CN113098863A - 一种基于tls+mqtt协议的物联网双认证方法和系统 - Google Patents

一种基于tls+mqtt协议的物联网双认证方法和系统 Download PDF

Info

Publication number
CN113098863A
CN113098863A CN202110346154.6A CN202110346154A CN113098863A CN 113098863 A CN113098863 A CN 113098863A CN 202110346154 A CN202110346154 A CN 202110346154A CN 113098863 A CN113098863 A CN 113098863A
Authority
CN
China
Prior art keywords
internet
things
tls
terminal
mqtt
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110346154.6A
Other languages
English (en)
Other versions
CN113098863B (zh
Inventor
李汶昊
孙晓鹏
徐尉
李亚运
廖正赟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN202110346154.6A priority Critical patent/CN113098863B/zh
Publication of CN113098863A publication Critical patent/CN113098863A/zh
Application granted granted Critical
Publication of CN113098863B publication Critical patent/CN113098863B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出了一种基于TLS+MQTT协议的物联网双认证方法和系统,本发明针对物联网场景下,采用基于TLS+MQTT协议的双认证方式保证物联网终端身份可信。当物联网终端与物联网云平台建立TLS连接时,互相认证对方身份实现双向身份认证,认证通过后TLS网关同步物联网终端认证信息到MQTT Broker,MQTT Broker在MQTT协议层基于终端标识再次对物联网终端进行身份认证,从而实现增强的双认证方法。因此,本发明通过联动机制实现两种协议认证结果的同步,从而保障物联网云平台对物联网终端设备的身份增强认证,并保证数据传输安全可靠。

Description

一种基于TLS+MQTT协议的物联网双认证方法和系统
技术领域
本发明涉及物联网技术领域,尤其涉及一种基于TLS+MQTT协议的物联网双认证方法和系统。
背景技术
随着技术的发展,越来越多的物联网设备接入互联网,实现了互联网从人向物的延伸。而物联网发展面临的一系列问题中,安全问题首当其冲,如何保证设备接入的安全性也成为了物联网云平台不可回避的问题。由物联网云平台为物联网终端颁发数字证书,采用一机一证的方式,用于解决对物联网终端设备的身份认证。物联网设备使用其数字证书通过TLS(Transport Layer Security)协议接入物联网云平台,保证双向身份认证和数据通信安全。
目前业界通常采用MQTT(Message Queuing Telemetry Transport)协议承载物联网终端数据接入物联网云平台。MQTT协议支持客户端标识、用户名和密码等认证方式,对认证通过的设备进行授权。
发明内容
鉴于上述内容,有必要提供一种基于TLS+MQTT协议的物联网双认证方法和系统,通过联动机制实现两种协议认证结果的同步,从而保障物联网云平台对物联网终端设备的身份增强认证,并保证数据传输安全可靠。
本发明第一方面提出一种基于TLS+MQTT协议的物联网双认证方法,所述方法包括:
步骤1,物联网云平台的TLS网关向PKI系统申请签发数字证书;
步骤2,物联网终端向物联网云平台的PKI系统申请签发数字证书;
步骤3,物联网终端向物联网云平台发起TLS安全连接,经过负载均衡分发连接请求到TLS网关;
步骤4,TLS网关收到连接请求进行处理,并回复响应数据;
步骤5,物联网终端进行回应,将其数字证书包含在回应数据中,发送到TLS网关;
步骤6,TLS网关对物联网终端的数字证书进行验证,如不通过则立即断开与物联网终端的连接,如通过则向物联网终端回复数据包,双方完成TLS协商;
步骤7,TLS网关将认证通过的终端数字证书中的终端标识,以及物联网终端认证成功的状态信息,同步提供给MQTT Broker;
步骤8,MQTT Broker收到TLS网关同步的物联网终端标识,将终端标识添加到接入白名单中;
步骤9,物联网终端在TLS安全通道中传输MQTT连接请求并发送到TLS网关,TLS网关解密还原后将MQTT连接请求转发给MQTT Broker;
步骤10,MQTT Broker取MQTT连接请求中的终端标识,通过查找终端标识白名单对接入的终端进行身份认证,认证通过给终端返回MQTT连接回执;
步骤11,物联网终端收到MQTT连接回执,接下来进行MQTT业务数据报文的上报。
基于上述,步骤1中,所述TLS网关的TLS安全连接采用TLS1.0、TLS1.2、TLS1.3中的任意一种协议版本完成TLS流程,并支持RSA、AES、SHA国际算法和SM1、SM2、SM3、SM4国密算法。
本发明第二方面还提出一种基于TLS+MQTT协议的物联网双认证系统,所述系统包括:物联网终端和物联网云平台,所述物联网终端与所述物联网云平台进行通信连接;所述物联网云平台至少包括负载均衡模块、TLS网关、MQTT Broker、PKI系统以及IOT服务集群;所述物联网终端和所述物联网云平台之间的认证方法采用所述的基于TLS+MQTT协议的物联网双认证方法。
本发明提出的基于TLS+MQTT协议的物联网终端双认证方法和系统,通过联动机制实现两种协议认证结果的同步,从而保障物联网云平台对物联网终端设备的身份增强认证,并保证数据传输安全可靠。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出本发明一种基于TLS+MQTT协议的物联网双认证方法的流程图。
图2示出本发明一种基于TLS+MQTT协议的物联网双认证系统的框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出本发明一种基于TLS+MQTT协议的物联网双认证方法的流程图。
如图1所示,本发明第一方面提出一种基于TLS+MQTT协议的物联网双认证方法,所述方法包括:
步骤1,物联网云平台的TLS网关向PKI系统申请签发数字证书;
步骤2,物联网终端向物联网云平台的PKI系统申请签发数字证书;
步骤3,物联网终端向物联网云平台发起TLS安全连接,经过负载均衡分发连接请求到TLS网关;
步骤4,TLS网关收到连接请求进行处理,并回复响应数据;
步骤5,物联网终端进行回应,将其数字证书包含在回应数据中,发送到TLS网关;
步骤6,TLS网关对物联网终端的数字证书进行验证,如不通过则立即断开与物联网终端的连接,如通过则向物联网终端回复数据包,双方完成TLS协商;
步骤7,TLS网关将认证通过的终端数字证书中的终端标识,以及物联网终端认证成功的状态信息,同步提供给MQTT Broker;
步骤8,MQTT Broker收到TLS网关同步的物联网终端标识,将终端标识添加到接入白名单中;
步骤9,物联网终端在TLS安全通道中传输MQTT连接请求并发送到TLS网关,TLS网关解密还原后将MQTT连接请求转发给MQTT Broker;
步骤10,MQTT Broker取MQTT连接请求中的终端标识,通过查找终端标识白名单对接入的终端进行身份认证,认证通过给终端返回MQTT连接回执;
步骤11,物联网终端收到MQTT连接回执,接下来进行MQTT业务数据报文的上报。
进一步的,步骤1中,所述TLS网关的TLS安全连接采用TLS1.0、TLS1.2、TLS1.3中的任意一种协议版本完成TLS流程,并支持RSA、AES、SHA国际算法和SM1、SM2、SM3、SM4国密算法。
图2示出本发明一种基于TLS+MQTT协议的物联网双认证系统的框图。
如图2所示,本发明第二方面还提出一种基于TLS+MQTT协议的物联网双认证系统,所述系统包括:物联网终端和物联网云平台,所述物联网终端与所述物联网云平台进行通信连接;所述物联网云平台至少包括负载均衡模块、TLS网关、MQTT Broker、PKI系统以及IOT服务集群;所述物联网终端和所述物联网云平台之间的认证方法采用所述的基于TLS+MQTT协议的物联网双认证方法。
本发明针对物联网场景下,采用基于TLS+MQTT协议的双认证方式保证物联网终端身份可信。当物联网终端与物联网云平台建立TLS连接时,互相认证对方身份实现双向身份认证,认证通过后TLS网关同步物联网终端认证信息到MQTT Broker,MQTT Broker在MQTT协议层基于终端标识再次对物联网终端进行身份认证,从而实现增强的双认证方法。
本发明为各类物联网终端签发数字证书,并通过TLS协议连接物联网云平台,不仅实现身份认证,还可以确保消息的完整性和保密性。
本发明通过TLS层基于数字证书的身份认证和MQTT协议层通过终端标识认证相结合,从而实现物联网云平台对物联网终端的身份双认证,保障接入终端可信,从而提升物联网系统的安全性。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (3)

1.一种基于TLS+MQTT协议的物联网双认证方法,其特征在于,所述方法包括:
步骤1,物联网云平台的TLS网关向PKI系统申请签发数字证书;
步骤2,物联网终端向物联网云平台的PKI系统申请签发数字证书;
步骤3,物联网终端向物联网云平台发起TLS安全连接,经过负载均衡分发连接请求到TLS网关;
步骤4,TLS网关收到连接请求进行处理,并回复响应数据;
步骤5,物联网终端进行回应,将其数字证书包含在回应数据中,发送到TLS网关;
步骤6,TLS网关对物联网终端的数字证书进行验证,如不通过则立即断开与物联网终端的连接,如通过则向物联网终端回复数据包,双方完成TLS协商;
步骤7,TLS网关将认证通过的终端数字证书中的终端标识,以及物联网终端认证成功的状态信息,同步提供给MQTT Broker;
步骤8,MQTT Broker收到TLS网关同步的物联网终端标识,将终端标识添加到接入白名单中;
步骤9,物联网终端在TLS安全通道中传输MQTT连接请求并发送到TLS网关,TLS网关解密还原后将MQTT连接请求转发给MQTT Broker;
步骤10,MQTT Broker取MQTT连接请求中的终端标识,通过查找终端标识白名单对接入的终端进行身份认证,认证通过给终端返回MQTT连接回执;
步骤11,物联网终端收到MQTT连接回执,接下来进行MQTT业务数据报文的上报。
2.根据权利要求1所述的基于TLS+MQTT协议的物联网双认证方法,其特征在于,步骤1中,所述TLS网关的TLS安全连接采用TLS1.0、TLS1.2、TLS1.3中的任意一种协议版本完成TLS流程,并支持RSA、AES、SHA国际算法和SM1、SM2、SM3、SM4国密算法。
3.一种基于TLS+MQTT协议的物联网双认证系统,其特征在于,所述系统包括:物联网终端和物联网云平台,所述物联网终端与所述物联网云平台进行通信连接;所述物联网云平台至少包括负载均衡模块、TLS网关、MQTT Broker、PKI系统以及IOT服务集群;所述物联网终端和所述物联网云平台之间的认证方法采用权利要求1或2所述的基于TLS+MQTT协议的物联网双认证方法。
CN202110346154.6A 2021-03-31 2021-03-31 一种基于tls+mqtt协议的物联网双认证方法和系统 Active CN113098863B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110346154.6A CN113098863B (zh) 2021-03-31 2021-03-31 一种基于tls+mqtt协议的物联网双认证方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110346154.6A CN113098863B (zh) 2021-03-31 2021-03-31 一种基于tls+mqtt协议的物联网双认证方法和系统

Publications (2)

Publication Number Publication Date
CN113098863A true CN113098863A (zh) 2021-07-09
CN113098863B CN113098863B (zh) 2022-03-11

Family

ID=76671405

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110346154.6A Active CN113098863B (zh) 2021-03-31 2021-03-31 一种基于tls+mqtt协议的物联网双认证方法和系统

Country Status (1)

Country Link
CN (1) CN113098863B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114221822A (zh) * 2022-01-12 2022-03-22 杭州涂鸦信息技术有限公司 配网方法、网关设备以及计算机可读存储介质
CN115776390A (zh) * 2022-11-04 2023-03-10 哈尔滨工程大学 一种基于国密的mqtt协议身份认证与数据加密方法
WO2023103331A1 (zh) * 2021-12-10 2023-06-15 西安广和通无线通信有限公司 云平台连接方法、装置、设备及存储介质
CN116827929A (zh) * 2022-03-27 2023-09-29 西安即刻易用网络科技有限公司 一种基于mqtt协议的通信系统及通信方法
WO2023241331A1 (zh) * 2022-06-17 2023-12-21 京东方科技集团股份有限公司 物联网系统及其认证与通信方法、相关设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108599939A (zh) * 2018-04-25 2018-09-28 新华三技术有限公司 一种认证方法和装置
CN110099072A (zh) * 2019-05-21 2019-08-06 唯伊云(武汉)科技有限公司 一种针对于工业物联网数据传输的安全防护方法
CN110113359A (zh) * 2019-05-28 2019-08-09 济南浪潮高新科技投资发展有限公司 一种物联网平台协议适配方法
US20200145409A1 (en) * 2017-06-16 2020-05-07 Cryptography Research, Inc. Internet of things (iot) device management
CN111314366A (zh) * 2020-02-25 2020-06-19 广州致远电子有限公司 一种基于mqtt协议的安全登录系统及方法
US20200220875A1 (en) * 2019-01-04 2020-07-09 Ping Identity Corporation Methods and systems for data traffic based adaptive security
CN112153163A (zh) * 2020-10-19 2020-12-29 爱瑟福信息科技(上海)有限公司 基于mqtt的安全通信方法及其系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200145409A1 (en) * 2017-06-16 2020-05-07 Cryptography Research, Inc. Internet of things (iot) device management
CN108599939A (zh) * 2018-04-25 2018-09-28 新华三技术有限公司 一种认证方法和装置
US20200220875A1 (en) * 2019-01-04 2020-07-09 Ping Identity Corporation Methods and systems for data traffic based adaptive security
CN110099072A (zh) * 2019-05-21 2019-08-06 唯伊云(武汉)科技有限公司 一种针对于工业物联网数据传输的安全防护方法
CN110113359A (zh) * 2019-05-28 2019-08-09 济南浪潮高新科技投资发展有限公司 一种物联网平台协议适配方法
CN111314366A (zh) * 2020-02-25 2020-06-19 广州致远电子有限公司 一种基于mqtt协议的安全登录系统及方法
CN112153163A (zh) * 2020-10-19 2020-12-29 爱瑟福信息科技(上海)有限公司 基于mqtt的安全通信方法及其系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
C. SENGUL; BRUNEL UNIVERSITY;A. KIRBY;OXBOTICA;P. FREMANTLE;UNIV: "MQTT-TLS profile of ACE", 《IETF》 *
DMITRII I. DIKII: "Remote Access Control Model for MQTT Protocol", 《 2020 IEEE CONFERENCE OF RUSSIAN YOUNG RESEARCHERS IN ELECTRICAL AND ELECTRONIC ENGINEERING (EICONRUS)》 *
彭松: "基于MQTT的物联网安全技术研究与应用", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023103331A1 (zh) * 2021-12-10 2023-06-15 西安广和通无线通信有限公司 云平台连接方法、装置、设备及存储介质
CN114221822A (zh) * 2022-01-12 2022-03-22 杭州涂鸦信息技术有限公司 配网方法、网关设备以及计算机可读存储介质
CN114221822B (zh) * 2022-01-12 2023-10-27 杭州涂鸦信息技术有限公司 配网方法、网关设备以及计算机可读存储介质
CN116827929A (zh) * 2022-03-27 2023-09-29 西安即刻易用网络科技有限公司 一种基于mqtt协议的通信系统及通信方法
WO2023241331A1 (zh) * 2022-06-17 2023-12-21 京东方科技集团股份有限公司 物联网系统及其认证与通信方法、相关设备
CN115776390A (zh) * 2022-11-04 2023-03-10 哈尔滨工程大学 一种基于国密的mqtt协议身份认证与数据加密方法
CN115776390B (zh) * 2022-11-04 2024-04-09 哈尔滨工程大学 一种基于国密的mqtt协议身份认证与数据加密方法

Also Published As

Publication number Publication date
CN113098863B (zh) 2022-03-11

Similar Documents

Publication Publication Date Title
CN113098863B (zh) 一种基于tls+mqtt协议的物联网双认证方法和系统
CN111835752B (zh) 基于设备身份标识的轻量级认证方法及网关
US8145896B2 (en) System and method for implementing an enhanced transport layer security protocol
CN111314056B (zh) 基于身份加密体制的天地一体化网络匿名接入认证方法
RU2597526C2 (ru) Связь шлюза с обеспечением безопасности
JP4603043B2 (ja) シンクml同期データを送信するための方法
EP1025675B1 (en) Security of data connections
CN113099443B (zh) 设备认证方法、装置、设备和系统
CN104135494A (zh) 一种基于可信终端的同账户非可信终端登录方法及系统
CN110858970B (zh) 第一车辆侧的终端设备及其运行方法、第二车辆侧的终端设备及其运行方法
WO2018226154A1 (en) Secure and encrypted heartbeat protocol
CN102196423A (zh) 一种安全数据中转方法及系统
CN106878324B (zh) 短信认证方法、短信认证服务器及终端
CN112437044B (zh) 即时通讯方法和装置
CN112565302A (zh) 基于安全网关的通信方法、系统及设备
CN114172745A (zh) 一种物联网安全协议系统
CN113163375B (zh) 一种基于NB-IoT通信模组的空中发证方法和系统
CN114826659A (zh) 一种加密通讯方法及系统
US8504832B2 (en) Mobile terminal for sharing resources, method of sharing resources within mobile terminal and method of sharing resources between web server and terminal
WO2016000473A1 (zh) 一种业务访问方法、系统及装置
US20190149991A1 (en) Technique for authenticating a user device
US10972912B1 (en) Dynamic establishment of trust between locally connected devices
CN111586017A (zh) 通信用户认证的方法和装置
CN114158046B (zh) 一键登录业务的实现方法和装置
CN113098685B (zh) 一种基于云计算的安全验证方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant