CN112491825B - 一种安全的物联网系统实现方法 - Google Patents

一种安全的物联网系统实现方法 Download PDF

Info

Publication number
CN112491825B
CN112491825B CN202011268051.4A CN202011268051A CN112491825B CN 112491825 B CN112491825 B CN 112491825B CN 202011268051 A CN202011268051 A CN 202011268051A CN 112491825 B CN112491825 B CN 112491825B
Authority
CN
China
Prior art keywords
message
encrypted
node
access node
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011268051.4A
Other languages
English (en)
Other versions
CN112491825A (zh
Inventor
王晓喃
王兴伟
蔡少豪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nurma Information Technology Shanghai Co ltd
Shanghai Deyun Optical & Electricity Technical Co ltd
Original Assignee
Changshu Institute of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changshu Institute of Technology filed Critical Changshu Institute of Technology
Priority to CN202011268051.4A priority Critical patent/CN112491825B/zh
Publication of CN112491825A publication Critical patent/CN112491825A/zh
Application granted granted Critical
Publication of CN112491825B publication Critical patent/CN112491825B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种安全的物联网系统实现方法,所述物联网系统包括接入节点和节点;一种类型的数据由一个名称唯一标识;有权限访问一种以上类型数据的节点构成一个组,一个组由一个组ID唯一标识,构成组的节点称为组成员;一个节点与一个接入节点链接;一个接入节点链接与一个以上的节点链接。用户通过本发明所提供的一种安全的物联网系统实现方法能够快速安全地获取数据,本发明有效降低了数据获取的延迟和代价,从而有效提高网络服务性能。本发明可应用于智能医疗,智能监测、智能车联网等领域,具有广泛的应用前景。

Description

一种安全的物联网系统实现方法
技术领域
本发明涉及一种系统实现系统,尤其涉及的是一种安全的物联网系统实现方法。
背景技术
物联网具有结构紧凑、易于布置、易于维护、价格便宜、测量精度高等优点,非常适合环境监测。近年来,国内外研究人员对基于物联网的安全系统进行了相关研究,并取得了一定的研究成果。但是目前基于物联网的安全系统具有一点过的局限性,因此代价和延迟较大。如何降低安全的物联网系统延迟成为近年来研究的热点问题。
发明内容
发明目的:本发明所要解决的技术问题是针对现有技术的不足,提供一种安全的物联网系统实现方法。
技术方案:本发明公开了一种安全的物联网系统实现方法,所述物联网系统包括接入节点和节点;一种类型的数据由一个名称唯一标识;有权限访问一种以上类型数据的节点构成一个组,一个组由一个组ID唯一标识,构成组的节点称为组成员;一个节点与一个接入节点链接;一个接入节点链接与一个以上的节点链接;
每个接入节点的公钥和私钥由第三方认证数据中心计算机保存并签发,接入节点向第三方认证数据中心计算机进行注册时获取自己的公钥和私钥,以及对应的非对称加密非对称加密算法AEA0和对称加密对称加密算法SEA0;AEA0可以是RSA加密算法,SEA0可以是高级加密标准(英语:Advanced Encryption Standard,缩写:AES);
每个接入节点保存一个组表,一个组表项由组ID和名称集合构成;
每个接入节点向第三方认证数据中心计算机进行注册时同时获取所有组的组ID,以及每个组组成员所能访问的所有数据的名称的集合;对于每个组ID GID0,该接入节点创建一个组表项,该组表项的组ID等于该组ID GID0,名称集合等于该组成员所能访问的所有数据的名称的集合;
每个组成员具有一个公钥和私钥;每个组成员向第三方认证数据中心计算机进行注册时获取自己的公钥和私钥,以及对应的非对称加密算法AEA0和对称加密算法SEA0,同时每个组成员也获取所在组的所有组成员的公钥的集合以及所链接的接入节点的公钥;
一个消息由消息类型定义,如下所示:
消息类型的值 消息名称
1 验证消息
2 验证响应消息
3 秘钥消息
4 发布消息
5 请求消息
6 响应消息
一个节点或者接入节点保存一个消息表,一个消息表项包含消息类型和加密消息类型;
对于每个消息类型T0,接入节点利用它的公钥和非对称加密算法AEA0加密消息类型T0得到加密后的消息类型ET0,并创建一个消息表项,该消息表项的消息类型为T0,加密消息类型为ET0;
对于每个消息类型T00,节点通过链接的接入节点的公钥和非对称加密算法AEA0加密消息类型T00得到加密后的消息类型ET00,并创建一个消息表项,该消息表项的消息类型为T00,加密消息类型为ET00;
一个验证消息由加密消息类型和加密公钥集合构成;一个验证响应消息由加密消息类型和加密随机数集合构成;
节点ND1为组G1的组成员,组G1的所有组成员的公钥构成公钥集合ST1,节点ND1与接入节点AP1链接;
节点ND1执行下述操作来判断接入节点AP1的合法性,即是否为向第三方认证数据中心计算机注册的接入节点:
步骤101:开始;
步骤102:节点ND1查看集合ST1,获取自己的公钥在集合ST1中的位置p,即集合ST1的第p个元素为节点ND1的公钥;节点ND1设置两个集合变量TST1和EST1;变量TST1的值等于集合ST1,参数EST1的值为空集;
步骤103:节点ND1判断参数TST1是否为空,如果是,则执行步骤105,否则执行步骤104;
步骤104:节点ND1选择参数TST1的第一个元素,利用接入节点AP1的公钥和非对称加密算法AEA0加密该元素,将加密后的元素加入到参数EST1中并作为最后一个元素,同时从参数TST1中删除第一个元素,执行步骤103;
步骤105:节点ND1选择一个消息表项,该消息表项的消息类型的值等于1,发送一个验证消息,该验证消息的加密消息类型的值等于该消息表项的加密消息类型值,加密公钥集合等于参数EST1;
步骤106:如果接入节点AP1接收到该验证消息,则执行步骤107,否则执行步骤115;
步骤107:接入节点AP1选择一个消息表项,该消息表项的加密消息类型值等于接收到的验证消息的加密消息类型值,根据该消息表项的消息类型值,接入节点AP1执行下述操作:接入节点AP1利用自己的私钥和非对称加密算法AEA0解密该验证消息的加密公钥集合得到解密后的公钥集合;接入节点AP1产生一个随机数r1,设置一个集合参数SP1和一个集合参数ESP1,参数SP1的值等于解密后的公钥集合,参数ESP1的值为空集;
步骤108:如果参数SP1为空,则执行步骤110,否则执行步骤109;
步骤109:接入节点AP1选择参数SP1的第一个元素,利用该元素和非对称加密算法AEA0加密随机数r1,将加密后的随机数加入到参数ESP1中并作为最后一个元素,同时从参数SP1中删除第一个元素,执行步骤108;
步骤110:接入节点AP1选择一个消息表项,该消息表项的消息类型的值等于2,发送一个验证响应消息,该验证响应消息的加密消息类型的值等于该消息表项的加密消息类型值,加密随机数集合等于参数ESP1;
步骤111:节点ND1接收到该验证响应消息后,选择一个消息表项,该消息表项的加密消息类型值等于接收到的验证响应消息的加密消息类型值,根据该消息表项的消息类型值,节点ND1执行下述操作:节点ND1选择该验证响应消息中加密随机数集合中的第p个元素,利用自己的私钥和非对称加密算法AEA0解密该元素得到随机数r2;节点ND1设置一个集合参数TST2和一个集合参数EST2,参数TST2的值等于集合ST1,参数EST2的值为空集;
步骤112:如果参数TST2为空,则执行步骤114,否则执行步骤113;
步骤113:节点ND1选择参数TST2的第一个元素,利用该元素和非对称加密算法AEA0加密随机数r2,将加密后的随机数加入到参数EST2中并作为最后一个元素,同时从参数TST2中删除第一个元素,执行步骤112;
步骤114:节点ND1判断EST2是否等于接收到的验证响应消息中的加密随机数集合,如果等于,节点ND1则认为接入节点AP1具有合法性,否则节点ND1认为接入节点AP1为恶意接入节点,不具有合法性;
步骤115:结束。
节点通过上述过程判断所链接的接入节点是否具有合法性,如果该接入节点具有合法性,则可以安全地与该接入节点进行数据通信,从而确保了数据通信的安全性;由于上述过程中,节点与接入节点链路可达,因此无需路由即可验证接入节点的合法性,从而大幅度降低了验证代价和延迟。
本发明所述方法中,每个接入节点保存一个会话表,一个会话表项包含会话秘钥、加密名称集合和生命周期。
本发明所述方法中,每个接入节点保存一个会话表,一个会话表项包含会话秘钥、加密名称集合和生命周期;
一个秘钥消息包含加密消息类型、加密会话秘钥和加密组ID;
节点ND1为组G1的组成员,组G1的组ID为GID1,节点ND1与接入节点链接;
如果节点ND1判断接入节点AP1为合法的接入节点,则定期执行下述操作获取会话秘钥:
步骤201:开始;
步骤202:节点ND1产生一个会话秘钥SK1,利用接入节点AP1的公钥、非对称加密算法AEA0、加密组ID GID1以及会话秘钥SK1分别获得加密后的组ID EGID1和加密后的会话秘钥ESK1;节点ND1选择一个消息表项,该消息表项的消息类型值为3,发送一个秘钥消息,该秘钥消息的加密消息类型值为该消息表项的加密消息类型值,加密组ID为EGID1,加密后的会话秘钥为ESK1;
步骤203:如果接入节点AP1接收到该秘钥消息,则执行步骤204,否则执行步骤208;
步骤204:接入节点AP1选择一个消息表项,该消息表项的加密消息类型值等于接收到的秘钥消息的加密消息类型值,根据该消息表项的消息类型值,接入节点AP1执行下述操作:接入节点AP1利用自己的私钥和非对称加密算法AEA0解密该秘钥消息中的加密会话秘钥和加密组ID,分别得到解密后的会话秘钥和组ID;接入节点AP1选择一个组表项,该组表项的组ID等于解密后的组ID,设置一个集合参数SP2,参数SP2的值等于该组表项的名称集合,设置一个集合变量ESP2,变量ESP2的值为空集;
步骤205:如果变量SP2为空,则执行步骤207,否则执行步骤206;
步骤206:接入节点AP1选择参数SP2的第一个元素,利用解密后的会话秘钥和对称加密算法SEA0加密该元素,将加密后的元素加入到参数ESP2中并作为最后一个元素,同时从参数SP2中删除第一个元素,执行步骤205;
步骤207:接入节点AP1创建一个会话表项,该会话表项的会话秘钥值为解密后的会话秘钥,加密名称集合等于ESP2,生命周期设置为最大值;
步骤208:结束。
节点通过上述过程从链接的接入节点获取会话秘钥,这样,节点可以通过会话秘钥加密上传数据实现数据的安全传输,接入节点也可以利用会话秘钥从加密数据从而发送给节点,这样,节点能够安全地从接入节点获取数据。
本发明所述方法中,每个接入节点保存一个数据表,一个数据表项包含名称、数据和生命周期。
本发明所述方法中,一个发布消息包含加密消息类型、加密名称和加密数据;
数据DA1由名称NA1标识,节点ND2与接入节点AP1链接;节点ND2产生数据DA1后执行下述数据发布操作:
步骤301:开始;
步骤302:节点ND2选择一个消息表项,该消息表项的消息类型值为4,如果节点ND2为组成员且获取了会话秘钥SK2,则执行步骤303,否则执行步骤304;
步骤303:节点ND2利用会话秘钥SK2、对称加密算法SEA0、加密名称NA1和数据DA1分别获得加密后的名称ENA1和加密后的数据EDA1;节点ND2发送一个发布消息,该发布消息的加密消息类型为选中的消息表项的加密消息类型值,加密名称为ENA1,加密数据为EDA1,执行步骤305;
步骤304:节点ND2利用接入节点AP1的公钥、非对称加密算法AEA0、加密名称NA1和数据DA1分别获得加密后的名称SNA1和加密后的数据SDA1;节点ND2发送一个发布消息,该发布消息的加密消息类型值为选中的消息表项的加密消息类型值,加密名称为SNA1,加密数据为SDA1;
步骤305:如果接入节点AP1接收到该发布消息,则执行步骤306,否则执行步骤308;
步骤306:接入节点AP1选择一个消息表项,该消息表项的加密消息类型值等于接收到的发布消息的加密消息类型值,根据该消息表项的消息类型值,接入节点AP1执行下述操作:接入节点AP1查看是否存在一个会话表项,该会话表项的加密名称集合包含该发布消息的加密名称,如果包含,接入节点AP1则利用该会话表项的会话秘钥和对称加密算法SEA0解密该发布消息的加密名称和加密数据;否则接入节点AP1利用自己的私钥解密该发布消息的加密名称和加密数据;
步骤307:接入节点AP1查看数据表,如果存在一个数据表项,该数据表项的名称等于该发布消息解密后的名称,则将该数据表项的数据域值更新为解密后的数据,将生命周期设置为最大值;否则,接入节点AP1创建一个数据表项,该数据表项的名称等于该发布消息解密后的名称,数据域值为解密后的数据,生命周期为最大值;
步骤308:结束。
节点通过上述过程将产生的数据加密后发布到链接的接入节点;这样,其他节点可以从该接入节点安全地获取该数据,由于该数据通过生命周期来确保其有效性和实时性,因此提高了数据通信的成功率,此外,由于节点与链接的接入节点一跳可达,因此大幅度降低了数据发布延迟和代价。
本发明所述方法中,一个请求消息包含加密消息类型和加密名称;
一个响应消息包含加密消息类型、加密名称和加密数据。
本发明所述方法中,数据DA1由名称NA1标识;
节点ND1为组G1的组成员,与接入节点AP1链路相连,有权限获取数据DA1;节点ND1通过下述过程获取数据DA1:
步骤401:开始;
步骤402:节点ND1选择一个消息表项,该消息表项的消息类型值为5,利用自己的会话秘钥和对称加密算法SEA0加密名称NA1获得加密后的名称ENA2;节点ND1发送一个请求消息,该请求消息的加密消息类型值为选中的消息表项的加密消息类型值,加密名称为ENA2;
步骤403:如果接入节点AP1接收到该请求消息,则执行步骤404,否则执行步骤408;
步骤404:接入节点AP1选择一个消息表项,该消息表项的加密消息类型值等于接收到的请求消息的加密消息类型值,根据该消息表项的消息类型值,接入节点AP1执行下述操作:接入节点AP1查看是否存在一个会话表项,该会话表项的加密名称集合包含该请求消息的加密名称,如果包含,则执行步骤405,否则执行步骤408;
步骤405:接入节点AP1选择一个会话表项,该会话表项的加密名称集合包含该请求消息的加密名称,利用该会话表项的会话秘钥和对称加密算法SEA0解密该请求消息的加密名称;选择一个数据表项,该数据表项的名称域值等于解密后的名称,利用该会话表项的会话秘钥和对称加密算法SEA0加密该数据表项的数据域值得到加密后的数据EDA2;接入节点AP1选择一个消息表项,该消息表项的消息类型值为6,发送一个响应消息,该响应消息的加密消息类型值为选中的消息表项的加密消息类型值,加密名称等于接收到的请求消息的加密名称,加密数据等于EDA2;
步骤406:节点接收到该响应消息;如果该节点发送了请求消息且该响应消息的加密名称等于自己发送的请求消息的加密名称,则执行步骤407,否则执行步骤408;
步骤407:接收到响应消息的节点利用自己的会话秘钥和对称加密算法SEA0解密该响应消息中的加密数据得到解密后的数据,保存解密后的数据;
步骤408:结束。
节点通过上述过程从接入节点获取数据,上述过程通过加密名称来确保数据通信过程的安全性,同时由于节点并没有ID标识,因此实现了隐私保护;同时,上述过程节点与接入节点之间一跳可达,从而降低了数据通信的延迟和代价。
有益效果:本发明提供了一种安全的物联网系统实现方法的实现方法,用户通过本发明所提供的一种安全的物联网系统实现方法能够快速安全地获取数据,本发明有效降低了数据获取的延迟和代价,从而有效提高网络服务性能。本发明可应用于智能医疗,智能监测、智能车联网等领域,具有广泛的应用前景。
附图说明
下面结合附图和具体实施方式对本发明做更进一步的具体说明,本发明的上述和/或其他方面的优点将会变得更加清楚。
图1为本发明所述的检测接入节点合法性流程示意图。
图2为本发明所述的获取会话秘钥流程示意图。
图3为本发明所述的数据发布流程示意图。
图4为本发明所述的数据获取流程示意图。
具体实施方式:
本发明提供了一种安全的物联网系统实现方法的实现方法,用户通过本发明所提供的一种安全的物联网系统实现方法能够快速安全地获取数据,本发明有效降低了数据获取的延迟和代价,从而有效提高网络服务性能。本发明可应用于智能医疗,智能监测、智能车联网等领域,具有广泛的应用前景。
图1为本发明所述的检测接入节点合法性流程示意图。所述物联网系统包括接入节点和节点;一种类型的数据由一个名称唯一标识;有权限访问一种以上类型数据的节点构成一个组,一个组由一个组ID唯一标识,构成组的节点称为组成员;一个节点与一个接入节点链接;一个接入节点链接与一个以上的节点链接;
每个接入节点的公钥和私钥由第三方认证数据中心计算机保存并签发,接入节点向第三方认证数据中心计算机进行注册时获取自己的公钥和私钥,以及对应的非对称加密非对称加密算法AEA0和对称加密对称加密算法SEA0;AEA0可以是RSA加密算法,SEA0可以是高级加密标准(英语:Advanced Encryption Standard,缩写:AES);
每个接入节点保存一个组表,一个组表项由组ID和名称集合构成;
每个接入节点向第三方认证数据中心计算机进行注册时同时获取所有组的组ID,以及每个组组成员所能访问的所有数据的名称的集合;对于每个组ID GID0,该接入节点创建一个组表项,该组表项的组ID等于该组ID GID0,名称集合等于该组成员所能访问的所有数据的名称的集合;
每个组成员具有一个公钥和私钥;每个组成员向第三方认证数据中心计算机进行注册时获取自己的公钥和私钥,以及对应的非对称加密算法AEA0和对称加密算法SEA0,同时每个组成员也获取所在组的所有组成员的公钥的集合以及所链接的接入节点的公钥;
一个消息由消息类型定义,如下所示:
消息类型的值 消息名称
1 验证消息
2 验证响应消息
3 秘钥消息
4 发布消息
5 请求消息
6 响应消息
一个节点或者接入节点保存一个消息表,一个消息表项包含消息类型和加密消息类型;
对于每个消息类型T0,接入节点利用它的公钥和非对称加密算法AEA0加密消息类型T0得到加密后的消息类型ET0,并创建一个消息表项,该消息表项的消息类型为T0,加密消息类型为ET0;
对于每个消息类型T00,节点通过链接的接入节点的公钥和非对称加密算法AEA0加密消息类型T00得到加密后的消息类型ET00,并创建一个消息表项,该消息表项的消息类型为T00,加密消息类型为ET00;
一个验证消息由加密消息类型和加密公钥集合构成;一个验证响应消息由加密消息类型和加密随机数集合构成;
节点ND1为组G1的组成员,组G1的所有组成员的公钥构成公钥集合ST1,节点ND1与接入节点AP1链接;
节点ND1执行下述操作来判断接入节点AP1的合法性,即是否为向第三方认证数据中心计算机注册的接入节点:
步骤101:开始;
步骤102:节点ND1查看集合ST1,获取自己的公钥在集合ST1中的位置p,即集合ST1的第p个元素为节点ND1的公钥;节点ND1设置两个集合变量TST1和EST1;变量TST1的值等于集合ST1,参数EST1的值为空集;
步骤103:节点ND1判断参数TST1是否为空,如果是,则执行步骤105,否则执行步骤104;
步骤104:节点ND1选择参数TST1的第一个元素,利用接入节点AP1的公钥和非对称加密算法AEA0加密该元素,将加密后的元素加入到参数EST1中并作为最后一个元素,同时从参数TST1中删除第一个元素,执行步骤103;
步骤105:节点ND1选择一个消息表项,该消息表项的消息类型的值等于1,发送一个验证消息,该验证消息的加密消息类型的值等于该消息表项的加密消息类型值,加密公钥集合等于参数EST1;
步骤106:如果接入节点AP1接收到该验证消息,则执行步骤107,否则执行步骤115;
步骤107:接入节点AP1选择一个消息表项,该消息表项的加密消息类型值等于接收到的验证消息的加密消息类型值,根据该消息表项的消息类型值,接入节点AP1执行下述操作:接入节点AP1利用自己的私钥和非对称加密算法AEA0解密该验证消息的加密公钥集合得到解密后的公钥集合;接入节点AP1产生一个随机数r1,设置一个集合参数SP1和一个集合参数ESP1,参数SP1的值等于解密后的公钥集合,参数ESP1的值为空集;
步骤108:如果参数SP1为空,则执行步骤110,否则执行步骤109;
步骤109:接入节点AP1选择参数SP1的第一个元素,利用该元素和非对称加密算法AEA0加密随机数r1,将加密后的随机数加入到参数ESP1中并作为最后一个元素,同时从参数SP1中删除第一个元素,执行步骤108;
步骤110:接入节点AP1选择一个消息表项,该消息表项的消息类型的值等于2,发送一个验证响应消息,该验证响应消息的加密消息类型的值等于该消息表项的加密消息类型值,加密随机数集合等于参数ESP1;
步骤111:节点ND1接收到该验证响应消息后,选择一个消息表项,该消息表项的加密消息类型值等于接收到的验证响应消息的加密消息类型值,根据该消息表项的消息类型值,节点ND1执行下述操作:节点ND1选择该验证响应消息中加密随机数集合中的第p个元素,利用自己的私钥和非对称加密算法AEA0解密该元素得到随机数r2;节点ND1设置一个集合参数TST2和一个集合参数EST2,参数TST2的值等于集合ST1,参数EST2的值为空集;
步骤112:如果参数TST2为空,则执行步骤114,否则执行步骤113;
步骤113:节点ND1选择参数TST2的第一个元素,利用该元素和非对称加密算法AEA0加密随机数r2,将加密后的随机数加入到参数EST2中并作为最后一个元素,同时从参数TST2中删除第一个元素,执行步骤112;
步骤114:节点ND1判断EST2是否等于接收到的验证响应消息中的加密随机数集合,如果等于,节点ND1则认为接入节点AP1具有合法性,否则节点ND1认为接入节点AP1为恶意接入节点,不具有合法性;
步骤115:结束。
节点通过上述过程判断所链接的接入节点是否具有合法性,如果该接入节点具有合法性,则可以安全地与该接入节点进行数据通信,从而确保了数据通信的安全性;由于上述过程中,节点与接入节点链路可达,因此无需路由即可验证接入节点的合法性,从而大幅度降低了验证代价和延迟。
图2为本发明所述的获取会话秘钥流程示意图。每个接入节点保存一个会话表,一个会话表项包含会话秘钥、加密名称集合和生命周期;每个接入节点保存一个会话表,一个会话表项包含会话秘钥、加密名称集合和生命周期;
一个秘钥消息包含加密消息类型、加密会话秘钥和加密组ID;
节点ND1为组G1的组成员,组G1的组ID为GID1,节点ND1与接入节点链接;
如果节点ND1判断接入节点AP1为合法的接入节点,则定期执行下述操作获取会话秘钥:
步骤201:开始;
步骤202:节点ND1产生一个会话秘钥SK1,利用接入节点AP1的公钥、非对称加密算法AEA0、加密组ID GID1以及会话秘钥SK1分别获得加密后的组ID EGID1和加密后的会话秘钥ESK1;节点ND1选择一个消息表项,该消息表项的消息类型值为3,发送一个秘钥消息,该秘钥消息的加密消息类型值为该消息表项的加密消息类型值,加密组ID为EGID1,加密后的会话秘钥为ESK1;
步骤203:如果接入节点AP1接收到该秘钥消息,则执行步骤204,否则执行步骤208;
步骤204:接入节点AP1选择一个消息表项,该消息表项的加密消息类型值等于接收到的秘钥消息的加密消息类型值,根据该消息表项的消息类型值,接入节点AP1执行下述操作:接入节点AP1利用自己的私钥和非对称加密算法AEA0解密该秘钥消息中的加密会话秘钥和加密组ID,分别得到解密后的会话秘钥和组ID;接入节点AP1选择一个组表项,该组表项的组ID等于解密后的组ID,设置一个集合参数SP2,参数SP2的值等于该组表项的名称集合,设置一个集合变量ESP2,变量ESP2的值为空集;
步骤205:如果变量SP2为空,则执行步骤207,否则执行步骤206;
步骤206:接入节点AP1选择参数SP2的第一个元素,利用解密后的会话秘钥和对称加密算法SEA0加密该元素,将加密后的元素加入到参数ESP2中并作为最后一个元素,同时从参数SP2中删除第一个元素,执行步骤205;
步骤207:接入节点AP1创建一个会话表项,该会话表项的会话秘钥值为解密后的会话秘钥,加密名称集合等于ESP2,生命周期设置为最大值;
步骤208:结束。
节点通过上述过程从链接的接入节点获取会话秘钥,这样,节点可以通过会话秘钥加密上传数据实现数据的安全传输,接入节点也可以利用会话秘钥从加密数据从而发送给节点,这样,节点能够安全地从接入节点获取数据。
图3为本发明所述的数据发布流程示意图。每个接入节点保存一个数据表,一个数据表项包含名称、数据和生命周期;一个发布消息包含加密消息类型、加密名称和加密数据;
数据DA1由名称NA1标识,节点ND2与接入节点AP1链接;节点ND2产生数据DA1后执行下述数据发布操作:
步骤301:开始;
步骤302:节点ND2选择一个消息表项,该消息表项的消息类型值为4,如果节点ND2为组成员且获取了会话秘钥SK2,则执行步骤303,否则执行步骤304;
步骤303:节点ND2利用会话秘钥SK2、对称加密算法SEA0、加密名称NA1和数据DA1分别获得加密后的名称ENA1和加密后的数据EDA1;节点ND2发送一个发布消息,该发布消息的加密消息类型为选中的消息表项的加密消息类型值,加密名称为ENA1,加密数据为EDA1,执行步骤305;
步骤304:节点ND2利用接入节点AP1的公钥、非对称加密算法AEA0、加密名称NA1和数据DA1分别获得加密后的名称SNA1和加密后的数据SDA1;节点ND2发送一个发布消息,该发布消息的加密消息类型值为选中的消息表项的加密消息类型值,加密名称为SNA1,加密数据为SDA1;
步骤305:如果接入节点AP1接收到该发布消息,则执行步骤306,否则执行步骤308;
步骤306:接入节点AP1选择一个消息表项,该消息表项的加密消息类型值等于接收到的发布消息的加密消息类型值,根据该消息表项的消息类型值,接入节点AP1执行下述操作:接入节点AP1查看是否存在一个会话表项,该会话表项的加密名称集合包含该发布消息的加密名称,如果包含,接入节点AP1则利用该会话表项的会话秘钥和对称加密算法SEA0解密该发布消息的加密名称和加密数据;否则接入节点AP1利用自己的私钥解密该发布消息的加密名称和加密数据;
步骤307:接入节点AP1查看数据表,如果存在一个数据表项,该数据表项的名称等于该发布消息解密后的名称,则将该数据表项的数据域值更新为解密后的数据,将生命周期设置为最大值;否则,接入节点AP1创建一个数据表项,该数据表项的名称等于该发布消息解密后的名称,数据域值为解密后的数据,生命周期为最大值;
步骤308:结束。
节点通过上述过程将产生的数据加密后发布到链接的接入节点;这样,其他节点可以从该接入节点安全地获取该数据,由于该数据通过生命周期来确保其有效性和实时性,因此提高了数据通信的成功率,此外,由于节点与链接的接入节点一跳可达,因此大幅度降低了数据发布延迟和代价。
图4为本发明所述的数据获取流程示意图。一个请求消息包含加密消息类型和加密名称;一个响应消息包含加密消息类型、加密名称和加密数据;数据DA1由名称NA1标识;
节点ND1为组G1的组成员,与接入节点AP1链路相连,有权限获取数据DA1;节点ND1通过下述过程获取数据DA1:
步骤401:开始;
步骤402:节点ND1选择一个消息表项,该消息表项的消息类型值为5,利用自己的会话秘钥和对称加密算法SEA0加密名称NA1获得加密后的名称ENA2;节点ND1发送一个请求消息,该请求消息的加密消息类型值为选中的消息表项的加密消息类型值,加密名称为ENA2;
步骤403:如果接入节点AP1接收到该请求消息,则执行步骤404,否则执行步骤408;
步骤404:接入节点AP1选择一个消息表项,该消息表项的加密消息类型值等于接收到的请求消息的加密消息类型值,根据该消息表项的消息类型值,接入节点AP1执行下述操作:接入节点AP1查看是否存在一个会话表项,该会话表项的加密名称集合包含该请求消息的加密名称,如果包含,则执行步骤405,否则执行步骤408;
步骤405:接入节点AP1选择一个会话表项,该会话表项的加密名称集合包含该请求消息的加密名称,利用该会话表项的会话秘钥和对称加密算法SEA0解密该请求消息的加密名称;选择一个数据表项,该数据表项的名称域值等于解密后的名称,利用该会话表项的会话秘钥和对称加密算法SEA0加密该数据表项的数据域值得到加密后的数据EDA2;接入节点AP1选择一个消息表项,该消息表项的消息类型值为6,发送一个响应消息,该响应消息的加密消息类型值为选中的消息表项的加密消息类型值,加密名称等于接收到的请求消息的加密名称,加密数据等于EDA2;
步骤406:节点接收到该响应消息;如果该节点发送了请求消息且该响应消息的加密名称等于自己发送的请求消息的加密名称,则执行步骤407,否则执行步骤408;
步骤407:接收到响应消息的节点利用自己的会话秘钥和对称加密算法SEA0解密该响应消息中的加密数据得到解密后的数据,保存解密后的数据;
步骤408:结束。
节点通过上述过程从接入节点获取数据,上述过程通过加密名称来确保数据通信过程的安全性,同时由于节点并没有ID标识,因此实现了隐私保护;同时,上述过程节点与接入节点之间一跳可达,从而降低了数据通信的延迟和代价。
实施例1
基于表1的仿真参数,本实施例模拟了本发明中的一种安全的物联网系统实现方法。节点ND1启动后,执行步骤101-115发送一个验证消息来判断接入节点AP1的合法性,即判断接入节点AP1是否为向第三方认证数据中心计算机注册的接入节点。节点通过上述过程判断所链接的接入节点是否具有合法性,如果该接入节点具有合法性,则可以安全地与该接入节点进行数据通信,从而确保了数据通信的安全性;由于上述过程中,节点与接入节点链路可达,因此无需路由即可验证接入节点的合法性,从而大幅度降低了验证代价和延迟。如果节点ND1判断接入节点AP1为合法的接入节点,则执行步骤201-208发送一个秘钥消息来获取会话秘钥。节点通过上述过程从链接的接入节点获取会话秘钥,这样,节点可以通过会话秘钥加密上传数据实现数据的安全传输,接入节点也可以利用会话秘钥从加密数据从而发送给节点,这样,节点能够安全地从接入节点获取数据。节点ND2产生数据DA1后执行步骤301-308通过发送一个发布消息来执行数据发布操作。节点通过上述过程将产生的数据加密后发布到链接的接入节点;这样,其他节点可以从该接入节点安全地获取该数据,由于该数据通过生命周期来确保其有效性和实时性,因此提高了数据通信的成功率,此外,由于节点与链接的接入节点一跳可达,因此大幅度降低了数据发布延迟和代价。节点ND1通过请求消息和响应消息执行步骤401-408获取数据DA1。节点通过上述过程从接入节点获取数据,上述过程通过加密名称来确保数据通信过程的安全性,同时由于节点并没有ID标识,因此实现了隐私保护;上述过程节点与接入节点之间一跳可达,从而降低了数据通信的延迟和代价。针对一种安全的物联网系统实现方法,性能分析如下,当加密数据量增加时,数据获取延迟随之增加,当加密数据量减少时,数据获取延迟随之减少,数据获取的平均延迟为105.7ms。
表1仿真参数
Figure BDA0002776714330000151
本发明提供了一种安全的物联网系统实现方法的思路,具体实现该技术方案的方法和途径很多,以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部份均可用现有技术加以实现。

Claims (7)

1.一种安全的物联网系统实现方法,其特征在于,所述物联网系统包括接入节点和节点;一种类型的数据由一个名称唯一标识;有权限访问一种以上类型数据的节点构成一个组,一个组由一个组ID唯一标识,构成组的节点称为组成员;一个节点与一个接入节点链接;一个接入节点与一个以上的节点链接;
每个接入节点的公钥和私钥由第三方认证数据中心计算机保存并签发,接入节点向第三方认证数据中心计算机进行注册时获取自己的公钥和私钥,以及对应的非对称加密算法AEA0和对称加密算法SEA0;
每个接入节点保存一个组表,一个组表项由组ID和名称集合构成;
每个接入节点向第三方认证数据中心计算机进行注册时同时获取所有组的组ID,以及每个组组成员所能访问的所有数据的名称的集合;对于每个组ID GID0,该接入节点创建一个组表项,该组表项的组ID等于该组ID GID0,名称集合等于该组成员所能访问的所有数据的名称的集合;
每个组成员具有一个公钥和私钥;每个组成员向第三方认证数据中心计算机进行注册时获取自己的公钥和私钥,以及对应的非对称加密算法AEA0和对称加密算法SEA0,同时每个组成员也获取所在组的所有组成员的公钥的集合以及所链接的接入节点的公钥;
一个消息由消息类型定义,消息类型的值分别为1、2、3、4、5和6,对应的消息名称分别为验证消息、验证响应消息、秘钥消息、发布消息、请求消息和响应消息;
一个节点或者接入节点保存一个消息表,一个消息表项包含消息类型和加密消息类型;
对于每个消息类型T0,接入节点利用它的公钥和非对称加密算法AEA0加密消息类型T0得到加密后的消息类型ET0,并创建一个消息表项,该消息表项的消息类型为T0,加密消息类型为ET0;
对于每个消息类型T00,节点通过链接的接入节点的公钥和非对称加密算法AEA0加密消息类型T00得到加密后的消息类型ET00,并创建一个消息表项,该消息表项的消息类型为T00,加密消息类型为ET00;
一个验证消息由加密消息类型和加密公钥集合构成;一个验证响应消息由加密消息类型和加密随机数集合构成;
节点ND1为组G1的组成员,组G1的所有组成员的公钥构成公钥集合ST1,节点ND1与接入节点AP1链接;
节点ND1执行下述操作来判断接入节点AP1的合法性,即是否为向第三方认证数据中心计算机注册的接入节点:
步骤101:开始;
步骤102:节点ND1查看集合ST1,获取自己的公钥在集合ST1中的位置p,即集合ST1的第p个元素为节点ND1的公钥;节点ND1设置两个集合变量TST1和EST1;变量TST1的值等于集合ST1,参数EST1的值为空集;
步骤103:节点ND1判断参数TST1是否为空,如果是,则执行步骤105,否则执行步骤104;
步骤104:节点ND1选择参数TST1的第一个元素,利用接入节点AP1的公钥和非对称加密算法AEA0加密该元素,将加密后的元素加入到参数EST1中并作为最后一个元素,同时从参数TST1中删除第一个元素,执行步骤103;
步骤105:节点ND1选择一个消息表项,该消息表项的消息类型的值等于1,发送一个验证消息,该验证消息的加密消息类型的值等于该消息表项的加密消息类型值,加密公钥集合等于参数EST1;
步骤106:如果接入节点AP1接收到该验证消息,则执行步骤107,否则执行步骤115;
步骤107:接入节点AP1选择一个消息表项,该消息表项的加密消息类型值等于接收到的验证消息的加密消息类型值,根据该消息表项的消息类型值,接入节点AP1执行下述操作:接入节点AP1利用自己的私钥和非对称加密算法AEA0解密该验证消息的加密公钥集合得到解密后的公钥集合;接入节点AP1产生一个随机数r1,设置一个集合参数SP1和一个集合参数ESP1,参数SP1的值等于解密后的公钥集合,参数ESP1的值为空集;
步骤108:如果参数SP1为空,则执行步骤110,否则执行步骤109;
步骤109:接入节点AP1选择参数SP1的第一个元素,利用该元素和非对称加密算法AEA0加密随机数r1,将加密后的随机数加入到参数ESP1中并作为最后一个元素,同时从参数SP1中删除第一个元素,执行步骤108;
步骤110:接入节点AP1选择一个消息表项,该消息表项的消息类型的值等于2,发送一个验证响应消息,该验证响应消息的加密消息类型的值等于该消息表项的加密消息类型值,加密随机数集合等于参数ESP1;
步骤111:节点ND1接收到该验证响应消息后,选择一个消息表项,该消息表项的加密消息类型值等于接收到的验证响应消息的加密消息类型值,根据该消息表项的消息类型值,节点ND1执行下述操作:节点ND1选择该验证响应消息中加密随机数集合中的第p个元素,利用自己的私钥和非对称加密算法AEA0解密该元素得到随机数r2;节点ND1设置一个集合参数TST2和一个集合参数EST2,参数TST2的值等于集合ST1,参数EST2的值为空集;
步骤112:如果参数TST2为空,则执行步骤114,否则执行步骤113;
步骤113:节点ND1选择参数TST2的第一个元素,利用该元素和非对称加密算法AEA0加密随机数r2,将加密后的随机数加入到参数EST2中并作为最后一个元素,同时从参数TST2中删除第一个元素,执行步骤112;
步骤114:节点ND1判断EST2是否等于接收到的验证响应消息中的加密随机数集合,如果等于,节点ND1则认为接入节点AP1具有合法性,否则节点ND1认为接入节点AP1为恶意接入节点,不具有合法性;
步骤115:结束。
2.根据权利要求1所述的一种安全的物联网系统实现方法,其特征在于,
每个接入节点保存一个会话表,一个会话表项包含会话秘钥、加密名称集合和生命周期。
3.根据权利要求2所述的一种安全的物联网系统实现方法,其特征在于,
一个秘钥消息包含加密消息类型、加密会话秘钥和加密组ID;
节点ND1为组G1的组成员,组G1的组ID为GID1,节点ND1与接入节点链接;
如果节点ND1判断接入节点AP1为合法的接入节点,则定期执行下述操作获取会话秘钥:
步骤201:开始;
步骤202:节点ND1产生一个会话秘钥SK1,利用接入节点AP1的公钥、非对称加密算法AEA0、加密组ID GID1以及会话秘钥SK1分别获得加密后的组ID EGID1 和加密后的会话秘钥ESK1;节点ND1选择一个消息表项,该消息表项的消息类型值为3,发送一个秘钥消息,该秘钥消息的加密消息类型值为该消息表项的加密消息类型值,加密组ID为EGID1,加密后的会话秘钥为ESK1;
步骤203:如果接入节点AP1接收到该秘钥消息,则执行步骤204,否则执行步骤208;
步骤204:接入节点AP1选择一个消息表项,该消息表项的加密消息类型值等于接收到的秘钥消息的加密消息类型值,根据该消息表项的消息类型值,接入节点AP1执行下述操作:接入节点AP1利用自己的私钥和非对称加密算法AEA0解密该秘钥消息中的加密会话秘钥和加密组ID,分别得到解密后的会话秘钥和组ID;接入节点AP1选择一个组表项,该组表项的组ID等于解密后的组ID,设置一个集合参数SP2,参数SP2的值等于该组表项的名称集合,设置一个集合变量ESP2,变量ESP2的值为空集;
步骤205:如果变量SP2为空,则执行步骤207,否则执行步骤206;
步骤206:接入节点AP1选择参数SP2的第一个元素,利用解密后的会话秘钥和对称加密算法SEA0加密该元素,将加密后的元素加入到参数ESP2中并作为最后一个元素,同时从参数SP2中删除第一个元素,执行步骤205;
步骤207:接入节点AP1创建一个会话表项,该会话表项的会话秘钥值为解密后的会话秘钥,加密名称集合等于ESP2,生命周期设置为最大值;
步骤208:结束。
4.根据权利要求1所述的一种安全的物联网系统实现方法,其特征在于,
每个接入节点保存一个数据表,一个数据表项包含名称、数据和生命周期。
5.根据权利要求4所述的一种安全的物联网系统实现方法,其特征在于,
一个发布消息包含加密消息类型、加密名称和加密数据;
数据DA1由名称NA1标识,节点ND2与接入节点AP1链接;节点ND2产生数据DA1后执行下述数据发布操作:
步骤301:开始;
步骤302:节点ND2选择一个消息表项,该消息表项的消息类型值为4,如果节点ND2为组成员且获取了会话秘钥SK2,则执行步骤303,否则执行步骤304;
步骤303:节点ND2利用会话秘钥SK2、对称加密算法SEA0、加密名称NA1和数据DA1分别获得加密后的名称ENA1和加密后的数据EDA1;节点ND2发送一个发布消息,该发布消息的加密消息类型为选中的消息表项的加密消息类型值,加密名称为ENA1,加密数据为EDA1,执行步骤305;
步骤304:节点ND2利用接入节点AP1的公钥、非对称加密算法AEA0、加密名称NA1和数据DA1分别获得加密后的名称SNA1和加密后的数据SDA1;节点ND2发送一个发布消息,该发布消息的加密消息类型值为选中的消息表项的加密消息类型值,加密名称为SNA1,加密数据为SDA1;
步骤305:如果接入节点AP1接收到该发布消息,则执行步骤306,否则执行步骤308;
步骤306:接入节点AP1选择一个消息表项,该消息表项的加密消息类型值等于接收到的发布消息的加密消息类型值,根据该消息表项的消息类型值,接入节点AP1执行下述操作:接入节点AP1查看是否存在一个会话表项,该会话表项的加密名称集合包含该发布消息的加密名称,如果包含,接入节点AP1则利用该会话表项的会话秘钥和对称加密算法SEA0解密该发布消息的加密名称和加密数据;否则接入节点AP1利用自己的私钥解密该发布消息的加密名称和加密数据;
步骤307:接入节点AP1查看数据表,如果存在一个数据表项,该数据表项的名称等于该发布消息解密后的名称,则将该数据表项的数据域值更新为解密后的数据,将生命周期设置为最大值;否则,接入节点AP1创建一个数据表项,该数据表项的名称等于该发布消息解密后的名称,数据域值为解密后的数据,生命周期为最大值;
步骤308:结束。
6.根据权利要求1所述的一种安全的物联网系统实现方法,其特征在于,
一个请求消息包含加密消息类型和加密名称;
一个响应消息包含加密消息类型、加密名称和加密数据。
7.根据权利要求6所述的一种安全的物联网系统实现方法,其特征在于,
数据DA1由名称NA1标识;
节点ND1为组G1的组成员,与接入节点AP1链路相连,有权限获取数据DA1;节点ND1通过下述过程获取数据DA1:
步骤401:开始;
步骤402:节点ND1选择一个消息表项,该消息表项的消息类型值为5,利用自己的会话秘钥和对称加密算法SEA0加密名称NA1获得加密后的名称ENA2;节点ND1发送一个请求消息,该请求消息的加密消息类型值为选中的消息表项的加密消息类型值,加密名称为ENA2;
步骤403:如果接入节点AP1接收到该请求消息,则执行步骤404,否则执行步骤408;
步骤404:接入节点AP1选择一个消息表项,该消息表项的加密消息类型值等于接收到的请求消息的加密消息类型值,根据该消息表项的消息类型值,接入节点AP1执行下述操作:接入节点AP1查看是否存在一个会话表项,该会话表项的加密名称集合包含该请求消息的加密名称,如果包含,则执行步骤405,否则执行步骤408;
步骤405:接入节点AP1选择一个会话表项,该会话表项的加密名称集合包含该请求消息的加密名称,利用该会话表项的会话秘钥和对称加密算法SEA0解密该请求消息的加密名称;选择一个数据表项,该数据表项的名称域值等于解密后的名称,利用该会话表项的会话秘钥和对称加密算法SEA0加密该数据表项的数据域值得到加密后的数据EDA2;接入节点AP1选择一个消息表项,该消息表项的消息类型值为6,发送一个响应消息,该响应消息的加密消息类型值为选中的消息表项的加密消息类型值,加密名称等于接收到的请求消息的加密名称,加密数据等于EDA2;
步骤406:节点接收到该响应消息;如果该节点发送了请求消息且该响应消息的加密名称等于自己发送的请求消息的加密名称,则执行步骤407,否则执行步骤408;
步骤407:接收到响应消息的节点利用自己的会话秘钥和对称加密算法SEA0解密该响应消息中的加密数据得到解密后的数据,保存解密后的数据;
步骤408:结束。
CN202011268051.4A 2020-11-13 2020-11-13 一种安全的物联网系统实现方法 Active CN112491825B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011268051.4A CN112491825B (zh) 2020-11-13 2020-11-13 一种安全的物联网系统实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011268051.4A CN112491825B (zh) 2020-11-13 2020-11-13 一种安全的物联网系统实现方法

Publications (2)

Publication Number Publication Date
CN112491825A CN112491825A (zh) 2021-03-12
CN112491825B true CN112491825B (zh) 2021-11-09

Family

ID=74930341

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011268051.4A Active CN112491825B (zh) 2020-11-13 2020-11-13 一种安全的物联网系统实现方法

Country Status (1)

Country Link
CN (1) CN112491825B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600276A (zh) * 2018-05-30 2018-09-28 常熟理工学院 一种安全高效的物联网实现方法
WO2018194971A1 (en) * 2017-04-17 2018-10-25 Intel Corporation Group based context and security for massive internet of things devices
CN109218021A (zh) * 2018-10-24 2019-01-15 常熟理工学院 一种安全的新一代物联网数据通信方法
CN110120927A (zh) * 2018-02-05 2019-08-13 华为技术有限公司 私钥生成的方法和设备
CN110138663A (zh) * 2019-05-14 2019-08-16 常熟理工学院 一种以数据为中心的新一代网络实现方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018194971A1 (en) * 2017-04-17 2018-10-25 Intel Corporation Group based context and security for massive internet of things devices
CN110120927A (zh) * 2018-02-05 2019-08-13 华为技术有限公司 私钥生成的方法和设备
CN108600276A (zh) * 2018-05-30 2018-09-28 常熟理工学院 一种安全高效的物联网实现方法
CN109218021A (zh) * 2018-10-24 2019-01-15 常熟理工学院 一种安全的新一代物联网数据通信方法
CN110138663A (zh) * 2019-05-14 2019-08-16 常熟理工学院 一种以数据为中心的新一代网络实现方法

Also Published As

Publication number Publication date
CN112491825A (zh) 2021-03-12

Similar Documents

Publication Publication Date Title
CN104219056B (zh) 一种智能电网中具有隐私保护的实时电量收集方法
Wei et al. A privacy-preserving fog computing framework for vehicular crowdsensing networks
Kong et al. Achieving privacy-preserving and verifiable data sharing in vehicular fog with blockchain
CN112039870B (zh) 基于区块链的面向隐私保护的车载网认证方法及系统
CN105610793B (zh) 一种外包数据加密存储与密文查询系统及其应用方法
Fu et al. A privacy‐preserving group authentication protocol for machine‐type communication in LTE/LTE‐A networks
CN103618995A (zh) 基于动态假名的位置隐私保护方法
CN112152778B (zh) 一种节点管理方法、装置、及电子设备
Premkamal et al. Dynamic traceable CP‐ABE with revocation for outsourced big data in cloud storage
Cho et al. A secure three-factor authentication protocol for e-governance system based on multiserver environments
Huang et al. A token-based user authentication mechanism for data exchange in RESTful API
Zhao et al. A verifiable hidden policy CP‐ABE with decryption testing scheme and its application in VANET
Ali et al. ALPHA: An Anonymous Orthogonal Code-Based Privacy Preserving Scheme for Industrial Cyber–Physical Systems
CN107231353B (zh) 一种智能电网中基于二叉树的批认证方法
Verma et al. CB-DA: Lightweight and escrow-free certificate-based data aggregation for smart grid
CN109309622B (zh) 一种动态的数据发布和网络通信实现方法
CN110138558A (zh) 会话密钥的传输方法、设备及计算机可读存储介质
Sun et al. Anonymous authentication and key agreement scheme combining the group key for vehicular ad hoc networks
Rottondi et al. A protocol for metering data pseudonymization in smart grids
CN104243435A (zh) 一种基于OAuth的HTTP协议的通讯方法
CN111404659B (zh) 基于混沌系统的隐私保护通信方法、服务器以及通信系统
CN112491825B (zh) 一种安全的物联网系统实现方法
KR100921153B1 (ko) 무선 통신 네트워크 상에서의 사용자 인증 방법
Shi et al. QKBAKA: A Quantum-Key-Based Authentication and Key Agreement Scheme for Internet of Vehicles
Mishra et al. Authenticated content distribution framework for digital rights management systems with smart card revocation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20221227

Address after: Room J730, Floor 3, No. 5358, Huyi Road, Jiading District, Shanghai, 201800

Patentee after: Shanghai Nuofang Network Technology Co.,Ltd.

Address before: 215500 Changshou City South Three Ring Road No. 99, Suzhou, Jiangsu

Patentee before: CHANGSHU INSTITUTE OF TECHNOLOGY

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230526

Address after: Room C2-2001, No. 121 Zhongshan North 1st Road, Hongkou District, Shanghai, 200086

Patentee after: Shanghai DeYun Optical & Electricity Technical Co.,Ltd.

Address before: Room J730, Floor 3, No. 5358, Huyi Road, Jiading District, Shanghai, 201800

Patentee before: Shanghai Nuofang Network Technology Co.,Ltd.

Effective date of registration: 20230526

Address after: 201799, 3rd Floor, Building 1, No. 400 Fangchun Road, China (Shanghai) Pilot Free Trade Zone, Qingpu District, Shanghai

Patentee after: Nurma information technology (Shanghai) Co.,Ltd.

Address before: Room C2-2001, No. 121 Zhongshan North 1st Road, Hongkou District, Shanghai, 200086

Patentee before: Shanghai DeYun Optical & Electricity Technical Co.,Ltd.

TR01 Transfer of patent right