CN111193730A - 一种IoT可信场景构建方法及装置 - Google Patents
一种IoT可信场景构建方法及装置 Download PDFInfo
- Publication number
- CN111193730A CN111193730A CN201911360585.7A CN201911360585A CN111193730A CN 111193730 A CN111193730 A CN 111193730A CN 201911360585 A CN201911360585 A CN 201911360585A CN 111193730 A CN111193730 A CN 111193730A
- Authority
- CN
- China
- Prior art keywords
- iot
- package
- trusted
- program package
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种IoT可信场景构建方法及装置,方法包括:接收IoT设备发送的IoT数据包;IoT数据包具有代表该IoT数据包的公钥加密后的MAC地址;对公钥加密后的MAC地址进行私钥解密校验,若校验成功,则确定IoT数据包为可信数据包;根据目标程序包哈希值和获取的预设程序包哈希值是否相等,判断是否运行所述目标程序包;若相等,确定目标程序包是可信程序包,并运行目标程序包,得到结果数据包;将结果数据包加密上传至外部受信源。通过私钥解密校验,保证了IoT设备搜集数据的可信性,拒绝掉了不明来源的IoT设备数据;通过确定目标程序包哈希值和预设程序包哈希值相等,保证了网关级别的程序不可篡改。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种IoT可信场景构建方法及装置。
背景技术
随着物联网的发展,越来越多的行业依赖于IoT(Internet of Things,物联网)设备所产生的数据。各行业的代工厂如OEM(Original Equipment Manufacture,原始设备制造商),ODM(Original Design Manufacture,原始设计制造商)均大规模使用IoT设备搜集产线数据,并通过这些产线数据反映产品的优劣程度。在这样的代工模式下,生产率能够大大提升,委托方也能够通过产线数据了解产品的各方面指标。
与此同时,由可信计算组推动和开发的TEE(Trusted Execution Environment,可信执行环境)的发展也是突飞猛进。此外,可信计算在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。
然而,目前传统的IoT设备运用在生产链上,拥有一个致命的问题,就是IoT设备搜集的数据以及网关层进行的计算,无法保证可信,从而造成了多层级的造假行为,例如,IoT设备连入不受信处理机导致源头数据不可信,网关层运行不受信测试脚本从而导致数据处理结果不可信等。
发明内容
由于现有方法存在上述问题,本发明实施例提出一种IoT可信场景构建方法及装置。
第一方面,本发明实施例提出一种IoT可信场景构建方法,包括:
接收IoT设备发送的IoT数据包;其中,所述IoT数据包具有代表该IoT数据包的公钥加密后的MAC地址;
对所述公钥加密后的MAC地址进行私钥解密校验,并当私钥解密校验成功时,确定所述IoT数据包为可信数据包;
根据目标程序包哈希值和获取的预设程序包哈希值,判断是否运行所述目标程序包;
当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包,并运行所述目标程序包,得到结果数据包;其中,所述可信数据包是运行所述目标程序包的输入数据;
将所述结果数据包加密上传至外部受信源。
可选地,所述接收IoT设备发送的IoT数据包之前,所述IoT可信场景构建方法,还包括:
接收所述IoT设备发送的入网数据包;其中,所述入网数据包具有代表该入网数据包的MAC地址;
针对所述MAC地址,生成公钥和私钥,并将所述公钥发送至所述IoT设备,以使用所述公钥对所述MAC地址进行加密。
可选地,所述接收所述IoT设备发送的入网数据包,包括:
以硬件直连的方式接收所述IoT设备发送的入网数据包。
可选地,所述根据目标程序包哈希值和获取的预设程序包哈希值,判断是否运行所述目标程序包之前,所述IoT可信场景构建方法,还包括:
获取所述预设程序包哈希值;
计算所述目标程序包哈希值。
可选地,当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包,并运行所述目标程序包,得到结果数据包,包括:
当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包;
运行所述目标程序包,并对运行所述目标程序包过程进行监控,得到所述结果数据包。
可选地,所述对运行所述目标程序包过程进行监控,包括:
监控进程ID、程序堆栈、内存运行状态、所述目标程序包设置的各个检测点中的至少一项。
可选地,所述将所述结果数据包加密上传至外部受信源,包括:
对所述结果数据包进行环境签名,得到环境签名后的结果数据包;
将所述环境签名后的结果数据包加密上传至所述外部受信源。
第二方面,本发明实施例还提出一种IoT可信场景构建装置,包括:IoT数据包接收模块、解密校验模块、判断模块、确定模块和加密上传模块;
所述IoT数据包接收模块,用于接收IoT设备发送的IoT数据包;其中,所述IoT数据包具有代表该IoT数据包的公钥加密后的MAC地址;
所述解密校验模块,用于对所述公钥加密后的MAC地址进行私钥解密校验,并当私钥解密校验成功时,确定所述IoT数据包为可信数据包;
所述判断模块,用于根据目标程序包哈希值和获取的预设程序包哈希值,判断是否运行所述目标程序包;
所述确定模块,用于当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定目标程序包是可信程序包,并运行所述目标程序包,得到结果数据包;其中,所述可信数据包是运行所述目标程序包的输入数据;
所述加密上传模块,用于将所述结果数据包加密上传至外部受信源。
可选地,所述IoT数据包接收模块,用于接收IoT设备发送的IoT数据包之前,所述IoT可信场景构建装置,还包括:入网数据包接收模块和公钥私钥生成模块;
所述入网数据包接收模块,用于接收所述IoT设备发送的入网数据包;其中,所述入网数据包具有代表该入网数据包的MAC地址;
所述公钥私钥生成模块,用于针对所述MAC地址,生成公钥和私钥,并将所述公钥发送至所述IoT设备,以使用所述公钥对所述MAC地址进行加密。
可选地,所述接收所述IoT设备发送的入网数据包,包括:
以硬件直连的方式接收所述IoT设备发送的入网数据包。
可选地,所述判断模块,用于根据目标程序包哈希值和获取的预设程序包哈希值,判断是否运行所述目标程序包之前,所述IoT可信场景构建装置,还包括:哈希值获取模块和哈希值计算模块;
所述哈希值获取模块,用于获取所述预设程序包哈希值;
所述哈希值计算模块,用于计算所述目标程序包哈希值。
可选地,所述确定模块,具体用于:
当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包;
运行所述目标程序包,并对运行所述目标程序包过程进行监控,得到所述结果数据包。
可选地,所述对运行所述目标程序包过程进行监控,包括:
监控进程ID、程序堆栈、内存运行状态、所述目标程序包设置的各个检测点中的至少一项。
可选地,所述加密上传模块,用于对所述结果数据包进行环境签名,得到环境签名后的结果数据包;将所述环境签名后的结果数据包加密上传至所述外部受信源。
第三方面,本发明实施例还提出一种电子设备,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述方法。
第四方面,本发明实施例还提出一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述方法。
由上述技术方案可知,本发明实施例通过对所述公钥加密后的MAC地址进行私钥解密校验,保证了所述IoT设备搜集数据的可信性,拒绝掉了不明来源的IoT设备数据,解决了IoT设备传输数据过程中数据被劫持篡改的问题;通过比较所述目标程序包哈希值和所述预设程序包哈希值是否相等,能够保证网关级别的程序不可篡改,为网关打造可信的计算环境。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1为本发明一实施例提供的一种IoT可信场景构建方法的流程示意图;
图2为本发明一实施例提供的MAC地址私钥解密校验示意图;
图3为本发明一实施例提供的判断目标程序包是否是可信数据包以及当目标程序包是可信数据包时运行目标程序包的示意图;
图4为本发明一实施例提供的结果数据包加密上传至外部受信源的示意图;
图5为本发明一实施例提供的一种IoT可信场景构建装置的结构示意图;
图6为本发明一实施例提供的电子设备的逻辑框图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
无计算能力的IoT设备必须将搜集的产线数据传输到有计算能力的分布式网关或传输到有计算能力的其他计算设备进行计算。但与之带来的问题就是在IoT数据传输过程中会收到“劫持”进行数据的更改,所以如果不保证IoT设备直连,就无法从“根”解决受信的问题。因此本发明提出了一种IoT可信场景构建方法。以下是对一种IoT可信场景构建方法的介绍。
图1示出了本实施例提供的一种IoT可信场景构建方法的流程示意图,包括:
S11,接收IoT设备发送的IoT数据包;其中,所述IoT数据包具有代表该IoT数据包的公钥加密后的MAC地址。
其中,所述IoT设备是没有计算能力的设备。
所述IoT数据包是搜集的产线数据。
所述IoT设备在网关层入网,且通过硬件接入的方式与受信网关直连。
所述IoT设备将所述IoT数据包发送至所述受信网关,其中,所述IoT数据包具有代表该IoT数据包的公钥加密后的MAC地址。所述受信网关接收所述IoT设备发送的所述IoT数据包。
S12,对所述公钥加密后的MAC地址进行私钥解密校验,并当私钥解密校验成功时,确定所述IoT数据包为可信数据包。
其中,在本发明实施例中,公钥加密后的MAC地址和私钥是一对键值对,并且所述受信网关对所述键值对进行记录。
所述受信网关接收所述IoT设备发送的所述IoT数据包后,会先利用私钥对公钥加密后的MAC地址进行私钥解密校验。并且当私钥解密校验成功时,确定所述IoT数据包为可信数据包。
S13,根据目标程序包哈希值和获取的预设程序包哈希值,判断是否运行所述目标程序包。
其中,所述目标程序包哈希值是所述受信网关通过计算得到的。
所述预设程序包哈希值是从外部受信源(区块链/可信数据中心)获取的。
所述受信网关根据所述目标程序包哈希值和所述获取的预设程序包哈希值,判断是否运行所述目标程序包。
需要说明的是,目标程序包和预设程序包是受信网关层运行的数据处理程序包。
S14,当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包,并运行所述目标程序包,得到结果数据包;其中,所述可信数据包是运行所述目标程序包的输入数据。
其中,在本发明实施例中,所述受信网关通过比较所述目标程序包哈希值和所述预设程序包哈希值是否相等,来判断所述目标程序包是否是所述可信程序包。
具体而言,当所述目标程序包哈希值和所述预设程序包哈希值相等时,所述受信网关确定所述目标程序包是所述可信程序包,并运行所述目标程序包,得到结果数据包;其中,所述可信数据包是运行所述目标程序包的输入数据。
需要说明的是,当所述目标程序包哈希值和所述预设程序包哈希值不相等时,所述受信网关确定所述目标程序包不是所述可信程序包,并且不运行所述目标程序包。
S15,将所述结果数据包加密上传至外部受信源。
其中,在本发明实施例中,所述受信网关将所述结果数据包加密上传至所述外部受信源。
本发明实施例通过对所述公钥加密后的MAC地址进行私钥解密校验,保证了所述IoT设备搜集数据的可信性,拒绝掉了不明来源的IoT设备数据,解决了IoT设备传输数据过程中数据被劫持篡改的问题;通过比较所述目标程序包哈希值和所述预设程序包哈希值是否相等,能够保证网关级别的程序不可篡改,为网关打造可信的计算环境。
进一步地,在上述方法实施例的基础上,所述接收IoT设备发送的IoT数据包之前,所述IoT可信场景构建方法,还包括:
接收所述IoT设备发送的入网数据包;其中,所述入网数据包具有代表该入网数据包的MAC地址;
针对所述MAC地址,生成公钥和私钥,并将所述公钥发送至所述IoT设备,以使用所述公钥对所述MAC地址进行加密。
在本发明实施例中,如图2所示,所述IoT设备向所述受信网关中的受信APP发送入网数据包,以发起MAC地址注册,其中,所述入网数据包具有代表该入网数据包的MAC地址。所述受信APP(如图2所示)接收所述IoT设备发送的所述入网数据包。
在本发明实施例中,针对所述MAC地址,如图2所示的Enclave环境生成公钥和私钥,并保存MAC地址和私钥键值对。通过受信APP将所述公钥发送至所述IoT设备。所述IoT设备存储所述公钥,完成MAC地址注册;其中,所述公钥用于对所述MAC地址进行加密。所述IoT设备在向所述受信APP发送IoT数据包的同时,会将公钥加密后的MAC地址一起发送至所述受信APP。
本发明实施例通过对MAC地址进行公钥加密,保证了所述IoT设备搜集数据的可信性。
进一步地,在上述方法实施例的基础上,所述接收所述IoT设备发送的入网数据包,包括:
以硬件直连的方式接收所述IoT设备发送的入网数据包。
在本发明实施例中,所述IoT设备通过硬件直连的方式,向所述受信APP发送所述入网数据包,以发起MAC地址注册。所述受信APP以硬件直连的方式接收所述IoT设备发送的所述入网数据包。
本发明实施例IoT设备通过硬件接入的方式,向所述受信网关注册MAC地址,避免了MAC地址的不可泄露。
进一步地,在上述方法实施例的基础上,所述根据目标程序包哈希值和获取的预设程序包哈希值,确定是否运行所述目标程序包之前,所述IoT可信场景构建方法,还包括:
获取所述预设程序包哈希值;
计算所述目标程序包哈希值。
在本发明实施例中,如图3所示,在根据所述目标程序包哈希值和所述获取的预设程序包哈希值,确定是否运行所述目标程序包之前,所述受信APP需要根据用户指令从外部受信源获取所述预设程序包哈希值,并由所述Enclave环境记录所述预设程序包哈希值;此外,所述受信APP可以根据用户指令向图3中的不可信环境发出询问指令。所述不可信环境根据接收到的所述询问指令,向所述受信APP提供所述目标程序包。需要说明的是,所述目标程序包与预设程序包相关,例如,若预设程序包是微信程序包,则所述不可信环境提供的所述目标程序包也是微信程序包。所述授信APP接收到所述目标程序包后,将所述目标程序包发送至所述Enclave环境。所述Enclave环境计算所述目标程序包哈希值。
本发明实施例基于TEE(Trusted Execution Environment,可信执行环境)中的Enclave环境计算得到所述目标程序包哈希值,以用于后续和所述获取的预设程序包哈希值进行比对。
进一步地,在上述方法实施例的基础上,当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包,并运行所述目标程序包,得到结果数据包,包括:
当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包;
运行所述目标程序包,并对运行所述目标程序包过程进行监控,得到所述结果数据包
在本发明实施例中,当所述目标程序包哈希值和所述预设程序包哈希值相等时,所述目标程序包是可信程序包;运行所述目标程序包,并对运行所述目标程序包过程进行监控,得到所述结果数据包。具体而言,当所述目标程序包哈希值和所述预设程序包哈希值相等时,所述Enclave环境调用目标程序包指令,并将所述目标程序包指令发送至所述受信APP。所述受信APP启动所述目标程序包,并将启动所述目标程序包指令发送至所述不可信环境。所述不可信环境接收到所述目标程序包指令后,运行所述目标程序包,得到所述结果数据包。需要说明的是,所述受信APP实时监控所述不可信环境运行所述目标程序包的过程,以保证所述目标程序包运行过程中不被篡改。
在此需要说明的是,所述目标程序包可以直接在所述Enclave环境中运行。由于所述Enclave环境中运行的所有程序包都是硬件级别可信的,因此,不需要依赖任何外部验证。
本发明实施例通过判断所述目标程序包哈希值和所述预设程序包哈希值是否相等,从而判断所述目标程序包是否被篡改。当所述目标程序包没有被篡改时,对运行所述目标程序包过程进行监控。
进一步地,在上述方法实施例的基础上,所述对运行所述目标程序包过程进行监控,包括:
监控进程ID、程序堆栈、内存运行状态、所述目标程序包设置的各个检测点中的至少一项。
在本发明实施例中,对运行所述目标程序包过程进行监控,至少包括监控以下至少一项:进程ID、程序堆栈、内存运行状态、所述目标程序包设置的各个检测点。对于每个检测点,都需要通过所述受信APP发送到所述Enclave环境进行硬件级别的校验,一旦校验失败,则所述目标程序包被判定为恶意程序包(即不可信程序包),从而导致程序运行失败。
本发明实施例通过对运行所述目标程序包过程进行监控,以保证处于运行状态的目标程序包不被篡改。
进一步地,在上述方法实施例的基础上,所述将所述结果数据包加密上传至外部受信源,包括:
对所述结果数据包进行环境签名,得到环境签名后的结果数据包;
将所述环境签名后的结果数据包加密上传至所述外部受信源。
在本发明实施例中,如图4所示,所述不可信环境将所述结果数据包发送至所述受信APP。所述受信APP将所述结果数据包发送至所述Enclave环境。所述Enclave环境利用自己生产的环境私钥对所述结果数据包进行环境签名,得到环境签名后的结果数据包。然后,所述Enclave环境将所述环境签名后的结果数据包加密上传至所述外部受信源。
本发明实施例通过对所述结果数据包进行环境签名,并将所述环境签名后的结果数据包加密上传至所述外部受信源,保证了所述结果数据包传输过程中的安全性。
需要说明的是,在具体实施本发明时,所述IoT设备在网关层入网,与网关直连,并且通过硬件接入的方式,向受信网关注册MAC地址。接下来,如图2所示,所述IoT设备向受信网关中的受信APP发送入网数据包,其中,所述入网数据包具有代表该入网数据包的MAC地址。所述受信APP接收所述入网数据包,并获取代表该入网数据包的MAC地址且将所述MAC地址发送至Enclave环境。所述Enclave环境针对所述MAC地址生成公钥和私钥,并将MAC地址和私钥键值对保存。所述Enclave环境将所述公钥发送至所述授信APP。所述授信APP将所述公钥发送至所述IoT设备。所述IoT设备存储所述公钥。所述IoT设备使用所述公钥对所述MAC地址进行加密,并将公钥加密后的MAC地址和IoT数据包一起发送至所述受信APP。所述受信APP将所述公钥加密后的MAC地址发送至所述Enclave环境。所述Enclave环境使用私钥对所述公钥加密后的MAC地址进行私钥解密校验。若私钥解密校验成功,则向所述受信APP发送私钥解密校验成功指令,确定所述IoT数据包是可信数据包。若私钥解密校验不成功,则向所述受信APP发送私钥解密校验失败指令,确定所述IoT数据包是不可信数据包。其中,确定出所述IoT数据包是可信数据包的情况下,将所述IoT数据包作为图3所示的运行目标程序包的输入数据。
具体地,在具体实施本发明时,如图3所示,所述授信APP接收到用户指令后,从外部受信源获取预设程序包哈希值,并将所述预设程序包哈希值发送至所述Enclave环境。所述Enclave环境记录所述预设程序包哈希值。此外,所述询问目标程序包在接收到用户指令后,会向不可信环境发送询问指令。所述不可信环境根据接收的询问指令,提供目标程序包,并将所述目标程序包发送至所述受信APP。所述受信APP将接收的所述目标程序包发送至所述Enclave环境。所述Enclave环境计算所述目标程序包哈希值,并将所述目标程序包哈希值和所述预设程序包哈希值比对。在所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包。所述Enclave环境调用目标程序包指令,并将其发送至所述受信APP。所述受信APP启动所述目标程序包,并监控所述不可信环境运行目标程序包的状态。其中,所述不可信环境运行所述目标程序包的输出是结果数据包。
具体地,在具体实施本发明时,如图4所示,所述不可信环境将所述结果数据包发送至所述受信APP。所述受信APP将所述结果数据包发送至所述Enclave环境。所述Enclave环境使用自己生成的环境私钥对所述结果数据包进行环境签名,并将环境签名后的结果数据包发送至所述受信APP。所述受信APP将所述环境签名后的结果数据包加密上传至外部受信源。
图5示出了本实施例提供的一种IoT可信场景构建装置的结构示意图,所述装置包括:IoT数据包接收模块51、解密校验模块52、判断模块53、确定模块54和加密上传模块55;
所述IoT数据包接收模块51,用于接收IoT设备发送的IoT数据包;其中,所述IoT数据包具有代表该IoT数据包的公钥加密后的MAC地址;
所述解密校验模块52,用于对所述公钥加密后的MAC地址进行私钥解密校验,并当私钥解密校验成功时,确定所述IoT数据包为可信数据包;
所述判断模块53,用于根据目标程序包哈希值和获取的预设程序包哈希值,判断是否运行所述目标程序包;
所述确定模块54,用于当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定目标程序包是可信程序包,并运行所述目标程序包,得到结果数据包;其中,所述可信数据包是运行所述目标程序包的输入数据;
所述加密上传模块55,用于将所述结果数据包加密上传至外部受信源。
进一步地,在上述装置实施例的基础上,所述IoT数据包接收模块51,用于接收IoT设备发送的IoT数据包之前,所述IoT可信场景构建装置,还包括:入网数据包接收模块和公钥私钥生成模块;
所述入网数据包接收模块,用于接收所述IoT设备发送的入网数据包;其中,所述入网数据包具有代表该入网数据包的MAC地址;
所述公钥私钥生成模块,用于针对所述MAC地址,生成公钥和私钥,并将所述公钥发送至所述IoT设备,以使用所述公钥对所述MAC地址进行加密。
进一步地,在上述装置实施例的基础上,所述接收所述IoT设备发送的入网数据包,包括:
以硬件直连的方式接收所述IoT设备发送的入网数据包。
进一步地,在上述装置实施例的基础上,所述判断模块53,用于根据目标程序包哈希值和获取的预设程序包哈希值,判断是否运行所述目标程序包之前,所述IoT可信场景构建装置,还包括:哈希值获取模块和哈希值计算模块;
所述哈希值获取模块,用于获取所述预设程序包哈希值;
所述哈希值计算模块,用于计算所述目标程序包哈希值。
进一步地,在上述装置实施例的基础上,所述确定模块54,具体用于:
当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包;
运行所述目标程序包,并对运行所述目标程序包过程进行监控,得到所述结果数据包。
进一步地,在上述装置实施例的基础上,所述对运行所述目标程序包过程进行监控,包括:
监控进程ID、程序堆栈、内存运行状态、所述目标程序包设置的各个检测点中的至少一项。
进一步地,在上述装置实施例的基础上,所述加密上传模块55,用于对所述结果数据包进行环境签名,得到环境签名后的结果数据包;将所述环境签名后的结果数据包加密上传至所述外部受信源。
图6为本发明一实施例提供的电子设备的逻辑框图;所述电子设备,包括:处理器(processor)61、存储器(memory)62和总线63;
其中,所述处理器61和存储器62通过所述总线63完成相互间的通信;所述处理器61用于调用所述存储器62中的程序指令,以执行上述方法实施例所提供的IoT可信场景构建方法,例如包括:接收IoT设备发送的IoT数据包;其中,所述IoT数据包具有代表该IoT数据包的公钥加密后的MAC地址;对所述公钥加密后的MAC地址进行私钥解密校验,并当私钥解密校验成功时,确定所述IoT数据包为可信数据包;根据目标程序包哈希值和获取的预设程序包哈希值,判断是否运行所述目标程序包;当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包,并运行所述目标程序包,得到结果数据包;其中,所述可信数据包是运行所述目标程序包的输入数据;将所述结果数据包加密上传至外部受信源。
本发明一实施例还提出一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机程序,该计算机程序被处理器执行时实现了执行上述各实施例提供的IoT可信场景构建方法,例如包括:接收IoT设备发送的IoT数据包;其中,所述IoT数据包具有代表该IoT数据包的公钥加密后的MAC地址;对所述公钥加密后的MAC地址进行私钥解密校验,并当私钥解密校验成功时,确定所述IoT数据包为可信数据包;根据目标程序包哈希值和获取的预设程序包哈希值,判断是否运行所述目标程序包;当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包,并运行所述目标程序包,得到结果数据包;其中,所述可信数据包是运行所述目标程序包的输入数据;将所述结果数据包加密上传至外部受信源。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种IoT可信场景构建方法,其特征在于,包括:
接收IoT设备发送的IoT数据包;其中,所述IoT数据包具有代表该IoT数据包的公钥加密后的MAC地址;
对所述公钥加密后的MAC地址进行私钥解密校验,并当私钥解密校验成功时,确定所述IoT数据包为可信数据包;
根据目标程序包哈希值和获取的预设程序包哈希值,判断是否运行所述目标程序包;
当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包,并运行所述目标程序包,得到结果数据包;其中,所述可信数据包是运行所述目标程序包的输入数据;
将所述结果数据包加密上传至外部受信源。
2.根据权利要求1所述的IoT可信场景构建方法,其特征在于,所述接收IoT设备发送的IoT数据包之前,所述IoT可信场景构建方法,还包括:
接收所述IoT设备发送的入网数据包;其中,所述入网数据包具有代表该入网数据包的MAC地址;
针对所述MAC地址,生成公钥和私钥,并将所述公钥发送至所述IoT设备,以使用所述公钥对所述MAC地址进行加密。
3.根据权利要求2所述的IoT可信场景构建方法,其特征在于,所述接收所述IoT设备发送的入网数据包,包括:
以硬件直连的方式接收所述IoT设备发送的入网数据包。
4.根据权利要求1所述的IoT可信场景构建方法,其特征在于,所述根据目标程序包哈希值和获取的预设程序包哈希值,判断是否运行所述目标程序包之前,所述IoT可信场景构建方法,还包括:
获取所述预设程序包哈希值;
计算所述目标程序包哈希值。
5.根据权利要求1所述的IoT可信场景构建方法,其特征在于,当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包,并运行所述目标程序包,得到结果数据包,包括:
当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定所述目标程序包是可信程序包;
运行所述目标程序包,并对运行所述目标程序包过程进行监控,得到所述结果数据包。
6.根据权利要求5所述的IoT可信场景构建方法,其特征在于,所述对运行所述目标程序包过程进行监控,包括:
监控进程ID、程序堆栈、内存运行状态、所述目标程序包设置的各个检测点中的至少一项。
7.根据权利要求5所述的IoT可信场景构建方法,其特征在于,所述将所述结果数据包加密上传至外部受信源,包括:
对所述结果数据包进行环境签名,得到环境签名后的结果数据包;
将所述环境签名后的结果数据包加密上传至所述外部受信源。
8.一种IoT可信场景构建装置,其特征在于,包括:IoT数据包接收模块、解密校验模块、判断模块、确定模块和加密上传模块;
所述IoT数据包接收模块,用于接收IoT设备发送的IoT数据包;其中,所述IoT数据包具有代表该IoT数据包的公钥加密后的MAC地址;
所述解密校验模块,用于对所述公钥加密后的MAC地址进行私钥解密校验,并当私钥解密校验成功时,确定所述IoT数据包为可信数据包;
所述判断模块,用于根据目标程序包哈希值和获取的预设程序包哈希值,判断是否运行所述目标程序包;
所述确定模块,用于当所述目标程序包哈希值和所述预设程序包哈希值相等时,确定目标程序包是可信程序包,并运行所述目标程序包,得到结果数据包;其中,所述可信数据包是运行所述目标程序包的输入数据;
所述加密上传模块,用于将所述结果数据包加密上传至外部受信源。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一所述的IoT可信场景构建方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一所述的IoT可信场景构建方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911360585.7A CN111193730B (zh) | 2019-12-25 | 2019-12-25 | 一种IoT可信场景构建方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911360585.7A CN111193730B (zh) | 2019-12-25 | 2019-12-25 | 一种IoT可信场景构建方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111193730A true CN111193730A (zh) | 2020-05-22 |
| CN111193730B CN111193730B (zh) | 2022-06-14 |
Family
ID=70709430
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911360585.7A Active CN111193730B (zh) | 2019-12-25 | 2019-12-25 | 一种IoT可信场景构建方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111193730B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112347456A (zh) * | 2020-10-28 | 2021-02-09 | 达闼机器人有限公司 | 程序验证方法和装置、平台和用户终端及在线服务系统 |
| CN112436940A (zh) * | 2021-01-27 | 2021-03-02 | 电子科技大学 | 一种基于零知识证明的物联网设备可信启动管理方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102694753A (zh) * | 2011-03-25 | 2012-09-26 | 国基电子(上海)有限公司 | 对数据进行加密传输的网关设备、系统及方法 |
| CN103067401A (zh) * | 2013-01-10 | 2013-04-24 | 天地融科技股份有限公司 | 密钥保护方法和系统 |
| CN103078742A (zh) * | 2013-01-10 | 2013-05-01 | 天地融科技股份有限公司 | 数字证书的生成方法和系统 |
| CN104168249A (zh) * | 2013-05-16 | 2014-11-26 | 中国电信股份有限公司 | 对数据进行签名的方法、装置和系统 |
| CN104580233A (zh) * | 2015-01-16 | 2015-04-29 | 重庆邮电大学 | 一种物联网智能家居安全网关系统 |
| CN105095696A (zh) * | 2015-06-25 | 2015-11-25 | 三星电子(中国)研发中心 | 对应用程序进行安全认证的方法、系统及设备 |
| US20180048624A1 (en) * | 2016-08-12 | 2018-02-15 | Esmart Tech, Inc. | Extensible, plug-n-play, private, secure network gateway |
| KR20180113288A (ko) * | 2017-04-06 | 2018-10-16 | 상명대학교산학협력단 | Iot 응용에 최적화된 인증 암호 장치 및 방법 |
| CN110008694A (zh) * | 2019-04-15 | 2019-07-12 | 苏州浪潮智能科技有限公司 | 一种应用程序安全控制方法、装置、设备及可读存储介质 |
| CN110083604A (zh) * | 2019-04-17 | 2019-08-02 | 上海沄界信息科技有限公司 | 一种数据确权方法及装置 |
| CN110310176A (zh) * | 2019-06-26 | 2019-10-08 | 上海迪维欧电子设备有限公司 | 一种基于区块链网络的数据加密方法及装置 |
-
2019
- 2019-12-25 CN CN201911360585.7A patent/CN111193730B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102694753A (zh) * | 2011-03-25 | 2012-09-26 | 国基电子(上海)有限公司 | 对数据进行加密传输的网关设备、系统及方法 |
| CN103067401A (zh) * | 2013-01-10 | 2013-04-24 | 天地融科技股份有限公司 | 密钥保护方法和系统 |
| CN103078742A (zh) * | 2013-01-10 | 2013-05-01 | 天地融科技股份有限公司 | 数字证书的生成方法和系统 |
| CN104168249A (zh) * | 2013-05-16 | 2014-11-26 | 中国电信股份有限公司 | 对数据进行签名的方法、装置和系统 |
| CN104580233A (zh) * | 2015-01-16 | 2015-04-29 | 重庆邮电大学 | 一种物联网智能家居安全网关系统 |
| CN105095696A (zh) * | 2015-06-25 | 2015-11-25 | 三星电子(中国)研发中心 | 对应用程序进行安全认证的方法、系统及设备 |
| US20180048624A1 (en) * | 2016-08-12 | 2018-02-15 | Esmart Tech, Inc. | Extensible, plug-n-play, private, secure network gateway |
| KR20180113288A (ko) * | 2017-04-06 | 2018-10-16 | 상명대학교산학협력단 | Iot 응용에 최적화된 인증 암호 장치 및 방법 |
| CN110008694A (zh) * | 2019-04-15 | 2019-07-12 | 苏州浪潮智能科技有限公司 | 一种应用程序安全控制方法、装置、设备及可读存储介质 |
| CN110083604A (zh) * | 2019-04-17 | 2019-08-02 | 上海沄界信息科技有限公司 | 一种数据确权方法及装置 |
| CN110310176A (zh) * | 2019-06-26 | 2019-10-08 | 上海迪维欧电子设备有限公司 | 一种基于区块链网络的数据加密方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| WEI LIU、ZHEHAO YAN、YUNHUA HE: ""The Wi-Fi Device Authentication Method Based on Information Hiding"", 《2018 15TH INTERNATIONAL SYMPOSIUM ON PERVASIVE SYSTEMS, ALGORITHMS AND NETWORKS (I-SPAN)》 * |
| 刘明达、拾以娟、陈左宁: ""基于区块链的分布式可信网络连接架构"", 《软件学报》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112347456A (zh) * | 2020-10-28 | 2021-02-09 | 达闼机器人有限公司 | 程序验证方法和装置、平台和用户终端及在线服务系统 |
| KR20220079800A (ko) * | 2020-10-28 | 2022-06-14 | 클라우드마인즈 로보틱스 컴퍼니 리미티드 | 프로그램 검증 방법 및 장치, 플랫폼 및 사용자 단말기 및 온라인 서비스 시스템 |
| CN112347456B (zh) * | 2020-10-28 | 2023-09-01 | 达闼机器人股份有限公司 | 程序验证方法和装置、平台和用户终端及在线服务系统 |
| KR102650220B1 (ko) * | 2020-10-28 | 2024-03-20 | 클라우드마인즈 로보틱스 컴퍼니 리미티드 | 프로그램 검증 방법 및 장치, 플랫폼 및 사용자 단말기 및 온라인 서비스 시스템 |
| CN112436940A (zh) * | 2021-01-27 | 2021-03-02 | 电子科技大学 | 一种基于零知识证明的物联网设备可信启动管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111193730B (zh) | 2022-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6811339B2 (ja) | 高可用な高信頼実行環境を使用したブロックチェーンネットワークのためのパブリックデータの読み出し | |
| US11258792B2 (en) | Method, device, system for authenticating an accessing terminal by server, server and computer readable storage medium | |
| US9003519B2 (en) | Verifying transactions using out-of-band devices | |
| US11432150B2 (en) | Method and apparatus for authenticating network access of terminal | |
| US8412952B1 (en) | Systems and methods for authenticating requests from a client running trialware through a proof of work protocol | |
| US10601590B1 (en) | Secure secrets in hardware security module for use by protected function in trusted execution environment | |
| EP3682364B1 (en) | Cryptographic services utilizing commodity hardware | |
| EP4231680A1 (en) | Identity authentication system, method and apparatus, device, and computer readable storage medium | |
| CN112784278A (zh) | 一种计算机系统的可信启动方法、装置及设备 | |
| CN113204772B (zh) | 数据处理方法、装置、系统、终端、服务器和存储介质 | |
| CN111193730B (zh) | 一种IoT可信场景构建方法及装置 | |
| CN112632573A (zh) | 智能合约执行方法、装置、系统、存储介质及电子设备 | |
| WO2020243245A1 (en) | Protection of online applications and webpages using a blockchain | |
| CN111917696A (zh) | 使用不可旁路的网关的基于tpm的安全多方计算系统 | |
| CN113378147A (zh) | 一种用户登录业务平台的方法 | |
| CN114172923B (zh) | 数据传输方法、通信系统及通信装置 | |
| CN115834149A (zh) | 一种基于国密算法的数控系统安全防护方法及装置 | |
| CN114978544A (zh) | 一种访问认证方法、装置、系统、电子设备及介质 | |
| CN114065170A (zh) | 平台身份证书的获取方法、装置和服务器 | |
| CN114626050A (zh) | 一种认证方法、装置、设备及介质 | |
| Khan et al. | A novel trusted hardware-based scalable security framework for IoT edge devices | |
| CN114117388A (zh) | 设备注册方法、设备注册装置、电子设备以及存储介质 | |
| CN111865568B (zh) | 面向数据传输的存证方法、传输方法及系统 | |
| CN114389790A (zh) | 一种安全多方计算方法及装置 | |
| CN112637160A (zh) | 登陆验证方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230829 Address after: 202150 building 3, No. 2111, Beiyan highway, Chongming District, Shanghai (Shanghai Chongming Forest Tourism Park) Patentee after: Shanghai Xinyun Information Technology Co.,Ltd. Address before: 200233 Room 305, building 41, No. 333, Qinjiang Road, Xuhui District, Shanghai Patentee before: SHANGHAI YUNJIE INFORMATION TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right |