CN109379387B - 一种物联网设备间的安全认证和数据通信系统 - Google Patents

一种物联网设备间的安全认证和数据通信系统 Download PDF

Info

Publication number
CN109379387B
CN109379387B CN201811530900.1A CN201811530900A CN109379387B CN 109379387 B CN109379387 B CN 109379387B CN 201811530900 A CN201811530900 A CN 201811530900A CN 109379387 B CN109379387 B CN 109379387B
Authority
CN
China
Prior art keywords
data
random number
key
internet
things
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811530900.1A
Other languages
English (en)
Other versions
CN109379387A (zh
Inventor
魏贵鹏
冯乃琪
谢演
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu 30javee Microelectronics Co ltd
Original Assignee
Chengdu 30javee Microelectronics Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu 30javee Microelectronics Co ltd filed Critical Chengdu 30javee Microelectronics Co ltd
Priority to CN201811530900.1A priority Critical patent/CN109379387B/zh
Publication of CN109379387A publication Critical patent/CN109379387A/zh
Application granted granted Critical
Publication of CN109379387B publication Critical patent/CN109379387B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

本发明涉及通信安全技术领域,特别是一种物联网设备间的安全认证和数据通信系统。包括:数据注入系统,用于产生可信物联网设备的ID、证书、公私钥对,并将所述ID、证书、公私钥连同数据注入系统的公钥一同注入到可信物联网设备中;可信物联网设备,用于存储数据注入系统下发的各种数据,在不同的可信物联网设备存储的数据中,除数据注入系统的公钥相同,各个可信物联网设备间的ID、证书以及公私钥对均不相同。本发明的技术方案提高了提升数据存储的安全性、防止恶意攻击,提高认证过程和加密过程的计算效率;本发明的技术方案简化了设备间握手和身份认证所需要的交互次数和数据量,提高各物联网设备间的通信效率;上述方案实现容易,便于移植。

Description

一种物联网设备间的安全认证和数据通信系统
技术领域
本发明涉及通信安全技术领域,特别是一种物联网设备间的安全认证和数据通信系统。
背景技术
伴随着物联网技术的发展,越来越多的设备都接入到互联网中,这些设备不仅为人们的生活提供了多种多样的便捷服务,同时也成为工作中随处可见的工具,随之而来的安全问题也渐渐的得到人们的重视。
物联网设备间需要进行命令、数据的传输,然而当前的物联网设备间少有进行相互间身份认证,且传输的命令和数据也多是明文,这使得整个系统的安全性极低,容易受到不法份子的攻击。由于没有进行设备间的身份认证,攻击者可以轻易的通过冒充身份接入到由物联网设备组成的系统中,也因为设备间传输的命令和数据是明文,可以轻易的被不法分子获取和分析,从而发送各种命令和数据,以达到控制系统中物联网设备的目的。在少数有设备身份认证和数据传输加密的系统中,又普遍采用的了软件实现SSL/TLS所定义的方式来进行设备间的握手和数据传输,此种方式交互次数多,数据传输量大,并且采用软件的数据加解密算法,应用在物联网设备间增加了设备和系统的开销,大大降低了设备的工作效率。
发明内容
本发明所要解决的技术问题是:针对保障物联网设备不会被伪装身份的设备访问、控制、获取数据的问题,出于提高物联网设备以及物联网设备所属系统整体工作效率的目的,提出了一种物联网设备间的安全认证和数据通信系统。
本发明的技术方案如下:一种物联网设备间的安全认证和数据通信系统,包括:
数据注入系统,用于产生可信物联网设备的ID、证书、公私钥对,并将所述ID、证书、公私钥连同数据注入系统的公钥一同注入到可信物联网设备中;
可信物联网设备,用于存储数据注入系统下发的各种数据,在不同的可信物联网设备存储的数据中,除数据注入系统的公钥相同,各个可信物联网设备间的ID、证书以及公私钥对均不相同。
进一步的,所述数据注入系统和可信物联网设备均具有随机数产生模块、加解密模块以及物理上的安全存储区域。
进一步的,所述可信物联网设备由安全芯片、引用处理器和通讯模块组成。
进一步的,所述数据注入系统通过读卡器和可信物联网设备连接。
进一步的,所述数据注入系统给可信物联网设备的下发数据的过程为:
数据注入系统生成设备X的IDX,其中,设备X为任意一个可信物联网设备;
数据注入系统生成设备X的公钥PKX、私钥SKX
采用数据注入系统的私钥SKM给IDX、公钥PKX进行签名生成证书SIGNX
计算设备X的IDX、公钥PKX、私钥SKX、数据注入系统的公钥PKM的哈希值HASHX,用以保证数据的完整性;
数据注入系统发送IDX、公钥PKX、私钥SKX、证书SIGNX、公钥PKM、哈希值HASHX给设备X。
进一步的,可信物联网设备响应注入数据的响应过程:
设备X对哈希值HASHX进行效验,成功后写入IDX、公钥PKX、私钥SKX、证书SIGNX、公钥PKM到设备X的安全存储区域中;
根据效验结果返回信息给数据注入系统。
进一步的,所述可信物联网设备之间通过通讯模块互相连接。
进一步的,可信物联网设备之间的通信过程为:
(1)设备A向设备B发送认证命令包:
A1:设备A生成随机数RA并存储,以备后续流程中对比使用
A2:利用私钥SKA对随机数RA、IDA、证书SIGNA进行签名,得到证书SIGNINFOA
A3:使用认证协商过程保护密钥KOP,采用SM4-ECB加密随机数RA、IDA、证书SIGNA、证书SIGNINFOA、公钥PKA得到密文CTA,发送带密文CTA的认证命令到设备B;
(2)设备B向设备A发送认证应答包
B1:设备B利用认证协商过程保护密钥KOP解密认证命令包中的密文CTA
B2:利用公钥PKA验证证书SIGNINFOA
B3:利用公钥PKM验证证书SIGNA
B4:查看设备ID为IDA的设备上一次发送过来的数据包的随机数是否等于随机数RA,如果等于则此包无效,流程失败,否则存储此次随机数RA
B5:设备B生成随机数RB并存储,以备后续流程中对比使用;
B6:利用私钥SKB对随机数RA、随机数RB、IDB、证书SIGNB进行签名,得到证书SIGNINFOB
B7:使用认证协商过程保护密钥KOP加密随机数RA、随机数RB、IDB、证书SIGNB、证书SIGNINFOB、公钥PKB得到密文CTB,发送带密文CTB的认证应答包到设备A;
B8:SM3算法对公钥PKA、公钥PKB进行计算得到派生算法密钥KD,用于派生数据保护密钥KP及数据完整性密钥KI
B9:使用KD为密钥,以随机数RA、IDB为输入产生出数据保护密钥KP
B10:使用KD为密钥,以随机数RB、IDA为输入,产生出数据完整性密钥KI
(3)设备A对认证应答包进行处理,并向设备B发送数据交互包;
A4:设备A利用认证协商过程保护密钥KOP解密认证应答包中的密文CTB
A5:利用公钥PKB验证证书SIGNINFOB
A6:利用公钥PKM验证证书SIGNB
A7:对比从设备B返回报文中得到的随机数RA是否等于设备A自己产生的随机数RA,查看设备ID为IDB的设备上一次发送过来的数据包中随机数是否等于随机数RB,如果等于则此包无效,流程失败,否则存储此次随机数RB
A8:对公钥PKA、公钥PKB进行计算得到派生算法密钥KD,用于派生数据保护密钥KP及数据完整性密钥KI
A9:使用KD为密钥,以随机数RA、IDB为输入产生数据保护密钥KP
A10:使用KD为密钥,以随机数RB、IDA为输入,产生数据完整性密钥KI
A11:产生用于数据交互的随机数RA1并存储,以KP为密钥加密随机数RB、随机数RA1以及要发送的数据或命令生成密文CTA1
A12:用KI为密钥为密文CTA1生成密文MACA1
A13:发送密文CTA1、密文MACA1到设备B,开始数据交互;
(4)设备B处理设备A发送的数据交互包,并向设备A发送数据交互包
B11:设备B利用数据完整性密钥KI效验数据的完整性;
B12:利用数据保护密钥KP解密密文CTA1数据得到随机数RB、随机数RA1以要交互的数据和命令;
B13:验证从密文CTA1中解密得到的随机数RB是否与设备B产生的随机数RB一致,查看随机数RA1是否等于随机数RA,如果等于则此包无效,流程失败,否则存储此次随机数RA1
B14:根据业务需要处理数据或命令;
B15:产生用于数据交互的随机数RB1,以KP为密钥采用SM4-ECB算法加密随机数RA1、随机数RB1以及要发送的数据或命令生成密文CTB1
B16:用KI为密钥为密文CTB1生成密文MACB1
B17:发送密文CTB1及密文MACB1到设备A;
(5)设备A对数据交互包进行处理
A14:设备A利用数据完整性密钥KI效验数据的完整性;
A15:利用数据保护密钥KP解密密文CTB1数据得到随机数RA1、随机数RB1以及要交互的数据和命令;
A16:验证从密文CTA1中解密得到的随机数RA1是否与设备B产生的随机数RA1一致,查看随机数RB1是否等于随机数RB,如果等于则此包无效,流程失败,否则存储此次随机数RB1
A17:根据业务需要处理数据或命令。
与现有技术相比,采用上述技术方案的有益效果为:
(1)本发明的技术方案采用硬件方式实现随机数的产生、加解密和认证的算法,提高了由物联网设备组成的网络系统的安全性,参与到协议中的各组成部分均带有硬件的随机数产生模块、密码和安全存储模块或设备,因此能够支撑所需要的各种加解密算法,提升数据存储的安全性,提高认证过程和加密过程的计算效率
(2)本发明的技术方案简化了设备间握手和身份认证所需要的交互次数和数据量,提高各物联网设备间的通信效率,从而提高整个网络系统的效率。防止重放攻击,防止命令和数据被截取、篡改,防止身份欺骗,保障传输数据的完整性。
(3)本发明的技术方案实现容易,便于移植。
附图说明
图1是本发明物联网设备间的安全认证和数据通信系统在数据注入阶段的组成示意图。
图2是本发明物联网设备间的安全认证和数据通信系统在应用阶段的组成示意图。
图3是本发明物联网设备间的安全认证和数据通信系统在数据注入阶段的一个具体实施方式示意图。
图4是本发明物联网设备间的安全认证和数据通信系统在应用阶段的一个具体实施方式示意图。
图5是本发明涉及到的设备数据注入流程示意图。
图6是本发明可信物联网设备间的工作流程示意图。
具体实施方式
下面结合附图对本发明做进一步描述。
如图1-2所示,一种物联网设备间的安全认证和数据通信系统,包括:
数据注入系统,用于产生可信物联网设备的ID、证书、公私钥对,并将所述ID、证书、公私钥连同数据注入系统的公钥一同注入到可信物联网设备中;可信物联网设备,用于存储数据注入系统下发的各种数据,在不同的可信物联网设备存储的数据中,除数据注入系统的公钥相同,各个可信物联网设备间的ID、证书以及公私钥对均不相同。数据注入系统具体可以由带有硬件加密卡的PC和数据注入软件实现,可信物联网设备具体可以由安全芯片、应用处理器、通讯模块组成。本实施例具有N个可信物联网设备,在设备数据注入阶段,数据注入系统针对可信物联网设备1...可信物联网设备N中每一个设备注入数据;在设备应用阶段,可信物联网设备1...可信物联网设备N中任意两个设备之间均可进行通信,并且它们的ID、证书以及公私钥对均不相同。本实施例的技术方案不仅能够用在物联网设备间,也可以用在带有任意密码模块及安全存储区的设备或系统中。
优选地,所述数据注入系统和可信物联网设备均具有随机数产生模块、加解密模块以及物理上的安全存储区域。随机数的产生模块、加解密模块均可由硬件方式实现;安全存储区域,能够保证数据不被非法读取。
优选地,如图3-4所示,所述可信物联网设备由安全芯片、引用处理器和通讯模块组成。数据注入系统由带有硬件加密卡的PC和数据注入软件组成实现,通过读卡器为所有的可信物联网设备注入数据。
优选地,如图5所示,所述数据注入系统给可信物联网设备的下发数据的过程为:数据注入系统生成设备X的IDX,其中,设备X为任意一个可信物联网设备;数据注入系统生成设备X的公钥PKX、私钥SKX;采用数据注入系统的私钥SKM给IDX、公钥PKX进行签名生成证书SIGNX;计算设备X的IDX、公钥PKX、私钥SKX、数据注入系统的公钥PKM的哈希值HASHX,用以保证数据的完整性;数据注入系统发送IDX、公钥PKX、私钥SKX、证书SIGNX、公钥PKM、哈希值HASHX给设备X。
可信物联网设备响应注入数据的响应过程:
设备X对哈希值HASHX进行效验,成功后写入IDX、公钥PKX、私钥SKX、证书SIGNX、公钥PKM到设备X的安全存储区域中;根据效验结果返回信息给数据注入系统。
在可信物联网设备储存了注入数据的基础上,可信物联网设备间的通信过程:
在应用阶段,设备间通过通讯模块互相连接,共同组成一个物联网系统,物联网系统中包含多个物联网设备;如图6所示,具体通信过程为:
(1)设备A向设备B发送认证命令包:
A1:设备A生成8Bytes长度的随机数RA并存储,以备后续流程中对比使用
A2:利用私钥SKA对随机数RA、IDA、证书SIGNA进行签名,得到证书SIGNINFOA
A3:使用认证协商过程保护密钥KOP,采用SM4-ECB加密随机数RA、IDA、证书SIGNA、证书SIGNINFOA、公钥PKA得到密文CTA,发送带密文CTA的认证命令到设备B;
(2)设备B向设备A发送认证应答包
B1:设备B利用认证协商过程保护密钥KOP解密认证命令包中的密文CTA
B2:利用公钥PKA验证证书SIGNINFOA
B3:利用公钥PKM验证证书SIGNA
B4:查看设备ID为IDA的设备上一次发送过来的数据包的随机数是否等于随机数RA,如果等于则此包无效,流程失败,否则存储此次随机数RA
B5:生成8Bytes长度的随机数RB并存储,以备后续流程中对比使用;
B6:利用私钥SKB对随机数RA、随机数RB、IDB、证书SIGNB进行签名,得到证书SIGNINFOB
B7:使用认证协商过程保护密钥KOP,采用SM4-ECB加密随机数RA、随机数RB、IDB、证书SIGNB、证书SIGNINFOB、公钥PKB得到密文CTB,发送带密文CTB的认证应答包到设备A;
B8:SM3算法对公钥PKA、公钥PKB进行计算得到32Bytes数据作为派生算法密钥KD,用于派生数据保护密钥KP及数据完整性密钥KI
B9:使用KD为密钥,采用SM3-HMAC算法,以随机数RA、IDB为输入产生出32Bytes的数据,取前16Bytes为数据保护密钥KP
B10:使用KD为密钥,采用SM3-HMAC算法,以随机数RB、IDA为输入,产生出32Bytes作为数据完整性密钥KI
(3)设备A对认证应答包进行处理,并向设备B发送数据交互包;
A4:设备A利用认证协商过程保护密钥KOP解密认证应答包中的密文CTB
A5:利用公钥PKB验证证书SIGNINFOB
A6:利用公钥PKM验证证书SIGNB
A7:对比从设备B返回报文中得到的随机数RA是否等于设备A自己产生的随机数RA,查看设备ID为IDB的设备上一次发送过来的数据包中随机数是否等于随机数RB,如果等于则此包无效,流程失败,否则存储此次随机数RB
A8:采用SM3算法对公钥PKA、公钥PKB进行计算得到32Bytes数据作为派生算法密钥KD,用于派生数据保护密钥KP及数据完整性密钥KI
A9:使用KD为密钥,采用SM3-HMAC算法,以随机数RA、IDB为输入产生出32Bytes的数据,取前16Bytes为数据保护密钥KP
A10:使用KD为密钥,采用SM3-HMAC算法,以随机数RB、IDA为输入,产生出32Bytes作为数据完整性密钥KI
A11:产生8Bytes用于数据交互的随机数RA1并存储,以KP为密钥采用SM4-ECB算法加密随机数RB、随机数RA1以及要发送的数据或命令生成密文CTA1
A12:用KI为密钥采用SM3-HMAC为密文CTA1生成密文MACA1
A13:发送密文CTA1、密文MACA1到设备B,开始数据交互;
(4)设备B处理设备A发送的数据交互包,并向设备A发送数据交互包
B11:设备B利用数据完整性密钥KI效验数据的完整性;
B12:利用数据保护密钥KP解密密文CTA1数据得到随机数RB、随机数RA1以要交互的数据和命令;
B13:验证从密文CTA1中解密得到的随机数RB是否与设备B产生的随机数RB一致,查看随机数RA1是否等于随机数RA,如果等于则此包无效,流程失败,否则存储此次随机数RA1
B14:根据业务需要处理数据或命令;
B15:产生8Bytes用于数据交互的随机数RB1,以KP为密钥采用SM4-ECB算法加密随机数RA1、随机数RB1以及要发送的数据或命令生成密文CTB1
B16:用KI为密钥采用SM3-HMAC算法为密文CTB1生成密文MACB1
B17:发送密文CTB1及密文MACB1到设备A;
(5)设备A对数据交互包进行处理
A14:设备A利用数据完整性密钥KI效验数据的完整性;
A15:利用数据保护密钥KP解密密文CTB1数据得到随机数RA1、随机数RB1以及要交互的数据和命令;
A16:验证从密文CTA1中解密得到的随机数RA1是否与设备B产生的随机数RA1一致,查看随机数RB1是否等于随机数RB,如果等于则此包无效,流程失败,否则存储此次随机数RB1
A17:根据业务需要处理数据或命令。
上述设备间的通信过程,采用极少的交互步骤和传输数据量完成设备间的相互认证,并协商出用于设备间交互命令与数据使用的数据保护密钥和完整性密钥。同时采用硬件的密码模块,提高了各种密码算法的计算效率。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。如果本领域技术人员,在不脱离本发明的精神所做的非实质性改变或改进,都应该属于本发明权利要求保护的范围。

Claims (7)

1.一种物联网设备间的安全认证和数据通信系统,其特征在于,包括:
数据注入系统,用于产生可信物联网设备的ID、证书、公私钥对,并将所述ID、证书、公私钥连同数据注入系统的公钥一同注入到可信物联网设备中;
可信物联网设备,用于存储数据注入系统下发的各种数据,在不同的可信物联网设备存储的数据中,除数据注入系统的公钥相同,各个可信物联网设备间的ID、证书以及公私钥对均不相同;
可信物联网设备之间的通信过程为:
(1)设备A向设备B发送认证命令包
A1:设备A生成随机数RA并存储,以备后续流程中对比使用;
A2:利用私钥SKA对随机数RA、IDA、证书SIGNA进行签名,得到证书SIGNINFOA
A3:使用认证协商过程保护密钥KOP,采用SM4-ECB加密随机数RA、IDA、证书SIGNA、证书SIGNINFOA、公钥PKA得到密文CTA,发送带密文CTA的认证命令到设备B;
(2)设备B向设备A发送认证应答包
B1:设备B利用认证协商过程保护密钥KOP解密认证命令包中的密文CTA
B2:利用公钥PKA验证证书SIGNINFOA
B3:利用公钥PKM验证证书SIGNA
B4:查看设备ID为IDA的设备上一次发送过来的数据包的随机数是否等于随机数RA,如果等于则此包无效,流程失败,否则存储此次随机数RA
B5:设备B生成随机数RB并存储,以备后续流程中对比使用;
B6:利用私钥SKB对随机数RA、随机数RB、IDB、证书SIGNB进行签名,得到证书SIGNINFOB
B7:使用认证协商过程保护密钥KOP加密随机数RA、随机数RB、IDB、证书SIGNB、证书SIGNINFOB、公钥PKB得到密文CTB,发送带密文CTB的认证应答包到设备A;
B8:SM3算法对公钥PKA、公钥PKB进行计算得到派生算法密钥KD,用于派生数据保护密钥KP及数据完整性密钥KI
B9:使用KD为密钥,以随机数RA、IDB为输入产生出数据保护密钥KP
B10:使用KD为密钥,以随机数RB、IDA为输入,产生出数据完整性密钥KI
(3)设备A对认证应答包进行处理,并向设备B发送数据交互包;
A4:设备A利用认证协商过程保护密钥KOP解密认证应答包中的密文CTB
A5:利用公钥PKB验证证书SIGNINFOB
A6:利用公钥PKM验证证书SIGNB
A7:对比从设备B返回报文中得到的随机数RA是否等于设备A自己产生的随机数RA,查看设备ID为IDB的设备上一次发送过来的数据包中随机数是否等于随机数RB,如果等于则此包无效,流程失败,否则存储此次随机数RB
A8:对公钥PKA、公钥PKB进行计算得到派生算法密钥KD,用于派生数据保护密钥KP及数据完整性密钥KI
A9:使用KD为密钥,以随机数RA、IDB为输入产生数据保护密钥KP
A10:使用KD为密钥,以随机数RB、IDA为输入,产生数据完整性密钥KI
A11:产生用于数据交互的随机数RA1并存储,以KP为密钥加密随机数RB、随机数RA1以及要发送的数据或命令生成密文CTA1
A12:用KI为密钥为密文CTA1生成密文MACA1
A13:发送密文CTA1、密文MACA1到设备B,开始数据交互;
(4)设备B处理设备A发送的数据交互包,并向设备A发送数据交互包
B11:设备B利用数据完整性密钥KI效验数据的完整性;
B12:利用数据保护密钥KP解密密文CTA1数据得到随机数RB、随机数RA1以要交互的数据和命令;
B13:验证从密文CTA1中解密得到的随机数RB是否与设备B产生的随机数RB一致,查看随机数RA1是否等于随机数RA,如果等于则此包无效,流程失败,否则存储此次随机数RA1
B14:根据业务需要处理数据或命令;
B15:产生用于数据交互的随机数RB1,以KP为密钥采用SM4-ECB算法加密随机数RA1、随机数RB1以及要发送的数据或命令生成密文CTB1
B16:用KI为密钥为密文CTB1生成密文MACB1
B17:发送密文CTB1及密文MACB1到设备A;
(5)设备A对数据交互包进行处理
A14:设备A利用数据完整性密钥KI效验数据的完整性;
A15:利用数据保护密钥KP解密密文CTB1数据得到随机数RA1、随机数RB1以及要交互的数据和命令;
A16:验证从密文CTA1中解密得到的随机数RA1是否与设备B产生的随机数RA1一致,查看随机数RB1是否等于随机数RB,如果等于则此包无效,流程失败,否则存储此次随机数RB1
A17:根据业务需要处理数据或命令。
2.如权利要求1所述的物联网设备间的安全认证和数据通信系统,其特征在于,所述数据注入系统和可信物联网设备均具有随机数产生模块、加解密模块以及物理上的安全存储区域。
3.如权利要求2所述的物联网设备间的安全认证和数据通信系统,其特征在于,所述可信物联网设备由安全芯片、引用处理器和通讯模块组成。
4.如权利要求3所述的物联网设备间的安全认证和数据通信系统,其特征在于,所述数据注入系统通过读卡器和可信物联网设备连接。
5.如权利要求4所述的物联网设备间的安全认证和数据通信系统,其特征在于,所述数据注入系统给可信物联网设备的下发数据的过程为:
数据注入系统生成设备X的IDX,其中,设备X为任意一个可信物联网设备;
数据注入系统生成设备X的公钥PKX、私钥SKX
采用数据注入系统的私钥SKM给IDX、公钥PKX进行签名生成证书SIGNX
计算设备X的IDX、公钥PKX、私钥SKX、数据注入系统的公钥PKM的哈希值HASHX,用以保证数据的完整性;
数据注入系统发送IDX、公钥PKX、私钥SKX、证书SIGNX、公钥PKM、哈希值HASHX给设备X。
6.如权利要求5所述的物联网设备间的安全认证和数据通信系统,其特征在于,可信物联网设备响应注入数据的响应过程:
设备X对哈希值HASHX进行校验,成功后写入IDX、公钥PKX、私钥SKX、证书SIGNX、公钥PKM到设备X的安全存储区域中;
根据效验结果返回信息给数据注入系统。
7.如权利要求6所述的物联网设备间的安全认证和数据通信系统,其特征在于,所述可信物联网设备之间通过通讯模块互相连接。
CN201811530900.1A 2018-12-14 2018-12-14 一种物联网设备间的安全认证和数据通信系统 Active CN109379387B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811530900.1A CN109379387B (zh) 2018-12-14 2018-12-14 一种物联网设备间的安全认证和数据通信系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811530900.1A CN109379387B (zh) 2018-12-14 2018-12-14 一种物联网设备间的安全认证和数据通信系统

Publications (2)

Publication Number Publication Date
CN109379387A CN109379387A (zh) 2019-02-22
CN109379387B true CN109379387B (zh) 2020-12-22

Family

ID=65373982

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811530900.1A Active CN109379387B (zh) 2018-12-14 2018-12-14 一种物联网设备间的安全认证和数据通信系统

Country Status (1)

Country Link
CN (1) CN109379387B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109379397B (zh) 2018-08-31 2019-12-06 阿里巴巴集团控股有限公司 基于区块链的交易共识处理方法及装置、电子设备
CN110233795A (zh) * 2019-07-09 2019-09-13 佳源科技有限公司 一种加密的边缘物联网关
CN110874296B (zh) * 2019-11-12 2023-05-16 成都三零嘉微电子有限公司 一种安全芯片或密码卡程序下载、测试和密钥注入的系统
CN111047849B (zh) * 2019-12-30 2021-05-18 江苏大周基业智能科技有限公司 一种联网遥控密码模块及安全遥控系统
CN111541551B (zh) * 2020-05-22 2023-04-18 杭州时戳信息科技有限公司 门限签名消息的处理方法、系统、存储介质及服务器
CN112769765B (zh) * 2020-12-23 2023-07-25 上海商米科技集团股份有限公司 一种基于数字证书的IoT设备互操作指令权限管理方法
CN114070649A (zh) * 2021-12-15 2022-02-18 武汉天喻信息产业股份有限公司 一种设备间的安全通信方法及系统
CN115102710A (zh) * 2022-05-06 2022-09-23 广州运通数达科技有限公司 数字人民币消费场景的物联网设备安全接入方法及设备
CN116962079B (zh) * 2023-09-19 2023-12-15 浙江大华技术股份有限公司 物联网认证方法、设备、物联网认证系统和存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102801722A (zh) * 2012-08-09 2012-11-28 福建物联天下信息科技有限公司 物联网认证方法及系统
CN106059869A (zh) * 2016-07-26 2016-10-26 北京握奇智能科技有限公司 一种物联网智能家居设备安全控制方法及系统
CN106533861A (zh) * 2016-11-18 2017-03-22 郑州信大捷安信息技术股份有限公司 一种智能家居物联网安全控制系统及认证方法
CN107370597A (zh) * 2017-07-11 2017-11-21 深圳市雪球科技有限公司 基于物联网的安全认证方法以及安全认证系统
CN107666420A (zh) * 2017-08-30 2018-02-06 宁波梦居智能科技有限公司 一种智能家居网关生产控制和身份鉴别的方法
CN108366063A (zh) * 2018-02-11 2018-08-03 广东美的厨房电器制造有限公司 智能设备的数据通信方法、装置及其设备
US10110595B2 (en) * 2015-03-16 2018-10-23 Convida Wireless, Llc End-to-end authentication at the service layer using public keying mechanisms

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102801722A (zh) * 2012-08-09 2012-11-28 福建物联天下信息科技有限公司 物联网认证方法及系统
US10110595B2 (en) * 2015-03-16 2018-10-23 Convida Wireless, Llc End-to-end authentication at the service layer using public keying mechanisms
CN106059869A (zh) * 2016-07-26 2016-10-26 北京握奇智能科技有限公司 一种物联网智能家居设备安全控制方法及系统
CN106533861A (zh) * 2016-11-18 2017-03-22 郑州信大捷安信息技术股份有限公司 一种智能家居物联网安全控制系统及认证方法
CN107370597A (zh) * 2017-07-11 2017-11-21 深圳市雪球科技有限公司 基于物联网的安全认证方法以及安全认证系统
CN107666420A (zh) * 2017-08-30 2018-02-06 宁波梦居智能科技有限公司 一种智能家居网关生产控制和身份鉴别的方法
CN108366063A (zh) * 2018-02-11 2018-08-03 广东美的厨房电器制造有限公司 智能设备的数据通信方法、装置及其设备

Also Published As

Publication number Publication date
CN109379387A (zh) 2019-02-22

Similar Documents

Publication Publication Date Title
CN109379387B (zh) 一种物联网设备间的安全认证和数据通信系统
US20240007308A1 (en) Confidential authentication and provisioning
US9467430B2 (en) Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware
CN109361668A (zh) 一种数据可信传输方法
CN103138939B (zh) 云存储模式下基于可信平台模块的密钥使用次数管理方法
US20160269393A1 (en) Protecting passwords and biometrics against back-end security breaches
US11874935B2 (en) Protecting data from brute force attack
CN108881960B (zh) 基于标识密码的智能摄像头安全控制与数据保密的方法
CN108809633B (zh) 一种身份认证的方法、装置及系统
US9215070B2 (en) Method for the cryptographic protection of an application
CN108809936B (zh) 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统
CN110138548A (zh) 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统
EP4300338A1 (en) Computer file security encryption method, computer file security decryption method, and readable storage medium
TWI476629B (zh) Data security and security systems and methods
CN107911221B (zh) 固态盘数据安全存储的密钥管理方法
CN110098925B (zh) 基于非对称密钥池对和随机数的量子通信服务站密钥协商方法和系统
CN110233729A (zh) 一种基于puf的加密固态盘密钥管理方法
CN110493177A (zh) 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统
CN110176989A (zh) 基于非对称密钥池的量子通信服务站身份认证方法和系统
CN103944721A (zh) 一种基于web的保护终端数据安全的方法和装置
CN111817856B (zh) 基于零知识证明和密码技术的身份认证方法及认证系统
CN110138547A (zh) 基于非对称密钥池对和序列号的量子通信服务站密钥协商方法和系统
CN110535632A (zh) 基于非对称密钥池对和dh协议的量子通信服务站aka密钥协商方法和系统
CN110113152A (zh) 基于非对称密钥池对和数字签名的量子通信服务站密钥协商方法和系统
JP6165044B2 (ja) 利用者認証装置、システム、方法及びプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant