CN107135219A - 一种物联网信息安全传输方法 - Google Patents

Abstract

本发明公开了一种物联网信息安全传输方法，包括终端设备和服务器，所述终端设备内部存储有RSA数字证书公钥(PUK)、终端SN号、厂家名称、终端型号、SDK包以及SDK包MD5值，所述SDK包MD5值为SDK包的MD5值，所述服务器内部存储有RSA数字证书私钥(PRK)，所述终端设备与服务器构成一个物联网。本发明保证了终端设备与服务器在整个会话过程的数据安全，同时保证了指纹身份认证、数据的完整性、准确性，采用对称加密算法同时也保证了响应时间的及时性、可靠性。

Description

一种物联网信息安全传输方法

技术领域

本发明涉及一种基于指纹和终端认证实现物联网信息安全传输技术领域，尤其涉及一种物联网信息安全传输方法，包括物联网终端与云端、终端与终端的安全认证及安全信息传输，通过这种方式保证了交互双方身份的安全认证、信息传输的完整性、机密性等安全要素，主要涉及到技术包括PKI、数字证书、国密对称算法SM4等。

背景技术

随着互联网迅速普及和蓬勃发展，网络速度及网络响应越来越快，人们不再局限于关注互联网，物联网借着互联网的发展开始进入人类发展的浪潮中来。物联网时代的到来，是技术使然也是历史必然，它将推动人类的发展，同时也带来了安全技术进一步发展和应用。目前，物联网已然成为各大商业巨头争相逐利和放眼未来发展的重要领域。但由于物联网的安全性和相关的安全标准有限，导致物联网的发展也不尽人意。当然，最为显著的问题就是包括物联网设备的认证和相关操作实体身份认证的合法性、物联网交互过程中数据传输的完整性、准确性、安全性及数据处理的安全性。目前最好的防范措施就是建立一套以指纹识别与终端认证为基础的信息安全传输机制，来保证物联网时代安全至上的终极目标。

目前，物联网还未制定相关的安全标准和协议，只有少量的互联网公司投身物联网的安全方向，但物联网却未停止发展的脚步，在这个大环境下，一套安全可靠的物联网安全信息传输机制即保证大环境下物联网的设备与人的安全，同时也保证了物联网这一行业发展的安全。本发明，根据物联网的特点及互联网实名认证和物联网未来安全领域的发展，提出了一种基于指纹识别和终端认证实现物联网信息安全传输的方式。

发明内容

针对现有技术存在的不足之处，本发明的目的在于提供一种物联网信息安全传输方法，保证了终端设备与服务器在整个会话过程的数据安全，同时保证了指纹身份认证、数据的完整性、准确性，采用对称加密算法同时也保证了响应时间的及时性、可靠性。

本发明的目的通过下述技术方案实现：

一种物联网信息安全传输方法，包括终端设备和服务器，所述终端设备内部存储有RSA数字证书公钥(PUK)、终端SN号、厂家名称、终端型号、SDK包以及SDK包MD5值，所述SDK包MD5值为SDK包的MD5值，所述服务器内部存储有RSA数字证书私钥(PRK)，所述终端设备与服务器构成一个物联网，其方法步骤如下：

A、终端设备向服务器发起激活请求：终端设备向服务器上传经过RSA数字证书公钥(PUK)签名的终端相关信息，所述终端相关信息包括终端SN号、厂家名称、终端型号、SDK包以及SDK包MD5值；服务器通过RSA数字证书私钥(PRK)验签终端相关信息，当服务器验签成功后，服务器对终端设备上传的终端相关信息进行审核，当服务器审核通过后，则生成终端设备的唯一标签识别号TID与对应服务器真实身份的SID，然后通过服务器的RSA数字证书私钥(PRK)将TID和SID签名后回传给终端设备；终端设备获取到服务器回传的TID与SID信息后经过PUK验签，当终端设备验签成功后，终端设备旋即获取到TID与SID信息，然后终端设备再次采用RSA数字证书公钥(PUK)签名后上传激活TOF值至服务器，服务器即可完成该终端设备的TID的激活，同时服务器与终端设备均存储相关数据，该相关数据包括终端相关信息、激活TOF值、TID与SID信息；

B、终端设备指纹激活流程：终端设备录入使用人的指纹信息，该指纹信息包括不超过使用人的三个指纹数据；当终端设备录入指纹信息成功后，然后终端设备将最新的指纹信息与TID关联后通过RSA数字证书(PUK)签名上传给服务器，服务器获取终端设备上传的指纹信息保存后并返回经RSA数字证书(PRK)签名的TOF值与SID值，TOF值为步骤A的激活TOF值，SID值为步骤A的SID信息，终端设备获取返回的TOF值与SID值；若服务器成功录入，则终端设备保存指纹信息，在指纹激活完成后，终端设备即可正常使用；在每次重启终端设备后，需先通过指纹认证后才能正常进行物联网信息安全传输使用；

C、身份认证：包括服务器验证终端设备身份与终端设备验证服务器身份；

C1、终端第一次向服务器发起会话连接请求时，服务器需要验证终端设备的身份，服务器验证终端设备身份方法如下：

C11、终端设备获取当前时间的时间戳TTM；

C12、终端设备将时间戳TTM通过SDK包中的国密对称加密算法SM4进行加密后TSM4数据与TID一起上传至服务器，国密对称加密算法SM4加密的密钥为SID信息与指纹信息的组合密钥；

C13、服务器收到TID后，服务器获取相关的指纹信息与SID信息，采用国密对称加密算法SM4解密方法进行解密；当解密成功后，服务器记录时间戳TTM及终端设备上传时间的时间差值TTMV，时间差值TTMV＝当前时间-时间戳TTM，所述当前时间为服务器解密成功时的时间，则服务器验证终端设备成功；

C14、如果服务器验证终端设备身份失败，则向终端设备返回错误信息并要求终端设备再一次验证终端设备身份，然后按照流程C11～C13依次重新执行一次；

C2、待服务器验证终端设备身份成功后，终端设备需要验证服务器身份，终端设备验证服务器身份方法如下：

C21、服务器通过TID获取终端设备对应的SID信息，再获取当前时间STM，同时获取终端设备的指纹信息；

C22、服务器使用国密对称加密算法SM4对当前时间STM加密，国密对称加密算法SM4加密的密钥为SID信息与指纹信息的组合密钥，服务器对当前时间STM加密后为SSM4数据，同时服务器回传SSM4数据与SID信息给终端设备；

C23、终端设备利用SDK包中国密对称加密算法SM4将服务器回传的SSM4数据与SID信息进行解密；若解密成功，终端设备记录当前时间及本次回传时间的时间差值STMV，时间差值STMV＝当前时间-STM，所述当前时间为终端设备解密成功时的时间，则验证服务器成功；

C24、若果终端设备验证服务器失败，则向服务器返回错误信息，要求服务器再一次验证服务器身份，然后按照流程C21～C23依次重新执行一次；

D、服务器与终端设备之间独立安全的会话：包括如下步骤：

D1、服务器与终端设备之间加密算法密钥协商：如果服务器与终端设备均认证成功，那么终端设备与服务器就确认本次会话的安全性，此时双方需要协商密钥；协商密钥采用双向对称密钥加密，双向对称密钥加密即服务器向终端设备发送的数据采用一套密钥，终端设备向服务器采用另外一套密钥，也就是一次会话期间加解密采用两套密钥，双方解密数据时采用对方的加密密钥进行解密；

D11、服务器根据终端设备的SDK包的版本VTSDK确定加密算法ALG；

D12、服务器根据指纹信息、SID信息、时间戳TTM通过该加密算法ALG产生密钥Skey，利用通过RSA数字证书私钥(PRK)签名生成Skey'，并发送给终端设备；终端设备根据指纹信息、SID信息、时间戳TTM通过该加密算法ALG产生密钥Tkey，利用通过RSA数字证书(PUK)签名生成Tkey'，并发送给服务器；

D13、终端设备收到Skey'，利用RSA数字证书(PUK)成功获取Skey，并返回确认消息给服务器；服务器收到Tkey'，利用RSA数字证书私钥(PRK)成功获取Tkey，并返回确认消息给终端；

D14、若服务器解密失败，则返回失败消息给终端设备，并且两者再次请求协商加密算法ALG，然后重复步骤D11～D13；若终端设备解密失败，则返回失败消息给服务器，并且两者再次请求协商加密算法ALG，然后重复步骤D11～D13；

D15、服务器与终端设备之间的本次会话期间，服务器将一直使用该密钥Skey进行加密，同时服务器一直使用Tkey进行解密；终端设备将一直采用Tkey进行加密，同时终端设备一直使用Skey进行解密；并直到本次会话结束。

本发明较现有技术相比，具有以下优点及有益效果：

本发明保证了终端设备与服务器在整个会话过程的数据安全，同时保证了指纹身份认证、数据的完整性、准确性，采用对称加密算法同时也保证了响应时间的及时性、可靠性。

附图说明

图1为本发明终端设备激活的原理示意图；

图2为本发明终端设备指纹激活的原理示意图；

图3为本发明服务器与终端设备认证的原理示意图；

图4为本发明服务器与终端设备之间安全会话的原理示意图。

具体实施方式

下面结合实施例对本发明作进一步地详细说明：

实施例

如图1～图4所示，一种物联网信息安全传输方法，包括终端设备和服务器，所述终端设备内部存储有RSA数字证书公钥(PUK)、终端SN号、厂家名称、终端型号、SDK包以及SDK包MD5值，所述SDK包MD5值为SDK包的MD5值，所述服务器内部存储有RSA数字证书私钥(PRK)，所述终端设备与服务器构成一个物联网，其方法步骤如下：

A、终端设备向服务器发起激活请求：终端设备向服务器上传经过RSA数字证书公钥(PUK)签名的终端相关信息，所述终端相关信息包括终端SN号、厂家名称、终端型号、SDK包以及SDK包MD5值；服务器通过RSA数字证书私钥(PRK)验签终端相关信息，当服务器验签成功后，服务器对终端设备上传的终端相关信息进行审核，当服务器审核通过后，则生成终端设备的唯一标签识别号TID与对应服务器真实身份的SID，然后通过服务器的RSA数字证书私钥(PRK)将TID和SID签名后回传给终端设备；终端设备获取到服务器回传的TID与SID信息后经过PUK验签，当终端设备验签成功后，终端设备旋即获取到TID与SID信息，然后终端设备再次采用RSA数字证书公钥(PUK)签名后上传激活TOF值至服务器，服务器即可完成该终端设备的TID的激活，同时服务器与终端设备均存储相关数据，该相关数据包括终端相关信息、激活TOF值、TID与SID信息；

B、终端设备指纹激活流程：终端设备录入使用人的指纹信息，该指纹信息包括不超过使用人的三个指纹数据；当终端设备录入指纹信息成功后，然后终端设备将最新的指纹信息与TID关联后通过RSA数字证书(PUK)签名上传给服务器，服务器获取终端设备上传的指纹信息保存后并返回经RSA数字证书(PRK)签名的TOF值与SID值，TOF值为步骤A的激活TOF值，SID值为步骤A的SID信息，终端设备获取返回的TOF值与SID值；若服务器成功录入，则终端设备保存指纹信息，在指纹激活完成后，终端设备即可正常使用；在每次重启终端设备后，需先通过指纹认证后才能正常进行物联网信息安全传输使用；

C、身份认证：包括服务器验证终端设备身份与终端设备验证服务器身份；

C1、终端第一次向服务器发起会话连接请求时，服务器需要验证终端设备的身份，服务器验证终端设备身份方法如下：

C11、终端设备获取当前时间的时间戳TTM；

C12、终端设备将时间戳TTM通过SDK包中的国密对称加密算法SM4进行加密后TSM4数据与TID一起上传至服务器，国密对称加密算法SM4加密的密钥为SID信息与指纹信息的组合密钥；

C13、服务器收到TID后，服务器获取相关的指纹信息与SID信息，采用国密对称加密算法SM4解密方法进行解密；当解密成功后，服务器记录时间戳TTM及终端设备上传时间的时间差值TTMV，时间差值TTMV＝当前时间-时间戳TTM，所述当前时间为服务器解密成功时的时间，则服务器验证终端设备成功；

C14、如果服务器验证终端设备身份失败，则向终端设备返回错误信息并要求终端设备再一次验证终端设备身份，然后按照流程C11～C13依次重新执行一次；

C2、待服务器验证终端设备身份成功后，终端设备需要验证服务器身份，终端设备验证服务器身份方法如下：

C21、服务器通过TID获取终端设备对应的SID信息，再获取当前时间STM，同时获取终端设备的指纹信息；

C22、服务器使用国密对称加密算法SM4对当前时间STM加密，国密对称加密算法SM4加密的密钥为SID信息与指纹信息的组合密钥，服务器对当前时间STM加密后为SSM4数据，同时服务器回传SSM4数据与SID信息给终端设备；

C23、终端设备利用SDK包中国密对称加密算法SM4将服务器回传的SSM4数据与SID信息进行解密；若解密成功，终端设备记录当前时间及本次回传时间的时间差值STMV，时间差值STMV＝当前时间-STM，所述当前时间为终端设备解密成功时的时间，则验证服务器成功；

C24、若果终端设备验证服务器失败，则向服务器返回错误信息，要求服务器再一次验证服务器身份，然后按照流程C21～C23依次重新执行一次；

D、服务器与终端设备之间独立安全的会话：如图4所示，包括如下步骤：

D1、服务器与终端设备之间加密算法密钥协商：如果服务器与终端设备均认证成功，那么终端设备与服务器就确认本次会话的安全性，此时双方需要协商密钥；协商密钥采用双向对称密钥加密，双向对称密钥加密即服务器向终端设备发送的数据采用一套密钥，终端设备向服务器采用另外一套密钥，也就是一次会话期间加解密采用两套密钥，双方解密数据时采用对方的加密密钥进行解密；

D11、服务器根据终端设备的SDK包的版本VTSDK确定加密算法ALG；

D12、服务器根据指纹信息、SID信息、时间戳TTM通过该加密算法ALG产生密钥Skey，利用通过RSA数字证书私钥(PRK)签名生成Skey'，并发送给终端设备；终端设备根据指纹信息、SID信息、时间戳TTM通过该加密算法ALG产生密钥Tkey，利用通过RSA数字证书(PUK)签名生成Tkey'，并发送给服务器；

D13、终端设备收到Skey'，利用RSA数字证书(PUK)成功获取Skey，并返回确认消息给服务器；服务器收到Tkey'，利用RSA数字证书私钥(PRK)成功获取Tkey，并返回确认消息给终端；

D14、若服务器解密失败，则返回失败消息给终端设备，并且两者再次请求协商加密算法ALG，然后重复步骤D11～D13；若终端设备解密失败，则返回失败消息给服务器，并且两者再次请求协商加密算法ALG，然后重复步骤D11～D13；

D15、服务器与终端设备之间的本次会话期间，服务器将一直使用该密钥Skey进行加密，同时服务器一直使用Tkey进行解密；终端设备将一直采用Tkey进行加密，同时终端设备一直使用Skey进行解密；并直到本次会话结束。

本发明如果服务器与终端设备双方需要检测数据完整性校验，可以采用SDK包中数据完整性算法，在获取数据的时候对数据完整性进行校验，防止数据传输的过程中被第三方截取篡改。

本发明保证了终端与服务器在整个会话过程的数据安全，包括指纹身份认证、数据的完整性、准确性，采用对称加密算法同时也保证响应时间的及时性、可靠性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (1)

1.一种物联网信息安全传输方法，其特征在于：包括终端设备和服务器，所述终端设备内部存储有RSA数字证书公钥(PUK)、终端SN号、厂家名称、终端型号、SDK包以及SDK包MD5值，所述SDK包MD5值为SDK包的MD5值，所述服务器内部存储有RSA数字证书私钥(PRK)，所述终端设备与服务器构成一个物联网，其方法步骤如下：

A、终端设备向服务器发起激活请求：终端设备向服务器上传经过RSA数字证书公钥(PUK)签名的终端相关信息，所述终端相关信息包括终端SN号、厂家名称、终端型号、SDK包以及SDK包MD5值；服务器通过RSA数字证书私钥(PRK)验签终端相关信息，当服务器验签成功后，服务器对终端设备上传的终端相关信息进行审核，当服务器审核通过后，则生成终端设备的唯一标签识别号TID与对应服务器真实身份的SID，然后通过服务器的RSA数字证书私钥(PRK)将TID和SID签名后回传给终端设备；终端设备获取到服务器回传的TID与SID信息后经过PUK验签，当终端设备验签成功后，终端设备旋即获取到TID与SID信息，然后终端设备再次采用RSA数字证书公钥(PUK)签名后上传激活TOF值至服务器，服务器即可完成该终端设备的TID的激活，同时服务器与终端设备均存储相关数据，该相关数据包括终端相关信息、激活TOF值、TID与SID信息；

B、终端设备指纹激活流程：终端设备录入使用人的指纹信息，该指纹信息包括不超过使用人的三个指纹数据；当终端设备录入指纹信息成功后，然后终端设备将最新的指纹信息与TID关联后通过RSA数字证书(PUK)签名上传给服务器，服务器获取终端设备上传的指纹信息保存后并返回经RSA数字证书(PRK)签名的TOF值与SID值，TOF值为步骤A的激活TOF值，SID值为步骤A的SID信息，终端设备获取返回的TOF值与SID值；若服务器成功录入，则终端设备保存指纹信息，在指纹激活完成后，终端设备即可正常使用；在每次重启终端设备后，需先通过指纹认证后才能正常进行物联网信息安全传输使用；

C、身份认证：包括服务器验证终端设备身份与终端设备验证服务器身份；

C1、终端第一次向服务器发起会话连接请求时，服务器需要验证终端设备的身份，服务器验证终端设备身份方法如下：

C11、终端设备获取当前时间的时间戳TTM；

C12、终端设备将时间戳TTM通过SDK包中的国密对称加密算法SM4进行加密后TSM4数据与TID一起上传至服务器，国密对称加密算法SM4加密的密钥为SID信息与指纹信息的组合密钥；

C13、服务器收到TID后，服务器获取相关的指纹信息与SID信息，采用国密对称加密算法SM4解密方法进行解密；当解密成功后，服务器记录时间戳TTM及终端设备上传时间的时间差值TTMV，时间差值TTMV＝当前时间-时间戳TTM，所述当前时间为服务器解密成功时的时间，则服务器验证终端设备成功；

C14、如果服务器验证终端设备身份失败，则向终端设备返回错误信息并要求终端设备再一次验证终端设备身份，然后按照流程C11～C13依次重新执行一次；

C2、待服务器验证终端设备身份成功后，终端设备需要验证服务器身份，终端设备验证服务器身份方法如下：

C21、服务器通过TID获取终端设备对应的SID信息，再获取当前时间STM，同时获取终端设备的指纹信息；

C22、服务器使用国密对称加密算法SM4对当前时间STM加密，国密对称加密算法SM4加密的密钥为SID信息与指纹信息的组合密钥，服务器对当前时间STM加密后为SSM4数据，同时服务器回传SSM4数据与SID信息给终端设备；

C23、终端设备利用SDK包中国密对称加密算法SM4将服务器回传的SSM4数据与SID信息进行解密；若解密成功，终端设备记录当前时间及本次回传时间的时间差值STMV，时间差值STMV＝当前时间-STM，所述当前时间为终端设备解密成功时的时间，则验证服务器成功；

C24、若果终端设备验证服务器失败，则向服务器返回错误信息，要求服务器再一次验证服务器身份，然后按照流程C21～C23依次重新执行一次；

D、服务器与终端设备之间独立安全的会话：包括如下步骤：

D1、服务器与终端设备之间加密算法密钥协商：如果服务器与终端设备均认证成功，那么终端设备与服务器就确认本次会话的安全性，此时双方需要协商密钥；

D11、服务器根据终端设备的SDK包的版本VTSDK确定加密算法ALG；

D12、服务器根据指纹信息、SID信息、时间戳TTM通过该加密算法ALG产生密钥Skey，利用通过RSA数字证书私钥(PRK)签名生成Skey'，并发送给终端设备；终端设备根据指纹信息、SID信息、时间戳TTM通过该加密算法ALG产生密钥Tkey，利用通过RSA数字证书(PUK)签名生成Tkey'，并发送给服务器；

D13、终端设备收到Skey'，利用RSA数字证书(PUK)成功获取Skey，并返回确认消息给服务器；服务器收到Tkey'，利用RSA数字证书私钥(PRK)成功获取Tkey，并返回确认消息给终端；

D14、若服务器解密失败，则返回失败消息给终端设备，并且两者再次请求协商加密算法ALG，然后重复步骤D11～D13；若终端设备解密失败，则返回失败消息给服务器，并且两者再次请求协商加密算法ALG，然后重复步骤D11～D13；

D15、服务器与终端设备之间的本次会话期间，服务器将一直使用该密钥Skey进行加密，同时服务器一直使用Tkey进行解密；终端设备将一直采用Tkey进行加密，同时终端设备一直使用Skey进行解密；并直到本次会话结束。