CN111614621A - 物联网通信方法和系统 - Google Patents
物联网通信方法和系统 Download PDFInfo
- Publication number
- CN111614621A CN111614621A CN202010310629.1A CN202010310629A CN111614621A CN 111614621 A CN111614621 A CN 111614621A CN 202010310629 A CN202010310629 A CN 202010310629A CN 111614621 A CN111614621 A CN 111614621A
- Authority
- CN
- China
- Prior art keywords
- internet
- server
- information
- things equipment
- negotiation information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种物联网通信方法和系统。方法包括:服务器验证物联网设备的身份信息,若验证通过则向所述物联网设备发送访问权限证书;所述物联网设备从所述访问权限证书中提取签名信息;所述物联网设备对所述签名信息进行运算,获得协商信息;所述服务器验证所述协商信息的合法性;若验证通过,所述服务器建立与所述物联网设备之间的虚拟专用网络通道;所述物联网设备通过所述虚拟专用网络通道,将经过所述协商信息加密后的通信数据发送至所述服务器。采用本方法能够提高物联网通信安全。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种物联网通信方法和系统。
背景技术
随着物联网技术的发展,物联网边缘设备和服务器之间的通信安全问题备受关注。现阶段,物联网中设备和服务器之间传输的数据大部分直接以明文形式传输,没有对数据做任何加密处理,容易被攻击和篡改,安全性低。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高通信安全性的物联网通信方法和系统。
一种物联网通信方法,所述方法包括:
服务器验证物联网设备的身份信息,若验证通过则向所述物联网设备发送访问权限证书;
所述物联网设备从所述访问权限证书中提取签名信息;
所述物联网设备对所述签名信息进行运算,获得协商信息;
所述服务器验证所述协商信息的合法性;
若验证通过,所述服务器建立与所述物联网设备之间的虚拟专用网络通道;
所述物联网设备通过所述虚拟专用网络通道,将经过所述协商信息加密后的通信数据发送至所述服务器。
在一个实施例中,所述服务器验证物联网设备的身份信息之前,所述方法还包括:
所述物联网设备生成会话密钥因子;
所述物联网设备向所述服务器发送所述会话密钥因子;
所述服务器根据协商算法对所述会话密钥因子进行运算,得到第一会话共享密钥;
所述物联网设备采用第二会话共享密钥对所述身份信息进行加密,并将加密的身份信息发送至所述服务器;所述第二会话共享密钥为所述物联网设备对所述会话密钥因子运算所得,且所述第二会话共享密钥与所述第一会话共享密钥相同。
在一个实施例中,所述服务器验证物联网设备的身份信息包括:
所述服务器利用所述第一会话共享密钥对所接收的身份信息进行解密,得到解密后的身份信息;
所述服务器对所述解密后的身份信息进行验证。
在一个实施例中,所述物联网设备对所述签名信息进行运算,获得协商信息之后,所述方法还包括:
所述物联网设备采用协商信息加密密钥对所述协商信息进行加密,得到加密后协商信息;所述协商信息加密密钥是从所述访问权限证书中提取所得;
所述物联网设备将所述加密后协商信息发送给所述服务器;
所述服务器验证所述协商信息的合法性包括:
所述服务器获取协商信息解密密钥;
所述服务器采用所述协商信息解密密钥对所述加密后协商信息进行解密,得到解密后协商信息;
所述服务器对所述解密后协商信息进行验证。
在一个实施例中,所述服务器对所述解密后协商信息进行验证包括:
所述服务器从本地存储的所述访问权限证书中提取签名信息;
所述服务器对所述签名信息进行运算,得到所述协商信息;
所述服务器将所述解密后协商信息和所述协商信息进行对比。
在一个实施例中,所述方法还包括:
所述物联网设备解密所述签名信息,得到所述访问权限证书的第一消息摘要;
所述物联网设备对所述访问权限证书进行运算得到第二消息摘要;
所述物联网设备对第一消息摘要和第二消息摘要进行比对;
若所述第一消息摘要和所述第二消息摘要一致时,所述物联网设备执行所述对所述签名信息进行运算的步骤。
在一个实施例中,所述虚拟专用网络通道用于传输采用IPsecVPN协议封装的通信数据;
所述服务器为VPN服务器;
所述加密后的通信数据是以所述协商信息为加密密钥采用国密加密算法加密所得。
一个物联网通信系统,所述系统包括:
服务器,用于验证物联网设备的身份信息,若验证通过则向物联网设备发送访问权限证书;
物联网设备,用于从访问权限证书中提取签名信息;
物联网设备,还用于对签名信息进行运算,获得协商信息;
服务器,还用于验证协商信息的合法性;
若验证通过,服务器还用于,建立与物联网设备之间的虚拟专用网络通道;
物联网设备,还用于通过虚拟专用网络通道,将经过协商信息加密后的通信数据发送至服务器。
在一个实施例中,所述系统还包括:
物联网设备,还用于生成会话密钥因子;
物联网设备,还用于向服务器发送会话密钥因子;
服务器,还用于根据协商算法对会话密钥因子进行运算,得到会话共享密钥;
物联网设备,还用于采用会话共享密钥对身份信息进行加密,并将加密的身份信息发送至服务器。
在一个实施例中,所述系统还包括:
服务器,还用于利用会话共享密钥对所接收的身份信息进行解密,得到解密后的身份信息;
服务器,还用于对解密后的身份信息进行验证。
在一个实施例中,所述系统还包括:
物联网设备,还用于采用协商信息加密密钥对协商信息进行加密,得到加密后协商信息;加密密钥是从访问权限证书中提取所得;
物联网设备,还用于将加密后协商信息发送给服务器;
服务器,还用于获取协商信息解密密钥;
服务器,还用于采用协商信息解密密钥对加密后协商信息进行解密,得到解密后协商信息;
服务器,还用于对解密后协商信息进行验证。
在一个实施例中,所述系统还包括:
服务器,还用于从本地存储的访问权限证书中提取签名信息;
服务器,还用于对签名信息进行运算,得到所述协商信息;
服务器,还用于将解密后协商信息和所述协商信息进行对比。
在一个实施例中,所述系统还包括:
物联网设备,还用于解密签名信息,得到访问权限证书的第一消息摘要;
物联网设备,还用于对访问权限证书进行运算得到第二消息摘要;
物联网设备,还用于对第一消息摘要和第二消息摘要进行比对;
若第一消息摘要和第二消息摘要一致时,物联网设备,还用于执行对签名信息进行运算的步骤。
在一个实施例中,所述系统还包括:
虚拟专用网络通道用于传输采用IPsecVPN协议封装的通信数据;
服务器为VPN服务器;
加密后的通信数据是以协商信息为加密密钥采用国密加密算法加密所得。
上述物联网通信的方法、装置、计算机设备和存储介质。服务器在建立和物联网设备的通信通道之前,对物联网设备的身份信息进行验证,只有具有系统分配的身份信息的物联网设备才能和服务器建立通信通道,能够有效防止非法的设备对服务器进行攻击并获取服务器的数据,提高了通信的安全性。
协商信息是物联网设备对通信数据进行加密的密钥,所以在物联网设备用协商信息加密通信数据并发送给服务器之前对协商信息的合法性进行验证,提高了通信的安全性。由于协商信息是对访问权限证书中的签名信息进行协商运算得来的,并且物联网设备首先利用从访问权限证书中提取的密钥加密协商信息,然后发送给服务器进行验证。所以,如果服务器能够用和加密密钥对应的解密密钥解密协商信息密文,那么说明从访问权限证书中提取的密钥是正确的,也就是说访问权限证书没有被篡改,内容正确完整。服务器用和加密密钥对应的解密密钥解密协商信息密文得到解密后协商信息。将解密后协商信息和对签名信息进行协商运算得到的协商信息进行比对。如果二者是一致的,那么说明访问权限证书中的签名信息是正确的,也就是说访问权限证书是其合法签发者签发的。如果访问权限证书内容完整,来源合法,那么从访问权限证书中得到的协商信息是合法的。用合法的协商信息对通信数据进行加密,可以有效防止数据泄露,保证了通信安全。
附图说明
图1为一个实施例中物联网通信方法的应用环境图;
图2为一个实施例中物联网通信方法的流程示意图;
图3为一个实施例中物联网通信方法的流程示意图;
图4为一个实施例中物联网设备调用Ukey接口流程示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的物联网通信方法,可以应用于如图1所示的应用环境中。其中,物联网设备102通过网络与服务器104进行通信。其中,物联网设备102可以但不限于是各种信息传感设备、射频识别设备、全球定位设备、红外感应器、激光扫描器等,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种物联网通信方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
S202,服务器验证物联网设备的身份信息,若验证通过则向所述物联网设备发送访问权限证书。
其中,物联网设备的身份信息是物联网设备的身份识别码。物联网系统中,每个物联网设备都对应一个唯一的身份识别码。服务器中存储有物联网中所有设备的身份识别码。
在一个实施例中,在服务器和物联网设备建立连接之前,物联网设备向服务器发送其身份识别码。服务器验证该识别码是否是系统中分配的合法的身份识别码。如果是合法的身份识别码,则同意和该物联网设备建立连接,并向其发送访问权限证书。
其中,访问权限证书是一种数字证书,采用非对称密码体制。是经证书授权中心签发的包含用户身份信息、公钥以及证书授权中心的数字签名的文件。数字证书只在特定的时间段内有效。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,从而确保传输信息的机密性、完整性和不可抵赖性。
在一个实施例中,访问权限证书采用国家密码局发布的SM2密码算法。该算法是一种基于椭圆曲线的非对称密码算法,包含数字签名、密钥交换和公钥加密。SM2数字签名具有安全性高、存储空间小、运算复杂度低的优点。具体地,写这个步骤怎么实现的。要涵盖上位后的过程。
其中,国密算法是国家密码管理局发布的一系列的国产密码算法,包括SM1、SM2、SM3、SM4等,其中SM1为分组密码算法,SM3为密码杂凑算法,SM4为分组密码算法。采用国密算法,可以降低由弱密码和错误实现带来的安全风险和部署PKI/CA带来的开销,有助于实现国家网络安全的自主可控。
在一个实施例中,在服务器验证物联网设备的身份信息之前,物联网设备生成会话密钥因子;物联网设备向服务器发送会话密钥因子;服务器根据协商算法对会话密钥因子进行运算,得到第一会话共享密钥;物联网设备采用第二会话共享密钥对身份信息进行加密,并将加密的身份信息发送至服务器;第二会话共享密钥为物联网设备对会话密钥因子运算所得,且第二会话共享密钥与第一会话共享密钥相同。
物联网设备在将身份信息发送给服务器之前,为防止身份信息被泄露和盗用,对身份信息进行加密处理。
其中,会话密钥因子是一个数字序列,通过对其进行运算,得到加密通信数据的密钥。在一个实施例中,会话密钥因子是真随机数发生器产生的真随机数。真随机数具有分布均匀、无周期性、不可预测、不可重复的特点。
其中,协商算法是物联网设备和服务器分别对会话密钥因子进行运算,在不泄露密钥的情况下得到一个相同的密钥的算法。
在一个实施例中,协商算法是一种位运算算法。在计算机内存中,程序中的所有数都是以二进制的形式储存的。位运算就是直接对数在内存中的二进制位进行操作。位运算包括与运算、或运算、异或运算、左移运算、右移运算等。
在一个实施例中,采用对称的加密算法。物联网设备对身份信息进行加密的密钥和服务器对身份信息进行解密的密钥相同。物联网设备产生会话密钥因子之后,将其发送给服务器。物联网设备对会话密钥因子进行协商运算产生对身份信息进行加密的密钥,即第二会话共享密钥。服务器收到会话密钥因子之后进行与物联网设备相同的位运算产生对应的解密密钥,即第一会话共享密钥。由于对相同的会话密钥因子进行了相同的协商运算,所以第一会话共享密钥和第二会话共享密钥是相同的。
在一个实施例中,服务器验证物联网设备的身份信息包括:服务器利用第一会话共享密钥对所接收的身份信息进行解密,得到解密后的身份信息;服务器对解密后的身份信息进行验证。
服务器收到物联网设备发送的加密的身份信息之后,利用第一会话共享密钥解密身份信息。服务器将解密的身份信息和其数据库中存储的物联网设备的身份信息进行比对。如果能够检索到相同的身份信息,那么接收到的物联网设备的身份信息是系统分配的合法的身份信息。由此可证明,该发送身份信息的物联网设备是合法的设备。
在一个实施例中,物联网设备使用国密SM4加密算法,利用第二会话共享密钥加密物联网设备身份信息,并将加密后的身份信息发送给服务器。相应的,服务器使用国密SM4解密算法,利用第二会话共享密钥解密设备身份信息。
S204,物联网设备从访问权限证书中提取签名信息。
其中,签名信息是附加在访问权限证书中的一些数据,是对访问权限证书进行运算得到的。签名信息与访问权限证书一起发送,并且与访问权限证书有一定的逻辑关联。签名信息的接收者通过签名信息可以确认访问权限证书的来源和完整性。
在一个实施例中,签名信息是用访问权限证书的签发者的私钥对消息摘要进行计算得到的比特串。其中,消息摘要是对访问权限证书进行计算得来的。并且,计算过程具有两个特点:1、通过访问权限证书计算得到消息摘要的过程不可逆,即不能通过消息摘要计算出访问权限证书的内容;2、如果访问权限证书有改动,则计算出的消息摘要一定不会和改动前的消息摘要一致。由此,互联网设备通过对签名信息进行计算可以认证访问权限证书是否被冒充和篡改。
S206,物联网设备对签名信息进行运算,获得协商信息。
物联网设备从接收到的访问权限证书中提取出签名信息之后,对签名信息进行运算,得到协商信息。物联网设备将协商信息作为加密算法的密钥,用协商信息加密通信数据后再向服务器发送。
在一个实施例中,物联网设备对签名信息进行运算之前,物联网设备解密签名信息,得到访问权限证书的第一消息摘要;物联网设备对访问权限证书进行运算得到第二消息摘要;物联网设备对第一消息摘要和第二消息摘要进行比对;若第一消息摘要和第二消息摘要一致,则物联网设备执行对签名信息进行运算的步骤。
物联网设备通过对访问权限证书中的签名信息进行运算得到协商信息,用协商信息作为加密通信数据的密钥。所以如果服务器向物联网设备发送的访问权限证书被冒充或者篡改,那么访问权限证书中的签名信息和公钥都是不正确的,那么用协商信息对通信数据进行加密就会有数据泄露的风险。所以在对签名信息进行运算之前对访问权限证书进行认证,可以增强物联网通信的安全性。
物联网设备存储有访问权限证书的签发者的公钥,用该公钥可以解密访问权限证书中的签名信息得到第一消息摘要。因为,访问权限证书的签发者的公钥和私钥是相对应的,用私钥加密的信息只能用其对应的公钥进行解密,所以如果物联网设备能够用其存储的访问权限证书的签发者的公钥顺利解密签名信息,则证明该签名信息是正确的,该访问权限证书没有被冒充。
由于签名信息是访问权限证书的签发者用其私钥加密运算后的访问权限证书得到的,所以物联网设备对接收到的访问权限证书进行同样的运算可以得到第二消息摘要。如果第一消息摘要和第二消息摘要相同,则证明物联网设备收到的访问权限证书和服务器发送的访问权限证书是一致的,访问权限证书没有被篡改。
在一个实施例中,对访问权限证书进行运算得到第一消息摘要和第二消息摘要的运算方法是Hash消息摘要运算方法。
S208,服务器验证协商信息的合法性;
物联网设备用协商信息作为加密通信数据的密钥,所以协商信息是否合法对物联网通信安全至关重要。物联网设备在用协商信息作为密钥加密通信数据之前,将协商信息发送给服务器,由服务器验证协商信息的合法性。如果协商信息合法,那么物联网设备以该协商信息作为加密其发送的通信数据的密钥。对协商信息的合法性进行验证的过程增强了数据通信的安全性。
在一个实施例中,物联网设备对签名信息进行运算,获得协商信息之后,物联网设备采用协商信息加密密钥对协商信息进行加密,得到加密后协商信息;协商信息加密密钥是从访问权限证书中提取所得;物联网设备将加密后协商信息发送给服务器。
服务器发给物联网设备的访问权限证书中有和访问权限证书的使用者的私钥对应的公钥。物联网设备收到访问权限证书之后,可以从中提取出公钥。物联网设备用从访问权限证书中提取的公钥加密协商信息,并将加密后协商信息发送给服务器。
在一个实施例中,服务器验证协商信息的合法性包括:服务器获取协商信息解密密钥;服务器采用协商信息解密密钥对加密后协商信息进行解密,得到解密后协商信息;服务器对解密后协商信息进行验证。
服务器存储有访问权限证书的使用者的私钥,该私钥和加密协商信息的公钥相对应。在服务器收到加密后的协商信息之后,利用访问权限证书的使用者的私钥对加密后的协商信息进行解密。解密后验证协商信息的合法性。
在一个实施例中,服务器对解密后协商信息进行验证包括:服务器从本地存储的访问权限证书中提取签名信息;服务器对签名信息进行运算,得到所述协商信息;服务器将所述解密后协商信息和所述协商信息进行对比。如果解密后协商信息和运算后的签名信息相同,则协商信息是合法的,物联网设备用协商信息作为加密通信数据的密钥。
在一个实施例中,物联网设备使用国密SM2加密算法,通过协商信息加密密钥加密协商信息,并将加密后的协商信息发送给服务器。相应的,服务器使用国密SM2解密算法利用协商信息解密密钥解密协商信息。
S210,若验证通过,服务器建立与物联网设备之间的虚拟专用网络通道。
虚拟专用网络(VPN)是在公用网络上建立专用网络,进行加密通讯。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。物联网设备和服务器之间建立虚拟专用网络进行通信,是在内网中架设一台VPN服务器,物联网设备连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入内网。为了保证数据安全,VPN服务器和物联网设备之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,数据传输的安全性高。
在一个实施例中,虚拟专用网络通道用于传输采用IPsecVPN协议封装的通信数据。
S212,物联网设备通过虚拟专用网络通道,将经过协商信息加密后的通信数据发送至所述服务器。
在建立虚拟专用网络通道之后,物联网设备将加密后的通信数据通过虚拟专用网络通道传输到服务器端。
在一个实施例中,物联网设备使用国密SM4加密算法,以协商信息作为密钥加密通信数据,并将加密后的通信数据发送给服务器。相应的,服务器使用国密SM4解密算法以协商信息作为解密密钥解密通信数据。
在一个实施例中,如图3所示,提供了一种物联网通信方法,包括以下步骤:
S302,服务器获取加密的会话密钥因子。物联网设备产生会话密钥因子之后,对会话密钥因子进行加密并发送给服务器。
S304,服务器解密会话密钥因子密文获取会话密钥因子。
S306,服务器经过协商运算得到会话共享密钥。
S308,服务器获取物联网设备身份信息密文,并解密验证。
S310,如果身份信息不能通过验证则退出程序。
如果身份信息能够通过验证,则执行S312,物联网设备获取访问权限证书,提取公钥并验证。
通过执行S314,判断公钥是否通过验证。如果验证通过则执行S316,物联网设备加密协商信息发送至服务。
S318,服务器解密协商信息。
S320,验证协商信息是否合法。
如果协商信息合法,则执行S322,服务器建立与物联网设备之间的虚拟专用网络通道。
S324,用协商信息加密通信数据发送至服务器。
上述步骤的具体实现方法如上文所述。
上述实施例中,服务器在建立和物联网设备的通信通道之前,对物联网设备的身份信息进行验证,只有具有系统分配的身份信息的物联网设备才能和服务器建立通信通道,能够有效防止非法的设备对服务器进行攻击,并且获取服务器的数据,提高了通信的安全性。
在服务器建立通信通道之前,还需要对协商信息进行验证。物联网设备利用从访问权限证书中提取的公钥加密协商信息发送给服务器,服务器用私钥对协商信息密文进行解密验证。由于协商信息是访问权限证书中的签名信息经过协商运算得来的,并且物联网设备利用访问权限证书中的公钥加密协商信息发送给服务器进行验证。所以,如果服务器能够用访问权限证书中的公钥对应的私钥解密协商信息密文,那么说明访问权限证书中的公钥是正确的,也就是说访问权限证书没有被篡改。如果服务器用私钥解密后协商信息和服务器对存储的签名信息进行协商运算得到的协商信息是一致的,那么说明访问权限证书中签名信息是正确的,也就是说访问权限证书是其合法签发者签发的。所以,通过对协商信息的验证,证明了访问权限证书的来源的正确性和内容的完整性。如果访问权限证书被恶意攻击和篡改,那么会造成严重的后果,产生无法估量的损失。所以增加对协商信息进行验证的步骤,证明了通信通道没有被攻击,物联网设备收到的访问权限证书是正确的,能够有效防止访问权限证书被冒充和篡改,数据通信的安全性高。
在物联网设备将身份信息发送给服务器进行验证时,对身份信息进行加密处理后发送,能够有效防止身份信息被窃取,确保身份验证中信息安全。
密码作为网络安全的核心技术,在保障信息安全方面起着极大的作用。我国S M系列国产商用密码算法,安全性能优于国际RSA算法体系,本申请中使用国密算法对数据进行加密和解密,提高了通信数据的安全性。
在一个实施例中,UKey作为物联网设备的组成部分,物联网设备通过USB2.0接口接入UKey。Ukey又被称为UsbKey,是一种硬件设备,内置单片机或者智能卡芯片,通过USB接口与外部通信。用户的私钥及安全证书等个人信息可存储在UKey的内部存储空间中。UKey内部存储的密钥信息,只能通过厂商提供的API接口访问,且密钥只能在UKey内部使用,不能从外部读取,所有加解密的运算都在UKey内部进行,保证了加密的数据不被篡改。
在一个实施例中,物联网设备调用Ukey接口完成登录验证并且和服务器建立连接的过程。UKey主要采用国密芯片作为数据安全模块的CPU,同时集成了支持SM2、SM3、SM4密码算法的硬件密码算法引擎,真随机数产生器等数据安全模块。UKey内置了SM4、SM2加解密接口,SM2验签接口,SM3摘要生成接口,协商运算接口,真随机数产生接口,外部数据发送接口等。物联网设备调用Ukey接口的流程如图4所示:
S402,物联网设备调用真随机数产生接口,产生真随机数作为会话密钥因子。
S404,调用协商运算接口,对会话密钥因子进行协商运算产生第二会话共享密钥。
S406,调用SM4加密接口,用第二会话共享密钥对身份信息进行加密。
S408,调用外部数据发送接口,向服务器发送加密后的身份信息。若身份信息通过服务器的验证,则在收到访问权限证书之后执行S410。
S410,调用SM4解密接口,解密访问权限证书密文并从中获取签名信息。获取签名信息之后执行S412。
S412,调用SM2验签接口,对签名信息进行验证。如果签名信息不能验证通过,则执行S414退出的步骤。如果签名信息验证通过,则执行S416。
S416,调用协商运算接口对签名信息进行协商运算产生协商信息。产生协商信息之后执行S418。
S418,调用SM2加密接口,对协商信息进行加密运算,然后执行S420。
S420,调用外部数据发送接口将协商信息发送给服务器进行验证,如果验证通过则服务器与物联网设备建立通信通道。
物联网设备通过外接Ukey设备,调用Ukey的算法接口实现各种密码算法,不需要编译加密库及加密算法,降低了开发难度,缩短了开发周期。各种运算都在Ukey内部进行,安全可靠,并且硬件加密算法也更加快速高效。
应该理解的是,虽然图2-3流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-3中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
如图所示,在一个实施例中,提供了一种物联网通信系统,该物联网通信系统包括:服务器和物联网设备;其中:
服务器,用于验证物联网设备的身份信息,若验证通过则向物联网设备发送访问权限证书;
物联网设备,用于从访问权限证书中提取签名信息;
所述物联网设备,还用于对签名信息进行运算,获得协商信息;
所述服务器,还用于验证协商信息的合法性;
若验证通过,服务器还用于,建立与物联网设备之间的虚拟专用网络通道;
所述物联网设备,还用于通过虚拟专用网络通道,将经过协商信息加密后的通信数据发送至服务器。
在一个实施例中,所述系统还包括:
所述物联网设备,还用于生成会话密钥因子;
所述物联网设备,还用于向服务器发送会话密钥因子;
所述服务器,还用于根据协商算法对会话密钥因子进行运算,得到会话共享密钥;
所述物联网设备,还用于采用会话共享密钥对身份信息进行加密,并将加密的身份信息发送至服务器。
在一个实施例中,所述系统还包括:
所述服务器,还用于利用会话共享密钥对所接收的身份信息进行解密,得到解密后的身份信息;
所述服务器,还用于对解密后的身份信息进行验证。
在一个实施例中,所述系统还包括:
所述物联网设备,还用于采用协商信息加密密钥对协商信息进行加密,得到加密后协商信息;加密密钥是从访问权限证书中提取所得;
所述物联网设备,还用于将加密后协商信息发送给服务器;
所述服务器,还用于获取协商信息解密密钥;
所述服务器,还用于采用协商信息解密密钥对加密后协商信息进行解密,得到解密后协商信息;
所述服务器,还用于对解密后协商信息进行验证。
在一个实施例中,所述系统还包括:
所述服务器,还用于从本地存储的访问权限证书中提取签名信息;
所述服务器,还用于对签名信息进行运算,得到所述协商信息;
所述服务器,还用于将解密后协商信息和所述协商信息进行对比。
在一个实施例中,所述系统还包括:
所述物联网设备,还用于解密签名信息,得到访问权限证书的第一消息摘要;
所述物联网设备,还用于对访问权限证书进行运算得到第二消息摘要;
所述物联网设备,还用于对第一消息摘要和第二消息摘要进行比对;
若第一消息摘要和第二消息摘要一致时,所述物联网设备,还用于执行对签名信息进行运算的步骤。
在一个实施例中,所述系统还包括:虚拟专用网络通道用于传输采用IPsecVPN协议封装的通信数据;服务器为VPN服务器;加密后的通信数据是以协商信息为加密密钥采用国密加密算法加密所得。
关于物联网通信系统的具体限定可以参见上文中对于物联网通信方法的限定,在此不再赘述。上述物联网通信系统可全部或部分通过软件、硬件及其组合来实现。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种物联网通信方法,其特征在于,所述方法包括:
服务器验证物联网设备的身份信息,若验证通过则向所述物联网设备发送访问权限证书;
所述物联网设备从所述访问权限证书中提取签名信息;
所述物联网设备对所述签名信息进行运算,获得协商信息;
所述服务器验证所述协商信息的合法性;
若验证通过,所述服务器建立与所述物联网设备之间的虚拟专用网络通道;
所述物联网设备通过所述虚拟专用网络通道,将经过所述协商信息加密后的通信数据发送至所述服务器。
2.根据权利要求1所述的方法,其特征在于,所述服务器验证物联网设备的身份信息之前,所述方法还包括:
所述物联网设备生成会话密钥因子;
所述物联网设备向所述服务器发送所述会话密钥因子;
所述服务器根据协商算法对所述会话密钥因子进行运算,得到第一会话共享密钥;
所述物联网设备采用第二会话共享密钥对所述身份信息进行加密,并将加密的身份信息发送至所述服务器;所述第二会话共享密钥为所述物联网设备对所述会话密钥因子运算所得,且所述第二会话共享密钥与所述第一会话共享密钥相同。
3.根据权利要求2所述的方法,其特征在于,所述服务器验证物联网设备的身份信息包括:
所述服务器利用所述第一会话共享密钥对所接收的身份信息进行解密,得到解密后的身份信息;
所述服务器对所述解密后的身份信息进行验证。
4.根据权利要求1所述的方法,其特征在于,所述物联网设备对所述签名信息进行运算,获得协商信息之后,所述方法还包括:
所述物联网设备采用协商信息加密密钥对所述协商信息进行加密,得到加密后协商信息;所述协商信息加密密钥是从所述访问权限证书中提取所得;
所述物联网设备将所述加密后协商信息发送给所述服务器;
所述服务器验证所述协商信息的合法性包括:
所述服务器获取协商信息解密密钥;
所述服务器采用所述协商信息解密密钥对所述加密后协商信息进行解密,得到解密后协商信息;
所述服务器对所述解密后协商信息进行验证。
5.根据权利要求4所述的方法,其特征在于,所述服务器对所述解密后协商信息进行验证包括:
所述服务器从本地存储的所述访问权限证书中提取签名信息;
所述服务器对所述签名信息进行运算,得到所述协商信息;
所述服务器将所述解密后协商信息和所述协商信息进行对比。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述物联网设备解密所述签名信息,得到所述访问权限证书的第一消息摘要;
所述物联网设备对所述访问权限证书进行运算得到第二消息摘要;
所述物联网设备对第一消息摘要和第二消息摘要进行比对;
若所述第一消息摘要和所述第二消息摘要一致时,所述物联网设备执行所述对所述签名信息进行运算的步骤。
7.根据权利要求1至6中任意一项所述的方法,其特征在于,
所述虚拟专用网络通道用于传输采用IPsecVPN协议封装的通信数据;
所述服务器为VPN服务器;
所述加密后的通信数据是以所述协商信息为加密密钥采用国密加密算法加密所得。
8.一种物联网通信系统,其特征在于,所述系统包括:
服务器,用于验证物联网设备的身份信息,若验证通过则向所述物联网设备发送访问权限证书;
物联网设备,用于从所述访问权限证书中提取签名信息;
所述物联网设备,还用于对所述签名信息进行运算,获得协商信息;
所述服务器,还用于验证所述协商信息的合法性;
若验证通过,所述服务器还用于,建立与所述物联网设备之间的虚拟专用网络通道;
所述物联网设备还用于通过所述虚拟专用网络通道,将经过所述协商信息加密后的通信数据发送至所述服务器。
9.根据权利要求8所述的系统,其特征在于,所述系统还包括:
所述物联网设备,还用于采用协商信息加密密钥对所述协商信息进行加密,得到加密后协商信息;所述加密密钥是从所述访问权限证书中提取所得;
所述物联网设备,还用于将所述加密后协商信息发送给所述服务器;
所述服务器,还用于获取协商信息解密密钥;
所述服务器,还用于采用所述协商信息解密密钥对所述加密后协商信息进行解密,得到解密后协商信息;
所述服务器,还用于对所述解密后协商信息进行验证。
10.根据权利要求8所述的系统,其特征在于,所述系统还包括:
所述物联网设备,还用于解密所述签名信息,得到所述访问权限证书的第一消息摘要;
所述物联网设备,还用于对所述访问权限证书进行运算得到第二消息摘要;
所述物联网设备,还用于对第一消息摘要和第二消息摘要进行比对;
若所述第一消息摘要和所述第二消息摘要一致时,所述物联网设备,还用于执行所述对所述签名信息进行运算的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010310629.1A CN111614621B (zh) | 2020-04-20 | 2020-04-20 | 物联网通信方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010310629.1A CN111614621B (zh) | 2020-04-20 | 2020-04-20 | 物联网通信方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111614621A true CN111614621A (zh) | 2020-09-01 |
| CN111614621B CN111614621B (zh) | 2022-09-06 |
Family
ID=72197905
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010310629.1A Active CN111614621B (zh) | 2020-04-20 | 2020-04-20 | 物联网通信方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111614621B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112363800A (zh) * | 2020-11-10 | 2021-02-12 | 海光信息技术股份有限公司 | 一种网卡的内存访问方法、安全处理器、网卡及电子设备 |
| CN113259096A (zh) * | 2021-04-27 | 2021-08-13 | 江南信安(北京)科技有限公司 | 一种适于物联网通信环境的密钥在线协商方法及系统 |
| CN113472526A (zh) * | 2021-06-25 | 2021-10-01 | 北京中电华大电子设计有限责任公司 | 基于安全芯片的物联网设备线路保护方法 |
| CN115457687A (zh) * | 2022-09-15 | 2022-12-09 | 深圳奇迹智慧网络有限公司 | 智能杆的安全配置方法及系统 |
| CN116192383A (zh) * | 2023-02-22 | 2023-05-30 | 深圳市怡丰云智科技股份有限公司 | 基于erp加密的物联网监控方法、装置、设备及存储介质 |
| WO2023230983A1 (zh) * | 2022-06-02 | 2023-12-07 | Oppo广东移动通信有限公司 | 建立互操作通道的方法、装置、芯片和存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102984045A (zh) * | 2012-12-05 | 2013-03-20 | 网神信息技术(北京)股份有限公司 | 虚拟专用网的接入方法及虚拟专用网客户端 |
| WO2014175721A1 (en) * | 2013-04-25 | 2014-10-30 | Mimos Berhad | A system and method for privacy management for internet of things services |
| CN107302535A (zh) * | 2017-06-28 | 2017-10-27 | 深圳市欧乐在线技术发展有限公司 | 一种接入鉴权方法及装置 |
| CN108322486A (zh) * | 2018-05-07 | 2018-07-24 | 安徽大学 | 一种车联网云环境下面向多服务器架构的认证协议 |
| CN108683498A (zh) * | 2018-05-14 | 2018-10-19 | 国网江西省电力有限公司电力科学研究院 | 一种基于可变密钥国密算法的云终端管控方法 |
| CN109462476A (zh) * | 2018-11-23 | 2019-03-12 | 成都卫士通信息产业股份有限公司 | 密钥协商方法、装置、终端及计算机可读存储介质 |
| US10410021B1 (en) * | 2017-12-08 | 2019-09-10 | Square, Inc. | Transaction object reader with digital signal input/output and internal audio-based communication |
-
2020
- 2020-04-20 CN CN202010310629.1A patent/CN111614621B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102984045A (zh) * | 2012-12-05 | 2013-03-20 | 网神信息技术(北京)股份有限公司 | 虚拟专用网的接入方法及虚拟专用网客户端 |
| WO2014175721A1 (en) * | 2013-04-25 | 2014-10-30 | Mimos Berhad | A system and method for privacy management for internet of things services |
| CN107302535A (zh) * | 2017-06-28 | 2017-10-27 | 深圳市欧乐在线技术发展有限公司 | 一种接入鉴权方法及装置 |
| US10410021B1 (en) * | 2017-12-08 | 2019-09-10 | Square, Inc. | Transaction object reader with digital signal input/output and internal audio-based communication |
| CN108322486A (zh) * | 2018-05-07 | 2018-07-24 | 安徽大学 | 一种车联网云环境下面向多服务器架构的认证协议 |
| CN108683498A (zh) * | 2018-05-14 | 2018-10-19 | 国网江西省电力有限公司电力科学研究院 | 一种基于可变密钥国密算法的云终端管控方法 |
| CN109462476A (zh) * | 2018-11-23 | 2019-03-12 | 成都卫士通信息产业股份有限公司 | 密钥协商方法、装置、终端及计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 赵森等: "多云环境下基于智能卡的认证方案", 《通信学报》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112363800A (zh) * | 2020-11-10 | 2021-02-12 | 海光信息技术股份有限公司 | 一种网卡的内存访问方法、安全处理器、网卡及电子设备 |
| CN112363800B (zh) * | 2020-11-10 | 2023-03-07 | 海光信息技术股份有限公司 | 一种网卡的内存访问方法、安全处理器、网卡及电子设备 |
| CN113259096A (zh) * | 2021-04-27 | 2021-08-13 | 江南信安(北京)科技有限公司 | 一种适于物联网通信环境的密钥在线协商方法及系统 |
| CN113259096B (zh) * | 2021-04-27 | 2021-11-12 | 江南信安(北京)科技有限公司 | 一种适于物联网通信环境的密钥在线协商方法及系统 |
| CN113472526A (zh) * | 2021-06-25 | 2021-10-01 | 北京中电华大电子设计有限责任公司 | 基于安全芯片的物联网设备线路保护方法 |
| CN113472526B (zh) * | 2021-06-25 | 2023-06-30 | 北京中电华大电子设计有限责任公司 | 基于安全芯片的物联网设备线路保护方法 |
| WO2023230983A1 (zh) * | 2022-06-02 | 2023-12-07 | Oppo广东移动通信有限公司 | 建立互操作通道的方法、装置、芯片和存储介质 |
| CN115457687A (zh) * | 2022-09-15 | 2022-12-09 | 深圳奇迹智慧网络有限公司 | 智能杆的安全配置方法及系统 |
| CN115457687B (zh) * | 2022-09-15 | 2024-05-03 | 深圳奇迹智慧网络有限公司 | 智能杆的安全配置方法及系统 |
| CN116192383A (zh) * | 2023-02-22 | 2023-05-30 | 深圳市怡丰云智科技股份有限公司 | 基于erp加密的物联网监控方法、装置、设备及存储介质 |
| CN116192383B (zh) * | 2023-02-22 | 2023-10-31 | 深圳市怡丰云智科技股份有限公司 | 基于erp加密的物联网监控方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111614621B (zh) | 2022-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323276B2 (en) | Mutual authentication of confidential communication | |
| CN111614621B (zh) | 物联网通信方法和系统 | |
| US10015159B2 (en) | Terminal authentication system, server device, and terminal authentication method | |
| CN101828357B (zh) | 用于证书提供的方法和装置 | |
| CN110401615B (zh) | 一种身份认证方法、装置、设备、系统及可读存储介质 | |
| JP7232816B2 (ja) | 資産を認証する認証システム及び認証方法 | |
| CN111147225A (zh) | 基于双密值和混沌加密的可信测控网络认证方法 | |
| JP6548172B2 (ja) | 端末認証システム、サーバ装置、及び端末認証方法 | |
| CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
| CN112165386B (zh) | 一种基于ecdsa的数据加密方法及系统 | |
| CN110383755B (zh) | 网络设备和可信第三方设备 | |
| CN110493177B (zh) | 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统 | |
| CN113726733B (zh) | 一种基于可信执行环境的加密智能合约隐私保护方法 | |
| CN113190860B (zh) | 一种基于环签名的区块链传感器数据认证方法及系统 | |
| WO2023151427A1 (zh) | 量子密钥传输方法、装置及系统 | |
| CN116633530A (zh) | 量子密钥传输方法、装置及系统 | |
| CN113591109B (zh) | 可信执行环境与云端通信的方法及系统 | |
| US20240106633A1 (en) | Account opening methods, systems, and apparatuses | |
| CN111245611B (zh) | 基于秘密共享和可穿戴设备的抗量子计算身份认证方法及系统 | |
| CN111836260B (zh) | 一种认证信息处理方法、终端和网络设备 | |
| CN115987500A (zh) | 基于工业设备数据采集的数据安全传输方法及系统 | |
| Yoon et al. | Security enhancement scheme for mobile device using H/W cryptographic module | |
| CN108242997B (zh) | 安全通信的方法与设备 | |
| US7415110B1 (en) | Method and apparatus for the generation of cryptographic keys | |
| KR20200043855A (ko) | Dim을 이용한 드론 인증 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |