CN107493294B - 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法 - Google Patents
一种基于非对称加密算法的ocf设备的安全接入与管理控制方法 Download PDFInfo
- Publication number
- CN107493294B CN107493294B CN201710786502.5A CN201710786502A CN107493294B CN 107493294 B CN107493294 B CN 107493294B CN 201710786502 A CN201710786502 A CN 201710786502A CN 107493294 B CN107493294 B CN 107493294B
- Authority
- CN
- China
- Prior art keywords
- ocf
- client
- private
- server
- resources
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于非对称加密算法的OCF设备的安全接入与管理控制方法,其只由OCF客户端生成一组公私密钥对,并由OCF服务端运行公钥方法;在数据交互过程中,OCF客户端的控制指令使用客户端的私钥进行加密,发送到OCF服务端后使用公钥进行解密;OCF服务器上报的数据使用客户端的公钥进行加密,发送到OCF客户端后使用私钥进行解密。本发明提供的方案能够在保证数据交互安全性的前提下,大大降低OCF服务端的开销,有效简化OCF设备安全控制和数交互实现的复杂性。
Description
技术领域
本发明涉及一种网络安全技术,具体涉及OCF设备的安全接入与管理控制技术。
背景技术
OCF网络由客户端和服务端构成,OCF服务端一般为运行在嵌入式系统的受限设备,OCF服务端节点只需要消耗少量资源就可以完成组网和数据传输。因受限设备网络的节点准入条件较低,第三方只需要简单的攻击操作就能够获取设备的机密信息,给用户带来较大的经济损失。
目前,常用的网络安全协议如下:
利用公开密钥技术的SSL协议,已成为Internet上保密通讯的工业标准。安全套接层协议能使用户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)上。SSL协议的优势在于它是与应用层协议独立无关的,高层的应用层协议能透明地建立在SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传输的数据都会被加密,从而保证通信的私密性。
TLS协议由记录协议和握手协议两层组成。记录协议支持信息传输、将数据分段到可处理模块、压缩数据、应用MAC、加密以及传输结果。对收到的数据进行解密、校验、解压缩、重组等,然后将它们传送到高层客户机。TLS握手协议由改变密码规格协议、警惕协议、握手协议这三个子协议组构成,允许对等双方在记录层的安全参数上达成一致、自我认证、例示协商安全参数、相互报告出错条件。
OCF协议设计实现了SRM(SecureResourceManager)模块,负责资源的安全存储和设备的接入控制,传输层使用DTLS实现数据的加密。在OCF建立安全端到端通道时,OCF服务端创建安全密钥在本地平台中可靠地存储,OCF的credential资源存储加密密钥。要访问OCF服务器上的任何资源时,OCF客户端必须首先向OCF服务器验证,然后OCF服务端查询与OCF资源相关的接入控制列表(ACL),查找与OCF客户端deviceID或roleID匹配的ACL条目。
目前OCF协议采用应用层实现安全资源管理模块,传输层使用DTLS实现设备的安全接入和管理控制。OCF协议作为物联网标准协议,其OCF端设备大都是资源受限的嵌入式设备,在应用层使用设备安全资源管理模块加大了资源管理的复杂度,传输层使用DTLS实现复杂的记录协议和握手协议也非常耗费系统资源,同时,设备每个资源在完成安全认证之后都是有主的,非主人的OCF客户端无法访问和控制服务端资源,控制所有权转移在受限的服务端上实现复杂。
发明内容
针对现有OCF设备基于OCF协议实现安全控制和数交互的复杂性,需要一种新的OCF设备安全控制方案,实现在一定的安全等级的情况下,简化OCF设备安全控制和数交互实现的复杂性。
为此,本发明的目的在于提供一种基于非对称加密算法的OCF设备的安全接入与管理控制方法,针对所有的控制指令和数据只进行简单的非对称加密,在保证一定的安全等级的情况下,有效简化OCF设备安全控制和数交互实现的复杂性。
为了达到上述目的,本发明提供的基于非对称加密算法的OCF设备的安全接入与管理控制方法,其只由OCF客户端生成一组公私密钥对,并由OCF服务端运行公钥方法;在数据交互过程中,OCF客户端的控制指令使用客户端的私钥进行加密,发送到OCF服务端后使用公钥进行解密;OCF服务器上报的数据使用客户端的公钥进行加密,发送到OCF客户端后使用私钥进行解密。
进一步的,所述OCF客户端生成的公私密钥对中的公钥通过握手协议分发给客户端需要访问和控制的OCF服务端,公钥信息存储在OCF服务端的oic/security资源中。
进一步的,对OCF服务端的资源进行公私有划分,对于共有资源,所有的客户端都具有控制权并能接收资源的数据;对私有资源,只有拥有密钥对的客户端才能正确控制并获取私有资源的数据。
进一步的,其他客户端想要控制私有资源,需要向拥有密钥对的客户端提出申请,在得到授权之后获得密钥,才能访问私有资源。
进一步的,OCF资源通过其URI唯一标识,在OCF服务端和客户端都维护一个资源URI的列表,列表中的资源拥有公私有属性,对于公有资源,控制指令和数据上报对所有客户端都是不加密的;而对于私有资源,只有拥有私钥的OCF客户端才能完成正确的操作。
本发明提供的方案能够在保证数据交互安全性的前提下,大大降低OCF服务端的开销,有效简化OCF设备安全控制和数交互实现的复杂性。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明实例中数据交互的流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本方案基于非对称加密算法来实现对OCF设备的安全接入与管理控制,本方案通过所有的控制指令和数据只进行简单的非对称加密,实现在保证一定的安全等级的情况下,有效简化OCF设备安全控制和数交互实现的复杂性。
具体的,本方案与SSL实现方式不同,只由OCF客户端生成一组密钥对,将公钥方法给OCF服务端,即密钥对中的私钥cPK由OCF客户端保存,密钥对中的公钥cPK_pub通过握手协议分发给客户端需要访问和控制的OCF服务端,公钥信息存储在OCF服务端的oic/security资源中。
在数据交互过程中,当OCF客户端需要向服务端发送控制指令时,客户端使用私钥cPK加密,OCF服务端收到指令后,用客户端公钥cPK_pub进行解密,解析指令,确定需要返回的数据,再使用客户端的公钥cPK_pub加密数据,返回给OCF客户端;OCF客户端收到数据,使用自己的私钥cPK进行解密,最终得到数据。
另外,在本方案中,对OCF服务端的资源进行公私有划分,对于共有资源,所有的客户端都具有控制权并能接收资源的数据,而对私有资源,只有拥有密钥对的客户端才能正确控制并获取私有资源的数据,若其他客户端想要控制私有资源,需要向拥有密钥对的客户端提出申请。具体的,本方案中将OCF资源通过其URI唯一标识,在OCF服务端和客户端都会维护一个资源URI的列表,列表中的资源拥有公私有属性,对于公有资源,控制指令和数据上报对所有客户端都是不加密的;而对于私有资源,只有拥有私钥的OCF客户端才能完成正确的操作,如果有其他的客户端也想拥有私有资源的控制权限,需要向拥有私钥的客户端提出申请,得到授权之后获得密钥,才能访问私有资源。
针对本方案,首先,由于客户端的控制指令是使用自己的私钥加密,所以即使有多个服务端拥有公钥,也只能是对服务端有安全控制权限的客户端才能发送出正确的控制指令给服务端,尽管客户端的公钥是公开的,但客户端发送出的数据由其私钥加密而来,服务端也只能正确解析出由私钥加密而来的数据。在局域网的情况下,即使有第三方想要伪造并发送控制指令给服务端后,但其没有正确的私钥加密,服务端解析出来的只能是不合法的控制指令,并不会对服务端的状态有所改变,所以这种加密方案对控制指令的传输是安全的。
其次,OCF服务端通过客户端的公钥cPK_pub对要发送的数据进行加密,加密后的数据只能被客户端的私钥cPK成功解密,解析出正确的数据,即使有第三方的客户端截取到了加密的数据,由于其不拥有客户端的私钥,所以无法成功的解密出服务端发出的数据,这样就保证了服务端上报数据的安全性。
最后,对于OCF服务端的资源而言,对其进行公私有划分,公有资源在网络中透明传输,数据是不加密的,而私有资源的数据和操作的交互采用上述的加密方法进行,这样对于不要求安全性的一些属性,对所有用户都可见,而对于私有资源,数据传输都是加密的,只有经过安全认证后的OCF客户端才能发送正确的控制指令并接受到正确的服务端数据。
参见图1,其所示利用本方案提供的基于非对称加密算法的OCF设备的安全接入与管理控制方案来实现OCF客户端与OCF服务端之间数据交互的流程图。
由图可知,整个数据交互的流程如下:
(1)OCF客户端调用资源发现接口发现资源;
(2)OCF服务端收到发现请求,返回资源URI列表,资源按公私有属性分开;
(3)OCF客户端生成公私密钥对cPK_pub和cPK以及加解密算法,将公钥cPK分发给OCF服务端,协商加解密算法,更新服务端的oic/security资源,更新成功,服务端回复OK;
(4)OCF客户端想要向服务端的私有资源oic/private/resource3发出控制指令,用以获取其数据,由于resource3是私有资源,客户端会使用自己的私钥cPk加密控制指令,发送给服务端,服务端收到一条加密了的对resource3的报文,服务端去资源URI列表查找,发现resource3是私有资源,因此服务端会使用公钥cPK_pub解密,解析出正确的控制指令;
(5)OCF服务端解析出控制指令后发现是数据查询指令,服务端将要发送的数据使用公钥cPK进行加密,发送给OCF客户端;
(6)客户端接收到加密后的数据使用私钥进行解密,解析出正确的数据值。
在此基础上,当有其他的客户端也想要对服务端的私有资源进行控制并能够获取私有资源的属性值,需要向生成密钥对的客户端发送请求,授权认证过后该客户端获得私钥和加解密算法,就能够对服务端的私有资源进行数据交互。
由上可知,本方案保证了数据交互的安全性,并且服务端不需要生成密钥对,与传统的非对称加密方法比较,降低了OCF服务端的开销。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (2)
1.一种基于非对称加密算法的OCF设备的安全接入与管理控制方法,其特征在于,所述方法只由OCF客户端生成一组公私密钥对,并由OCF服务端运行公钥方法;在数据交互过程中,OCF客户端的控制指令使用客户端的私钥进行加密,发送到OCF服务端后使用公钥进行解密;OCF服务器上报的数据使用客户端的公钥进行加密,发送到OCF客户端后使用私钥进行解密;
所述OCF客户端生成的公私密钥对中的公钥通过握手协议分发给客户端需要访问和控制的OCF服务端,公钥信息存储在OCF服务端的oic/security资源中;
对OCF服务端的资源进行公私有划分,对于共有资源,所有的客户端都具有控制权并能接收资源的数据;对私有资源,只有拥有密钥对的客户端才能正确控制并获取私有资源的数据;
其他客户端想要控制私有资源,需要向拥有密钥对的客户端提出申请,在得到授权之后获得密钥,才能访问私有资源。
2.根据权利要求1所述的OCF设备的安全接入与管理控制方法,其特征在于,OCF资源通过其URI唯一标识,在OCF服务端和客户端都维护一个资源URI的列表,列表中的资源拥有公私有属性,对于公有资源,控制指令和数据上报对所有客户端都是不加密的;而对于私有资源,只有拥有私钥的OCF客户端才能完成正确的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710786502.5A CN107493294B (zh) | 2017-09-04 | 2017-09-04 | 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710786502.5A CN107493294B (zh) | 2017-09-04 | 2017-09-04 | 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107493294A CN107493294A (zh) | 2017-12-19 |
| CN107493294B true CN107493294B (zh) | 2020-08-21 |
Family
ID=60651448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710786502.5A Active CN107493294B (zh) | 2017-09-04 | 2017-09-04 | 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107493294B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110161985B (zh) * | 2019-01-16 | 2021-08-06 | 佛山市顺德区中山大学研究院 | 一种基于CoAP协议的智能家电安全控制的方法和装置 |
| CN110035058B (zh) * | 2019-02-28 | 2021-07-06 | Oppo广东移动通信有限公司 | 资源请求方法、设备及存储介质 |
| WO2020258336A1 (zh) * | 2019-06-28 | 2020-12-30 | Oppo广东移动通信有限公司 | 一种资源配置方法、设备及存储介质 |
| CN114556891B (zh) * | 2020-01-02 | 2024-01-30 | Oppo广东移动通信有限公司 | 确定设备状态的方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102123157A (zh) * | 2011-03-03 | 2011-07-13 | 上海华为技术有限公司 | 一种认证方法及系统 |
| CN102668503A (zh) * | 2009-12-21 | 2012-09-12 | 国际商业机器公司 | 对加密文件系统的安全Kerberos化访问 |
| CN107094156A (zh) * | 2017-06-21 | 2017-08-25 | 北京明朝万达科技股份有限公司 | 一种基于p2p模式的安全通信方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9544768B2 (en) * | 2015-03-20 | 2017-01-10 | Hyundai Motor Company | Method and apparatus for performing secure Bluetooth communication |
-
2017
- 2017-09-04 CN CN201710786502.5A patent/CN107493294B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102668503A (zh) * | 2009-12-21 | 2012-09-12 | 国际商业机器公司 | 对加密文件系统的安全Kerberos化访问 |
| CN102123157A (zh) * | 2011-03-03 | 2011-07-13 | 上海华为技术有限公司 | 一种认证方法及系统 |
| CN107094156A (zh) * | 2017-06-21 | 2017-08-25 | 北京明朝万达科技股份有限公司 | 一种基于p2p模式的安全通信方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107493294A (zh) | 2017-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3678325A1 (en) | Methods and apparatus for quantum-resistant network communication | |
| CN102970299B (zh) | 文件安全保护系统及其方法 | |
| CN107612899B (zh) | 一种基于量子密钥的OpenVPN安全通信方法和通信系统 | |
| CN107493294B (zh) | 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法 | |
| US10158608B2 (en) | Key establishment for constrained resource devices | |
| US20230421394A1 (en) | Secure authentication of remote equipment | |
| US11595203B2 (en) | Systems and methods for encrypted content management | |
| WO2019178942A1 (zh) | 一种进行ssl握手的方法和系统 | |
| EP2217995A1 (en) | Method and system for secure session establishment using identity-based encryption (vdtls) | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| CN109698746B (zh) | 基于主密钥协商生成绑定设备的子密钥的方法和系统 | |
| CN112332986B (zh) | 一种基于权限控制的私有加密通信方法及系统 | |
| CN113489586B (zh) | 一种兼容量子密钥协商的vpn网络系统 | |
| CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
| CN110690967B (zh) | 一种不依赖于服务端安全的即时通信密钥确立方法 | |
| CN114285571A (zh) | 一种在IPSec协议中使用量子密钥的方法、网关装置与系统 | |
| CN111756530B (zh) | 量子服务移动引擎系统、网络架构及相关设备 | |
| WO2016134631A1 (zh) | 一种OpenFlow报文的处理方法及网元 | |
| CN109474667B (zh) | 一种基于tcp和udp的无人机通信方法 | |
| Peng et al. | A secure publish/subscribe protocol for Internet of Things using identity-based cryptography | |
| KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
| CN109922042B (zh) | 遗失设备的子密钥管理方法和系统 | |
| CN114040390A (zh) | 一种基于量子安全的5g虚商密钥库分发方法 | |
| CN115567195A (zh) | 安全通信方法、客户端、服务器、终端和网络侧设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |