CN111756531A - 一种基于CPK的LoRa终端的通信系统及方法 - Google Patents
一种基于CPK的LoRa终端的通信系统及方法 Download PDFInfo
- Publication number
- CN111756531A CN111756531A CN202010391237.2A CN202010391237A CN111756531A CN 111756531 A CN111756531 A CN 111756531A CN 202010391237 A CN202010391237 A CN 202010391237A CN 111756531 A CN111756531 A CN 111756531A
- Authority
- CN
- China
- Prior art keywords
- key
- cpk
- security module
- unit
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 60
- 238000000034 method Methods 0.000 title claims abstract description 27
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 title claims abstract 16
- 239000011159 matrix material Substances 0.000 claims abstract description 22
- 238000012795 verification Methods 0.000 claims description 20
- 238000004422 calculation algorithm Methods 0.000 claims description 14
- 238000005304 joining Methods 0.000 claims description 7
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 238000009795 derivation Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 4
- 230000008676 import Effects 0.000 claims description 4
- 230000002093 peripheral effect Effects 0.000 claims description 4
- 238000003860 storage Methods 0.000 claims description 4
- 230000003993 interaction Effects 0.000 claims description 3
- 238000004806 packaging method and process Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000013507 mapping Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 239000013078 crystal Substances 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种基于CPK的LoRa终端的通信系统。所述通信系统中的所述CPK安全模块用于为所述LoRa终端提供签名、验证签名和提供密钥;所述CPK密钥生产中心用于生成密钥矩阵;所述CPK密钥管理中心用于根据所述密钥矩阵和所述CPK安全模块生成密钥;所述CPK密钥管理中心还用于密钥的分发及撤销列表的管理;所述第一认证模块用于根据所述CPK安全模块的ID和所述CPK密钥管理中心进行认证;所述第二认证模块用于根据所述LoRa终端的ID和所述CPK安全模块进行认证。本发明所提供的一种基于CPK的LoRa终端的通信系统及方法,提高LoRa终端通信的安全性。
Description
技术领域
本发明涉及物联网与信息安全领域,特别是涉及一种基于组合公钥(CombinedPublic Key,CPK)的LoRa终端的通信系统及方法。
背景技术
这几年,全球物联网各种技术层出不穷,尤其是低功耗广域接入(LPWA)技术,发展得非常迅猛。以国内LPWA IoT市场为例,当前NB-IoT终端连接数已经超过3000万,且每年以千万级数量递增,覆盖行业包括智慧城市、环保、农业、医疗、物流等各行各业。
与此同时,远距离无线电(Long Range Radio,LoRa)作为比NB-IoT更早出现的技术,尽管其整体发展速度明显大幅滞后于NB-IoT,但也受到一些垂直行业市场的关注。而近日一些互联网企业选择推动LoRa技术发展,意图借LoRa技术开辟物联网(Internet ofThings,IoT)新路。
现在IoT终端接入的数量的大幅增加,整个IoT行业所面临的终端身份仿冒、数据篡改、非法升级、隐私泄露等安全威胁,也将日益凸显。在上亿数量级海量接入的情况下,企业采用未经网络安全技术领域和市场检验认可的非全球标准化的联盟内安全协议的LoRa技术,无法保障IoT大规模市场商用的安全。
现有的LoRa技术存在以下缺点:
(1)认证机制简单且未受权威认可。LoRa的终端与网络/服务器的认证机制为简单且未得到标准组织认可的协议,且认证采用的随机数DevNonce只有2字节,AppNonce只有3字节,认证请求MIC缩短为4字节,远低于业界普遍使用的随机数32字节。
(2)LoRa密钥管理弱,存风险
在密钥管理上,LoRa网络层和应用传输层都由相同的根密钥、随机数派生,两层密钥相互不隔离;同时加密/完整性保护密钥采用AES_128加密导出,安全等级和加密强度不足,业界也无此操作,也未经过业界安全组织验证,因此存在密钥泄露导致数据隐私泄露、数据被篡改等风险。
发明内容
本发明的目的是提供一种基于CPK的LoRa终端的通信系统及方法,提高LoRa终端通信的安全性。
为实现上述目的,本发明提供了如下方案:
一种基于CPK的LoRa终端的通信系统,包括:CPK安全模块、CPK密钥生产中心、CPK密钥管理中心、第一认证模块、第二认证模块和LoRa终端;
所述CPK安全模块用于为所述LoRa终端提供签名、验证签名和提供密钥;
所述CPK密钥生产中心用于生成密钥矩阵;
所述CPK密钥管理中心用于根据所述密钥矩阵和所述CPK安全模块生成密钥;所述CPK密钥管理中心还用于密钥的分发及撤销列表的管理;
所述第一认证模块用于根据所述CPK安全模块的ID和所述CPK密钥管理中心进行认证;
所述第二认证模块用于根据所述LoRa终端的ID和所述CPK安全模块进行认证。
可选的,所述CPK安全模块具体包括:
通讯管理单元,用于与外部设备进行通讯;所述外部设备包括FLASH和LED;
命令解析单元,用于验证接收的指令,并根据验证结果进行操作;
外设管理单元,用于对外部设备进行管理;
应用管理单元,用于对内部应用进行管理;所述对内部应用进行管理包括应用的创建、删除、打开、关闭和/或证书导入导出;
容器管理单元,用于对应用内的容器进行管理;所述对应用内的容器进行管理包括容器的创建、删除、打开、关闭和/或证书导入导出;
密钥管理单元,用于对容器内的密钥进行管理;所述对容器内的密钥进行管理包括SM2非对称管钥对的生成、导出、加密、解密、签名和验签以及会话密钥生成、销毁、导入、导出、加密和解密;
文件管理单元,用于对应用中的文件进行管理;所述对应用中的文件进行管理包括文件创建、删除和读写。
可选的,所述第一认证模块具体包括:
CPK安全模块ID获取单元,用于获取所述CPK安全模块ID;
CPK安全模块ID发送单元,用于将所述CPK安全模块ID发送至所述CPK密钥管理中心;
密钥获取单元,用于获取与所述CPK安全模块ID对应的密钥;所述密钥为所述CPK密钥管理中心根据所述CPK安全模块ID,基于派生算法生成;
密钥发送单元,用于将所述CPK安全模块ID对应的密钥发送至所述CPK安全模块;
密钥存储单元,用于将从所述CPK安全模块中获取的密钥进行存储。
可选的,所述LoRa终端具体包括:网关、网络服务器、MAC数据交互单元、应用层服务端、自定义服务器和进入服务器。
可选的,所述第二认证模块具体包括:
认证码生成单元,用于根据LoRa终端ID生成认证码;
认证码发送单元,用于将所述认证码发送至应用层服务端;
判断单元,用于判断所述认证码是否合法;
反馈值生成单元,用于根据判断结果生成反馈值;所述反馈值包括成功码或失败码;
验证成功单元,用于当所述反馈值为成功码时,确定注册成功,并生成Session,将所述Session写入Flash。
验证失败单元,用于当所述反馈值为失败码时,将失败状态写入日志。
可选的,还包括:
协议生成模块,用于生成所述LoRa终端与所述CPK安全模块相应的协议。
一种基于CPK的LoRa终端的通信方法,所述方法应用于所述的一种基于CPK的LoRa终端的通信系统,所述通信方法包括:
获取业务数据;所述业务数据包括JoinEUI参数、DevEUI参数和DevNonce参数;
对所述业务数据进行签名,得到签名数据;
根据所述业务数据确定加盟要求,并发送至进入服务器;
根据所述加盟要求和所述签名数据进行验证;
当验证通过时,根据所述述CPK安全模块生成数据通信所需的网络密钥和应用密钥。
可选的,所述当验证通过时,根据所述述CPK安全模块生成数据通信所需的网络密钥和应用密钥,具体包括:
当验证通过时,调用密钥管理单元中的CPK密钥信封接口产生随机数;
以所述随机数为密钥,根据Aes128算法,生成网络密钥和应用密钥。
可选的,所述验证通过时,根据所述述CPK安全模块生成数据通信所需的网络密钥和应用密钥,具体还包括:
将AppNonce、NetID、DevAddr、AppKeyEnvlop、网络密钥和应用密钥发送给网络服务器;
将所述网络密钥进行存储,并将所述AppNonce、NetID、DevAddr、AppKeyEnvlop、应用密钥进行封装,生成响应;
末端节点根据所述响应,调用AES128算法获取所述网络密钥和应用密钥。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明所提供的一种基于CPK的LoRa终端的通信系统及方法,在原有LoRa终端的基础上添加了CPK安全模块,基于CPK算法实现了各终端的认证和密钥协商,并实现了LoRa模块的较好的兼容性,在加强安全性的同时,尽量减少对LoRa应用流程的影响。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所提供的一种基于CPK的LoRa终端的通信系统结构示意图;
图2为本发明所提供的一种基于CPK的LoRa终端的通信系统的整体框图;
图3为第一认证模块流程示意图;
图4为第二认证模块流程示意图;
图5为本发明所提供的一种基于CPK的LoRa终端的通信方法流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于CPK的LoRa终端的通信系统及方法,提高LoRa终端通信的安全性。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
CPK算法简介:
(1)组合矩阵
组合矩阵分为私钥矩阵和公钥矩阵。矩阵大小均为一般为32x32,可以根据需要进行设计,但32x32大小的矩阵,足以满足一般企业或用户的需要。私钥矩阵由互不相同的小于n的随机数构成,由CPK密钥生产中心生成。矩阵中的元素标记rij,私钥矩阵记skm。
公钥矩阵由私钥矩阵派生,即ri,jG=(xi,j,yi,j)=Ri,j。公钥矩阵是公开变量,记PKM。
(2)标识到矩阵坐标的映射
标识到组合矩阵坐标的映射是通过标识的HASH(散列)变换实现的。将HASH输出调整成长度为165比特的映射序列YS,以5比特构成w0,w1,…,w32的字符串,决定列坐标与行坐标。
YS=HASH(ID)=w0,w1,w2,…,w32;
w0的内容u指示列的起始坐标,以后的列坐标是在前列坐标加1实现。
w1-w32依次指示行坐标。
注:选取SHA1作为HASH算法,SHA1输出的是160bit,取第一字节的低5bit构成w0,形成165bit的映射序列。
(3)标识密钥计算
标识私钥(isk)的计算在密钥管理中心(KMC)进行。设第i列所用行坐标用wi表示,令标识私钥为isk,那么私钥以有限域Fp上的倍数加法实现,实体Alice的私钥为:
公钥计算以椭圆曲线E上的倍点加法实现,对应标识公钥为:
图1为本发明所提供的一种基于CPK的LoRa终端的通信系统结构示意图,如图1所示,本发明所提供的一种基于CPK的LoRa终端的通信系统,CPK安全模块1、CPK密钥生产中心4、CPK密钥管理中心3、第一认证模块2、第二认证模块5和LoRa终端6。本发明所提供的一种基于CPK的LoRa终端的通信系统的整体框图,如图2所示。
所述CPK安全模块1用于为所述LoRa终端6提供签名、验证签名和提供密钥。
所述CPK密钥生产中心4用于生成密钥矩阵。
所述CPK密钥管理中心3用于根据所述密钥矩阵和所述CPK安全模块1生成密钥;所述CPK密钥管理中心3还用于密钥的分发及撤销列表的管理。
所述第一认证模块2用于根据所述CPK安全模块1的ID和CPK密钥管理中心3进行认证。
所述第二认证模块5用于根据所述LoRa终端6的ID和所述CPK安全模块1进行认证。
所述CPK安全模块1的硬件部分包括通信接口、FLASH、国密芯片、晶振等部件组成,所有的算法运算过程均在国密芯片内部完成。
所述CPK安全模块1具体包括:通讯管理单元、命令解析单元、外设管理单元、应用管理单元、容器管理单元、密钥管理单元和文件管理单元。
通讯管理单元用于与外部设备进行通讯;所述外部设备包括FLASH和LED。通讯管理单元可根据硬件通讯模式设置不同的通讯模式,通讯模式包括:IIC、UART、SPI等。
命令解析单元用于验证接收的指令,并根据验证结果进行操作。
外设管理单元用于对外部设备进行管理。
应用管理单元用于对内部应用进行管理;所述对内部应用进行管理包括应用的创建、删除、打开、关闭和/或证书导入导出。
容器管理单元用于对应用内的容器进行管理;所述对应用内的容器进行管理包括容器的创建、删除、打开、关闭和/或证书导入导出。
密钥管理单元用于对容器内的密钥进行管理;所述对容器内的密钥进行管理包括SM2非对称管钥对的生成、导出、加密、解密、签名和验签以及会话密钥生成、销毁、导入、导出、加密和解密。
文件管理单元用于对应用中的文件进行管理;所述对应用中的文件进行管理包括文件创建、删除和读写。
所述第一认证模块2具体包括:CPK安全模块ID获取单元、CPK安全模块ID发送单元、密钥获取单元、密钥发送单元和密钥存储单元。第一认证模块2流程,具体如图3所示。
CPK安全模块ID获取单元用于获取所述CPK安全模块ID。
CPK安全模块ID发送单元用于将所述CPK安全模块ID发送至所述CPK密钥管理中心3。
密钥获取单元用于获取与所述CPK安全模块ID对应的密钥;所述密钥为所述CPK密钥管理中心3根据所述CPK安全模块ID,基于派生算法生成。
密钥发送单元用于将所述CPK安全模块ID对应的密钥发送至所述CPK安全模块1。
密钥存储单元用于将从所述CPK安全模块1中获取的密钥进行存储。
在一个具体的实施例中,本发明所提供的一种基于CPK的LoRa终端的通信系统具体的第一认证过程(CPK安全模块1密钥下载的过程)为:
S1,管理员首先通过客户端成像完成与CPK密钥管理中心3和CPK安全模块1的认证。
S2,管理员获取CPK安全模块1的ID。
S3,管理员将ID发送给CPK密钥管理中心3。
S4,CPK密钥管理中心3根据ID,基于相关派生算法计算出对应的公钥IPK和私钥isk,并将公私钥对发送给管理员。
S5,管理员将公私钥对发送给CPK安全模块1,安全模块将公私钥写入Flash,以备后续使用。
所述LoRa终端6具体包括:网关GATEWAY、网络服务器NS、MAC数据交互单元、应用层服务端AS、自定义服务器CS和进入服务器JS。
所述第二认证模块5具体包括:认证码生成单元、认证码发送单元、判断单元、反馈值生成单元、验证成功单元和验证失败单元。第二认证模块5流程,如图4所示。
认证码生成单元用于根据LoRa终端ID生成认证码。
认证码发送单元用于将所述认证码发送至应用层服务端。
判断单元用于判断所述认证码是否合法。
反馈值生成单元用于根据判断结果生成反馈值;所述反馈值包括成功码或失败码。
验证成功单元用于当所述反馈值为成功码时,确定注册成功,并生成Session,将所述Session写入Flash。
验证失败单元用于当所述反馈值为失败码时,将失败状态写入日志。
作为一个具体的实施例,本发明所提供的第二认证模块5的具体过程(LoRa终端6与CPK安全模块1绑定过程)具体为:
S1,由CPK安全模块1生成认证码。
S2,LoRa终端6将认证码发送到AS。
S3,AS解析认证码,并判断是否合法。
S4,若合法,则生成一个成功码,否则生成失败码,并将失败码或成功码作为反馈值发送给LoRa终端6。
S5,LoRa终端6将反馈值发送给CPK安全终端,CPK安全终端解析反馈值,若为成功码,则认为注册成功,并生成Session值写入Flash,若失败则将失败状态写入日志。
为了在增强LoRa终端6安全的同时,尽量减少LoRa终端6的通信负载,本发明所提供的一种基于CPK的LoRa终端的通信系统,还包括:协议生成模块。
协议生成模块用于生成所述LoRa终端6与所述CPK安全模块1相应的协议。具体如表1所示:
表1
图5为本发明所提供的一种基于CPK的LoRa终端的通信方法流程示意图,如图5所示,本发明所提供的一种基于CPK的LoRa终端的通信方法,应用于所述的一种基于CPK的LoRa终端6的通信系统,所述通信方法包括:
S501,获取业务数据;所述业务数据包括JoinEUI参数、DevEUI参数和DevNonce参数。
S502,对所述业务数据进行签名,得到签名数据。
S503,根据所述业务数据确定加盟要求,并发送至进入服务器。所述加盟要求的帧格式如表2所示,表2具体为:
表2
S504,根据所述加盟要求和所述签名数据进行验证。
S505,当验证通过时,根据所述述CPK安全模块1生成数据通信所需的网络密钥和应用密钥。
所述S505具体包括:
当验证通过时,调用密钥管理单元中的CPK密钥信封接口产生随机数。所述随机数的位数为112位。
以所述随机数为密钥,根据Aes128算法,生成网络密钥和应用密钥。
S505具体还包括:
将AppNonce、NetID、DevAddr、AppKeyEnvlop、网络密钥和应用密钥发送给网络服务器;
将所述网络密钥进行存储,并将所述AppNonce、NetID、DevAddr、AppKeyEnvlop、应用密钥进行封装,生成响应;
末端节点EndNodes根据所述响应,调用AES128算法获取所述网络密钥和应用密钥。
本发明所提供的一种基于CPK的LoRa终端的通信系统及方法的的优点为:
(1)认证机制更全面,具备较高的安全等级。
(2)与原LoRa系统具有较好的兼容性。
(2)密钥管理更完善,终端密钥由安全芯片保存,能够防止拷贝等攻击。
(3)CPK安全机制为我国自主安全机制,安全可控。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (9)
1.一种基于CPK的LoRa终端的通信系统,其特征在于,包括:CPK安全模块、CPK密钥生产中心、CPK密钥管理中心、第一认证模块、第二认证模块和LoRa终端;
所述CPK安全模块用于为所述LoRa终端提供签名、验证签名和提供密钥;
所述CPK密钥生产中心用于生成密钥矩阵;
所述CPK密钥管理中心用于根据所述密钥矩阵和所述CPK安全模块生成密钥;所述CPK密钥管理中心还用于密钥的分发及撤销列表的管理;
所述第一认证模块用于根据所述CPK安全模块的ID和所述CPK密钥管理中心进行认证;
所述第二认证模块用于根据所述LoRa终端的ID和所述CPK安全模块进行认证。
2.根据权利要求1所述的一种基于CPK的LoRa终端的通信系统,其特征在于,所述CPK安全模块具体包括:
通讯管理单元,用于与外部设备进行通讯;所述外部设备包括FLASH和LED;
命令解析单元,用于验证接收的指令,并根据验证结果进行操作;
外设管理单元,用于对外部设备进行管理;
应用管理单元,用于对内部应用进行管理;所述对内部应用进行管理包括应用的创建、删除、打开、关闭和/或证书导入导出;
容器管理单元,用于对应用内的容器进行管理;所述对应用内的容器进行管理包括容器的创建、删除、打开、关闭和/或证书导入导出;
密钥管理单元,用于对容器内的密钥进行管理;所述对容器内的密钥进行管理包括SM2非对称管钥对的生成、导出、加密、解密、签名和验签以及会话密钥生成、销毁、导入、导出、加密和解密;
文件管理单元,用于对应用中的文件进行管理;所述对应用中的文件进行管理包括文件创建、删除和读写。
3.根据权利要求1所述的一种基于CPK的LoRa终端的通信系统,其特征在于,所述第一认证模块具体包括:
CPK安全模块ID获取单元,用于获取所述CPK安全模块ID;
CPK安全模块ID发送单元,用于将所述CPK安全模块ID发送至所述CPK密钥管理中心;
密钥获取单元,用于获取与所述CPK安全模块ID对应的密钥;所述密钥为所述CPK密钥管理中心根据所述CPK安全模块ID,基于派生算法生成;
密钥发送单元,用于将所述CPK安全模块ID对应的密钥发送至所述CPK安全模块;
密钥存储单元,用于将从所述CPK安全模块中获取的密钥进行存储。
4.根据权利要求1所述的一种基于CPK的LoRa终端的通信系统,其特征在于,所述LoRa终端具体包括:网关、网络服务器、MAC数据交互单元、应用层服务端、自定义服务器和进入服务器。
5.根据权利要求4所述的一种基于CPK的LoRa终端的通信系统,其特征在于,所述第二认证模块具体包括:
认证码生成单元,用于根据LoRa终端ID生成认证码;
认证码发送单元,用于将所述认证码发送至应用层服务端;
判断单元,用于判断所述认证码是否合法;
反馈值生成单元,用于根据判断结果生成反馈值;所述反馈值包括成功码或失败码;
验证成功单元,用于当所述反馈值为成功码时,确定注册成功,并生成Session,将所述Session写入Flash。
验证失败单元,用于当所述反馈值为失败码时,将失败状态写入日志。
6.根据权利要求1所述的一种基于CPK的LoRa终端的通信系统,其特征在于,所述通信系统还包括:
协议生成模块,用于生成所述LoRa终端与所述CPK安全模块相应的协议。
7.一种基于CPK的LoRa终端的通信方法,其特征在于,所述方法应用于权利要求1-6任意一项所述的一种基于CPK的LoRa终端的通信系统,所述通信方法包括:
获取业务数据;所述业务数据包括JoinEUI参数、DevEUI参数和DevNonce参数;
对所述业务数据进行签名,得到签名数据;
根据所述业务数据确定加盟要求,并发送至进入服务器;
根据所述加盟要求和所述签名数据进行验证;
当验证通过时,根据所述述CPK安全模块生成数据通信所需的网络密钥和应用密钥。
8.根据权利要求7所述的一种基于CPK的LoRa终端的通信方法,其特征在于,所述当验证通过时,根据所述述CPK安全模块生成数据通信所需的网络密钥和应用密钥,具体包括:
当验证通过时,调用密钥管理单元中的CPK密钥信封接口产生随机数;
以所述随机数为密钥,根据Aes128算法,生成网络密钥和应用密钥。
9.根据权利要求7所述的一种基于CPK的LoRa终端的通信方法,其特征在于,所述验证通过时,根据所述述CPK安全模块生成数据通信所需的网络密钥和应用密钥,具体还包括:
将AppNonce、NetID、DevAddr、AppKeyEnvlop、网络密钥和应用密钥发送给网络服务器;
将所述网络密钥进行存储,并将所述AppNonce、NetID、DevAddr、AppKeyEnvlop、应用密钥进行封装,生成响应;
末端节点根据所述响应,调用AES128算法获取所述网络密钥和应用密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010391237.2A CN111756531B (zh) | 2020-05-11 | 2020-05-11 | 一种基于CPK的LoRa终端的通信系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010391237.2A CN111756531B (zh) | 2020-05-11 | 2020-05-11 | 一种基于CPK的LoRa终端的通信系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111756531A true CN111756531A (zh) | 2020-10-09 |
| CN111756531B CN111756531B (zh) | 2023-12-26 |
Family
ID=72673192
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010391237.2A Active CN111756531B (zh) | 2020-05-11 | 2020-05-11 | 一种基于CPK的LoRa终端的通信系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111756531B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112291230A (zh) * | 2020-10-26 | 2021-01-29 | 公安部第一研究所 | 一种用于物联网终端的数据安全认证传输方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108012268A (zh) * | 2017-12-08 | 2018-05-08 | 北京虎符信息技术有限公司 | 一种手机终端SIM卡及安全使用App的方法、介质 |
| CN109067550A (zh) * | 2018-09-25 | 2018-12-21 | 北京仁信证科技有限公司 | 基于cpk标识密钥的双向认证系统及双向认证方法 |
| CN110278086A (zh) * | 2019-06-24 | 2019-09-24 | 晋商博创(北京)科技有限公司 | 基于cpk和pki的兼容方法、装置、终端、系统及存储介质 |
-
2020
- 2020-05-11 CN CN202010391237.2A patent/CN111756531B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108012268A (zh) * | 2017-12-08 | 2018-05-08 | 北京虎符信息技术有限公司 | 一种手机终端SIM卡及安全使用App的方法、介质 |
| CN109067550A (zh) * | 2018-09-25 | 2018-12-21 | 北京仁信证科技有限公司 | 基于cpk标识密钥的双向认证系统及双向认证方法 |
| CN110278086A (zh) * | 2019-06-24 | 2019-09-24 | 晋商博创(北京)科技有限公司 | 基于cpk和pki的兼容方法、装置、终端、系统及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112291230A (zh) * | 2020-10-26 | 2021-01-29 | 公安部第一研究所 | 一种用于物联网终端的数据安全认证传输方法及装置 |
| CN112291230B (zh) * | 2020-10-26 | 2023-04-07 | 公安部第一研究所 | 一种用于物联网终端的数据安全认证传输方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111756531B (zh) | 2023-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yang et al. | A zero-knowledge-proof-based digital identity management scheme in blockchain | |
| US11757641B2 (en) | Decentralized data authentication | |
| US9600686B2 (en) | Augmented reality based privacy and decryption | |
| CN109274503A (zh) | 分布式协同签名方法及分布式协同签名装置、软盾系统 | |
| Zou et al. | Phosphor: A cloud based DRM scheme with sim card | |
| US20070250904A1 (en) | Privacy protection system | |
| CN108537046A (zh) | 一种基于区块链技术的在线合同签署系统及方法 | |
| CN1922816B (zh) | 单向认证 | |
| CN106060078B (zh) | 应用于云平台的用户信息加密方法、注册方法及验证方法 | |
| CN113438088A (zh) | 基于区块链分布式身份的社交网络信用监测方法及装置 | |
| CN106897761A (zh) | 一种二维码生成方法及装置 | |
| CN103795546A (zh) | 数据标签生成方法、数据标签的认证方法及其系统 | |
| CN106888081A (zh) | 白盒实施方案内中间值的宽编码 | |
| CN109245894A (zh) | 一种基于智能合约的分布式云存储系统 | |
| Lax et al. | Digital document signing: Vulnerabilities and solutions | |
| US20240039707A1 (en) | Mobile authenticator for performing a role in user authentication | |
| CN106209730A (zh) | 一种管理应用标识的方法及装置 | |
| CN106533681B (zh) | 一种支持部分出示的属性证明方法与系统 | |
| CN111490874B (zh) | 一种配网安全防护方法、系统、装置及存储介质 | |
| CN111756531A (zh) | 一种基于CPK的LoRa终端的通信系统及方法 | |
| CN116015846A (zh) | 身份认证方法、装置、计算机设备和存储介质 | |
| CN112583772A (zh) | 一种数据采集存储平台 | |
| CN114510734B (zh) | 数据访问控制方法、装置及计算机可读存储介质 | |
| CN113285934B (zh) | 基于数字签名的服务器密码机客户端ip检测方法及装置 | |
| Lyu et al. | NSSIA: A New Self‐Sovereign Identity Scheme with Accountability |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100000 A1501, 15 / F, No. 22, Zhongguancun Street, Haidian District, Beijing Applicant after: Beijing xinchangcheng Technology Development Co.,Ltd. Address before: 100000 1008, block a, world wealth center, No. 11, Zhongguancun Street, Haidian District, Beijing Applicant before: BEIJING RENXINZHENG TECHNOLOGY CO.,LTD. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |