CN111885058B - 物联网云中端到端智能设备通信的轻量级消息传递方法 - Google Patents

物联网云中端到端智能设备通信的轻量级消息传递方法 Download PDF

Info

Publication number
CN111885058B
CN111885058B CN202010715354.XA CN202010715354A CN111885058B CN 111885058 B CN111885058 B CN 111885058B CN 202010715354 A CN202010715354 A CN 202010715354A CN 111885058 B CN111885058 B CN 111885058B
Authority
CN
China
Prior art keywords
key
lightweight
sender
message
receiver
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010715354.XA
Other languages
English (en)
Other versions
CN111885058A (zh
Inventor
扎伊德·阿梅恩·阿卜杜勒贾巴尔
木塔
路松峰
冉艳丽
阿卜杜勒哈迪·阿尔哈萨尼
贾西姆·穆罕默德·萨尔曼
哈米德·阿萨迪
刘鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University College Of Iraq
Shenzhen Huazhong University of Science and Technology Research Institute
Basra University Iraq
Original Assignee
University College Of Iraq
Shenzhen Huazhong University of Science and Technology Research Institute
Basra University Iraq
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University College Of Iraq, Shenzhen Huazhong University of Science and Technology Research Institute, Basra University Iraq filed Critical University College Of Iraq
Priority to CN202010715354.XA priority Critical patent/CN111885058B/zh
Publication of CN111885058A publication Critical patent/CN111885058A/zh
Application granted granted Critical
Publication of CN111885058B publication Critical patent/CN111885058B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种物联网云中端到端智能设备通信的轻量级消息传递方法。在物联网‑云计算系统中,所述消息传递方法包括注册和密钥协商、轻量级安全消息传递两个过程,具备安全密钥和生物特征参数交换功能、生物共享参数和生物密钥生成功能、轻量级端到端智能设备通信协商功能和轻量级消息传递功能。本发明采用椭圆曲线加密算法将安全密钥和用户生物特征参数的安全交换应用到通信过程,以此进行响应的相互认证来防止攻击,保证通信安全。本发明还将共享密钥和临时会话密钥整合到随机映射中,生成消息验证码总和并隐藏到封面图像中,以验证发送者消息传输的来源,实现了安全、低复杂度的端到端智能设备消息传递功能,以维护消息的认证和完整性。

Description

物联网云中端到端智能设备通信的轻量级消息传递方法
技术领域
本发明涉及消息传递方法领域,尤其涉及一种物联网云中端到端智能设备通信的轻量级消息传递。
背景技术
随着信息技术和网络技术的高速发展,信息安全方面暴露出的问题也层出不穷。现有技术中,为了实现安全的消息传递,大多使用加密算法对消息进行加密之后再传输,但为了实现足够安全的加密和解密,会耗费过多资源,并且一旦泄露了加密密钥,传递的信息将全部遭到破译。
申请号为CN201510019460.3的发明专利公开了一种基于可信架构的安全消息传递方法。由可信总线、组件节点以及安全机制三部分组成,其中组件节点由可信服务节点,安全服务节点,消息发送和接收节点组成。在可信网络环境下,通过可信总线中间件,根据安全组件为信息添加安全消息头和安全属性扩展项,形成安全消息,并根据安全消息的属性,为安全消息添加可信属性扩展项,并让安全消息在可信组件间传递,完成相关可信处理后返回该节点,发送经可信处理的安全消息,以实现对安全消息传递的可信支撑。
申请号为CN201811596946.3的发明专利公开了一种基于可信计算的匿名双向认证方法。该方法包括如下步骤:第三方的证书发布方Issuer执行setup子协议,准备协议运行必需的参数;签名方Signer和签名检测方Verifier同时运行join子协议,向Issuer申请DAA证书,该子协议运行于终端设备TPM和Issuer之间,Host负责消息传递和验证证书的正确性;Signer执行sign子协议使用本地的合法证书对消息签名,并向Verifier发出挑战值确认Verifier的合法身份;Verifier接收Signer对消息的签名,执行verify子协议验证Signer的签名合法性;如果Signer使用了不为空且相同的基名,Verifier根据Signer的多个签名执行link子协议确认签名的关联性,即这一组签名是否来自同一个Signer。
申请号为CN201510172676.3的发明专利公开了一种端到端加密通信的协商方法及装置。用于第一通信终端的协商方法包括:向第二通信终端发送IMS消息,IMS消息中至少包括标识本次通信为加密通信的加密使能字段以及标识第一通信终端支持的加密类型的加密类型字段;接收第二通信终端返回的IMS消息,IMS消息中至少包括由第二通信终端确定的标识本次加密通信是否协商成功的加密使能字段;解析IMS消息,若加密使能字段显示本次加密通信协商成功,根据IMS消息中标识本次加密通信使用的加密类型的加密类型字段,确定本次加密通信使用的加密类型,利用加密类型进行加密通信。
云计算具有的显著功能是实现集成资源的高效应用,提高物联网数据处理能力。事物的发展,也推动云计算技术的改变,将云计算的优势体现了出来。与物联网相结合,云计算实现了从概念到应用的真正转变。二者对信息的处理与传递更加高效,物联网通过云计算让存储,分析和处理更加轻松,其中云计算是物联网的重中之重。物联网在功用一体之下,信息显得尤为重要,基于云计算下的物联网安全问题需要得到重视和改善。其中,使用物联网系统进行云计算的智能设备之间消息传递的身份验证和完整性是重要的安全挑战之一。
但是,当前的解决方案存在安全性较低,或者复杂度过高致使计算成本过高的缺陷,因此并不适用于物联网-云计算系统中的端到端智能设备的轻量级消息传递。
发明内容
针对上述现有技术的不足,本发明的目的是提供一种安全性高且复杂度低的物联网云中端到端智能设备通信的轻量级消息传递。
为了实现上述发明目的,本发明提供了一种物联网云中端到端智能设备通信的轻量级消息传递方法。在物联网云(物联网-云计算)系统中,所述轻量级消息传递方法包括注册和密钥协商、轻量级安全消息传递两个过程;
所述轻量级消息传递方法具备安全密钥和生物特征参数交换功能、生物共享参数和生物密钥生成功能、轻量级端到端智能设备通信协商功能和轻量级消息传递功能。
优选的,在所述注册和密钥协商过程中,注册阶段的主要组件包括云服务器、智能设备发送方和智能设备接收方;所述注册和密钥协商过程采用椭圆曲线加密算法进行参数数据的加密和/或解密;
所述注册和密钥协商过程包括创建注册账户、安全密钥和生物特征参数交换、生物共享参数和生物密钥生成三个过程。
优选的,所述注册和密钥协商过程包括如下步骤:
S1,创建注册账户:将所述智能设备发送方和所述智能设备接收方分别进行注册,生成发送方账户参数和接收方账户参数;所述发送方账户参数为:发送方账户IDSDS、发送方手写签名HSSDS、发送方一次性密钥SkSDS;所述接收方账户参数:接收方账户IDSDR、接收方手写签名HSSDR、接收方一次性密钥SkSDR
S2,安全密钥和生物特征参数交换:所述智能设备发送方和所述智能设备接收方向所述云服务器发送启动密钥交换会话的请求,所述智能设备发送方和智能设备接收方分别运行所述椭圆曲线加密算法中的加密算法来生成公共密钥PUCS、PUSDS、PUSDR和私有密钥PRCS、PRSDS、PRSDR对手写签名和身份进行加密,得到加密参数并发送至所述云服务器;
S3,生物共享参数和生物密钥生成:在接收到步骤S2生成的所述加密参数时,所述云服务器通过执行所述椭圆曲线加密算法中的解密算法,使用所述私有密钥PRCS对接收到的手写签名和身份的加密参数进行解密,生成共享的生物特征向量Rv和共享密钥Shk,并安全保存在所述云服务器中;将加密版本的共享密钥Shk发送给所述智能设备发送方和所述智能设备接收方;
S4,所述智能设备发送方和所述智能设备接收方分别使用所述私有密钥PRSDS和所述私有密钥PRSDR对接收到的所述加密版本的共享密钥Shk进行解密,由此完成注册过程。
优选的,在步骤S3中,所述生物特征向量Rv为函数Fx(SHS),使用LBP滤波器的直方图从标准化的生物共享手写签名数据SHS中提取特征,以实现构建3060字节的宽维度范围的功能。
优选的,所述轻量级安全消息传递过程包括轻量级端到端智能设备通信协商、轻量级消息传递两个过程;
所述轻量级端到端智能设备通信协商过程包括如下步骤:
P1,所述云服务器为所述智能设备接收方和智能设备接收方之间的每个会话生成一个临时会话密钥
Figure BDA0002597957790000041
进行加密处理,然后将每个会话请求消息T的加密版本的临时会话密钥
Figure BDA0002597957790000042
Figure BDA0002597957790000043
分别发送给所述智能设备发送方和智能设备接收方;
P2,所述智能设备发送方对接收到所述加密版本的临时会话密钥
Figure BDA0002597957790000044
进行解密,然后所述智能设备发送方使用所述公共密钥PUSDS和所述椭圆曲线加密算法的加密功能形成加密的协商请求,并发送至所述云服务器;
P3,所述云服务器使用所述椭圆曲线加密算法的解密功能对步骤P2所述的加密的协商请求进行解密,并对所述智能设备发送方进行注册身份的匹配和验证;匹配和验证过程成功后,所述云服务器将所述加密的协商请求转发给所述智能设备接收方;
P4,所述智能设备接收方将接收到的所述加密的协商请求进行解密处理,对协商请求做出响应并进行加密,然后将加密后的响应发送至所述云服务器;
P5,所述云服务器对所述加密后的响应进行解密,并进行所述智能设备接收方进行注册身份的匹配和验证;匹配和验证过程成功后,所述云服务器将所述加密的响应转发给所述智能设备发送方;
P6,所述智能设备发送方将所述加密的响应进行解密和验证,验证成功后,启动轻量级消息传递。
优选的,所述轻量级消息传递过程包括如下步骤:
A1,所述智能设备发送方将所述共享密钥Shk、所述临时会话密钥
Figure BDA0002597957790000051
整合到随机映射中,生成可变的一次性匿名认证密钥,以此生成由消息验证码MACLESS和随机数RT组合而成的消息验证码总和;将所述消息验证码总和隐藏嵌入到封面图像中,以隐藏的方式将消息验证码总和数据包发送给所述云服务器,来确定数据的完整性和身份验证,进行消息传递;
A2,所述云服务器将接收到的所述消息验证码总和数据包进行存储,并对隐藏在所述封面图像中的随机数RT进行提取;然后,所述云服务器将所述消息验证码总和数据包转发给所述智能申报接收方;
A3,所述智能设备接收方将收到所述消息验证码总和数据包进行解码,提取所述消息验证码MACLESS和所述随机数RT;然后,所述智能设备接收方计算消息验证码MACLESS,得到身份验证数据;当所述身份验证数据与提取的所述消息验证码MACLESS匹配时,那么所述智能设备接收方将确保所述智能设备发送方发送的消息完整性,完成轻量级消息传递功能;当所述身份验证数据与提取的所述消息验证码MACLESS不匹配时,安全消息传递阶段将会终止;
A4,轻量级消息传递完成后,所述智能设备发送方和所述智能设备接收方分别更新所述发送方一次性密钥SkSDS和所述接收方一次性密钥SkSDR,以此进行下一个轻量级安全消息传递。
优选的,在步骤A2中,采用基于双隐写的DWT隐写技术将所述消息验证码总和隐藏嵌入到封面图像中。
优选的,所述共享密钥Shk、所述临时会话密钥
Figure BDA0002597957790000052
均是一次性密钥,在每一个轻量级消息传递过程中进行实时更新;所述随机数RT是一次性的,在每一个轻量级消息传递过程中进行更新。
优选的,在步骤A3中,所述消息验证码MACLESS为有限大小的一次性生物特征消息验证码。
与现有技术相比,本发明的有益效果在于:
1、本发明提供的轻量级消息传递方法,具备低复杂度的轻量级消息传递功能,以保护消息在一组智能设备之间传输时不会丢失完整性和身份验证,从而在物联网-云计算系统中实现安全的端到端通信。其消息传递功能的计算效率很高,并且可以与可用的基础结构连接,也易于部署和管理。
2、本发明提供的轻量级消息传递方法,提供响应性双向身份验证的安全轻量级端到端智能设备通信协商,同时还提供了高效、低计算成本以及较小的能耗和内存大小的安全轻量级消息传递。其可以提供可靠的用户消息和身份验证代码的匿名性。
3、本发明提供的轻量级消息传递方法,采用椭圆曲线加密算法将安全密钥和用户生物特征参数的安全交换应用到通信过程,以此进行响应的相互认证来防止攻击,保证通信安全。本发明还将共享密钥和临时会话密钥整合到随机映射中,生成消息验证码总和并隐藏到封面图像中,以验证发送者消息传输的来源,实现了安全、低复杂度的端到端智能设备消息传递功能,以维护消息的认证和完整性。通过利用基于双隐写的DWT隐写术将消息验证码MACLESS隐藏在封面图像中,增加常见攻击形式的抵抗力,不会引起窃听者的注意,还可以防止重放和DoS攻击。而有限大小的一次性生物特征消息验证码MACLESS则是进一步减小嵌入式MAC的大小,与用于有限能量设备的MAC相比,隐秘操作的处理时间更为有效。
4、本发明提供的轻量级消息传递方法,不需要昂贵的设备来获取诸如来自虹膜或指纹的生物统计数据,智能设备用户可以使用简单的扫描仪或移动相机来获取手写签名,同时,基于密码分析机制实现了对通信和信号处理攻击的有效预防。
附图说明
图1为本发明实施例1提供的注册和密钥协商过程的流程图。
图2为本发明实施例1提供的轻量级端到端智能设备通信协商过程的流程图。
图3为本发明实施例1提供的轻量级消息传递过程的流程图。
具体实施方式
以下将结合附图对本发明各实施例的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施例,都属于本发明所保护的范围。
本发明提供了一种物联网云中端到端智能设备通信的轻量级消息传递方法。在物联网云系统中,所述轻量级消息传递方法包括注册和密钥协商、轻量级安全消息传递两个过程;
所述轻量级消息传递方法具备安全密钥和生物特征参数交换功能、生物共享参数和生物密钥生成功能、轻量级端到端智能设备通信协商功能和轻量级消息传递功能。
进一步地,在所述注册和密钥协商过程中,注册阶段的主要组件包括云服务器、智能设备发送方和智能设备接收方;所述注册和密钥协商过程采用椭圆曲线加密算法进行参数数据的加密和/或解密;
所述注册和密钥协商过程包括创建注册账户、安全密钥和生物特征参数交换、生物共享参数和生物密钥生成三个过程。
进一步地,所述注册和密钥协商过程包括如下步骤:
S1,创建注册账户:将所述智能设备发送方和所述智能设备接收方分别进行注册,生成发送方账户参数和接收方账户参数;所述发送方账户参数为:发送方账户IDSDS、发送方手写签名HSSDS、发送方一次性密钥SkSDS;所述接收方账户参数:接收方账户IDSDR、接收方手写签名HSSDR、接收方一次性密钥SkSDR
S2,安全密钥和生物特征参数交换:所述智能设备发送方和所述智能设备接收方向所述云服务器发送启动密钥交换会话的请求,所述智能设备发送方和智能设备接收方分别运行所述椭圆曲线加密算法中的加密算法来生成公共密钥PUCS、PUSDS、PUSDR和私有密钥PRCS、PRSDS、PRSDR对手写签名和身份进行加密,得到加密参数并发送至所述云服务器;
S3,生物共享参数和生物密钥生成:在接收到步骤S2生成的所述加密参数时,所述云服务器通过执行所述椭圆曲线加密算法中的解密算法,使用所述私有密钥PRCS对接收到的手写签名和身份的加密参数进行解密,生成共享的生物特征向量Rv和共享密钥Shk,并安全保存在所述云服务器中;将加密版本的共享密钥Shk发送给所述智能设备发送方和所述智能设备接收方;
S4,所述智能设备发送方和所述智能设备接收方分别使用所述私有密钥PRSDS和所述私有密钥PRSDR对接收到的所述加密版本的共享密钥Shk进行解密,由此完成注册过程。
进一步地,在步骤S3中,所述生物特征向量Rv为函数Fx(SHS),使用LBP滤波器的直方图从标准化的生物共享手写签名数据SHS中提取特征,以实现构建3060字节的宽维度范围的功能。
进一步地,所述轻量级安全消息传递过程包括轻量级端到端智能设备通信协商、轻量级消息传递两个过程;
所述轻量级端到端智能设备通信协商过程包括如下步骤:
P1,所述云服务器为所述智能设备接收方和智能设备接收方之间的每个会话生成一个临时会话密钥
Figure BDA0002597957790000081
进行加密处理,然后将每个会话请求消息T的加密版本的临时会话密钥
Figure BDA0002597957790000082
Figure BDA0002597957790000083
分别发送给所述智能设备发送方和智能设备接收方;
P2,所述智能设备发送方对接收到所述加密版本的临时会话密钥
Figure BDA0002597957790000091
进行解密,然后所述智能设备发送方使用所述公共密钥PUSDS和所述椭圆曲线加密算法的加密功能形成加密的协商请求,并发送至所述云服务器;
P3,所述云服务器使用所述椭圆曲线加密算法的解密功能对步骤P2所述的加密的协商请求进行解密,并对所述智能设备发送方进行注册身份的匹配和验证;匹配和验证过程成功后,所述云服务器将所述加密的协商请求转发给所述智能设备接收方;
P4,所述智能设备接收方将接收到的所述加密的协商请求进行解密处理,对协商请求做出响应并进行加密,然后将加密后的响应发送至所述云服务器;
P5,所述云服务器对所述加密后的响应进行解密,并进行所述智能设备接收方进行注册身份的匹配和验证;匹配和验证过程成功后,所述云服务器将所述加密的响应转发给所述智能设备发送方;
P6,所述智能设备发送方将所述加密的响应进行解密和验证,验证成功后,启动轻量级消息传递。
进一步地,所述轻量级消息传递过程包括如下步骤:
A1,所述智能设备发送方将所述共享密钥Shk、所述临时会话密钥
Figure BDA0002597957790000092
整合到随机映射中,生成可变的一次性匿名认证密钥,以此生成由消息验证码MACLESS和随机数RT组合而成的消息验证码总和;将所述消息验证码总和隐藏嵌入到封面图像中,以隐藏的方式将消息验证码总和数据包发送给所述云服务器,来确定数据的完整性和身份验证,进行消息传递;
A2,所述云服务器将接收到的所述消息验证码总和数据包进行存储,并对隐藏在所述封面图像中的随机数RT进行提取;然后,所述云服务器将所述消息验证码总和数据包转发给所述智能申报接收方;
A3,所述智能设备接收方将收到所述消息验证码总和数据包进行解码,提取所述消息验证码MACLESS和所述随机数RT;然后,所述智能设备接收方计算消息验证码MACLESS,得到身份验证数据;当所述身份验证数据与提取的所述消息验证码MACLESS匹配时,那么所述智能设备接收方将确保所述智能设备发送方发送的消息完整性,完成轻量级消息传递功能;当所述身份验证数据与提取的所述消息验证码MACLESS不匹配时,安全消息传递阶段将会终止;
A4,轻量级消息传递完成后,所述智能设备发送方和所述智能设备接收方分别更新所述发送方一次性密钥SkSDS和所述接收方一次性密钥SkSDR,以此进行下一个轻量级安全消息传递。
进一步地,在步骤A2中,采用基于双隐写的DWT隐写技术将所述消息验证码总和隐藏嵌入到封面图像中。
进一步地,所述共享密钥Shk、所述临时会话密钥
Figure BDA0002597957790000101
均是一次性密钥,在每一个轻量级消息传递过程中进行实时更新;所述随机数RT是一次性的,在每一个轻量级消息传递过程中进行更新。
进一步地,在步骤A3中,所述消息验证码MACLESS为有限大小的一次性生物特征消息验证码。
下面通过具体的实施例对本发明做进一步的详细描述。
实施例1
本发明提供了一种物联网云中端到端智能设备通信的轻量级消息传递方法,包括注册和密钥协商、轻量级安全消息传递两个过程。该方法具备安全密钥和生物特征参数交换功能、生物共享参数和生物密钥生成功能、轻量级端到端智能设备通信协商功能和轻量级消息传递功能。
一)在所述注册和密钥协商过程中,注册阶段的主要组件包括云服务器、智能设备发送方和智能设备接收方;所述注册和密钥协商过程采用椭圆曲线加密算法进行参数数据的加密和/或解密。
如图1所示,所述注册和密钥协商过程包括创建注册账户、安全密钥和生物特征参数交换、生物共享参数和生物密钥生成三个过程,具体步骤如下:
S1,创建注册账户:将所述智能设备发送方和所述智能设备接收方分别进行注册,生成发送方账户参数和接收方账户参数;所述发送方账户参数为:发送方账户IDSDS、发送方手写签名HSSDS、发送方一次性密钥SkSDS;所述接收方账户参数:接收方账户IDSDR、接收方手写签名HSSDR、接收方一次性密钥SkSDR
S2,安全密钥和生物特征参数交换:所述智能设备发送方和所述智能设备接收方向所述云服务器发送启动密钥交换会话的请求,所述智能设备发送方和智能设备接收方分别运行所述椭圆曲线加密算法中的加密算法来生成公共密钥PUCS、PUSDS、PUSDR和私有密钥PRCS、PRSDS、PRSDR对手写签名和身份进行加密,得到加密参数并发送至所述云服务器。
S3,生物共享参数和生物密钥生成:在接收到步骤S2生成的所述加密参数时,所述云服务器通过执行所述椭圆曲线加密算法中的解密算法,使用所述私有密钥PRCS对接收到的手写签名和身份的加密参数进行解密,生成共享的生物特征向量Rv和共享密钥Shk,并安全保存在所述云服务器中;将加密版本的共享密钥Shk发送给所述智能设备发送方和所述智能设备接收方;其中,所述生物特征向量Rv为函数Fx(SHS),使用LBP滤波器的直方图从标准化的生物共享手写签名数据SHS中提取特征,以实现构建3060字节的宽维度范围的功能。
S4,所述智能设备发送方和所述智能设备接收方分别使用所述私有密钥PRSDS和所述私有密钥PRSDR对接收到的所述加密版本的共享密钥Shk进行解密,由此完成注册过程。
二)所述轻量级安全消息传递过程包括轻量级端到端智能设备通信协商、轻量级消息传递两个过程。
1)如图2所示,所述轻量级端到端智能设备通信协商过程包括如下步骤:
P1,所述云服务器为所述智能设备接收方和智能设备接收方之间的每个会话生成一个临时会话密钥
Figure BDA0002597957790000121
进行加密处理,然后将每个会话请求消息T的加密版本的临时会话密钥
Figure BDA0002597957790000122
Figure BDA0002597957790000123
分别发送给所述智能设备发送方和智能设备接收方。
P2,所述智能设备发送方对接收到所述加密版本的临时会话密钥
Figure BDA0002597957790000124
进行解密,然后所述智能设备发送方使用所述公共密钥PUSDS和所述椭圆曲线加密算法的加密功能形成加密的协商请求,并发送至所述云服务器。
P3,所述云服务器使用所述椭圆曲线加密算法的解密功能对步骤P2所述的加密的协商请求进行解密,并进所述智能设备发送方进行注册身份的匹配和验证;匹配和验证过程成功后,所述云服务器将所述加密的协商请求转发给所述智能设备接收方。
P4,所述智能设备接收方将接收到的所述加密的协商请求进行解密处理,对协商请求做出响应并进行加密,然后将加密后的响应发送至所述云服务器。
P5,所述云服务器对所述加密后的响应进行解密,并进行所述智能设备接收方进行注册身份的匹配和验证;匹配和验证过程成功后,所述云服务器将所述加密的响应转发给所述智能设备发送方。
P6,所述智能设备发送方将所述加密的响应进行解密和验证,验证成功后,启动轻量级消息传递。
2)如图3所示,所述轻量级消息传递过程包括如下步骤:
A1,所述智能设备发送方将所述共享密钥Shk、所述临时会话密钥
Figure BDA0002597957790000125
整合到随机映射中,生成可变的一次性匿名认证密钥,以此生成由消息验证码MACLESS和随机数RT组合而成的消息验证码总和;将所述消息验证码总和隐藏嵌入到封面图像中,以隐藏的方式将消息验证码总和数据包发送给所述云服务器,来确定数据的完整性和身份验证,进行消息传递;其中,本发明采用基于双隐写的DWT隐写技术将所述消息验证码总和隐藏嵌入到封面图像中。所述共享密钥Shk、所述临时会话密钥
Figure BDA0002597957790000131
均是一次性密钥,在每一个轻量级消息传递过程中进行实时更新;所述随机数RT是一次性的,在每一个轻量级消息传递过程中进行更新。所述消息验证码MACLESS为有限大小的一次性生物特征消息验证码。
A2,所述云服务器将接收到的所述消息验证码总和数据包进行存储,并对隐藏在所述封面图像中的随机数RT进行提取;然后,所述云服务器将所述消息验证码总和数据包转发给所述智能申报接收方。
A3,所述智能设备接收方将收到所述消息验证码总和数据包进行解码,提取所述消息验证码MACLESS和所述随机数RT;然后,所述智能设备接收方计算消息验证码MACLESS,得到身份验证数据;当所述身份验证数据与提取的所述消息验证码MACLESS匹配时,那么所述智能设备接收方将确保所述智能设备发送方发送的消息完整性,完成轻量级消息传递功能;当所述身份验证数据与提取的所述消息验证码MACLESS不匹配时,安全消息传递阶段将会终止;
A4,轻量级消息传递完成后,所述智能设备发送方和所述智能设备接收方分别更新所述发送方一次性密钥SkSDS和所述接收方一次性密钥SkSDR,以此进行下一个轻量级安全消息传递。
综上所述,本发明提供了一种物联网云中端到端智能设备通信的轻量级消息传递方法。在物联网-云计算系统中,所述轻量级消息传递方法包括注册和密钥协商、轻量级安全消息传递两个过程,具备安全密钥和生物特征参数交换功能、生物共享参数和生物密钥生成功能、轻量级端到端智能设备通信协商功能和轻量级消息传递功能。本发明采用椭圆曲线加密算法将安全密钥和用户生物特征参数的安全交换应用到通信过程,以此进行响应的相互认证来防止攻击,保证通信安全。本发明还将共享密钥和临时会话密钥整合到随机映射中,生成消息验证码总和并隐藏到封面图像中,以验证发送者消息传输的来源,实现了安全、低复杂度的端到端智能设备消息传递功能,以维护消息的认证和完整性。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案。

Claims (4)

1.一种物联网云中端到端智能设备通信的轻量级消息传递方法,其特征在于:在物联网-云计算系统中,所述轻量级消息传递方法包括注册和密钥协商、轻量级安全消息传递两个过程;
所述轻量级消息传递方法具备安全密钥和生物特征参数交换功能、生物共享参数和生物密钥生成功能、轻量级端到端智能设备通信协商功能和轻量级消息传递功能;
在所述注册和密钥协商过程中,注册阶段的主要组件包括云服务器、智能设备发送方和智能设备接收方;所述注册和密钥协商过程采用椭圆曲线加密算法进行数据的加密和/或解密;
所述注册和密钥协商过程包括创建注册账户、安全密钥和生物特征参数交换、生物共享参数和生物密钥生成三个过程;
所述注册和密钥协商过程包括如下步骤:
S1,创建注册账户:将所述智能设备发送方和所述智能设备接收方分别进行注册,生成发送方账户参数和接收方账户参数;所述发送方账户参数为:发送方账户IDSDS、发送方手写签名HSSDS、发送方一次性密钥SkSDS;所述接收方账户参数:接收方账户IDSDR、接收方手写签名HSSDR、接收方一次性密钥SkSDR
S2,安全密钥和生物特征参数交换:所述智能设备发送方和所述智能设备接收方向所述云服务器发送启动密钥交换会话的请求,所述智能设备发送方和智能设备接收方分别运行所述椭圆曲线加密算法中的加密算法来生成公共密钥PUCS、PUSDS、PUSDR和私有密钥PRCS、PRSDS、PRSDR对手写签名和身份进行加密,得到加密参数并发送至所述云服务器;
S3,生物共享参数和生物密钥生成:在接收到步骤S2生成的所述加密参数时,所述云服务器通过执行所述椭圆曲线加密算法中的解密算法,使用所述私有密钥PRCS对接收到的手写签名和身份的加密参数进行解密,生成共享的生物特征向量Rv和共享密钥Shk,并安全保存在所述云服务器中;将加密版本的共享密钥Shk发送给所述智能设备发送方和所述智能设备接收方;
S4,所述智能设备发送方和所述智能设备接收方分别使用所述私有密钥PRSDS和所述私有密钥PRSDR对接收到的所述加密版本的共享密钥Shk进行解密,由此完成注册过程;
在步骤S3中,所述生物特征向量Rv为函数Fx(SHS),使用LBP滤波器的直方图从标准化的生物共享手写签名数据SHS中提取特征,以实现构建3060字节的宽维度范围的功能;
所述轻量级安全消息传递过程包括轻量级端到端智能设备通信协商、轻量级消息传递两个过程;
所述轻量级端到端智能设备通信协商过程包括如下步骤:
P1,所述云服务器为所述智能设备接收方和智能设备接收方之间的每个会话生成一个临时会话密钥
Figure FDA0003566199560000021
进行加密处理,然后将每个会话请求消息T的加密版本的临时会话密钥
Figure FDA0003566199560000022
Figure FDA0003566199560000023
分别发送给所述智能设备发送方和智能设备接收方;
P2,所述智能设备发送方对接收到所述加密版本的临时会话密钥
Figure FDA0003566199560000024
进行解密,然后所述智能设备发送方使用所述公共密钥PUSDS和所述椭圆曲线加密算法的加密功能形成加密的协商请求,并发送至所述云服务器;
P3,所述云服务器使用所述椭圆曲线加密算法的解密功能对步骤P2所述的加密的协商请求进行解密,并对所述智能设备发送方进行注册身份的匹配和验证;匹配和验证过程成功后,所述云服务器将所述加密的协商请求转发给所述智能设备接收方;
P4,所述智能设备接收方将接收到的所述加密的协商请求进行解密处理,对协商请求做出响应并进行加密,然后将加密后的响应发送至所述云服务器;
P5,所述云服务器对所述加密后的响应进行解密,并进行所述智能设备接收方进行注册身份的匹配和验证;匹配和验证过程成功后,所述云服务器将所述加密的响应转发给所述智能设备发送方;
P6,所述智能设备发送方将所述加密的响应进行解密和验证,验证成功后,启动轻量级消息传递;
所述轻量级消息传递过程包括如下步骤:
A1,所述智能设备发送方将所述共享密钥Shk、所述临时会话密钥
Figure FDA0003566199560000031
整合到随机映射中,生成可变的一次性匿名认证密钥,以此生成由消息验证码MACLESS和随机数RT组合而成的消息验证码总和;将所述消息验证码总和隐藏嵌入到封面图像中,以隐藏的方式将消息验证码总和数据包发送给所述云服务器,来确定数据的完整性和身份验证,进行消息传递;
A2,所述云服务器将接收到的所述消息验证码总和数据包进行存储,并对隐藏在所述封面图像中的随机数RT进行提取;然后,所述云服务器将所述消息验证码总和数据包转发给所述智能申报接收方;
A3,所述智能设备接收方将收到所述消息验证码总和数据包进行解码,提取所述消息验证码MACLESS和所述随机数RT;然后,所述智能设备接收方计算消息验证码MACLESS,得到身份验证数据;当所述身份验证数据与提取的所述消息验证码MACLESS匹配时,那么所述智能设备接收方将确保所述智能设备发送方发送的消息完整性,完成轻量级消息传递功能;当所述身份验证数据与提取的所述消息验证码MACLESS不匹配时,安全消息传递阶段将会终止;
A4,轻量级消息传递完成后,所述智能设备发送方和所述智能设备接收方分别更新所述发送方一次性密钥SkSDS和所述接收方一次性密钥SkSDR,以此进行下一个轻量级安全消息传递;
所述共享密钥Shk、所述临时会话密钥
Figure FDA0003566199560000041
均是一次性密钥,在每一个轻量级消息传递过程中进行实时更新。
2.根据权利要求1所述的物联网云中端到端智能设备通信的轻量级消息传递方法,其特征在于:在步骤A2中,采用基于双隐写的DWT隐写技术将所述消息验证码总和隐藏嵌入到封面图像中。
3.根据权利要求1所述的物联网云中端到端智能设备通信的轻量级消息传递方法,其特征在于:所述随机数RT是一次性的,在每一个轻量级消息传递过程中进行更新。
4.根据权利要求1所述的物联网云中端到端智能设备通信的轻量级消息传递方法,其特征在于:在步骤A3中,所述消息验证码MACLESS为有限大小的一次性生物特征消息验证码。
CN202010715354.XA 2020-07-23 2020-07-23 物联网云中端到端智能设备通信的轻量级消息传递方法 Active CN111885058B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010715354.XA CN111885058B (zh) 2020-07-23 2020-07-23 物联网云中端到端智能设备通信的轻量级消息传递方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010715354.XA CN111885058B (zh) 2020-07-23 2020-07-23 物联网云中端到端智能设备通信的轻量级消息传递方法

Publications (2)

Publication Number Publication Date
CN111885058A CN111885058A (zh) 2020-11-03
CN111885058B true CN111885058B (zh) 2022-05-13

Family

ID=73155828

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010715354.XA Active CN111885058B (zh) 2020-07-23 2020-07-23 物联网云中端到端智能设备通信的轻量级消息传递方法

Country Status (1)

Country Link
CN (1) CN111885058B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112468983B (zh) * 2020-12-18 2022-05-10 国网河北省电力有限公司电力科学研究院 一种低功耗的电力物联网智能设备接入认证方法及其辅助装置
CN114125833B (zh) * 2021-10-29 2023-05-09 南京信息工程大学 一种用于智能设备通信的多因素认证密钥协商方法
CN114257589B (zh) * 2021-11-30 2023-02-17 深圳技术大学 基于IoT云的轻量级数据通信方法、装置及可读介质
CN117156399B (zh) * 2023-10-26 2024-01-26 常州尚易信息科技有限公司 物联网信息控制传递装置与方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546650A (zh) * 2012-01-19 2012-07-04 北京工业大学 无线传感器网络与因特网互联通信的端到端安全保障方法
US9860057B2 (en) * 2014-12-23 2018-01-02 Intel Corporation Diffie-Hellman key agreement using an M-of-N threshold scheme
WO2017082966A1 (en) * 2015-11-09 2017-05-18 Intel IP Corporation Integrated universal integrated circuit card on mobile computing environments
KR102224379B1 (ko) * 2016-10-07 2021-03-08 콘비다 와이어리스, 엘엘씨 일반적 상호연동 및 확장성을 위한 서비스 계층 리소스 관리
CN106411528B (zh) * 2016-10-17 2019-06-14 重庆邮电大学 一种基于隐式证书的轻量级认证密钥协商方法
EP3402118A1 (en) * 2017-05-10 2018-11-14 Koninklijke Philips N.V. Key agreement devices and method
CN107360571B (zh) * 2017-09-08 2020-09-01 哈尔滨工业大学深圳研究生院 在移动网络中的匿名相互认证和密钥协商协议的方法
CN107919956B (zh) * 2018-01-04 2020-09-22 重庆邮电大学 一种面向物联网云环境下端到端安全保障方法

Also Published As

Publication number Publication date
CN111885058A (zh) 2020-11-03

Similar Documents

Publication Publication Date Title
CN111885058B (zh) 物联网云中端到端智能设备通信的轻量级消息传递方法
CN110708170B (zh) 一种数据处理方法、装置以及计算机可读存储介质
CN109714167B (zh) 适用于移动应用签名的身份认证与密钥协商方法及设备
CN110380852B (zh) 双向认证方法及通信系统
WO2022021992A1 (zh) 一种基于NB-IoT通信的数据传输方法、系统及介质
CN107360571B (zh) 在移动网络中的匿名相互认证和密钥协商协议的方法
US9531540B2 (en) Secure token-based signature schemes using look-up tables
US11636478B2 (en) Method of performing authentication for a transaction and a system thereof
KR20120099649A (ko) 저-지연 피어 세션 구축
JP2009529832A (ja) 発見不可能、即ち、ブラック・データを使用するセキュアなデータ通信
CN112351037B (zh) 用于安全通信的信息处理方法及装置
GB2434724A (en) Secure transactions using authentication tokens based on a device "fingerprint" derived from its physical parameters
CN111130798B (zh) 一种请求鉴权方法及相关设备
US11070537B2 (en) Stateless method for securing and authenticating a telecommunication
CN110020524A (zh) 一种基于智能卡的双向认证方法
CN109272314B (zh) 一种基于两方协同签名计算的安全通信方法及系统
CN110690969B (zh) 一种多方协同完成双向ssl/tls认证的方法和系统
US20240106633A1 (en) Account opening methods, systems, and apparatuses
CN111191262B (zh) 一种基于两方签名的区块链钱包客户端私钥保护方法
JP2004194196A (ja) パケット通信認証システム、通信制御装置及び通信端末
CN115801287A (zh) 签名认证方法和装置
JP5932709B2 (ja) 送信側装置および受信側装置
Gupta et al. Security mechanisms of Internet of things (IoT) for reliable communication: a comparative review
Al Sibahee et al. Towards Iris-Based Authentication for Smart Devices in the Cloud
CN114257589B (zh) 基于IoT云的轻量级数据通信方法、装置及可读介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant