CN112423276A - 用于物联网的加密通信系统以及方法 - Google Patents
用于物联网的加密通信系统以及方法 Download PDFInfo
- Publication number
- CN112423276A CN112423276A CN202011387644.2A CN202011387644A CN112423276A CN 112423276 A CN112423276 A CN 112423276A CN 202011387644 A CN202011387644 A CN 202011387644A CN 112423276 A CN112423276 A CN 112423276A
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- platform
- sim card
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 80
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000003860 storage Methods 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 10
- 230000007246 mechanism Effects 0.000 claims description 5
- 238000012546 transfer Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 21
- 230000008569 process Effects 0.000 description 17
- 238000005516 engineering process Methods 0.000 description 12
- 238000011161 development Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 230000005611 electricity Effects 0.000 description 5
- 230000015654 memory Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- -1 electricity Substances 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000009365 direct transmission Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000010438 heat treatment Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000009430 construction management Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011438 discrete method Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000011423 initialization method Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开涉及用于物联网的加密通信系统以及方法,该加密通信方法在用于物联网的加密通信系统中使用,加密通信系统包括物联网设备、终端设备即手机、NB平台以及至少具备业务应用服务器及物盾服务器的应用云平台,该加密通信方法包括:在所述物联网设备中,使用运营商的SIM卡作为安全模块SE,通过NB模组与SIM卡的AT+APDU指令实现消息的加密上行;所述NB平台在接收到从所述物联网设备上报的消息时,将所述消息通过https协议订阅到北向的业务应用服务器;以及所述业务应用服务器在接收到消息时调用物盾服务器,获取所述所述物联网设备对应的公钥对所述消息进行验签解密。
Description
技术领域
本公开总体上涉及物联网应用安全技术领域,更具体地涉及一种用于物联网的加密通信系统以及方法。
背景技术
近年来,物联网(The Internet of Things,IoT)技术作为新一代信息技术的重要组成部分得到广泛深入的发展。物联网基于互联网、传统电信网等信息承载体,让所有能够被独立寻址的普通物理对象形成互联互通的网络。根据物联网技术,将各种信息传感设备与互联网结合起来而形成的一个巨大网络,实现在任何时间、任何地点,人、机、物的互联互通。其中,窄带物联网(Narrow Band Internet of Things,NB-IoT)为物联网的重要分支。作为IoT领域的新兴技术,窄带物联网NB-IoT构建于蜂窝网络,仅消耗约180kHz带宽,可直接部署于GSM网络、UMTS网络或LTE网络,支持低功耗设备在广域网的蜂窝数据连接,也被叫作低功耗广域网(LPWAN)。NB-IoT支持待机时间长、对网络连接要求较高设备的高效连接,同时还能提供非常全面的室内蜂窝数据连接覆盖。
在窄带物联网NB-IoT的应用领域,有大量的融合物联网及移动互联网的应用场景。在例如智慧城市、智慧家居等涉及水电气暖等城市基础设施的应用场景中,智能电表、智能水表等物联网智能设备及其应用平台不断普及和发展。在信息安全及加密传输方面,根据现有技术,公钥基础设施(PKI,Public Key Infrastructure)是被传统互联网及移动互联网广泛采用的安全基础平台的技术和规范。然而在当前的窄带物联网NB-IoT领域,尤其在物联网+手机+云端应用服务器的场景下,PKI中的认证及证书体系、SSL等安全协议无法满足NB-IoT低带宽、低能耗的要求。例如,PKI证书体系中证书超过500字节,而NB消息包不能超过500字节,无法使用PKI的证书体系。因此,在窄带物联网NB-IoT的应用领域,为了解决上述PKI证书体系无法适用的问题,急需相应的安全技术平台及应用规范作为解决方案。
发明内容
在下文中给出了关于本公开的简要概述,以便提供关于本公开的一些方面的基本理解。但是,应当理解,这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分,也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念,以此作为稍后给出的更详细描述的前序。
为了解决上述技术问题,根据本公开的一个方面,提供一种用于物联网的加密通信系统,该加密通信系统可以包括:终端设备(以下有时简称为“终端”、“设备”等),至少包括作为南向设备的一个以上的物联网设备、以及用户使用的一个以上的移动终端即手机;NB平台(即“窄带物联网NB-IoT平台”,本文为方便起见有时简称为“NB平台”或“NB-IoT平台”),被配置为至少提供连接管理服务和消息订阅服务;以及应用云平台,至少包括作为北向应用服务器的业务应用服务器以及作为物盾平台的物盾服务器,其中,所述一个以上的物联网设备中的每个物联网设备具备:主控MCU(Microcontroller Unit,微控制单元)(本文有时也称为“MCU”、“终端MCU”等);NB模组(本文有时也称为“模组”或“通信模组”等),作为通信模组,被配置为将物联网设备的数据打包为消息发送至所述NB平台;以及运营商的SIM卡,作为安全模块(Secure Element,SE),被配置为进行非对称分割密钥的存储保护,通过复用运营商的SIM卡的管理体系,来对物联网设备的公私钥进行离散,使用SIM卡ID即ICCID作为密钥对标识ID,对安全模块的公私钥进行密钥管理,其中,物联网设备的NB模组在注册至NB平台后,获取对应的物联网设备的SIM卡的初始化注册状态,在尚未初始化注册的情况下,启动注册流程,通过采用ICCID对物联网设备进行自助密钥及设备注册,将设备ICCID、NB模组ID自动绑定消息上传注册。
根据本公开的另一个方面,提供一种用于物联网的加密通信方法,在用于物联网的加密通信系统中使用,该物联网系统至少包括作为南向设备的一个以上的物联网设备、用户使用的一个以上的终端设备即手机、NB平台、以及应用云平台,该应用云平台至少具备作为北向应用服务器的业务应用服务器以及作为物盾平台的物盾服务器,所述加密通信方法包括:数据加密上行步骤,在所述物联网设备中,使用运营商的SIM卡作为安全模块SE,通过NB模组与SIM卡的AT+APDU指令实现消息的加密上行;加密数据中转步骤,所述NB平台在接收到从所述物联网设备上报的消息时,将所述消息通过https协议订阅到北向的业务应用服务器;以及验签解密步骤,所述业务应用服务器在接收到所述消息时调用物盾服务器,获取所述所述物联网设备对应的公钥对所述消息进行验签解密。
根据本公开的又一个方面,提供一种计算机可读存储介质,其包括计算机可执行指令,所述计算机可执行指令在由一个或多个处理器执行时,使得所述一个或多个处理器执行根据本公开的上述方面所述的用于物联网的加密通信方法。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更清楚地理解本公开,其中:
图1示出了根据本公开的实施例的用于物联网的加密通信系统100的示例性示意图;
图2示出了根据本公开的实施例的用于物联网的加密通信系统100的逻辑结构200的示例性框图;
图3示出了在根据本公开的实施例的用于物联网的加密通信系统100中https会话建立流程的具体实施过程的示例;
图4示出了在根据本公开的实施例的用于物联网的加密通信系统100中密钥初始化的具体实施过程的示例;
图5示出了根据本公开的实施例的用于物联网的加密通信方法500的示例性流程图;
图6示出了根据本公开的实施例的用于物联网的加密通信方法中的数据加密上行步骤的具体实施过程的示例;
图7示出了根据本公开的实施例的用于物联网的加密通信方法中的北向应用服务器下行指令处理流程的具体实施过程的示例。
具体实施方式
参考附图进行以下详细描述,并且提供以下详细描述以帮助全面理解本公开的各种示例实施例。以下描述包括各种细节以帮助理解,但是这些细节仅被认为是示例,而不是为了限制本公开,本公开是由随附权利要求及其等同内容限定的。在以下描述中使用的词语和短语仅用于能够清楚一致地理解本公开。另外,为了清楚和简洁起见,可能省略了对公知的结构、功能和配置的描述。本领域普通技术人员将认识到,在不脱离本公开的精神和范围的情况下,可以对本文描述的示例进行各种改变和修改。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,而在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。本公开内容的技术能够应用于各种产品。
为便于理解和说明,作为根据本公开的实施例的用于物联网的加密通信系统以及方法主要以窄带物联网NB-IoT领域、尤其是物联网+手机+云端应用服务器的场景为主进行说明,但这不是限制性的,而是可以应用于其它任意合适的场景。以下主要以水电气暖等城市基础设施的应用场景中的智能设备作为物联网设备的例子,但这也不是限制性的,而是可以应用于其它任意合适的物联网设备和系统,如智能停车、智慧物流、车联网、智慧家庭、智能楼宇解决方案等。
为方便起见,以下有时将窄带物联网NB-IoT简称为“NB”,例如将NB-IoT物联网平台简称为“NB平台”,有时将例如NB-IoT物联网设备的通信模组简称为“NB模组”等;以下有时将物联网设备简称为“终端”。
以下,首先对根据本公开的实施例的用于物联网的加密通信系统的整体结构进行说明。图1示出了根据本公开的实施例的用于物联网的加密通信系统100的示例性示意图。该用于物联网的加密通信系统100主要包括:终端设备110,至少包括作为南向设备的一个以上的物联网设备111、以及用户使用的一个以上的移动终端即手机112;NB平台120,被配置为通过连接管理服务模块121来提供连接管理服务,通过例如消息订阅服务模块122来提供消息订阅服务;以及应用云平台130,至少包括作为北向应用服务器的业务应用服务器131(以下对应于“业务平台”)以及作为物盾平台的物盾服务器132(以下对应于“物联网安全盾后台”即物盾平台),该业务应用服务器131提供作为具体业务应用的服务,例如水电气暖的相关业务,该物盾服务器132作为物联网盾后台,为终端设备110等提供安全加密相关的服务。此外,该应用云平台130还可以包括例如账务服务器133、报销服务器134等子服务平台,以及用于整体数据存储的云数据库135等其它各类子平台。为方便起见,图1中仅示出了单个手机112作为用户使用的移动终端的例子,但本领域技术人员可以理解这里的手机112可以不限于1个而是有多个,并且当然可以使用例如平板计算机、个人数据助手(PDA)、智能终端等其它具有类似数据处理和通信功能的设备代替此处的手机112。
根据本公开的实施例,对于例如窄带物联网领域难以在安全加密通信中直接套用传统的PKI证书体系的问题,提出了针对物联网+手机+云端应用服务器这三端设备的加密应用中密钥的离散、初始化、加解密、签名、验签、密钥销毁的处置流程及方法,以及包含物联网应用高速码流认证加密及窄带消息加解密的融合方案。
为了确保在NB-IoT应用中降低部署成本、实现平滑升级,根据本公开的实施例的用于物联网的加密通信系统100,相比于传统PKI在PC互联网中的应用,在例如移动互联网+物联网+云应用的融合场景下,首先对于PKI证书分发认证体系(认证中心CA(CertificateAuthority)),在NB-IoT的北向应用的安全认证中仍然采用保留。使用该技术便于完成北向云应用对运营商AEP(Application Enablement Platform,应用支持平台)等消息平台的消息安全订阅等。
另一方面,针对NB-IoT应用中的例如南向水电气热表等窄带应用场景,在根据本公开的实施例的用于物联网的加密通信系统100中,作为南向设备的物联网设备111,例如水电气表等,可以使用运营商的SIM卡作为密钥安全模块SE来进行非对称分割密钥的存储保护,以替代传统的PKI方案。在使用例如中国电信的SIM卡的情况下,该SIM卡可以是UIM(User Identity Model,用户识别模块)卡。
更具体而言,针对硬件加密SE,当前主流有三种SE部署方案:第一种是MCU加载单独的SE;第二种是MCU加载智能卡中的SE,即本公开的实施例中采用的方案;第三种是通信模组中增加SE及配套API-SDK(Application Programming Interface-SoftwareDevelopment Kit,应用程序接口-软件开发工具包)。
关于方案一,需要设备商及集成商进行较多开发集成工作,设备商需要调试电器接口,集成商要联调对应的API及SDK。
关于方案二,原有设备开发商已经完成了UART(Universal AsynchronousReceiver/Transmitter,通用异步收发传输器)等MCU到通信模组的电器开发联调,因为所有设备都是要通过NB-IoT、LTE承载网进行通信,所以这些都是必备的成熟模块及技术,SE内置到SIM卡中,省去了电器改造和开发。对于集成商来说,上行数据通过一条AT指令就实现了签字加密,下行数据默认通过通信模组和SIM卡实现安全验签及解密,MCU即可得到验签解密后的消息。设备开发商只需要专注进行设备防拆、断电关阀、断电自毁保护等开发即可。这就大大降低了设备商和集成商的升级改造的工作量和成本。
关于方案三,集成商和设备开发商的开发量基本等同于方案二,如果产量足够的情况下总体成本有可能比方案二略低。但方案三额外要求模组厂商开发统一的型号,这对于在不要求高安全性的应用初期研发及市场开拓阶段,会导致成本升高。
本申请的发明人经过综合研究,选择上述方案二作为针对NB-IoT应用中的例如南向窄带应用场景下的安全加密通信方案。通过将基于运营商及金融领域广泛采用的较为成熟智能卡(IC)作为SE安全模块载体,既保证了设备使用高安全级别低成本的单独物理密钥封装,又复用了运营商的密钥离散管理流程,同时还复用模组SIM卡机卡通路,大大降低了设备商的硬件设计联调开发的工作量,降低了SE初始化部署成本,并且提高了系统可靠性。
以下参照图2,对本公开的实施例的用于物联网的加密通信系统100进行进一步说明。图2是示出根据本公开的实施例的用于物联网的加密通信系统100的逻辑结构200的示例性框图。其中物联网设备111作为NB-IoT开发中的南向设备,例如可以是开发者自行开发的终端硬件设备,包括例如多个传感器(未图示)、主控MCU 210、NB模组220以及SIM卡230等。其中,NB模组220作为通信模组,可以被配置为将物联网设备111的数据打包为消息发送至指定平台,例如NB平台120。SIM(Subscriber Identity Module,用户识别模块)卡作为一种智能卡已在移动通信领域长期广泛使用,在根据本公开的实施例的用于物联网的加密通信系统中,使用运营商的SIM卡作为安全模块SE,进行非对称分割密钥的存储保护,通过复用运营商的SIM卡的管理体系,来对物联网设备的公私钥进行离散,使用SIM卡ID即ICCID(Integrate circuit card identity,集成电路卡识别码,即SIM卡卡号)作为密钥对标识ID,对安全模块的公私钥进行密钥管理。
在根据本公开的实施例的用于物联网的加密通信系统100中,优选地,针对高速码流的应用,在SIM卡230、NB模组220、NB平台120以及物盾平台132之间,在建立连接的握手时的会话密钥使用基于所述SIM卡230的安全机制。
具体而言,图3示出了在根据本公开的实施例的用于物联网的加密通信系统100中https会话建立流程的具体实施过程的示例。由图3的流程可见,在正式认证前先进行非对称认证,通过SIM卡230内的非对称密钥和服务器的非对称密钥进行鉴权。鉴权成功后由物联网安全盾平台(物盾平台)132通过数字信封技术将ca、cer文件、key文件下发给路由器(对应于“模组及MCU”,即NB模组220及主控MCU 210)。每次路由建立连接前进行ca、cer、key文件的更新。具体而言,在图3中的第3步之后,业务平台131生成临时公钥,调用物盾平台132使用卡公钥加密临时公钥返回密文及签名给业务平台131。业务平台131将密文给例如路由器(模组及MCU)。路由器(模组及MCU)调用SIM卡230验签解密,将解密明文给路由器(模组及MCU)。
其中,在步骤11、12中,路由器(模组及MCU)产生https会话的临时公钥,并使用(调用SIM接口)物盾平台132的公钥加密,上传业务平台131。业务平台131验签解密。由此,建立会话完成。
其中,在SIM卡230上预置有物盾平台132的公钥,另外SIM卡230有自身的公钥和私钥,即卡公钥和卡私钥;在物联网设备111上会生成临时的一次性公钥和私钥,称之为设备公钥和设备私钥;业务平台131会生成临时的一次性公钥和私钥,称之为业务平台131公钥和私钥;物盾平台132上保存有卡的公钥以及物盾平台132自身的公钥和私钥,称之为物盾公钥和私钥。
可见,在根据本公开的实施例的用于物联网的加密通信系统100中,建立连接的握手时的会话密钥用根据本公开的实施例的基于SIM卡230的安全机制来保证传递过程不被攻击。由此,部署时不用放证书或密钥在物联网终端111,也能实现每个物联网终端一个不同的密钥,并且不增加额外的成本。在会话密钥安全交换完毕之后,后续的安全流程仍然遵循业内规范,如TLS、HTTPS等规范。由此,对协议的改造小,兼容性好。
接下来,对根据本公开的实施例的用于物联网的加密通信系统100中密钥的初始化进行说明。图4示出了在根据本公开的实施例的用于物联网的加密通信系统100中密钥初始化的具体实施过程的示例。
在根据本公开的实施例的用于物联网的加密通信系统100中,使用运营商的SIM卡230作为安全模块SE,进行非对称分割密钥的存储保护,通过复用运营商的SIM卡230的管理体系,来对物联网设备111的公私钥进行离散;使用SIM卡ID即ICCID作为密钥对标识ID,对安全模块SE的公私钥进行密钥管理。
在图4的密钥初始化流程中,例如,在SIM卡生产线初始化原始对称密钥K1、K1时,使用第一组0348密钥进行SM3 HASH,取前16个字节,并将对称密钥由线下文件的方式发送给物盾平台132。其中,线下文件例如为txt格式,文件每一行格式为:ICCID[20位]K1[32位]。终端MCU 210在需要发送数据时,NB模组220读取SIM卡230的注册状态,如未注册,则NB模组220重新发起SIM卡初始化注册流程。在整个密钥初始化流程中,由于SIM卡出厂时与物盾平台132不能在线交互,所以物盾平台132(即后台管理系统)增加了导入SIM卡ICCID和K1的功能。
在图4的密钥初始化流程中,在其中的步骤15中,当在使用中国电信UIM卡作为运营商的SIM卡230的情况下,发送的参数在通用规范的基础上增加了MEID(MobileEquipment Identifier,移动设备识别码)。在步骤17中,在物盾平台132与NB平台120之间使用Coap(Constrained Application Protocol,受限应用协议)协议进行通信,物盾平台132提供https服务。在步骤21中,物盾平台132返回指令到NB平台120,其中NB平台120提供下行指令接口文档给物盾平台132。
在根据本公开的实施例的用于物联网的加密通信系统100中,采用ICCID对物联网设备111进行自助密钥及设备注册。根据图4的密钥初始化流程,物联网设备的NB模组220在注册至NB平台120后,获取对应的物联网设备111的SIM卡230的初始化注册状态,在尚未初始化注册的情况下,启动注册流程,通过采用ICCID对物联网设备111进行自助密钥及设备注册,将设备ICCID、NB模组ID自动绑定消息上传注册。由此,通过将设备ICCID、模组ID的自动绑定消息上传注册,能够协助集成商及最终用户实现模组220、SIM卡230等密钥管理对象的自助绑定。由此,大大简化了项目施工管理流程,有利于协助集成商和客户完成设备商的机械制造部分、电路贴片厂家的电路制作部分、集成商后台终端、卡、密钥id等数据管理流程的最终上线前整合。
在根据本公开的实施例的用于物联网的加密通信系统100中,优选地,作为移动终端的手机112的移动应用兼容Android-TEE标准及IOS-touchid标准。由此,使用SIM卡ICCID作为密钥id与云服务进行密钥id注册、加解密认证使用,能够便于统一ID进行设备用户管理。
在根据本公开的实施例的用于物联网的加密通信系统100中,为了进一步提高安全性,所述SIM卡230中具备用于防止重放攻击的计数器。进行加密通信中的安全算法采用多种国密算法,其中非对称加解密、签名验签使用SM2,对称加解密使用SM4,其中SM2密钥长度为256比特,SM4密钥长度为128比特。具体如下:
SM2生成公私钥对:使用ALG_SM2_FP=127,keyLength=256算法参数生成公私钥对;
SM2加解密:使用ALG_SM2_WITH_SM3_NOPAD=0xA1算法加解密数据;
SM2签名:使用ALG_SM2_SM3_256=0xA1算法计算签名;
SM4加解密:使用的ALG_SM4_CBC_NOPAD=0x89、LENGTH_SM4=128算法加解密数据;
SM4签名:使用ALG_SM4_MAC8_PKCS5=0x90、LENGTH_SM4=128算法计算MAC。
在根据本公开的实施例的用于物联网的加密通信系统100中,优选地,在所述物联网设备111中,通过NB模组220与SIM卡230的AT+APDU指令实现消息的加密上报;所述NB平台120在接收到从所述物联网设备111上报的消息时,将所述消息通过https协议订阅到所述业务应用服务器131,所述业务应用服务器131在接收到所述消息时调用物盾服务器132,获取所述所述物联网设备111对应的公钥对所述消息进行验签解密。
根据本公开的实施例的用于物联网的加密通信系统100中,有机融合了云+手机+物联网设备这三端的应用的密钥分发管理方法。针对NB-IoT、4G/5G高速应用、手机、云应用均采用了统一的密钥分发隔离管理方法。实现了通过一套后台管理系统支持手机、物联网设备、云应用三端的统一管理。
接下来,对根据本公开的实施例的用于物联网的加密通信方法进行说明。图5示出了根据本公开的实施例的用于物联网的加密通信方法500的示例性流程图。优选地,本实施例可在根据本公开的实施例的用于物联网的加密通信系统100中执行。该方法可以包括以下步骤:
数据加密上行步骤S510:在物联网设备111中,使用运营商的SIM卡230作为安全模块SE,通过NB模组220与SIM卡230的AT+APDU指令实现消息的加密上行;
加密数据中转步骤S520:所述NB平台120在接收到从物联网设备111上报的消息时,将所述消息通过https协议订阅到北向的业务应用服务器131;以及
验签解密步骤S530:所述业务应用服务器131在接收到所述消息时调用物盾服务器132,获取所述所述物联网设备111对应的公钥对所述消息进行验签解密。
图6是示出根据本公开的实施例的用于物联网的加密通信方法中的数据加密上行步骤的具体实施过程的示例。其中,优选地,在南向上行加密认证流程中,物联网终端111可根据业务需求上传加密数据、非加密数据、混合数据。当上传加密数据时调用NB模组220的加密并发送接口,NB模组220处理完加密后直接发送;当上传非加密数据时调用NB模组220的直接发送接口,NB模组220不加密而直接发送;当上传混合数据时调用NB模组220的加密接口,NB模组220将加密数据返回给MCU 210,MCU 210再组合数据后调用NB模组220的直接发送接口。
优选地,NB模组220在通过SIM卡230获取加密数据的时候分如下两个步骤:第一步,调用SIM卡接口获取业务平台公钥P2加密数据D’;第二步,调用SIM卡230获取D’的MAC和SIM卡230签名。
优选地,业务平台131在收到物联网终端111的加密数据后,通过调用业务平台131集成的物盾平台132的SDK接口进行解密。
图7是示出根据本公开的实施例的用于物联网的加密通信方法中的北向应用服务器下行指令处理流程的具体实施过程的示例。其中,优选地,业务平台131可向物联网终端111下发加密指令、非加密指令。当下发加密指令时,业务平台131调用SDK接口进行加密,SDK连接物盾平台132进行加密;当下发非加密指令时,直接下发到终端MCU 210执行。终端MCU 210收到加密指令后,调用NB模组220的指令验证接口验证指令合法性。物盾平台132在进行指令加密的时候需要附加帧号用于防止重放攻击,在SIM卡230和物盾平台132中针对每个设备都记录帧号。当SIM卡230验证当前帧号小于等于记录帧号则判定为指令非法。其中,在图7的处理步骤中,如果为全秘文消息,则省略图7中的第6和第7步骤。
以下,对北向物盾平台132接口进行说明。表1示出了北向物盾平台132的示例性接口列表。
表1北向物盾平台132的示例性接口列表
以下对NB平台120的插件格式进行说明。
表2示出了NB平台的示例性帧格式定义。
| Flag(1Byte) | Type(1Byte) | iccId(20Byte) | Length(1Byte) | Xor(1Byte) | Payload(n Byte) |
表2 NB平台的示例性帧格式定义
其中,相关字段的含义如下:
Flag:标志字段,固定为7E,占用1个字节。
Type:数据类型指示字段,占用1个字节。
0x01:物盾平台132注册;
0x02:模组上传密文数据;
0x03:模组上传明文数据或者混合数据;
0x81:物盾平台132注册应答;
0x82:NB-IoT平台下发密文数据;
0x83:NB-IoT平台下发明文或者混合数据。
Length:数据长度指示字段,占用2个字节,表示Payload字段长度。
Xor:异或字段,占用1个字节,Payload字段异或。
具体地,以下对模组注册数据帧格式进行说明。
表2-1-1示出了模组发送注册数据帧的示例性格式。
| 7E | 01 | iccId(20Byte) | Length(2Byte) | Xor(1Byte) | Payload-实际注册数据(n Byte) |
表2-1-1模组发送注册数据帧。
其中,相关字段的含义如下:
Length:实际注册数据长度
Xor:实际注册数据异或校验
表2-1-2示出了物盾平台回复数据帧的示例性格式。
| 7E | 81 | Length(2Byte) | Xor(1Byte) | Payload-应答数据(n Byte) |
表2-1-2物盾平台回复数据帧
其中,相关字段的含义如下:
Length:应答数据长度
Xor:应答数据异或校验
其中,应答数据具体格式需与物盾平台132协商定义,或者模组不用关心详细的数据格式,接收到数据后,直接将Payload-应答数据发送给SIM卡230。
接下来对模组发送密文数据帧格式进行说明。
表2-2示出了模组发送密文数据帧。
| 7E | 02 | iccId(20Byte) | Length(2Byte) | Xor(1Byte) | Payload-密文数据(n Byte) |
表2-2模组发送密文数据帧
其中,相关字段的含义如下:
Length:密文数据长度
Xor:密文数据异或校验
接下来对模组发送明文或混合数据帧格式进行说明。
表2-3示出了模组发送明文或混合数据帧。
表2-3模组发送明文或混合数据帧
其中,相关字段的含义如下:
Length:明文或者混合数据长度
Xor:明文或者混合数据异或校验
接下来对NB-IoT平台下发密文数据帧格式进行说明。
表2-4示出了NB-IoT平台下发密文数据帧。
| 7E | 82 | Length(2Byte) | Xor(1Byte) | Payload-密文数据(n Byte) |
表2-4 NB-IoT平台下发密文数据帧
其中,相关字段的含义如下:
Length:密文数据长度
Xor:密文数据异或校验
其中,当模组220检测到平台下发的是密文数据的时候,模组220自动通过SIM卡230将密文转化为明文数据,然后通知或者输出给MCU 210。
接下来对NB-IoT平台下发明文或混合数据帧格式进行说明。
表2-5示出了NB-IoT平台下发明文或混合数据帧。
| 7E | 83 | Length(2Byte) | Xor(1Byte) | Payload-明文或者混合数据(n Byte) |
表2-5 NB-IoT平台下发明文或混合数据帧
其中,相关字段的含义如下:
Length:明文或者混合数据长度
Xor:明文或者混合数据异或校验
其中,当模组220检测到平台下发的是明文或者混合数据时,直接输出或通知MCU210。
优选的是,在根据本公开的实施例的用于物联网的加密通信方法500中,进行非对称分割密钥的存储保护,通过复用运营商的SIM卡的管理体系,来对物联网设备111的公私钥进行离散,使用SIM卡ID即ICCID作为密钥对标识ID,对安全模块的公私钥进行密钥管理;物联网设备111的NB模组220在注册至NB平台120后,获取对应的物联网设备111的SIM卡230的初始化注册状态,在尚未初始化注册的情况下,启动注册流程,通过采用ICCID对物联网设备111进行自助密钥及设备注册,将设备ICCID、NB模组ID自动绑定消息上传注册。
优选的是,针对高速码流的应用,在SIM卡230、NB模组220、NB平台120以及物盾平台132之间,在建立连接的握手时的会话密钥使用基于所述SIM卡230的安全机制。
优选的是,进行加密通信中的安全算法采用国密算法,非对称加解密、签名验签使用SM2,对称加解密使用SM4,其中SM2密钥长度为256比特,SM4密钥长度为128比特。
在根据本公开的实施例的用于物联网的加密通信系统和加密通信方法中,对于密钥采用了非对称方案,密钥不暴露性要好于现有技术的对称方案。相比于MCU+单独的SE的方案,在安全模块SE方面,本公开的方案的硬件成本低,开发成本对于集成商不需要额外的电器改动;在密钥管理方面,本公开充分利用了较为成熟的0348密钥离散管理体系,充分利用的现有IC成熟国密产品体系,大大提高了产品的可靠性。相对于目前市场上还未量产的模组内增加SE的方案,由于高安全要求不是NB-IoT发展初期的通用需求,所以本公开的方案通过更换卡片即可实现,灵活性较模组内增加SE的方案更佳。
根据本公开的实施例的用于物联网的加密通信系统和加密通信方法,通过采用通信模组+SIM卡230(AT+APDU指令)及NB插件自动设置ACK、密文明文混合的协议方案,利用SIM卡230作为SE(安全模块)的离散方法及密钥初始化方法,提供了在物联网系统中将手机、物联网设备、后端应用平台整合在一起的设备平台,提出了在高速应用会话握手使用SIM卡替代证书发放的方案,由此解决了窄带物联网NB-IoT的应用领域中PKI证书体系无法适用的问题,实现了完整的安全技术平台及应用规范作为解决方案。
本公开的实施例不仅可以适用于当前的4G/5G网络架构,也可以应用于任意通用的网络架构,例如现有的任意网络架构,或者未来通信系统的网络架构等。
本公开可以被实现为装置、系统、集成电路和非瞬时性计算机可读介质上的计算机程序的任何组合。可以将一个或多个处理器实现为执行本公开中描述的部分或全部功能的集成电路(IC)、专用集成电路(ASIC)或大规模集成电路(LSI)、系统LSI,超级LSI或超LSI组件。
本公开包括软件、应用程序、计算机程序或算法的使用。可以将软件、应用程序、计算机程序或算法存储在非瞬时性计算机可读介质上,以使诸如一个或多个处理器的计算机执行上述步骤和附图中描述的步骤。例如,一个或多个存储器以可执行指令存储软件或算法,并且一个或多个处理器可以关联执行该软件或算法的一组指令,以根据本公开中描述的实施例提供各种功能。
软件和计算机程序(也可以称为程序、软件应用程序、应用程序、组件或代码)包括用于可编程处理器的机器指令,并且可以以高级过程性语言、面向对象编程语言、功能性编程语言、逻辑编程语言或汇编语言或机器语言来实现。术语“计算机可读介质”是指用于向可编程数据处理器提供机器指令或数据的任何计算机程序产品、装置或设备,例如磁盘、光盘、固态存储设备、存储器和可编程逻辑设备(PLD),包括将机器指令作为计算机可读信号来接收的计算机可读介质。
举例来说,计算机可读介质可以包括动态随机存取存储器(DRAM)、随机存取存储器(RAM)、只读存储器(ROM)、电可擦只读存储器(EEPROM)、紧凑盘只读存储器(CD-ROM)或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或可以用于以指令或数据结构的形式携带或存储所需的计算机可读程序代码以及能够被通用或专用计算机或通用或专用处理器访问的任何其它介质。如本文中所使用的,磁盘或盘包括紧凑盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘和蓝光盘,其中磁盘通常以磁性方式复制数据,而盘则通过激光以光学方式复制数据。上述的组合也包括在计算机可读介质的范围内。
提供本公开的主题作为用于执行本公开中描述的特征的装置、系统、方法和程序的示例。但是,除了上述特征之外,还可以预期其它特征或变型。可以预期的是,可以用可能代替任何上述实现的技术的任何新出现的技术来完成本公开的部件和功能的实现。
另外,以上描述提供了示例,而不限制权利要求中阐述的范围、适用性或配置。在不脱离本公开的精神和范围的情况下,可以对所讨论的元件的功能和布置进行改变。各种实施例可以适当地省略、替代或添加各种过程或部件。例如,关于某些实施例描述的特征可以在其它实施例中被结合。
另外,在本公开的描述中,术语“第一”、“第二”、“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性和顺序。
类似地,虽然在附图中以特定次序描绘了操作,但是这不应该被理解为要求以所示的特定次序或者以顺序次序执行这样的操作,或者要求执行所有图示的操作以实现所希望的结果。在某些情况下,多任务处理和并行处理可以是有利的。
Claims (10)
1.一种用于物联网的加密通信系统,包括:
终端设备,至少包括作为南向设备的一个以上的物联网设备、以及用户使用的一个以上的移动终端即手机;
NB平台,被配置为至少提供连接管理服务和消息订阅服务;以及
应用云平台,至少包括作为北向应用服务器的业务应用服务器以及作为物盾平台的物盾服务器,其中,
所述一个以上的物联网设备中的每个物联网设备具备:
主控MCU;
NB模组,作为通信模组,被配置为将物联网设备的数据打包为消息发送至所述NB平台;以及
运营商的SIM卡,作为安全模块SE,被配置为进行非对称分割密钥的存储保护,通过复用运营商的SIM卡的管理体系,来对物联网设备的公私钥进行离散,使用SIM卡ID即ICCID作为密钥对标识ID,对安全模块的公私钥进行密钥管理,
物联网设备的NB模组在注册至NB平台后,获取对应的物联网设备的SIM卡的初始化注册状态,在尚未初始化注册的情况下,启动注册流程,通过采用ICCID对物联网设备进行自助密钥及设备注册,将设备ICCID、NB模组ID自动绑定消息上传注册。
2.根据权利要求1所述的加密通信系统,其中,
针对高速码流的应用,在SIM卡、NB模组、NB平台以及物盾平台之间,在建立连接的握手时的会话密钥使用基于所述SIM卡的安全机制。
3.根据权利要求1所述的加密通信系统,其中,
作为移动终端的手机的移动应用兼容Android-TEE标准及IOS-touchid标准。
4.根据权利要求1所述的加密通信系统,其中,
在所述SIM卡中具备用于防止重放攻击的计数器。
5.根据权利要求1所述的加密通信系统,其中,
在所述物联网设备中,通过NB模组与SIM卡的AT+APDU指令实现消息的加密上报,
所述NB平台在接收到从所述物联网设备上报的消息时,将所述消息通过https协议订阅到所述业务应用服务器,
所述业务应用服务器在接收到所述消息时调用物盾服务器,获取所述所述物联网设备对应的公钥对所述消息进行验签解密。
6.一种用于物联网的加密通信方法,在用于物联网的加密通信系统中使用,该加密通信系统至少包括作为南向设备的一个以上的物联网设备、用户使用的一个以上的终端设备即手机、NB平台、以及应用云平台,该应用云平台至少具备作为北向应用服务器的业务应用服务器以及作为物盾平台的物盾服务器,所述加密通信方法包括:
数据加密上行步骤,在所述物联网设备中,使用运营商的SIM卡作为安全模块SE,通过NB模组与SIM卡的AT+APDU指令实现消息的加密上行;
加密数据中转步骤,所述NB平台在接收到从所述物联网设备上报的消息时,将所述消息通过https协议订阅到北向的业务应用服务器;以及
验签解密步骤,所述业务应用服务器在接收到所述消息时调用物盾服务器,获取所述所述物联网设备对应的公钥对所述消息进行验签解密。
7.根据权利要求6所述的加密通信方法,其中,
进行非对称分割密钥的存储保护,通过复用运营商的SIM卡的管理体系,来对物联网设备的公私钥进行离散,使用SIM卡ID即ICCID作为密钥对标识ID,对安全模块的公私钥进行密钥管理,
物联网设备的NB模组在注册至NB平台后,获取对应的物联网设备的SIM卡的初始化注册状态,在尚未初始化注册的情况下,启动注册流程,通过采用ICCID对物联网设备进行自助密钥及设备注册,将设备ICCID、NB模组ID自动绑定消息上传注册。
8.根据权利要求6所述的加密通信方法,其中,
针对高速码流的应用,在SIM卡、NB模组、NB平台以及物盾平台之间,在建立连接的握手时的会话密钥使用基于所述SIM卡的安全机制。
9.根据权利要求6所述的加密通信方法,其中,
进行加密通信中的安全算法采用国密算法,非对称加解密、签名验签使用SM2,对称加解密使用SM4,
其中SM2密钥长度为256比特,SM4密钥长度为128比特。
10.一种计算机可读存储介质,包括计算机可执行指令,所述计算机可执行指令在由一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求6~9所述的加密通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011387644.2A CN112423276A (zh) | 2020-12-02 | 2020-12-02 | 用于物联网的加密通信系统以及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011387644.2A CN112423276A (zh) | 2020-12-02 | 2020-12-02 | 用于物联网的加密通信系统以及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112423276A true CN112423276A (zh) | 2021-02-26 |
Family
ID=74829431
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011387644.2A Pending CN112423276A (zh) | 2020-12-02 | 2020-12-02 | 用于物联网的加密通信系统以及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112423276A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115734211A (zh) * | 2021-08-30 | 2023-03-03 | 中移物联网有限公司 | 一种标识解析方法和系统,及存储介质 |
| CN115955318A (zh) * | 2023-03-13 | 2023-04-11 | 移动广播与信息服务产业创新研究院(武汉)有限公司 | 物联网系统的可信指令预警装置、方法、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107431876A (zh) * | 2015-03-30 | 2017-12-01 | 阿费罗有限公司 | 用于中间装置数据收集的设备和方法 |
| CN107431645A (zh) * | 2015-03-31 | 2017-12-01 | 阿费罗有限公司 | 用于自动无线网络认证的系统和方法 |
| CN108012268A (zh) * | 2017-12-08 | 2018-05-08 | 北京虎符信息技术有限公司 | 一种手机终端SIM卡及安全使用App的方法、介质 |
| US20190342275A1 (en) * | 2018-05-03 | 2019-11-07 | Honeywell International Inc. | Systems and methods for encrypted vehicle data service exchanges |
-
2020
- 2020-12-02 CN CN202011387644.2A patent/CN112423276A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107431876A (zh) * | 2015-03-30 | 2017-12-01 | 阿费罗有限公司 | 用于中间装置数据收集的设备和方法 |
| CN107431645A (zh) * | 2015-03-31 | 2017-12-01 | 阿费罗有限公司 | 用于自动无线网络认证的系统和方法 |
| CN108012268A (zh) * | 2017-12-08 | 2018-05-08 | 北京虎符信息技术有限公司 | 一种手机终端SIM卡及安全使用App的方法、介质 |
| US20190342275A1 (en) * | 2018-05-03 | 2019-11-07 | Honeywell International Inc. | Systems and methods for encrypted vehicle data service exchanges |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115734211A (zh) * | 2021-08-30 | 2023-03-03 | 中移物联网有限公司 | 一种标识解析方法和系统,及存储介质 |
| CN115955318A (zh) * | 2023-03-13 | 2023-04-11 | 移动广播与信息服务产业创新研究院(武汉)有限公司 | 物联网系统的可信指令预警装置、方法、设备及存储介质 |
| CN115955318B (zh) * | 2023-03-13 | 2023-05-23 | 移动广播与信息服务产业创新研究院(武汉)有限公司 | 物联网系统的可信指令预警装置、方法、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109041052B (zh) | 一种基于标识算法的安全通信方法及系统 | |
| KR101954450B1 (ko) | 내장 uicc의 인증정보를 이용한 인증방법과, 그를 이용한 프로비저닝 및 mno 변경 방법, 그를 위한 내장 uicc, mno 시스템 및 기록매체 | |
| US8307202B2 (en) | Methods and systems for using PKCS registration on mobile environment | |
| GB2384402A (en) | Secure data transmission links | |
| US11218873B2 (en) | Communication system and method | |
| GB2384403A (en) | Establishing secure data transmission links using the Diffie-Hellman key exchange protocol and public key cryptography | |
| KR20130049726A (ko) | 신뢰관계 형성 방법 및 이를 위한 내장 uⅰcc | |
| US20150128243A1 (en) | Method of authenticating a device and encrypting data transmitted between the device and a server | |
| KR20080104180A (ko) | Sim 기반 인증방법 | |
| JP2005515701A6 (ja) | データ伝送リンク | |
| CN111600854A (zh) | 智能终端与服务端建立安全通道的方法 | |
| CN111865870B (zh) | 一种参数发送方法及装置 | |
| CN101742504A (zh) | 利用短信息进行身份认证的方法 | |
| KR20040065466A (ko) | 근거리 통신 장치를 구비한 복합 이동 통신 단말의 보안통신 시스템 및 방법 | |
| CN112994873B (zh) | 一种证书申请方法及设备 | |
| CN112423276A (zh) | 用于物联网的加密通信系统以及方法 | |
| CN105376059A (zh) | 基于电子钥匙进行应用签名的方法和系统 | |
| Urien | Introducing TLS/DTLS secure access modules for IoT frameworks: concepts and experiments | |
| CN115567209A (zh) | 采用透明代理和量子密钥预充注实现VoIP加解密方法 | |
| CN101557588B (zh) | 一种用户证书的管理及使用方法及移动终端 | |
| KR101443161B1 (ko) | 능력 정보를 이용한 내장형 범용 아이씨카드의 프로파일 프로비저닝 방법 및 이를 위한 이동통신 단말기 | |
| CN113132976B (zh) | 一种分布式无线通信配电网差动保护方法及系统 | |
| JP2024054260A (ja) | 耐量子simカード | |
| CN104796891A (zh) | 一种利用运营商网络实现安全认证系统及相应的方法 | |
| CN117118628A (zh) | 电力物联网轻量级身份认证方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |