交换和业务数据的加密发送和处理的方式相同。
6.根据权利要求2所述的一种基于CPK的家庭物联网安全控制的方法,其特征在于,步骤(201)中所述ID证书模块为物理存储体。
7.根据权利要求6所述的一种基于CPK的家庭物联网安全控制的方法,其特征在于,所述物理存储体为ROM,PRROM,FLASH存储器中任意一种非易失性存储器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510846513.9A CN105282179B (zh) | 2015-11-27 | 2015-11-27 | 一种基于cpk的家庭物联网安全控制的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510846513.9A CN105282179B (zh) | 2015-11-27 | 2015-11-27 | 一种基于cpk的家庭物联网安全控制的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105282179A CN105282179A (zh) | 2016-01-27 |
CN105282179B true CN105282179B (zh) | 2018-12-25 |
Family
ID=55150505
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510846513.9A Active CN105282179B (zh) | 2015-11-27 | 2015-11-27 | 一种基于cpk的家庭物联网安全控制的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105282179B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106130982B (zh) * | 2016-06-28 | 2019-07-12 | 北京万协通信息技术有限公司 | 基于pki体系的智能家电远程控制方法 |
CN106375390B (zh) * | 2016-08-29 | 2019-11-12 | 北京爱接力科技发展有限公司 | 一种物联网中数据传输方法、系统及其装置 |
US10587421B2 (en) * | 2017-01-12 | 2020-03-10 | Honeywell International Inc. | Techniques for genuine device assurance by establishing identity and trust using certificates |
CN109087412A (zh) * | 2018-06-06 | 2018-12-25 | 咕咚网络(北京)有限公司 | 一种无线联网门锁系统中门锁终端与网关的连接方法 |
CN108989282A (zh) * | 2018-06-06 | 2018-12-11 | 咕咚网络(北京)有限公司 | 一种无线联网门锁系统中门锁终端与网关的连接方法 |
CN109218307A (zh) * | 2018-09-13 | 2019-01-15 | 中通国脉物联科技南京有限公司 | 一种客户端身份认证的方法 |
CN109743237B (zh) * | 2018-12-12 | 2021-07-13 | 中国联合网络通信集团有限公司 | 一种app的鉴权方法及网关 |
CN112533195B (zh) * | 2019-09-19 | 2023-03-10 | 华为技术有限公司 | 一种设备认证方法及装置 |
CN112291230B (zh) * | 2020-10-26 | 2023-04-07 | 公安部第一研究所 | 一种用于物联网终端的数据安全认证传输方法及装置 |
CN113890778B (zh) * | 2021-11-04 | 2023-08-25 | 深圳海智创科技有限公司 | 一种基于局域网的智能家居认证及加密方法及系统 |
CN114650182B (zh) * | 2022-04-08 | 2024-02-27 | 深圳市欧瑞博科技股份有限公司 | 身份认证方法、系统、装置、网关设备、设备和终端 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101594229A (zh) * | 2009-06-30 | 2009-12-02 | 华南理工大学 | 一种基于组合公开密钥的可信网络连接系统及方法 |
CN101719910A (zh) * | 2009-11-16 | 2010-06-02 | 北京数字太和科技有限责任公司 | 一种实现内容保护的终端设备及其传输方法 |
CN103577960A (zh) * | 2013-11-13 | 2014-02-12 | 鞍钢集团矿业公司 | 基于cpk标识认证和nfc技术的物联网电子锁物流系统 |
WO2014196850A1 (en) * | 2013-06-05 | 2014-12-11 | Mimos Berhad | Non-repudiable log entries for file retrieval with semi-trusted server |
CN104901803A (zh) * | 2014-08-20 | 2015-09-09 | 易兴旺 | 一种基于cpk标识认证技术的数据交互安全保护方法 |
CN104901935A (zh) * | 2014-09-26 | 2015-09-09 | 易兴旺 | 一种基于cpk的双向认证及数据交互安全保护方法 |
CN105025007A (zh) * | 2015-06-09 | 2015-11-04 | 王一磊 | 基于cpk的手机应用间及与服务器间的安全通信方式 |
-
2015
- 2015-11-27 CN CN201510846513.9A patent/CN105282179B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101594229A (zh) * | 2009-06-30 | 2009-12-02 | 华南理工大学 | 一种基于组合公开密钥的可信网络连接系统及方法 |
CN101719910A (zh) * | 2009-11-16 | 2010-06-02 | 北京数字太和科技有限责任公司 | 一种实现内容保护的终端设备及其传输方法 |
WO2014196850A1 (en) * | 2013-06-05 | 2014-12-11 | Mimos Berhad | Non-repudiable log entries for file retrieval with semi-trusted server |
CN103577960A (zh) * | 2013-11-13 | 2014-02-12 | 鞍钢集团矿业公司 | 基于cpk标识认证和nfc技术的物联网电子锁物流系统 |
CN104901803A (zh) * | 2014-08-20 | 2015-09-09 | 易兴旺 | 一种基于cpk标识认证技术的数据交互安全保护方法 |
CN104901935A (zh) * | 2014-09-26 | 2015-09-09 | 易兴旺 | 一种基于cpk的双向认证及数据交互安全保护方法 |
CN105025007A (zh) * | 2015-06-09 | 2015-11-04 | 王一磊 | 基于cpk的手机应用间及与服务器间的安全通信方式 |
Non-Patent Citations (1)
Title |
---|
一种改进的双向认证的动态密码;傅喆;《电子科技》;20140115(第27卷第1期);正文第2.1-2.2节 * |
Also Published As
Publication number | Publication date |
---|---|
CN105282179A (zh) | 2016-01-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105282179B (zh) | 一种基于cpk的家庭物联网安全控制的方法 | |
CN108270571B (zh) | 基于区块链的物联网身份认证系统及其方法 | |
US8763097B2 (en) | System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication | |
US8724819B2 (en) | Credential provisioning | |
US8868909B2 (en) | Method for authenticating a communication channel between a client and a server | |
CN105162772A (zh) | 一种物联网设备认证与密钥协商方法和装置 | |
US20220116385A1 (en) | Full-Duplex Password-less Authentication | |
US8397281B2 (en) | Service assisted secret provisioning | |
CN103415008A (zh) | 一种加密通信方法和加密通信系统 | |
JP2012530311A5 (zh) | ||
CN103873487A (zh) | 一种基于智能家居设备安全挂件的家居信任组网的实现方法 | |
CN111512608A (zh) | 基于可信执行环境的认证协议 | |
US10091189B2 (en) | Secured data channel authentication implying a shared secret | |
Sethia et al. | NFC secure element-based mutual authentication and attestation for IoT access | |
CN114765534B (zh) | 基于国密标识密码算法的私钥分发系统和方法 | |
US20210256102A1 (en) | Remote biometric identification | |
CN110932951B (zh) | 一种智能家居控制方法和装置 | |
CN106230840B (zh) | 一种高安全性的口令认证方法 | |
KR101308498B1 (ko) | 무선 센서 네트워크를 위한 암호 및 스마트카드 기반의 사용자 인증방법. | |
Pampori et al. | Securely eradicating cellular dependency for e-banking applications | |
Li et al. | Security and vulnerability in the Internet of Things | |
CN113014534A (zh) | 一种用户登录与认证的方法及装置 | |
Li et al. | A cloud based dual-root trust model for secure mobile online transactions | |
Malina et al. | Efficient and secure access control system based on programmable smart cards | |
KR101298216B1 (ko) | 복수 카테고리 인증 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |