CN113630407A - 使用对称密码技术增强mqtt协议传输安全的方法和系统 - Google Patents
使用对称密码技术增强mqtt协议传输安全的方法和系统 Download PDFInfo
- Publication number
- CN113630407A CN113630407A CN202110882451.2A CN202110882451A CN113630407A CN 113630407 A CN113630407 A CN 113630407A CN 202110882451 A CN202110882451 A CN 202110882451A CN 113630407 A CN113630407 A CN 113630407A
- Authority
- CN
- China
- Prior art keywords
- key
- internet
- terminal
- things
- quantum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种使用对称密码技术增强MQTT协议传输安全的方法,包括对数据进行加密和解密,加密和解密均包括物联网终端到物联网平台的加密和解密以及物联网平台到物联网终端的加密和解密,加解密中使用量子密钥充注机充注到内置或外置于物联网终端的量子安全芯片的与量子交换密码机内存储密钥的对称密钥,量子交换密码机记录存储充注量子安全芯片和密钥的对应关系。本发明的优点在于:量子密钥用于MQTT上下行信息保护:使用量子安全芯片和对称密码技术完成对解决物联网终端上、下行消息、传输过程中密钥重复使用,安全性随着使用会降低的问题。
Description
技术领域
本发明属于安全应用类产品领域,特别是使用对称密码技术增强MQTT协议传输安全的方法
背景技术
MQTT(Message Queuing Telemetry Transport,消息队列遥测传输)协议,是一种基于发布/订阅模式的通信协议,该通信协议构建于TCP/IP(Transmission ControlProtocol/Internet Protocol,传输控制协议/因特网互联协议)协议上。MQTT可以以较少的代码和有限的带宽,为连接的终端提供实时可靠的消息服务。
CN109525566A号专利申请公开了一种基于增强型MQTT消息机制的LoRaWan数据交换方法,属于物联网技术领域,在感知层建立LoRaWAN终端和LoRaWAN网关,在网络层建立数据核心层,在应用层建立数据应用管理层,通过MQTT中间件与SSL证书实现各层之间的数据交互,解决了在LoRaWAN数据交换时通过MQTT协议中间件实现SSL传输加密的技术问题,实现了在单独某个物联网层部署调试或者演进时,只需要关注当前物联网层的业务实现,大大简化了开发部署和调试演进的工作,物联网层之间实现了解耦合,方便了各单独服务层独立演进、重用;该发明采用MQTT消息机制的数据交换系统会更健壮和易于扩展,实现SSL的加密传输。该方法在实现数据交换时,需要申请证书,将证书导入自身设备,且需要对已导入的证书进行管理,会增大处理复杂度。
针对上述问题,CN110225049A号专利申请提供了一种数据传输方法,该方法包括:向服务器发送连接请求后接收所述服务器发送的服务器密钥;在接收到所述服务器响应所述连接请求的响应信息后,向所述服务器发送客户端密钥;根据所述服务器密钥和所述客户端密钥按照与所述服务器预先约定的条件生成加密密钥;利用所述加密密钥对目标数据进行加密,并向所述服务器发送加密后的目标数据。通过本发明,可以提高数据传输的安全性。但是该专利申请的技术方案中,数据加密主要依赖基于传统公钥证书的通道加密来实现,在数据加密密码随着使用频次的增加,密钥重复使用,安全性随着使用也会降低。
发明内容
本发明所要解决的技术问题在于如何提高MQTT协议传输的安全。
本发明通过以下技术手段实现解决上述技术问题的:一种使用对称密码技术增强MQTT协议传输安全的方法,包括以下步骤:
S1、对数据进行加密;
物联网终端到物联网平台:量子密钥充注机完成将量子随机数发生器产生的量子密钥到量子安全芯片的充注,量子交换密码机记录存储充注量子安全芯片和密钥的对应关系;
获取登录令牌后,物联网终端调用量子安全芯片内密钥完成对上报消息加密,加密后信息通过MQTT协议中PUBLISH消息PAYLOAD进行传输,消息体中增加本次使用密钥的序列号;
物联网平台到物联网终端:物联网平台根据物联网终端标识向量子密码管理服务系统申请密钥,量子密码管理服务系统通过量子交换密码机根据之前量子安全芯片充注信息,返回和该量子终端内集成的量子安全芯片内已经充注的可用密钥对称的密钥序列号和密钥,物联网平台对下发消息进行加密,密文放入MQTT协议中PUBLISH消息PAYLOAD中,消息体中增加本次使用密钥的序列号;
S2、对数据进行解密;
物联网平台解密:物联网平台从PUBLISH消息中PAYLOAD获取物联网终端发送的加密后的密文,物联网平台根据消息体中密钥序列号向量子密码管理服务系统获取解密密钥,量子密码管理服务系统通过量子交换密码机返回消息体中密钥序列号对应的量子安全芯片的密钥对称的解密密钥,使用返回的解密密钥以及对应算法完成对密文的解密,并根据消息中时变参数和登录令牌进行验证,验证成功后,开始下行明文内容的解析;
物联网终端解密:物联网终端从PUBLISH消息中PAYLOAD中获取物联网平台下发的密文,根据消息体中的序列号向内置的量子安全芯片获取与加密密钥对称的解密密钥,使用解密密钥以及对应算法完成对密文的解密,并根据消息中时变参数和登录令牌进行验证,验证成功后,开始下行明文内容的解析。
作为进一步优化的技术方案,数据加密中,物联网终端到物联网平台流程具体如下:
S101、物联网终端获取登录令牌后,选择数据上报,根据MQTT协议物联网平台发布订阅,并根据订阅内容进行数据上报明文准备;
S102、物联网终端选取内置或者外置的量子安全芯片内密钥序列为Z的密钥B;
S103、物联网终端构造上报消息:密钥序列号+终端ID+密文(时变参数+终端ID+登录令牌+上报明文),并对所述上报消息的密文内容使用密钥B进行加密;
S104、将所述上报消息:密钥序列号+终端ID+密文(时变参数+终端ID+登录令牌+上报明文)放入到PUBLISH消息PAYLOAD消息体中,并上报至物联网平台,密文采用加密算法和芯片密钥B共同产生。
作为进一步优化的技术方案,物联网平台对物联网终端解密具体流程如下:
S201、物联网平台根据物联网终端上报PUBLISH消息中PAYLOAD(载荷)中终端ID和序列号Z向量子密码管理服务系统获取解密密钥;
S202、量子密码管理服务系统从量子交换密码机上获取预先存储的与序列号Z对应的解密密钥B’,并返回给物联网平台,密钥B’与密钥B为对称密钥;
S203、物联网平台根据密钥B’以及对应算法进行解密,验证用户上行消息中的时变参数和登录令牌,对时变参数主要验证本次消息当前时间和平台时间的差值,防止重放攻击,登录令牌由终端ID和终端认证登录时候上报时变参数共同产生,终端ID验证通过消息上报的信息确定该消息代表的终端ID是否和令牌中一致,防止中间人攻击,时变参数验证主要分为两点,一是验证时变参数是否是终端在登录鉴权时候上报的时变参数,确定终端身份,二是验证登录令牌是否还在有效期内,登录令牌超过有效期,需要重新申请,验证成功后,解析上报明文内容,否则验证失败。
作为进一步优化的技术方案,数据加密中,物联网平台到物联网终端流程具体如下:
S111、物联网平台选择下行消息,根据物联网终端订阅的主题下发消息;
S112、物联网平台根据终端ID到量子密码管理服务系统获取密钥,返回密钥序列为W的密钥C;
S113、物联网平台构造下发消息:密钥序列号W+密文(时变参数+平台ID+登录令牌+下行明文),并对密文内容使用密钥C进行加密,密文采用加密算法和芯片密钥C共同产生;
S114、物联网平台将所述下发信息:密钥序列号W+密文(时变参数+平台ID+登录令牌+下行明文)放入到MQTT协议中PUBLISH消息的PAYLOAD消息体中,并下发至物联网终端。
作为进一步优化的技术方案,数据解密中,物联网终端对物联网平台的解密的流程如下:
S211、物联网终端根据从物联网平台推送的PUBLISH消息中PAYLOAD载荷中的密钥序列号W向内置或者外置的量子安全芯片获取密钥;
S212、量子安全芯片根据序列号W返回预先存储的与密钥C对称的解密密钥C’;
S213、物联网终端根据密钥C’以及对应算法对密文进行解密,验证下行消息中的时变参数和登录令牌,验证成功后,开始下行明文内容的解析,否则验证失败。
作为进一步优化的技术方案,所述数据加密和解密前还包括物联网终端使用量子安全芯片内的密钥完成到物联网平台的平台登录认证,获取登录令牌的步骤,具体包括:
S1’、第一次身份认证:物联网终端到物联网平台:量子密钥充注机完成将量子随机数发生器产生的量子密钥到量子安全芯片的充注、存储,同时记录存储充注安全芯片和密钥的对应关系,物联网终端调用内置集成或者外置的安全芯片内存储的量子密钥用于构造身份认证请求消息:密钥序列号+终端ID+密文(时变参数+终端ID+终端预设密码)到物联网平台,物联网平台根据终端ID和密钥序列号从与量子交换密码机连接的量子密码管理服务系统获取与终端充注密钥对称的密钥进行解密,比对身份认证请求消息中的终端ID和终端预设密码,同时保存终端发送的时变参数,认证成功后根据终端ID和时变参数生成登录令牌,并向终端返回验证成功消息,如果不成功则返回不成功消息;
S2’、第二次身份认证:物联网平台根据终端ID向量子密码管理服务系统申请和终端匹配的充注密钥和对应的密钥序列号,并开始构造身份认证请求消息:密钥序列号+密文(时变参数+平台ID+登录令牌),登录令牌根据第一次身份认证时终端上报的终端ID和时变参数结合产生,并将该身份认证请求消息发送至终端;终端根据密钥序列号获取与对应的充注密钥对称的密钥对身份认证请求消息进行解密,验证平台ID以及登录令牌,确定登录令牌是第一次身份认证时物联网平台根据认证时的终端ID和时变参数产生,验证成功后,终端开始向物联网平台发送消息。
作为进一步优化的技术方案,S1’、第一次身份认证,包括下述步骤:
S11’、终端获取安全芯片内密钥请求,安全芯片返回芯片密钥序列号G的密钥A;
S12’、终端根据MQTT连接消息Connect内容格式构造初始身份认证请求消息:密钥序列号G+终端ID+密文(时变参数+终端ID+终端预设密码),密文的加密方式采用对称算法完成,加密密钥为S1中取出的密钥A;
S13’、终端向物联网平台对外暴露的代理地址发送步骤S12构造的身份认证请求消息;
S14’、物联网平台根据所述初始身份认证请求消息中终端ID和密钥序列号G向量子密码管理服务系统获取与密钥A对称的密钥A’;
S15’、量子密码管理服务系统返回密钥A’至物联网平台,物联网平台利用密钥A’对所述初始身份认证请求消息进行解密,得到解密后的密文:时变参数+终端ID+终端预设密码,并将解密后终端ID和终端预设密码和后台存储的终端ID以及物联网平台预先存储的终端预设密码进行比较,确定终端的身份,同时利用MQTT消息中的CONNACK向终端返回验证成功消息OX00,并保存终端发过来的时变参数,如果不成功则根据MQTT手册返回非0消息。
作为进一步优化的技术方案,S2’、第二次身份认证,包括下述步骤:
S21’、物联网平台根据终端ID从量子密码管理服务系统获取与终端匹配的芯片密钥,量子密码管理服务系统向物联网平台返回和终端匹配的芯片密钥E和芯片密钥E的序列号K;
S22’、物联网平台构造向终端申请的身份认证请求消息:密钥序列号C+密文(时变参数+平台ID+登录令牌),密文的加密密钥为S21中取出的芯片密钥E,登录令牌由终端第一次身份认证保存的时变参数+终端ID共同产生,用PUBLISH搭出来物联网平台对终端身份认证机制,向终端推送第二次身份认证请求消息,身份认证请求消息放入PAYLOAD中;
S23’、终端收到物联网平台推送的身份认证请求消息,根据身份认证请求消息中密钥序列号K向安全芯片内获取与序列号K对应的芯片密钥E的对称解密秘钥,安全芯片返回解密秘钥E’;
S24’、终端使用解密秘钥E’对身份认证请求消息中的密文解密,通过验证平台ID和登录令牌实施解密验证,对登录令牌主要验证是否是第一次身份认证发送的时变参数和终端ID共同产生,如果通过,则终端认为物联网平台是可信的,则能够向物联网平台发送数据。
本发明还一种使用对称密码技术增强MQTT协议传输安全的方法,应用在MQTT协议传输系统的物联网终端,包括数据加密和数据解密,物联网终端首先使用量子安全芯片内的密钥完成到物联网平台的平台登录认证,获取登录令牌,然后执行下述MQTT协议传输步骤:
对数据进行加密;
物联网终端到物联网平台:量子安全芯片获取量子密钥充注机提供的量子密钥的充注;
获取登录令牌后,物联网终端调用量子安全芯片内密钥完成对上报消息加密,,加密后信息通过MQTT协议中PUBLISH消息PAYLOAD(载荷)进行传输,消息体中增加本次使用密钥的序列号;
对数据进行解密;
物联网终端解密:物联网终端从PUBLISH消息中PAYLOAD中获取物联网平台下发的密文,根据消息体中的序列号向内置的量子安全芯片获取与加密密钥对称的解密密钥,使用解密密钥以及对应算法完成对密文的解密,并根据消息中时变参数和登录令牌进行验证,验证成功后,开始下行明文内容的解析。
本发明还提供一种使用对称密码技术增强MQTT协议传输安全的方法,应用在MQTT协议传输系统的物联网平台,其特征在于:包括数据加密和数据解密,物联网平台首先完成物联网终端的登录认证,然后执行下述MQTT协议传输步骤:
对数据进行加密;
物联网平台到物联网终端:物联网平台根据物联网终端标识向量子密码管理服务系统申请密钥,量子密码管理服务系统通过量子交换密码机根据之前量子安全芯片充注信息,返回和该量子终端内集成的量子安全芯片内已经充注的可用密钥对称的密钥序列号和密钥,物联网平台对下发消息进行加密,加密可采用SM4,密文放入MQTT协议中PUBLISH消息PAYLOAD中,消息体中增加本次使用密钥的序列号;
对数据进行解密;
物联网平台解密:物联网平台从PUBLISH消息中PAYLOAD获取物联网终端发送的加密后的密文,物联网平台根据消息体中密钥序列号向量子密码管理服务系统获取解密密钥,量子密码管理服务系统通过量子交换密码机返回消息体中密钥序列号对应的量子安全芯片的密钥对称的解密密钥,使用返回的解密密钥以及对应算法完成对密文的解密,并根据消息中时变参数和登录令牌进行验证,验证成功后,开始下行明文内容的解析。
本发明还一种使用对称密码技术增强MQTT协议传输安全的系统,包括:
量子随机数发生器,用于生成量子密钥;
量子交换密码机,接收量子随机数发生器发出的量子密钥,用于提供密钥服务,量子交换密码机内预先存储有密钥,该密钥为量子随机数生成器预生成的密钥,并存储在该量子交换密码机内,与量子安全芯片内的密钥为对称密钥;
量子密钥充注机,与量子交换密码机的输出端连接,用于充注量子密钥;
量子密码管理服务系统,通过网络与物联网平台实现数据交互,量子密码管理服务系统直接连接量子密码交换机,用于提供基于量子安全芯片身份的密钥分发功能;
物联网终端是物联网中连接传感网络层和传输网络层,执行上述方案中需要物联网终端执行的步骤;
量子安全芯片,存储量子安全密钥,量子安全芯片在使用前预充注密码,量子安全芯片通过量子密钥充注机被充注量子安全密钥,每个量子安全芯片被充注的密钥和量子交换密码机内预置的密钥是对称密钥,每个量子安全芯片有自己的编号,每支量子密钥有自己的序列号,通过内置或者外接于物联网终端中;
物联网平台,提供基于MQTT协议的物联网终端设备认证、鉴权、设备数据接入功能,执行上述步骤中需要物联网平台执行的步骤。
本发明的优点在于:
(1)量子密钥用于MQTT上下行信息保护:使用量子安全芯片和对称密码技术完成对解决物联网终端上、下行消息、传输过程中密钥重复使用,安全性随着使用会降低的问题。
(2)量子安全芯片作为MQTT协议的安全能力提供方:本发明中的量子安全芯片有两大功能,一是使用量子随机数生成器生成的量子真随机数密钥取代传统加密芯片内的传统密钥。二是利用量子密钥完成物联网终端、物联网平台之间的上下行消息的加密保护。
(3)解决网络攻击日益严峻的环境对物联网设备安全影响:①解决物联网终端设备身份认证问题:使用量子安全芯片内置密钥集合对称算法进行身份认证,一次认证一份密钥。②解决物联网设备在消息传递中消息加密的问题,舍弃了TLS证书体系,以密文存储,加密密钥为量子密码服务系统生成的量子真随机密钥。即使消息被获取,也无法知道上报消息,尤其是针对下行控制类命令起到保护作用。
(4)防范未来量子计算机和量子算法带来的安全威胁。①防范基于大因数分解难题的公钥密码算法被破译问题:使用量子对称密钥,无法通过大因数分解来破译;②防范未来出现的量子计算机带来的安全威胁:使用量子安全密码进行加密传输,理论上是完全安全可信的;③防范未来可能出现的量子算法对已有密码体系的威胁:使用量子安全密码进行加密传输,量子安全密钥是通过量子随机数生成器生成的真随机数,无法通过算法来破译。
(5)无需数字证书的第三方颁发和认证;①提供无证书的数据加密方式,减少第三方的参与:使用基于SM4集合量子密钥的数据加密方式,无需颁发证书的第三方。减少过程的参与方,减少三方协议风险。
(6)开发技术易于实现;量子安全芯片是可行的存在的技术,基于量子对称密钥的安全认证也是可以实现的技术,用于加密邮件的邮件加密密码可以使用量子随机数生成,技术成熟,安全性高。
(7)本发明对物联网平台自身进行改造的地方极少,主要是通过增加量子密钥服务系统的方式对安全性进行提升,通用性强。本发明可以集成到量子密码管理服务系统上,对外提供功能接口,延展性好。
(8)网络安全能力得到显著提升;本发明可以针对现有的攻击方式以及未来可能有的量子计算威胁进行防御,可极大减少因信息泄露带来的经济损失。
(9)终端安全能力显著升级;本发明可以极大增强终端的安全性,按照目前有两亿终端,其中对于电表、水表等计量性终端、以及对安全领域有非常高的领域均有有明确的需求。目前估算单表的改造费用在25元,按照天翼物联两亿终端数量,渗透率在10%左右,未来可以支撑2.5亿市场预期。
(10)改造成本低;本发明可以在现有系统上进行改造,平台侧可以直接对接管理平台,设备侧可以采用集成SIM卡或者安全模组进行对接即可,改造成本低。
附图说明
图1是本发明实施例使用对称密码技术增强MQTT协议传输安全的方法的总体流程示意图;
图2是应用本发明实施例使用对称密码技术增强MQTT协议传输安全的方法的系统组成图;
图3是应用本发明实施例对称密码技术增强MQTT协议传输安全的方法的数据加密时序图;
图4是应用本发明实施例对称密码技术增强MQTT协议传输安全的方法的数据加密的上行流程图;
图5是应用本发明实施例对称密码技术增强MQTT协议传输安全的方法的数据加密的下行流程图;
图6是应用本发明实施例对称密码技术增强MQTT协议传输安全的方法的数据解密时序图;
图7是应用本发明实施例对称密码技术增强MQTT协议传输安全的方法的数据解密的上行流程图;
图8是应用本发明实施例对称密码技术增强MQTT协议传输安全的方法的数据解密的下行流程图;
图9是本发明实施例使用对称密码技术增强MQTT协议身份认证的方法的总体流程示意图;
图10是应用本发明实施例对称密码技术增强MQTT协议传输身份认证的时序图;
图11是第一次身份认证的详细流程图;
图12是第二次身份认证的详细流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1和图2所示,本实施例提供一种使用对称密码技术增强MQTT协议传输安全的方法,包括数据加密和数据解密,应用在MQTT协议传输系统中,该MQTT协议传输系统包括量子随机数发生器、量子交换密码机、量子密钥充注机、量子密码管理服务系统、物联网终端、安全芯片以及物联网平台。安全芯片可以为SIM卡和U盘等形态,通过内置或者外接于物联网终端或者物联网终端的设备模组中。
物联网终端可以是MQTT协议中的发布者,也可以是MQTT协议中的订阅者。物联网平台可以是MQTT协议中的代理。物联网终端接入物联网平台的过程中,物联网平台需要对物联网终端进行认证,如果认证通过,物联网终端则可以与物联网平台进行业务数据传输,例如,物联网终端可以通过物联网平台发布消息,也可以通物联网平台订阅其他物联网终端发布的消息。
量子随机数发生器,用于生成量子密钥;
量子交换密码机,接收量子随机数发生器发出的量子密钥,用于提供密钥服务,量子交换密码机内预先存储有密钥,该密钥为量子随机数生成器预生成的密钥,并存储在该量子交换密码机内,与量子安全芯片内的密钥为对称密钥;
量子密钥充注机,与量子交换密码机的输出端连接,用于充注量子密钥;
量子密码管理服务系统,通过网络与物联网平台实现数据交互,量子密码管理服务系统直接连接量子密码交换机,用于提供基于量子安全芯片身份的密钥分发功能。
物联网终端是物联网中连接传感网络层和传输网络层,实现采集数据及向网络层发送数据的设备。它担负着数据采集、初步处理、加密、传输等多种功能。终端能够适配以SIM卡U盘为形态的量子安全芯片的集成。
量子安全芯片,可以为SIM卡和U盘等形态,存储量子安全密钥,原理为:量子安全芯片在使用前初始化(预充注密码),量子安全芯片通过量子密钥充注机被充注量子安全密钥,每个量子安全芯片被充注的密钥和量子交换密码机内预置的密钥是对称密钥(即一一对应的密钥)。每个量子安全芯片有自己的编号,每支量子密钥有自己的序列号,只要提供量子安全芯片的编号和量子密钥序列号,就能在量子交换密码机内找到对应的密钥,并通过内置或者外接于物联网设备或者物联网设备的设备模组中。
物联网平台,提供基于MQTT协议的物联网终端设备认证、鉴权、设备数据接入功能,能够通过和密钥管理服务平台的交互完成终端集成安全芯片对应密钥的获取功能,并能够根据终端内芯片存储密钥完成对终端身份认证、上下行消息的加解密功能。
身份认证指使用量子安全芯片的内置的密钥实现物联网终端和物联网平台之间的实体认证。该认证方式采用“GB_T 15843.2实体认证协议机制三——双向鉴别之两次传递鉴别”的规范。
数据加密是通过物联网终端对量子安全芯片内部密钥灵活的使用机制,实现物联网终端和物联网平台上下行数据传输中每一条信息匹配一支密钥,密钥不重复使用。
使用对称密码技术增强MQTT协议传输安全的方法包括以下步骤:
物联网终端首先使用量子安全芯片内的密钥完成到物联网平台的平台登录认证,获取登录令牌,然后执行下述MQTT协议传输步骤:
S1、对数据进行加密;
具体地说,物联网终端到物联网平台(上行):量子密钥充注机完成将量子随机数发生器产生的量子密钥到量子安全芯片的充注,量子交换密码机记录存储充注量子安全芯片和密钥的对应关系。
获取登录令牌后,物联网终端调用量子安全芯片内密钥完成对上报消息加密,加密可采用SM4,加密后信息通过MQTT协议中PUBLISH消息PAYLOAD(载荷)进行传输,消息体中增加本次使用密钥的序列号。
物联网平台到物联网终端(下行):物联网平台根据物联网终端标识向量子密码管理服务系统申请密钥,量子密码管理服务系统通过量子交换密码机根据之前量子安全芯片充注信息,返回和该量子终端内集成的量子安全芯片内已经充注的可用密钥对称的密钥序列号和密钥,物联网平台对下发消息进行加密,加密可采用SM4,密文放入MQTT协议中PUBLISH消息PAYLOAD(载荷)中,消息体中增加本次使用密钥的序列号。
S2、对数据进行解密;
物联网平台解密(上行解密):物联网平台从PUBLISH消息中PAYLOAD获取物联网终端发送的加密后的密文,物联网平台根据消息体中密钥序列号向量子密码管理服务系统获取解密密钥,量子密码管理服务系统通过量子交换密码机返回消息体中密钥序列号对应的量子安全芯片的密钥对称的解密密钥,使用返回的解密密钥以及对应算法(SM4)完成对密文的解密,并根据消息中时变参数和登录令牌进行验证,验证成功后,开始下行明文内容的解析。
物联网终端解密(下行解密):物联网终端从PUBLISH消息中PAYLOAD中获取物联网平台下发的密文,根据消息体中的序列号向内置的量子安全芯片获取与加密密钥对称的解密密钥,使用解密密钥以及对应算法(SM4)完成对密文的解密,并根据消息中时变参数和登录令牌进行验证,验证成功后,开始下行明文内容的解析。
如图2所示,量子密码管理服务系统密钥初始化充注到物联网终端中,物联网终端与物联网平台进行信息交互,交互信息是基于充注密钥的身份认证、上下行消息加密,所述物联网平台与量子密码管理服务系统进行设备密钥获取的信息交互。
具体地说,如图3和图4所示,数据加密中上行流程如下:
S101、物联网终端完成双向认证后获取登录令牌,终端选择数据上报,根据MQTT协议物联网平台发布订阅,并根据订阅内容进行数据上报明文准备;
S102、物联网终端选取内置或者外置的量子安全芯片内密钥序列为Z的密钥B;
S103、物联网终端构造上报消息:密钥序列号+终端ID+密文(时变参数+终端ID+登录令牌+上报明文),并对所述上报消息的密文内容使用密钥B进行加密,密文可以采用SM4算法和芯片密钥B共同产生;
S104、将所述上报消息:密钥序列号+终端ID+密文(时变参数+终端ID+登录令牌+上报明文)放入到PUBLISH消息PAYLOAD消息体中,并上报至物联网平台。
如图3和图5所示,数据加密中下行流程如下:
S111、物联网平台选择下行消息,根据物联网终端订阅的主题下发消息;
S112、物联网平台根据终端ID到量子密码管理服务系统获取密钥,返回密钥序列为W的密钥C;
S113、物联网平台构造下发消息:密钥序列号W+密文(时变参数+平台ID+登录令牌+下行明文),并对密文内容使用密钥C进行加密,密文可以采用SM4算法和芯片密钥C共同产生;
S114、物联网平台将所述下发信息:密钥序列号W+密文(时变参数+平台ID+登录令牌+下行明文)放入到MQTT协议中PUBLISH消息的PAYLOAD消息体中,并下发至物联网终端。
如图6和图7所示,数据解密中上行流程如下:
S201、物联网平台根据物联网终端上报PUBLISH消息中PAYLOAD(载荷)中终端ID和序列号Z向量子密码管理服务系统获取解密密钥;
S202、量子密码管理服务系统从量子交换密码机上获取预先存储的与序列号Z对应的解密密钥B’,并返回给物联网平台,密钥B’与密钥B为对称密钥;
S203、物联网平台根据密钥B’以及对应SM4算法进行解密,验证用户上行消息中的时变参数和登录令牌,对时变参数主要验证本次消息当前时间和平台时间的差值,防止重放攻击,登录令牌由终端ID和终端认证登录时候上报时变参数共同产生,终端ID验证通过消息上报的信息确定该消息代表的终端ID是否和令牌中一致,防止中间人攻击,时变参数验证主要分为两点,一是验证时变参数是否是终端在登录鉴权时候上报的时变参数,确定终端身份,二是验证登录令牌是否还在有效期内。登录令牌超过有效期,需要重新申请,验证成功后,解析上报明文内容,否则验证失败。
如图6和图8所示,数据解密中下行解密流程如下:
S211、物联网终端根据从物联网平台推送的PUBLISH消息中PAYLOAD载荷中的密钥序列号W向内置或者外置的量子安全芯片获取密钥;
S212、量子安全芯片根据序列号W返回预先存储的与密钥C对称的解密密钥C’;
S213、物联网终端根据密钥C’以及对应SM4算法对密文进行解密,验证下行消息中的时变参数和登录令牌,验证成功后,开始下行明文内容的解析,否则验证失败。
如图2和图9所示,上述物联网终端首先使用量子安全芯片内的密钥完成到物联网平台的平台登录认证,获取登录令牌的包括下述步骤:
S1’、第一次身份认证:物联网终端到物联网平台:量子密钥充注机完成将量子随机数发生器产生的量子密钥到量子安全芯片的充注、存储,同时记录存储充注安全芯片和密钥的对应关系。物联网终端调用内置集成或者外置的安全芯片内存储的量子密钥用于构造身份认证请求消息,根据认证协议GB_T 15843.2要求,发送身份认证请求消息:密钥序列号+终端ID+密文(时变参数+终端ID+终端预设密码)到物联网平台,终端ID是物联网平台分配给终端的唯一身份标识,物联网平台根据终端ID和密钥序列号从与量子交换密码机连接的量子密码管理服务系统获取与终端充注密钥对称的密钥进行解密,比对身份认证请求消息中的终端ID和终端预设密码,同时保存终端发送的时变参数,认证成功后根据终端ID和时变参数生成登录令牌,并使用MQTT的CONNACK向终端返回验证成功消息OX00,如果不成功则根据MQTT手册返回非0消息,其中终端预设密码,指物联网平台预分配给终端,用户登录用的密码,一般在物联网终端烧制在系统中,基本都是在设备制造阶段就放进去;
S2’、第二次身份认证:物联网平台根据终端ID向量子密码管理服务系统申请和终端匹配的充注密钥和对应的密钥序列号,并开始构造身份认证请求消息,由于MQTT消息中并无终端对物联网平台的身份消息机制,此处利用PUBLISH消息机制,所有终端登录后第一个订阅主题为物联网平台身份认证,根据GB_T 15843.2要求,构造身份认证请求消息:密钥序列号+密文(时变参数+平台ID+登录令牌),密文采用SM4算法、登录令牌根据第一次身份认证时终端上报的终端ID和时变参数结合产生,并将该身份认证请求消息发送至终端;终端根据密钥序列号获取与对应的充注密钥对称的密钥对身份认证请求消息进行解密,验证平台ID以及登录令牌,确定登录令牌是第一次身份认证时物联网平台根据认证时的终端ID和时变参数产生,验证成功后,终端开始向物联网平台发送消息。
为了简化认证时间,每次认证结束后可以设定一个有效期,如有效期为3天或者1天等,则无需每次发送消息都认证。
如图2所示的架构图,量子密码管理服务系统将密钥初始化充注到物联网终端中,物联网终端与安全芯片集成,物联网终端与物联网平台进行信息交互,交互信息是基于充注密钥的身份认证、上下行消息加密,所述物联网平台与量子密码管理服务系统进行设备密钥获取的信息交互。
如图10至图12所示,身份认证的详细过程如下:
S1’、第一次身份认证,包括下述步骤:
S11’、终端获取安全芯片内密钥请求,安全芯片返回芯片密钥序列号G的密钥A;
S12’、终端根据MQTT连接消息Connect内容格式构造初始身份认证请求消息:密钥序列号G+终端ID+密文(时变参数+终端ID+终端预设密码),密文的加密方式可以采用SM4等对称算法完成,加密密钥为S1中取出的密钥A;
S13’、终端向物联网平台对外暴露的代理地址发送步骤S12构造的身份认证请求消息;
S14’、物联网平台根据所述初始身份认证请求消息中终端ID和密钥序列号G向量子密码管理服务系统获取与密钥A对称的密钥A’;
S15’、量子密码管理服务系统返回密钥A’至物联网平台,物联网平台利用密钥A’对所述初始身份认证请求消息进行解密,得到解密后的密文:时变参数+终端ID+终端预设密码,并将解密后终端ID和终端预设密码和后台存储的终端ID以及物联网平台预先存储的终端预设密码进行比较,确定终端的身份,同时利用MQTT消息中的CONNACK向终端返回验证成功消息OX00,并保存终端发过来的时变参数,如果不成功则根据MQTT手册返回非0消息;
S2’、第二次身份认证,包括下述步骤:
S21’、物联网平台根据终端ID从量子密码管理服务系统获取与终端匹配的芯片密钥,量子密码管理服务系统向物联网平台返回和终端匹配的芯片密钥E和芯片密钥E的序列号K;
S22’、物联网平台构造向终端申请的身份认证请求消息:密钥序列号K+密文(时变参数+平台ID+登录令牌),密文的加密算法采用双方约定算法,可以采用SM4,加密密钥为S21中取出的芯片密钥E,登录令牌由终端第一次身份认证保存的时变参数+终端ID共同产生,此时终端单向连接已经完成,终端处于连接状态,MQTT消息体制没有物联网平台对终端身份认证机制,我们用PUBLISH搭出来这个机制,向终端推送第二次身份认证请求消息,身份认证请求消息放入PAYLOAD中;
S23’、终端收到物联网平台推送的身份认证请求消息,根据身份认证请求消息中密钥序列号K向安全芯片内获取与序列号K对应的芯片密钥E的对称解密秘钥,安全芯片返回解密秘钥E’;
S24’、终端使用解密秘钥E’对身份认证请求消息中的密文解密,通过验证平台ID和登录令牌实施解密验证,对登录令牌主要验证是否是第一次身份认证发送的时变参数和终端ID共同产生,如果通过,则终端认为物联网平台是可信的,可以向物联网平台发送数据。
上述对称密钥的使用可以按照安全芯片内存储顺序使用,密钥的命名可以随意更改。
实施例2
该实施例提供一种使用对称密码技术增强MQTT协议传输安全的方法,包括数据加密和数据解密,应用在MQTT协议传输系统的物联网终端,所述MQTT协议传输系统的结构与实施例1相同。
物联网终端首先使用量子安全芯片内的密钥完成到物联网平台的平台登录认证,获取登录令牌,然后执行下述MQTT协议传输步骤:
对数据进行加密;
物联网终端到物联网平台(上行):量子安全芯片获取量子密钥充注机提供的量子密钥的充注;
获取登录令牌后,物联网终端调用量子安全芯片内密钥完成对上报消息加密,加密可采用SM4,加密后信息通过MQTT协议中PUBLISH消息PAYLOAD(载荷)进行传输,消息体中增加本次使用密钥的序列号。
对数据进行解密;
物联网终端解密(下行解密):物联网终端从PUBLISH消息中PAYLOAD中获取物联网平台下发的密文,根据消息体中的序列号向内置的量子安全芯片获取与加密密钥对称的解密密钥,使用解密密钥以及对应算法(SM4)完成对密文的解密,并根据消息中时变参数和登录令牌进行验证,验证成功后,开始下行明文内容的解析。
具体地说,数据加密中上行流程如下:
S101、物联网终端完成双向认证后获取登录令牌,终端选择数据上报,根据MQTT协议物联网平台发布订阅,并根据订阅内容进行数据上报明文准备;
S102、物联网终端选取内置或者外置的量子安全芯片内密钥序列为Z的密钥B;
S103、物联网终端构造上报消息:密钥序列号+终端ID+密文(时变参数+终端ID+登录令牌+上报明文),并对所述上报消息的密文内容使用密钥B进行加密,密文可以采用SM4算法和芯片密钥B共同产生;
S104、将所述上报消息:密钥序列号+终端ID+密文(时变参数+终端ID+登录令牌+上报明文)放入到PUBLISH消息PAYLOAD消息体中,并上报至物联网平台。
数据解密中下行流程如下:
S211、物联网终端根据从物联网平台推送的PUBLISH消息中PAYLOAD载荷中的密钥序列号W向内置或者外置的量子安全芯片获取密钥;
S212、量子安全芯片根据序列号W返回预先存储的与密钥C对称的解密密钥C’;
S213、物联网终端根据密钥C’以及对应SM4算法对密文进行解密,验证下行消息中的时变参数和登录令牌,验证成功后,开始下行明文内容的解析,否则验证失败。
实施例3
该实施例提供一种使用对称密码技术增强MQTT协议传输安全的方法,包括数据加密和数据解密,应用在MQTT协议传输系统的物联网平台,所述MQTT协议传输系统的结构与实施例1相同。
物联网平台首先完成物联网终端的登录认证,然后执行下述MQTT协议传输步骤:
对数据进行加密;
物联网平台到物联网终端(下行):物联网平台根据物联网终端标识向量子密码管理服务系统申请密钥,量子密码管理服务系统通过量子交换密码机根据之前量子安全芯片充注信息,返回和该量子终端内集成的量子安全芯片内已经充注的可用密钥对称的密钥序列号和密钥,物联网平台对下发消息进行加密,加密可采用SM4,密文放入MQTT协议中PUBLISH消息PAYLOAD(载荷)中,消息体中增加本次使用密钥的序列号。
对数据进行解密;
物联网平台解密(上行解密):物联网平台从PUBLISH消息中PAYLOAD获取物联网终端发送的加密后的密文,物联网平台根据消息体中密钥序列号向量子密码管理服务系统获取解密密钥,量子密码管理服务系统通过量子交换密码机返回消息体中密钥序列号对应的量子安全芯片的密钥对称的解密密钥,使用返回的解密密钥以及对应算法(SM4)完成对密文的解密,并根据消息中时变参数和登录令牌进行验证,验证成功后,开始下行明文内容的解析。
数据加密中下行流程如下:
S111、物联网平台选择下行消息,根据物联网终端订阅的主题下发消息;
S112、物联网平台根据终端ID到量子密码管理服务系统获取密钥,返回密钥序列为W的密钥C;
S113、物联网平台构造下发消息:密钥序列号W+密文(时变参数+平台ID+登录令牌+下行明文),并对密文内容使用密钥C进行加密,密文可以采用SM4算法和芯片密钥C共同产生;
S114、物联网平台将所述下发信息:密钥序列号W+密文(时变参数+平台ID+登录令牌+下行明文)放入到MQTT协议中PUBLISH消息的PAYLOAD消息体中,并下发至物联网终端。
数据解密中上行流程如下:
S201、物联网平台根据物联网终端上报PUBLISH消息中PAYLOAD(载荷)中终端ID和序列号Z向量子密码管理服务系统获取解密密钥;
S202、量子密码管理服务系统从量子交换密码机上获取预先存储的与序列号Z对应的解密密钥B’,并返回给物联网平台,密钥B’与密钥B为对称密钥;
S203、物联网平台根据密钥B’以及对应SM4算法进行解密,验证用户上行消息中的时变参数和登录令牌,对时变参数主要验证本次消息当前时间和平台时间的差值,防止重放攻击,登录令牌由终端ID和终端认证登录时候上报时变参数共同产生,终端ID验证通过消息上报的信息确定该消息代表的终端ID是否和令牌中一致,防止中间人攻击,时变参数验证主要分为两点,一是验证时变参数是否是终端在登录鉴权时候上报的时变参数,确定终端身份,二是验证登录令牌是否还在有效期内。登录令牌超过有效期,需要重新申请,验证成功后,解析上报明文内容,否则验证失败。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (13)
1.一种使用对称密码技术增强MQTT协议传输安全的方法,其特征在于:包括以下步骤:
S1、对数据进行加密;
物联网终端到物联网平台:量子密钥充注机完成将量子随机数发生器产生的量子密钥到量子安全芯片的充注,量子交换密码机记录存储充注量子安全芯片和密钥的对应关系;
获取登录令牌后,物联网终端调用量子安全芯片内密钥完成对上报消息加密,加密后信息通过MQTT协议中PUBLISH消息PAYLOAD进行传输,消息体中增加本次使用密钥的序列号;
物联网平台到物联网终端:物联网平台根据物联网终端标识向量子密码管理服务系统申请密钥,量子密码管理服务系统通过量子交换密码机根据之前量子安全芯片充注信息,返回和该量子终端内集成的量子安全芯片内已经充注的可用密钥对称的密钥序列号和密钥,物联网平台对下发消息进行加密,密文放入MQTT协议中PUBLISH消息PAYLOAD中,消息体中增加本次使用密钥的序列号;
S2、对数据进行解密;
物联网平台解密:物联网平台从PUBLISH消息中PAYLOAD获取物联网终端发送的加密后的密文,物联网平台根据消息体中密钥序列号向量子密码管理服务系统获取解密密钥,量子密码管理服务系统通过量子交换密码机返回消息体中密钥序列号对应的量子安全芯片的密钥对称的解密密钥,使用返回的解密密钥以及对应算法完成对密文的解密,并根据消息中时变参数和登录令牌进行验证,验证成功后,开始下行明文内容的解析;
物联网终端解密:物联网终端从PUBLISH消息中PAYLOAD中获取物联网平台下发的密文,根据消息体中的序列号向内置的量子安全芯片获取与加密密钥对称的解密密钥,使用解密密钥以及对应算法完成对密文的解密,并根据消息中时变参数和登录令牌进行验证,验证成功后,开始下行明文内容的解析。
2.根据权利要求1所述的使用对称密码技术增强MQTT协议传输安全的方法,其特征在于:数据加密中,物联网终端到物联网平台流程具体如下:
S101、物联网终端获取登录令牌后,选择数据上报,根据MQTT协议物联网平台发布订阅,并根据订阅内容进行数据上报明文准备;
S102、物联网终端选取内置或者外置的量子安全芯片内密钥序列为Z的密钥B;
S103、物联网终端构造上报消息:密钥序列号+终端ID+密文(时变参数+终端ID+登录令牌+上报明文),并对所述上报消息的密文内容使用密钥B进行加密;
S104、将所述上报消息:密钥序列号+终端ID+密文(时变参数+终端ID+登录令牌+上报明文)放入到PUBLISH消息PAYLOAD消息体中,并上报至物联网平台,密文采用加密算法和芯片密钥B共同产生。
3.根据权利要求2所述的使用对称密码技术增强MQTT协议传输安全的方法,其特征在于:物联网平台对物联网终端解密具体流程如下:
S201、物联网平台根据物联网终端上报PUBLISH消息中PAYLOAD(载荷)中终端ID和序列号Z向量子密码管理服务系统获取解密密钥;
S202、量子密码管理服务系统从量子交换密码机上获取预先存储的与序列号Z对应的解密密钥B’,并返回给物联网平台,密钥B’与密钥B为对称密钥;
S203、物联网平台根据密钥B’以及对应算法进行解密,验证用户上行消息中的时变参数和登录令牌,对时变参数主要验证本次消息当前时间和平台时间的差值,防止重放攻击,登录令牌由终端ID和终端认证登录时候上报时变参数共同产生,终端ID验证通过消息上报的信息确定该消息代表的终端ID是否和令牌中一致,防止中间人攻击,时变参数验证主要分为两点,一是验证时变参数是否是终端在登录鉴权时候上报的时变参数,确定终端身份,二是验证登录令牌是否还在有效期内,登录令牌超过有效期,需要重新申请,验证成功后,解析上报明文内容,否则验证失败。
4.根据权利要求1所述的使用对称密码技术增强MQTT协议传输安全的方法,其特征在于:数据加密中,物联网平台到物联网终端流程具体如下:
S111、物联网平台选择下行消息,根据物联网终端订阅的主题下发消息;
S112、物联网平台根据终端ID到量子密码管理服务系统获取密钥,返回密钥序列为W的密钥C;
S113、物联网平台构造下发消息:密钥序列号W+密文(时变参数+平台ID+登录令牌+下行明文),并对密文内容使用密钥C进行加密,密文采用加密算法和芯片密钥C共同产生;
S114、物联网平台将所述下发信息:密钥序列号W+密文(时变参数+平台ID+登录令牌+下行明文)放入到MQTT协议中PUBLISH消息的PAYLOAD消息体中,并下发至物联网终端。
5.根据权利要求4所述的使用对称密码技术增强MQTT协议传输安全的方法,其特征在于:数据解密中,物联网终端对物联网平台的解密的流程如下:
S211、物联网终端根据从物联网平台推送的PUBLISH消息中PAYLOAD载荷中的密钥序列号W向内置或者外置的量子安全芯片获取密钥;
S212、量子安全芯片根据序列号W返回预先存储的与密钥C对称的解密密钥C’;
S213、物联网终端根据密钥C’以及对应算法对密文进行解密,验证下行消息中的时变参数和登录令牌,验证成功后,开始下行明文内容的解析,否则验证失败。
6.根据权利要求1所述的使用对称密码技术增强MQTT协议传输安全的方法,其特征在于:所述数据加密和解密前还包括物联网终端使用量子安全芯片内的密钥完成到物联网平台的平台登录认证,获取登录令牌的步骤,具体包括:
S1’、第一次身份认证:物联网终端到物联网平台:量子密钥充注机完成将量子随机数发生器产生的量子密钥到量子安全芯片的充注、存储,同时记录存储充注安全芯片和密钥的对应关系,物联网终端调用内置集成或者外置的安全芯片内存储的量子密钥用于构造身份认证请求消息:密钥序列号+终端ID+密文(时变参数+终端ID+终端预设密码)到物联网平台,物联网平台根据终端ID和密钥序列号从与量子交换密码机连接的量子密码管理服务系统获取与终端充注密钥对称的密钥进行解密,比对身份认证请求消息中的终端ID和终端预设密码,同时保存终端发送的时变参数,认证成功后根据终端ID和时变参数生成登录令牌,并向终端返回验证成功消息,如果不成功则返回不成功消息;
S2’、第二次身份认证:物联网平台根据终端ID向量子密码管理服务系统申请和终端匹配的充注密钥和对应的密钥序列号,并开始构造身份认证请求消息:密钥序列号+密文(时变参数+平台ID+登录令牌),登录令牌根据第一次身份认证时终端上报的终端ID和时变参数结合产生,并将该身份认证请求消息发送至终端;终端根据密钥序列号获取与对应的充注密钥对称的密钥对身份认证请求消息进行解密,验证平台ID以及登录令牌,确定登录令牌是第一次身份认证时物联网平台根据认证时的终端ID和时变参数产生,验证成功后,终端开始向物联网平台发送消息。
7.根据权利要求6所述的使用对称密码技术增强MQTT协议传输安全的方法,其特征在于:S1’、第一次身份认证,包括下述步骤:
S11’、终端获取安全芯片内密钥请求,安全芯片返回芯片密钥序列号G的密钥A;
S12’、终端根据MQTT连接消息Connect内容格式构造初始身份认证请求消息:密钥序列号G+终端ID+密文(时变参数+终端ID+终端预设密码),密文的加密方式采用对称算法完成,加密密钥为S1中取出的密钥A;
S13’、终端向物联网平台对外暴露的代理地址发送步骤S12构造的身份认证请求消息;
S14’、物联网平台根据所述初始身份认证请求消息中终端ID和密钥序列号G向量子密码管理服务系统获取与密钥A对称的密钥A’;
S15’、量子密码管理服务系统返回密钥A’至物联网平台,物联网平台利用密钥A’对所述初始身份认证请求消息进行解密,得到解密后的密文:时变参数+终端ID+终端预设密码,并将解密后终端ID和终端预设密码和后台存储的终端ID以及物联网平台预先存储的终端预设密码进行比较,确定终端的身份,同时利用MQTT消息中的CONNACK向终端返回验证成功消息OX00,并保存终端发过来的时变参数,如果不成功则根据MQTT手册返回非0消息。
8.根据权利要求7所述的使用对称密码技术增强MQTT协议传输安全的方法,其特征在于:S2’、第二次身份认证,包括下述步骤:
S21’、物联网平台根据终端ID从量子密码管理服务系统获取与终端匹配的芯片密钥,量子密码管理服务系统向物联网平台返回和终端匹配的芯片密钥E和芯片密钥E的序列号K;
S22’、物联网平台构造向终端申请的身份认证请求消息:密钥序列号C+密文(时变参数+平台ID+登录令牌),密文的加密密钥为S21中取出的芯片密钥E,登录令牌由终端第一次身份认证保存的时变参数+终端ID共同产生,用PUBLISH搭出来物联网平台对终端身份认证机制,向终端推送第二次身份认证请求消息,身份认证请求消息放入PAYLOAD中;
S23’、终端收到物联网平台推送的身份认证请求消息,根据身份认证请求消息中密钥序列号K向安全芯片内获取与序列号K对应的芯片密钥E的对称解密秘钥,安全芯片返回解密秘钥E’;
S24’、终端使用解密秘钥E’对身份认证请求消息中的密文解密,通过验证平台ID和登录令牌实施解密验证,对登录令牌主要验证是否是第一次身份认证发送的时变参数和终端ID共同产生,如果通过,则终端认为物联网平台是可信的,则能够向物联网平台发送数据。
9.一种使用对称密码技术增强MQTT协议传输安全的方法,应用在MQTT协议传输系统的物联网终端,其特征在于:包括数据加密和数据解密,物联网终端首先使用量子安全芯片内的密钥完成到物联网平台的平台登录认证,获取登录令牌,然后执行下述MQTT协议传输步骤:
对数据进行加密;
物联网终端到物联网平台:量子安全芯片获取量子密钥充注机提供的量子密钥的充注;
获取登录令牌后,物联网终端调用量子安全芯片内密钥完成对上报消息加密,,加密后信息通过MQTT协议中PUBLISH消息PAYLOAD(载荷)进行传输,消息体中增加本次使用密钥的序列号;
对数据进行解密;
物联网终端解密:物联网终端从PUBLISH消息中PAYLOAD中获取物联网平台下发的密文,根据消息体中的序列号向内置的量子安全芯片获取与加密密钥对称的解密密钥,使用解密密钥以及对应算法完成对密文的解密,并根据消息中时变参数和登录令牌进行验证,验证成功后,开始下行明文内容的解析。
10.根据权利要求9所述的使用对称密码技术增强MQTT协议传输安全的方法,其特征在于:数据加密中上行流程如下:
S101、物联网终端完成双向认证后获取登录令牌,终端选择数据上报,根据MQTT协议物联网平台发布订阅,并根据订阅内容进行数据上报明文准备;
S102、物联网终端选取内置或者外置的量子安全芯片内密钥序列为Z的密钥B;
S103、物联网终端构造上报消息:密钥序列号+终端ID+密文(时变参数+终端ID+登录令牌+上报明文),并对所述上报消息的密文内容使用密钥B进行加密,密文采用算法和芯片密钥B共同产生;
S104、将所述上报消息:密钥序列号+终端ID+密文(时变参数+终端ID+登录令牌+上报明文)放入到PUBLISH消息PAYLOAD消息体中,并上报至物联网平台;
数据解密中下行流程如下:
S211、物联网终端根据从物联网平台推送的PUBLISH消息中PAYLOAD载荷中的密钥序列号W向内置或者外置的量子安全芯片获取密钥;
S212、量子安全芯片根据序列号W返回预先存储的与密钥C对称的解密密钥C’;
S213、物联网终端根据密钥C’以及对应算法对密文进行解密,验证下行消息中的时变参数和登录令牌,验证成功后,开始下行明文内容的解析,否则验证失败。
11.一种使用对称密码技术增强MQTT协议传输安全的方法,应用在MQTT协议传输系统的物联网平台,其特征在于:包括数据加密和数据解密,物联网平台首先完成物联网终端的登录认证,然后执行下述MQTT协议传输步骤:
对数据进行加密;
物联网平台到物联网终端:物联网平台根据物联网终端标识向量子密码管理服务系统申请密钥,量子密码管理服务系统通过量子交换密码机根据之前量子安全芯片充注信息,返回和该量子终端内集成的量子安全芯片内已经充注的可用密钥对称的密钥序列号和密钥,物联网平台对下发消息进行加密,加密可采用SM4,密文放入MQTT协议中PUBLISH消息PAYLOAD中,消息体中增加本次使用密钥的序列号;
对数据进行解密;
物联网平台解密:物联网平台从PUBLISH消息中PAYLOAD获取物联网终端发送的加密后的密文,物联网平台根据消息体中密钥序列号向量子密码管理服务系统获取解密密钥,量子密码管理服务系统通过量子交换密码机返回消息体中密钥序列号对应的量子安全芯片的密钥对称的解密密钥,使用返回的解密密钥以及对应算法完成对密文的解密,并根据消息中时变参数和登录令牌进行验证,验证成功后,开始下行明文内容的解析。
12.根据权利要求11所述的使用对称密码技术增强MQTT协议传输安全的方法,其特征在于:数据加密中下行流程如下:
S111、物联网平台选择下行消息,根据物联网终端订阅的主题下发消息;
S112、物联网平台根据终端ID到量子密码管理服务系统获取密钥,返回密钥序列为W的密钥C;
S113、物联网平台构造下发消息:密钥序列号W+密文(时变参数+平台ID+登录令牌+下行明文),并对密文内容使用密钥C进行加密,密文可以采用算法和芯片密钥C共同产生;
S114、物联网平台将所述下发信息:密钥序列号W+密文(时变参数+平台ID+登录令牌+下行明文)放入到MQTT协议中PUBLISH消息的PAYLOAD消息体中,并下发至物联网终端;
数据解密中上行流程如下:
S201、物联网平台根据物联网终端上报PUBLISH消息中PAYLOAD中终端ID和序列号Z向量子密码管理服务系统获取解密密钥;
S202、量子密码管理服务系统从量子交换密码机上获取预先存储的与序列号Z对应的解密密钥B’,并返回给物联网平台,密钥B’与密钥B为对称密钥;
S203、物联网平台根据密钥B’以及对应算法进行解密,验证用户上行消息中的时变参数和登录令牌,对时变参数主要验证本次消息当前时间和平台时间的差值,防止重放攻击,登录令牌由终端ID和终端认证登录时候上报时变参数共同产生,终端ID验证通过消息上报的信息确定该消息代表的终端ID是否和令牌中一致,防止中间人攻击,时变参数验证主要分为两点,一是验证时变参数是否是终端在登录鉴权时候上报的时变参数,确定终端身份,二是验证登录令牌是否还在有效期内,登录令牌超过有效期,需要重新申请,验证成功后,解析上报明文内容,否则验证失败。
13.一种使用对称密码技术增强MQTT协议传输安全的系统,其特征在于:包括:
量子随机数发生器,用于生成量子密钥;
量子交换密码机,接收量子随机数发生器发出的量子密钥,用于提供密钥服务,量子交换密码机内预先存储有密钥,该密钥为量子随机数生成器预生成的密钥,并存储在该量子交换密码机内,与量子安全芯片内的密钥为对称密钥;
量子密钥充注机,与量子交换密码机的输出端连接,用于充注量子密钥;
量子密码管理服务系统,通过网络与物联网平台实现数据交互,量子密码管理服务系统直接连接量子密码交换机,用于提供基于量子安全芯片身份的密钥分发功能;
物联网终端是物联网中连接传感网络层和传输网络层,执行权利要求9所述的步骤;
量子安全芯片,存储量子安全密钥,量子安全芯片在使用前预充注密码,量子安全芯片通过量子密钥充注机被充注量子安全密钥,每个量子安全芯片被充注的密钥和量子交换密码机内预置的密钥是对称密钥,每个量子安全芯片有自己的编号,每支量子密钥有自己的序列号,通过内置或者外接于物联网终端中;
物联网平台,提供基于MQTT协议的物联网终端设备认证、鉴权、设备数据接入功能,执行权利要求11所述的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110882451.2A CN113630407B (zh) | 2021-08-02 | 2021-08-02 | 使用对称密码技术增强mqtt协议传输安全的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110882451.2A CN113630407B (zh) | 2021-08-02 | 2021-08-02 | 使用对称密码技术增强mqtt协议传输安全的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113630407A true CN113630407A (zh) | 2021-11-09 |
| CN113630407B CN113630407B (zh) | 2022-12-27 |
Family
ID=78382258
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110882451.2A Active CN113630407B (zh) | 2021-08-02 | 2021-08-02 | 使用对称密码技术增强mqtt协议传输安全的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113630407B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114095167A (zh) * | 2021-11-24 | 2022-02-25 | 安徽国盾量子云数据技术有限公司 | 一种通信终端的量子密钥充注方法 |
| CN114143777A (zh) * | 2021-12-03 | 2022-03-04 | 天翼物联科技有限公司 | 基于sim卡的物联网终端的证书密钥下载方法及系统 |
| CN114710336A (zh) * | 2022-03-24 | 2022-07-05 | 武汉虹信技术服务有限责任公司 | 一种独立于物联网平台的安全通信方法及系统 |
| CN115412282A (zh) * | 2022-06-28 | 2022-11-29 | 浪潮云信息技术股份公司 | 一种基于mqtt协议的报文安全校验方法 |
| CN116418505A (zh) * | 2023-06-12 | 2023-07-11 | 天津金城银行股份有限公司 | 数据处理方法、系统、计算机设备及存储介质 |
| CN117220878A (zh) * | 2023-10-20 | 2023-12-12 | 合肥合燃华润燃气有限公司 | 一种燃气表远程在线量子密钥管理方法及系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107040378A (zh) * | 2017-06-01 | 2017-08-11 | 浙江九州量子信息技术股份有限公司 | 一种基于多用户远程通信的密钥分配系统与方法 |
| CN108123795A (zh) * | 2016-11-28 | 2018-06-05 | 广东国盾量子科技有限公司 | 量子密钥芯片的发行方法、应用方法、发行平台及系统 |
| KR20180109653A (ko) * | 2017-12-18 | 2018-10-08 | 이승철 | 양자보안 단말기 |
| CN109714166A (zh) * | 2019-03-07 | 2019-05-03 | 山东鲁能软件技术有限公司 | 一种基于量子密钥的移动分发方法、系统、终端及存储介质 |
| US10412063B1 (en) * | 2019-02-05 | 2019-09-10 | Qrypt, Inc. | End-to-end double-ratchet encryption with epoch key exchange |
| CN110391905A (zh) * | 2019-08-07 | 2019-10-29 | 北京盛世光明软件股份有限公司 | 一种基于量子密钥加密技术的上网行为审计系统及方法 |
| CN110535637A (zh) * | 2019-08-15 | 2019-12-03 | 国网安徽省电力有限公司信息通信分公司 | 一种量子密钥的无线分发方法、装置及系统 |
| CN112737781A (zh) * | 2021-03-29 | 2021-04-30 | 南京易科腾信息技术有限公司 | 量子密钥管理服务方法、系统及存储介质 |
| CN113038468A (zh) * | 2021-04-07 | 2021-06-25 | 东南大学 | 一种物联网无线终端量子密钥分发与协商方法 |
-
2021
- 2021-08-02 CN CN202110882451.2A patent/CN113630407B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108123795A (zh) * | 2016-11-28 | 2018-06-05 | 广东国盾量子科技有限公司 | 量子密钥芯片的发行方法、应用方法、发行平台及系统 |
| CN107040378A (zh) * | 2017-06-01 | 2017-08-11 | 浙江九州量子信息技术股份有限公司 | 一种基于多用户远程通信的密钥分配系统与方法 |
| KR20180109653A (ko) * | 2017-12-18 | 2018-10-08 | 이승철 | 양자보안 단말기 |
| US10412063B1 (en) * | 2019-02-05 | 2019-09-10 | Qrypt, Inc. | End-to-end double-ratchet encryption with epoch key exchange |
| CN109714166A (zh) * | 2019-03-07 | 2019-05-03 | 山东鲁能软件技术有限公司 | 一种基于量子密钥的移动分发方法、系统、终端及存储介质 |
| CN110391905A (zh) * | 2019-08-07 | 2019-10-29 | 北京盛世光明软件股份有限公司 | 一种基于量子密钥加密技术的上网行为审计系统及方法 |
| CN110535637A (zh) * | 2019-08-15 | 2019-12-03 | 国网安徽省电力有限公司信息通信分公司 | 一种量子密钥的无线分发方法、装置及系统 |
| CN112737781A (zh) * | 2021-03-29 | 2021-04-30 | 南京易科腾信息技术有限公司 | 量子密钥管理服务方法、系统及存储介质 |
| CN113038468A (zh) * | 2021-04-07 | 2021-06-25 | 东南大学 | 一种物联网无线终端量子密钥分发与协商方法 |
Non-Patent Citations (1)
| Title |
|---|
| 吴佳伟等: "基于无线通道的电力量子密钥分发系统", 《电信科学》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114095167A (zh) * | 2021-11-24 | 2022-02-25 | 安徽国盾量子云数据技术有限公司 | 一种通信终端的量子密钥充注方法 |
| CN114143777A (zh) * | 2021-12-03 | 2022-03-04 | 天翼物联科技有限公司 | 基于sim卡的物联网终端的证书密钥下载方法及系统 |
| CN114143777B (zh) * | 2021-12-03 | 2024-04-23 | 天翼物联科技有限公司 | 基于sim卡的物联网终端的证书密钥下载方法及系统 |
| CN114710336A (zh) * | 2022-03-24 | 2022-07-05 | 武汉虹信技术服务有限责任公司 | 一种独立于物联网平台的安全通信方法及系统 |
| CN114710336B (zh) * | 2022-03-24 | 2023-09-26 | 武汉虹信技术服务有限责任公司 | 一种独立于物联网平台的安全通信方法及系统 |
| CN115412282A (zh) * | 2022-06-28 | 2022-11-29 | 浪潮云信息技术股份公司 | 一种基于mqtt协议的报文安全校验方法 |
| CN116418505A (zh) * | 2023-06-12 | 2023-07-11 | 天津金城银行股份有限公司 | 数据处理方法、系统、计算机设备及存储介质 |
| CN117220878A (zh) * | 2023-10-20 | 2023-12-12 | 合肥合燃华润燃气有限公司 | 一种燃气表远程在线量子密钥管理方法及系统 |
| CN117220878B (zh) * | 2023-10-20 | 2024-05-28 | 合肥合燃华润燃气有限公司 | 一种燃气表远程在线量子密钥管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113630407B (zh) | 2022-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113630407B (zh) | 使用对称密码技术增强mqtt协议传输安全的方法和系统 | |
| CN113612605B (zh) | 使用对称密码技术增强mqtt协议身份认证方法、系统和设备 | |
| US10243742B2 (en) | Method and system for accessing a device by a user | |
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| CN106357649B (zh) | 用户身份认证系统和方法 | |
| KR102124413B1 (ko) | 아이디 기반 키 관리 시스템 및 방법 | |
| CN108599925B (zh) | 一种基于量子通信网络的改进型aka身份认证系统和方法 | |
| CN101978650B (zh) | 安全的网络认证系统和方法 | |
| CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
| JP2012019511A (ja) | 無線通信機器とサーバとの間でのデータの安全なトランザクションのためのシステムおよび方法 | |
| CN113285803B (zh) | 一种基于量子安全密钥的邮件传输系统和传输方法 | |
| CN113079022B (zh) | 一种基于sm2密钥协商机制的安全传输方法和系统 | |
| CN114765534B (zh) | 基于国密标识密码算法的私钥分发系统和方法 | |
| CN113452687B (zh) | 基于量子安全密钥的发送邮件的加密方法和系统 | |
| CN112672342B (zh) | 数据传输方法、装置、设备、系统和存储介质 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| KR101481403B1 (ko) | 차량용 데이터의 인증 및 획득 방법 | |
| CN113346995A (zh) | 基于量子安全密钥的邮件传输过程中防篡改的方法和系统 | |
| CN108259486B (zh) | 基于证书的端到端密钥交换方法 | |
| CN104243146A (zh) | 一种加密通信方法、装置及终端 | |
| CN107104888B (zh) | 一种安全的即时通信方法 | |
| KR20200099873A (ko) | 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템 | |
| CN116599719A (zh) | 一种用户登录认证方法、装置、设备、存储介质 | |
| CN116233832A (zh) | 验证信息发送方法及装置 | |
| CN113438074B (zh) | 基于量子安全密钥的接收邮件的解密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |