CN114172745A - 一种物联网安全协议系统 - Google Patents

一种物联网安全协议系统 Download PDF

Info

Publication number
CN114172745A
CN114172745A CN202210060658.6A CN202210060658A CN114172745A CN 114172745 A CN114172745 A CN 114172745A CN 202210060658 A CN202210060658 A CN 202210060658A CN 114172745 A CN114172745 A CN 114172745A
Authority
CN
China
Prior art keywords
key
master station
public
security chip
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210060658.6A
Other languages
English (en)
Inventor
沙舟
靳冬
张胜华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electric Power Hwaray Technology Co ltd
Original Assignee
China Electric Power Hwaray Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electric Power Hwaray Technology Co ltd filed Critical China Electric Power Hwaray Technology Co ltd
Priority to CN202210060658.6A priority Critical patent/CN114172745A/zh
Publication of CN114172745A publication Critical patent/CN114172745A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种物联网安全协议系统,所述系统包括:双向身份认证模块、密钥管理模块、消息加解密模块、数据传输模块,所述系统基于国际/国产高强度密码算法、用于物联网消息交换的一种安全协议,提供主站与终端之间的双向身份认证、密钥管理、消息加解密等安全服务;所述双向身份认证模块用于主站与终端设备的初始化及双向身份认证,所述密钥管理模块用于会话密钥共享、公私钥更新,所述消息加密解密模块用于主站与终端设备之间的报文加密传输和完整性保护,所述数据传输模块用于主站和终端设备之间过网络传输消息,包括三种消息:命令、数据和应答。本发明解决现有物联网信息交换安全性低、难以加密传输的问题。

Description

一种物联网安全协议系统
技术领域
本发明涉及身份认证技术领域,具体涉及一种物联网安全协议系统。
背景技术
身份认证安全协议是用于物联网消息交换的一种安全协议,可以提供主站与终端之间的双向身份认证、消息加解密等安全服务,具有安全性强、交互少、效率高等特点。身份认证技术是在计算机网络中确认操作者或注册者身份的过程而产生的有效解决方法,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。针对某些场合,为提升信息安全性,需要通信双方都要对对方身份进行认证,即双向身份认证。例如在针对视频监控联网信息安全的技术标准中,两个设备之间需要进行双向身份认证。
然而目前双向身份认证通常都是基于数字证书,完成通信双方的身份认证。由于使用到数字证书,因此在认证过程中需要第三方(电子商务认证中心)的介入,从而无疑提升了整个认证过程的复杂度以及成本。
发明内容
为此,本发明提供一种物联网安全协议系统,以解决现有物联网信息交换安全性低、难以加密传输的问题。
为了实现上述目的,本发明提供如下技术方案:
本发明公开了一种物联网安全协议系统,所述系统包括:双向身份认证模块、密钥管理模块、消息加解密模块、数据传输模块,所述系统基于国际/国产高强度密码算法、用于物联网消息交换的一种安全协议,提供主站与终端之间的双向身份认证、密钥管理、消息加解密等安全服务;所述双向身份认证模块用于主站与终端设备的初始化及双向身份认证,所述密钥管理模块用于会话密钥共享、公私钥更新,所述消息加密解密模块用于主站与终端设备之间的报文加密传输和完整性保护,所述数据传输模块用于主站和终端设备之间过网络传输消息,包括三种消息:命令、数据和应答。
进一步地,所述双向身份认证模块包括:初始化单元和双向身份认证单元,所述初始化单元用于安全芯片的参数预置,包括基本密钥BK、SM2根公钥和管理密钥MK,同时生成安全芯片公私钥对,并使用SM2、SM3、SM4算法将公钥发给主站;所述初始化单元还用于主站参数预置,包括安全芯片序列号SN记录文件、基本密钥BK、SM2根公钥,以及存储来自密管中心的主站SM2/RSA公私钥,同时发起初始化命令,将主站公钥安全发送至安全芯片;所述双向身份认证单元用于主站和终端设备之间的双向身份认证,认证机制基于双方均已知对方的公钥,采用数字签名方式完成认证。
进一步地,所述安全芯片在产生并存储公私钥之前还包括密钥的预置,使用SM2算法生成安全芯片公钥PK和私钥DK,使用SM3计算PK的Hash值Hpk,用SM4算法、基本密钥BK、CBC模式加密PK||Hpk,得到密文C_Key,并通过终端发送至主站;主站接收到密文C_Key后,解密C_Key,得到SN和PK,按SN索引存储PK,并修改初始化标志,并通过应答报文告知安全安全芯片存储PK和DK,主站从密钥文件中获取主站公钥P及签名S,使用SM4算法BK加密P得到C,将C和S发送至终端设备;安全芯片在接收到携带C和S的APDU报文后,通过SM4解密C,得到P,使用SM3计算P的散列,生成H1,SM2用根公钥验签S,验证通过则保存主站公钥,同时通过终端设备发送应答报文,告知主站设置公钥标志。
进一步地,所述双向身份认证单元生成随机数R0,发起内部认证命令,对安全芯片身份进行认证,终端设备解析命令报文后将R0发送至安全芯片,安全芯片比对序列号SN,使用SM3计算R0散列,生成H0,通过SM2和安全芯片私钥对H0签名,生成S0,通过终端设备将数据转发至主站;主站根据SN找到芯片公钥PK,计算R0的散列值,验证签名S0,验证通过则返回内部认证成功数据报文;主站通过终端设备进行数据转发,安全芯片接收到认证成功报文数据后,触发外部身份认证,产生并发送随机数R1,通过终端设备向主站转发命令和随机数R1,主站计算R1的散列值H1,用主站私钥对H1签名得到S1,再通过终端设备转发至安全芯片;安全芯片使用SM3计算R1散列,用主站公钥验证S1,验证通过则返回外部认证成功数据报文,终端设备转发数据至主站,主站设置双向认证成功标志。
进一步地,所述密钥管理模块包括:密钥共享单元、主站公钥更新单元、安全芯片公私钥更新单元,所述密钥共享单元用于主站和终端设备会话密钥Key和初始向量IV的生成,并采用数字信封方式完成密钥交换,用于消息加解密;所述主站公钥更新单元对安全芯片存储的主站SM2公钥进行更新,将新公钥加密发送给安全芯片,完成更新;所述安全芯片公私钥更新单元用于安全芯片SM2公私钥的更新,由安全芯片生成SM2公私钥对,并将公钥发给主站,主站将公钥按SN索引存储,替换旧的公钥。
进一步地,所述密钥共享单元由主站发起会话密钥共享,向终端设备发送密钥共享命令,通过终端设备进行命令解析,生成APDU并发送至安全芯片,主站和芯片通过计算生成新的Key和IV,同步更新Key和IV,会话密钥共享过程为:主站生成随机数R2,计算SM3-256(R2),取16字节作为初始IV;计算SM3-256(R2||SN),作为会话密钥Key;用安全芯片公钥加密R2,得到C0;用主站私钥对C0签名得到S0,并将C0||S0发送至终端设备;安全芯片接收到终端设备发送的APDU后,用主站公钥验证S0,验证通过则用SM2解密C0得到R2,计算得到新的Key和IV并更新;终端设备将更新成功应答报文转发至主站,主站同步更新Key和IV。
进一步地,所述主站公钥更新单元对来自密管中心向的SM2公私钥文件进行解密、验证后重新加密存储,向终端设备发起主站公钥更新命令,终端设备进行命令解析,生成APDU并发送至安全芯片,安全芯片解密、验证后用新公钥替换旧的公钥。主站公钥更新过程为:首先发起一个会话密钥共享流程,生成并共享新的会话密钥Key和IV;从密钥文件中获取主站新公钥P及签名S,通过SM4算法使用密钥Key、CBC模式、初始化向量IV加密P得到C,将C和S发送至终端设备;安全芯片在接收到APDU后,通过SM4解密C,生成P,SM3计算P的散列,SM2用根公钥验签S,验证通过则用新公钥P替换旧的公钥;通过终端设备将更新成功应答报文发送至主站,主站在SN记录文件中设置新的主站公私钥标志。
进一步地,所述安全芯片公私钥更新单元先由主站发起一个会话密钥共享流程,共享新的会话密钥Key和IV,然后发起安全芯片公私钥更新,向终端设备发送更新芯片公私钥命令,终端设备进行命令解析,生成APDU并发送至安全芯片,安全芯片使用SM2产生新的公私钥对DK和PK,使用SM3计算公钥PK的哈希值H,使用SM4加密PK||H得到C_K,经过终端设备转发C_K至主站;主站解密C_K,得到SN和PK,按SN索引替换对应的PK,同时将更新成功数据报文发送至安全芯片,安全芯片进行公私钥同步更新。
进一步地,所述消息加解密模块,使用SM4算法、Key和IV,CBC模式实现加密,使用SM3算法计算得到数据摘要,使用SM2算法实现数据签名,确保消息传输的保密性、完整性和真实性;接收方通过解密、验签得到正确的数据,安全芯片完成一次加/解密操作后,产生真随机数对IV进行更新,同时将随机数发送至主站,同步完成主站IV更新。
进一步地,所述数据传输模块用于主站和终端设备之间的过网络消息传输,采用专用SPDU安全协议数据单元实现信息交换,帧格式定义包括:头部、安全芯片序列号SN、消息类型、密码标志、数据、CRC校验和结束标注,所述数据传输模块还用于安全芯片与终端设备之间的数据传输,遵循ISO7816-3标准,采用APDU应用协议数据单元报文实现安全服务和信息交换。
本发明具有如下优点:
本发明公开了一种物联网安全协议系统,通过双向身份认证模块、密钥管理模块、消息加解密模块、数据传输模块,即保证了信息交换双方的身份安全,又保证了信息本身的安全性、完整性和真实性,使物联网信息交互在安全的环境下进行,而且从身份认证到信息传输过程简洁高效,降低了复杂度及成本。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例提供的双向身份认证模块的初始化单元流程图;
图2为本发明实施例提供的双向身份认证单元流程图;
图3为本发明实施例提供的密钥更新单元交互流程图;
图4为本发明实施例提供的主站公钥更新单元交互流程图;
图5为本发明实施例提供的终端设备公私钥更新单元交互流程图;
图6为本发明实施例提供的消息加解密模块流程图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例
本实施例公开了一种物联网安全协议系统,所述系统包括:双向身份认证模块、密钥管理模块、消息加解密模块、数据传输模块,所述系统基于国际/国产高强度密码算法、用于物联网消息交换的一种安全协议,提供主站与终端之间的双向身份认证、密钥管理、消息加解密等安全服务;所述双向身份认证模块用于主站与终端设备的初始化及双向身份认证,所述密钥管理模块用于会话密钥共享、公私钥更新,所述消息加密解密模块用于主站与终端设备之间的报文加密传输和完整性保护,所述数据传输模块用于主站和终端设备之间过网络传输消息,包括三种消息:命令、数据和应答。
系统的密码算法包括对称算法和非对称算法两种,主要有AES、SHA-1、RSA-2048、SM4、SM3、SM2;根公私钥和基本密钥BK,用于主站和安全芯片的初始化;会话密钥Key和IV,用于消息的加/解密运算;主站公私钥对,用于对主站消息的签名和验签;安全芯片公私钥对,存储在安全芯片内部,用于对终端消息的签名和验签。密钥管理支持会话密钥Key和IV的更新与共享、支持主站公私钥对的更新、支持安全芯片公私钥对的更新、支持硬件真随机数发生器。
主站与终端之间的数据传输有多种模式:明文、密文、密文及其明文hash值签名、密文及其签名、明文及其Hash值的密文等。
参考图1和图2,所述双向身份认证模块包括:初始化单元和双向身份认证单元,所述初始化单元用于主站和安全芯片的参数预置,生成安全芯片公私钥对,并使用SM2、SM3、SM4算法将公钥发给主站,所述双向身份认证单元用于主站和终端设备之间的身份认证,认证机制基于双方均已知对方的公钥,采用数字签名方式完成认证。
初始化单元进行安全芯片的参数预置,包括基本密钥BK、SM2根公钥和管理密钥MK,同时生成安全芯片公私钥对,并使用SM2、SM3、SM4算法将公钥发给主站;初始化单元还进行主站参数预置,包括SN记录文件、基本密钥BK、SM2根公钥,以及SM2/RSA主站公私钥,同时发起初始化命令,将主站公钥发送至安全芯片;双向身份认证单元进行主站和终端设备之间的身份认证,认证机制基于双方均已知对方的公钥,采用数字签名方式完成认证。
安全芯片使用SM2算法生成公钥PK和私钥DK,使用SM3计算PK的Hash值H,用SM4算法,基本密钥BK,CBC模式加密PK||H,得到密文C_Key,并通过终端发送至主站;主站得到密文C_Key后,解密C_Key,得到SN和PK,按SN索引存储PK,并修改初始化标志,告知安全安全芯片存储PK和DK。主站从密钥文件中获取主站公钥P及签名S,使用SM4算法和BK加密P得到C,将C和S发送至终端设备;安全芯片在接收到APDU后,使用SM4解密C,生成P,SM3计算P的散列,用根公钥验签S,验证通过则保存主站公钥,同时通过终端设备进行数据转发,告知主站设置公钥标志。
双向身份认证单元发起内部身份认证,首先生成随机数R0,将认证安全芯片命令发送至终端设备,通过终端设备解析后生成APDU并发送至安全芯片,安全芯片比对序列号SN,使用SM3计算R0散列,生成H0,通过SM2和安全芯片私钥对H0签名,生成S0,通过终端设备将数据转发至主站;主站根据SN找到对应的公钥PK,对签名进行验证,首先计算R0的散列值H0,用安全芯片公钥PK验证签名S0,验证通过则返回认证成功报文。
主站将认证结果通过终端设备进行数据转发,安全芯片接收到认证成功报文,触发外部身份认证,产生并发送随机数R1,通过终端设备向主站转发命令和随机数R1,主站计算R1的散列值H1,用主站私钥对H1签名得到S1,再通过终端设备转发至安全芯片;安全芯片使用SM3计算R1散列,生成H1,主站用SM2和主站公钥验证S1,通过则返回主站认证成功数据,通过终端设备转发数据至主站,主站设置双向认证成功标志。
参考图3-图5,密钥管理模块包括:密钥共享单元、主站公钥更新单元、终端设备公私钥更新单元,所述密钥共享单元用于主站和终端设备会话密钥Key和初始向量IV的生成,并采用数字信封方式完成密钥交换,用于消息加解密;所述主站公钥更新单元对安全芯片存储的主站SM2公钥进行更新,将新公钥加密发送给安全芯片,完成更新;所述终端设备公私钥更新单元用于安全芯片SM2公私钥的更新,由安全芯片生成SM2公私钥对,并将公钥发给主站,主站将公钥按SN索引存储,替换旧的公钥。通过本实施例实现了密钥安全管理,针对密钥更新的情况,及时进行同步更新,提升安全度。
密钥共享单元由主站生成随机数R2,计算SM3-256(R2),取16字节作为初始IV;计算SM3-256(R2||SN),作为会话密钥Key;用安全芯片公钥加密R2,得到C0;用主站私钥对C0签名得到S0;向终端设备发送密钥共享命令,将C0||S0发送至终端设备;安全芯片接收到终端设备发送的APDU后,用主站公钥验证S0,验证通过则用SM2解密C0得到R2,计算得到新的Key和IV并更新;终端设备将更新成功报文发至主站,主站同步更新Key和IV。
主站公钥更新单元由主站首先发起一个会话密钥共享流程,生成并共享新的会话密钥Key和IV;从密钥文件中获取主站新公钥P及签名S,通过SM4算法使用密钥Key、CBC模式、初始化向量IV加密P得到C,将C和S发送至终端设备;安全芯片在接收到APDU后,通过SM4解密C,生成P,SM3计算P的散列,生成H1,SM2用根公钥验签S,验证通过则用新公钥P替换旧的公钥;通过终端设备将更新成功报文发送至主站,主站在SN记录文件中设置新的公私钥标志。
安全芯片公私钥更新单元通过主站发起一个会话密钥共享流程,共享新的会话密钥Key和IV,发起安全芯片公私钥更新,向终端设备发送更新芯片公私钥命令,终端设备进行命令解析,生成APDU并发送至安全芯片,安全芯片使用SM2产生新的公私钥对DK和PK,使用SM3计算公钥PK的哈希值H,使用SM4加密PK||H得到C_K,经过终端设备转发C_K至主站;主站解密C_K,得到SN和PK,查表比对并确认SN,按SN索引替换对应的PK,同时将更新成功报文发送至安全芯片,安全芯片进行公私钥同步更新。
参考图6,消息加解密模块,仅给出了一种实施例。主站使用SM3算法计算待加密消息M的哈希值H,用SM4算法、Key和IV,CBC模式加密报文M||H,得到密文C,将C发送到终端设备;终端设备通过向安全芯片发送APDU报文,解密C得到M’和H’,计算M’的哈希值并与H’进行比对,如果相同则表示接收数据正确。然后,安全芯片产生真随机数更新IV,同时将随机数发送至主站,主站同步完成IV更新。
数据传输模块用于主站和终端设备之间的网络消息传输,消息的帧格式定义包括:头部、安全芯片序列号SN、消息类型、密码标志、数据、CRC校验和结束标注。
头部 SN 信息类型 密码标志 数据 CRC校验 结束标志
头部:1字节,表示信息帧的开始和数据同步,固定为7E;
SN:8字节,表示安全芯片的序列号;
信息类型:1字节,表示帧类型和命令类型。
b7 b6 b5 b4 b3 b2 b1 b0
b7-b5:表示信息帧的类型,000表示数据,001表示命令,010表示应答,可扩展
b4-b0:表示命令类型;用于定义初始化、内部认证、外部认证、密钥共享、主站公钥更新、安全芯片公钥更新等命令及其他数据业务命令。
密码标志:1字节,表示数据域有效载荷的明/密属性及加密算法
b7 b6 b5 b4 b3 b2 b1 b0
定义了数据类型、加密算法、哈希算法、签名算法。
数据类型包括以下几种类型:
-明文、
-密文
-hash值签名
-密文+明文hash值的签名
-密文+密文签名
-对明文及其Hash前16字节加密的数据
数据:包含数据长度、帧号和有效载荷。
数据长度:1字节,表示有效载荷的字节数,最大为255(与APDU数据域一致);
帧号:1字节,表示数据帧的顺序号,从1开始,最后一帧固定为FF。
有效载荷:最多为255字节。
CRC校验:2字节,是对SN域到数据域的CRC-16校验;
结束标志:1字节,表示信息帧的结束,固定为7E。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。

Claims (10)

1.一种物联网安全协议系统,其特征在于,所述系统包括:双向身份认证模块、密钥管理模块、消息加解密模块、数据传输模块,所述系统基于国际/国产高强度密码算法、用于物联网消息交换的一种安全协议,提供主站与终端之间的双向身份认证、密钥管理、消息加解密等安全服务;所述双向身份认证模块用于主站与终端设备的初始化及双向身份认证,所述密钥管理模块用于会话密钥共享、公私钥更新,所述消息加密解密模块用于主站与终端设备之间的报文加密传输和完整性保护,所述数据传输模块用于主站和终端设备之间过网络传输消息,包括三种消息:命令、数据和应答。
2.如权利要求1所述的一种物联网安全协议系统,其特征在于,所述双向身份认证模块包括:初始化单元和双向身份认证单元,所述初始化单元用于安全芯片的参数预置,包括基本密钥BK、SM2根公钥和管理密钥MK,同时生成安全芯片公私钥对,并使用SM2、SM3、SM4算法将公钥发给主站;所述初始化单元还用于主站参数预置,包括安全芯片序列号SN记录文件、基本密钥BK、SM2根公钥,以及存储来自密管中心的主站SM2/RSA公私钥,同时发起初始化命令,将主站公钥安全发送至安全芯片;所述双向身份认证单元用于主站和终端设备之间的双向身份认证,认证机制基于双方均已知对方的公钥,采用数字签名方式完成认证。
3.如权利要求2所述的一种物联网安全协议系统,其特征在于,所述安全芯片在产生并存储公私钥之前还包括密钥的预置,使用SM2算法生成安全芯片公钥PK和私钥DK,使用SM3计算PK的Hash值Hpk,用SM4算法、基本密钥BK、CBC模式加密PK||Hpk,得到密文C_Key,并通过终端发送至主站;主站接收到密文C_Key后,解密C_Key,得到SN和PK,按SN索引存储PK,并修改初始化标志,并通过应答报文告知安全安全芯片存储PK和DK,主站从密钥文件中获取主站公钥P及签名S,使用SM4算法BK加密P得到C,将C和S发送至终端设备;安全芯片在接收到携带C和S的APDU报文后,通过SM4解密C,得到P,使用SM3计算P的散列,生成H1,SM2用根公钥验签S,验证通过则保存主站公钥,同时通过终端设备发送应答报文,告知主站设置公钥标志。
4.如权利要求2所述的一种物联网安全协议系统,其特征在于,所述双向身份认证单元生成随机数R0,发起内部认证命令,对安全芯片身份进行认证,终端设备解析命令报文后将R0发送至安全芯片,安全芯片比对序列号SN,使用SM3计算R0散列,生成H0,通过SM2和安全芯片私钥对H0签名,生成S0,通过终端设备将数据转发至主站;主站根据SN找到芯片公钥PK,计算R0的散列值,验证签名S0,验证通过则返回内部认证成功数据报文;主站通过终端设备进行数据转发,安全芯片接收到认证成功报文数据后,触发外部身份认证,产生并发送随机数R1,通过终端设备向主站转发命令和随机数R1,主站计算R1的散列值H1,用主站私钥对H1签名得到S1,再通过终端设备转发至安全芯片;安全芯片使用SM3计算R1散列,用主站公钥验证S1,验证通过则返回外部认证成功数据报文,终端设备转发数据至主站,主站设置双向认证成功标志。
5.如权利要求1所述的一种物联网安全协议系统,其特征在于,所述密钥管理模块包括:密钥共享单元、主站公钥更新单元、安全芯片公私钥更新单元,所述密钥共享单元用于主站和终端设备会话密钥Key和初始向量IV的生成,并采用数字信封方式完成密钥交换,用于消息加解密;所述主站公钥更新单元对安全芯片存储的主站SM2公钥进行更新,将新公钥加密发送给安全芯片,完成更新;所述安全芯片公私钥更新单元用于安全芯片SM2公私钥的更新,由安全芯片生成SM2公私钥对,并将公钥发给主站,主站将公钥按SN索引存储,替换旧的公钥。
6.如权利要求5所述的一种物联网安全协议系统,其特征在于,所述密钥共享单元由主站发起会话密钥共享,向终端设备发送密钥共享命令,通过终端设备进行命令解析,生成APDU并发送至安全芯片,主站和芯片通过计算生成新的Key和IV,同步更新Key和IV,会话密钥共享过程为:主站生成随机数R2,计算SM3-256(R2),取16字节作为初始IV;计算SM3-256(R2||SN),作为会话密钥Key;用安全芯片公钥加密R2,得到C0;用主站私钥对C0签名得到S0,并将C0||S0发送至终端设备;安全芯片接收到终端设备发送的APDU后,用主站公钥验证S0,验证通过则用SM2解密C0得到R2,计算得到新的Key和IV并更新;终端设备将更新成功应答报文转发至主站,主站同步更新Key和IV。
7.如权利要求5所述的一种物联网安全协议系统,其特征在于,所述主站公钥更新单元对来自密管中心向的SM2公私钥文件进行解密、验证后重新加密存储,向终端设备发起主站公钥更新命令,终端设备进行命令解析,生成APDU并发送至安全芯片,安全芯片解密、验证后用新公钥替换旧的公钥,主站公钥更新过程为:首先发起一个会话密钥共享流程,生成并共享新的会话密钥Key和IV;从密钥文件中获取主站新公钥P及签名S,通过SM4算法使用密钥Key、CBC模式、初始化向量IV加密P得到C,将C和S发送至终端设备;安全芯片在接收到APDU后,通过SM4解密C,生成P,SM3计算P的散列,SM2用根公钥验签S,验证通过则用新公钥P替换旧的公钥;通过终端设备将更新成功应答报文发送至主站,主站在SN记录文件中设置新的主站公私钥标志。
8.如权利要求5所述的一种物联网安全协议系统,其特征在于,所述安全芯片公私钥更新单元先由主站发起一个会话密钥共享流程,共享新的会话密钥Key和IV,然后发起安全芯片公私钥更新,向终端设备发送更新芯片公私钥命令,终端设备进行命令解析,生成APDU并发送至安全芯片,安全芯片使用SM2产生新的公私钥对DK和PK,使用SM3计算公钥PK的哈希值H,使用SM4加密PK||H得到C_K,经过终端设备转发C_K至主站;主站解密C_K,得到SN和PK,按SN索引替换对应的PK,同时将更新成功数据报文发送至安全芯片,安全芯片进行公私钥同步更新。
9.如权利要求1所述的一种物联网安全协议系统,其特征在于,所述消息加解密模块,使用SM4算法、Key和IV,CBC模式实现加密,使用SM3算法计算得到数据摘要,使用SM2算法实现数据签名,确保消息传输的保密性、完整性和真实性;接收方通过解密、验签得到正确的数据,安全芯片完成一次加/解密操作后,产生真随机数对IV进行更新,同时将随机数发送至主站,同步完成主站IV更新。
10.如权利要求1所述的一种物联网安全协议系统,其特征在于,所述数据传输模块用于主站和终端设备之间的过网络消息传输,采用专用SPDU安全协议数据单元实现信息交换,帧格式定义包括:头部、安全芯片序列号SN、消息类型、密码标志、数据、CRC校验和结束标注,所述数据传输模块还用于安全芯片与终端设备之间的数据传输,遵循ISO7816-3标准,采用APDU应用协议数据单元报文实现安全服务和信息交换。
CN202210060658.6A 2022-01-19 2022-01-19 一种物联网安全协议系统 Pending CN114172745A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210060658.6A CN114172745A (zh) 2022-01-19 2022-01-19 一种物联网安全协议系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210060658.6A CN114172745A (zh) 2022-01-19 2022-01-19 一种物联网安全协议系统

Publications (1)

Publication Number Publication Date
CN114172745A true CN114172745A (zh) 2022-03-11

Family

ID=80489407

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210060658.6A Pending CN114172745A (zh) 2022-01-19 2022-01-19 一种物联网安全协议系统

Country Status (1)

Country Link
CN (1) CN114172745A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115001705A (zh) * 2022-05-25 2022-09-02 深圳市证通电子股份有限公司 一种基于加密设备的网络协议安全提升方法
CN115208615A (zh) * 2022-05-20 2022-10-18 北京科技大学 一种数控系统数据加密传输方法
CN115460021A (zh) * 2022-11-11 2022-12-09 成都卫士通信息产业股份有限公司 一种保护数据传输的方法、装置、设备及介质
CN117596421A (zh) * 2024-01-18 2024-02-23 北京智芯微电子科技有限公司 基于融合终端的视频加密传输方法、装置及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111265A (zh) * 2011-01-13 2011-06-29 中国电力科学研究院 一种电力系统采集终端的安全芯片加密方法
CN103095696A (zh) * 2013-01-09 2013-05-08 中国电力科学研究院 一种适用于用电信息采集系统的身份认证和密钥协商方法
CN105871873A (zh) * 2016-04-29 2016-08-17 国家电网公司 一种用于配电终端通信的安全加密认证模块及其方法
WO2018076365A1 (zh) * 2016-10-31 2018-05-03 美的智慧家居科技有限公司 密钥协商方法及装置
CN113472526A (zh) * 2021-06-25 2021-10-01 北京中电华大电子设计有限责任公司 基于安全芯片的物联网设备线路保护方法
CN113726524A (zh) * 2021-09-02 2021-11-30 山东安控信息科技有限公司 一种安全通信方法及通信系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111265A (zh) * 2011-01-13 2011-06-29 中国电力科学研究院 一种电力系统采集终端的安全芯片加密方法
CN103095696A (zh) * 2013-01-09 2013-05-08 中国电力科学研究院 一种适用于用电信息采集系统的身份认证和密钥协商方法
CN105871873A (zh) * 2016-04-29 2016-08-17 国家电网公司 一种用于配电终端通信的安全加密认证模块及其方法
WO2018076365A1 (zh) * 2016-10-31 2018-05-03 美的智慧家居科技有限公司 密钥协商方法及装置
CN113472526A (zh) * 2021-06-25 2021-10-01 北京中电华大电子设计有限责任公司 基于安全芯片的物联网设备线路保护方法
CN113726524A (zh) * 2021-09-02 2021-11-30 山东安控信息科技有限公司 一种安全通信方法及通信系统

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115208615A (zh) * 2022-05-20 2022-10-18 北京科技大学 一种数控系统数据加密传输方法
CN115208615B (zh) * 2022-05-20 2023-12-19 北京科技大学 一种数控系统数据加密传输方法
CN115001705A (zh) * 2022-05-25 2022-09-02 深圳市证通电子股份有限公司 一种基于加密设备的网络协议安全提升方法
CN115001705B (zh) * 2022-05-25 2024-01-26 深圳市证通电子股份有限公司 一种基于加密设备的网络协议安全提升方法
CN115460021A (zh) * 2022-11-11 2022-12-09 成都卫士通信息产业股份有限公司 一种保护数据传输的方法、装置、设备及介质
CN117596421A (zh) * 2024-01-18 2024-02-23 北京智芯微电子科技有限公司 基于融合终端的视频加密传输方法、装置及系统
CN117596421B (zh) * 2024-01-18 2024-04-02 北京智芯微电子科技有限公司 基于融合终端的视频加密传输方法、装置及系统

Similar Documents

Publication Publication Date Title
CN112367175B (zh) 基于sm2数字签名的隐式证书密钥生成方法
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
CN108173649B (zh) 一种基于量子密钥卡的消息认证方法和系统
US9525557B2 (en) Certificate issuing system, client terminal, server device, certificate acquisition method, and certificate issuing method
US7979707B2 (en) Secure seed generation protocol
CN110020524B (zh) 一种基于智能卡的双向认证方法
CN114172745A (zh) 一种物联网安全协议系统
CN108650227A (zh) 基于数据报安全传输协议的握手方法及系统
CN110858968A (zh) 客户端注册方法、装置及系统
JP2005515701A6 (ja) データ伝送リンク
JP2005515701A (ja) データ伝送リンク
JP2005515715A (ja) データ伝送リンク
CN110912686B (zh) 一种安全通道的密钥的协商方法及系统
CN113630248B (zh) 一种会话密钥协商方法
KR102017758B1 (ko) 의료 기기, 게이트웨이 기기 및 이를 이용한 프로토콜 보안 방법
CN110535626B (zh) 基于身份的量子通信服务站保密通信方法和系统
CN107682152B (zh) 一种基于对称密码的群组密钥协商方法
CN112235107A (zh) 一种数据传输方法、装置、设备和存储介质
CN112165386B (zh) 一种基于ecdsa的数据加密方法及系统
CN114650173A (zh) 一种加密通讯方法及系统
CN113676448B (zh) 一种基于对称秘钥的离线设备双向认证方法和系统
CN114826659A (zh) 一种加密通讯方法及系统
CN113422753B (zh) 数据处理方法、装置、电子设备及计算机存储介质
KR20040013966A (ko) 이동 통신망에서의 인증 및 키 합의 방법
CN114928503A (zh) 一种安全通道的实现方法及数据传输方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20220311

WD01 Invention patent application deemed withdrawn after publication