CN114826742B - 一种面向工程机械物联网感知层网络的通信安全系统及认证方法 - Google Patents
一种面向工程机械物联网感知层网络的通信安全系统及认证方法 Download PDFInfo
- Publication number
- CN114826742B CN114826742B CN202210455330.4A CN202210455330A CN114826742B CN 114826742 B CN114826742 B CN 114826742B CN 202210455330 A CN202210455330 A CN 202210455330A CN 114826742 B CN114826742 B CN 114826742B
- Authority
- CN
- China
- Prior art keywords
- information
- internet
- things
- node
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 88
- 230000008447 perception Effects 0.000 title claims abstract description 15
- 238000000034 method Methods 0.000 title claims description 43
- 230000005540 biological transmission Effects 0.000 claims abstract description 42
- 238000002955 isolation Methods 0.000 claims abstract description 24
- 238000012795 verification Methods 0.000 claims description 34
- 238000004422 calculation algorithm Methods 0.000 claims description 32
- 230000006870 function Effects 0.000 claims description 29
- 238000004364 calculation method Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 7
- 230000003993 interaction Effects 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims 1
- 238000005259 measurement Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 14
- 238000003860 storage Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000005304 joining Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000000691 measurement method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000004377 microelectronic Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 210000000653 nervous system Anatomy 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 210000000056 organ Anatomy 0.000 description 1
- 238000004171 remote diagnosis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种面向工程机械物联网感知层网络的通信安全系统。依据工程机械物联网通信架构,重点针对工程机械物联网感知层网络通信安全问题,结合工程机械物联网系统感知层网络特点,将系统感知层网络划分为采集感知层,信息传输层,隔离保护层,并在此基础上,引入可信计算模块,设计各层节点之间的可信度量方案,实现各节点之间的身份认证,能有效抵御感知层节点面临的各种攻击,保证了工程机械物联网感知层通信安全。
Description
技术领域
本发明涉及一种面向工程机械物联网感知层网络的通信安全系统及认证方法,属于工程机械物联网通信安全技术领域。
背景技术
随着物联网、5G等技术的发展和应用,使得传统的工程机械控制系统逐渐从封闭孤立走向互联,与互联网进行深度融合,逐步实现信息化与智能化,在这个过程中,其整个系统的安全问题尤其是通信安全问题也逐渐显现出来。
现有的工程机械物联网系统架构分为3个层次:感知层、传输层、应用层。感知层相当于人的感知器官,进行信息的感知与传输,并接受信息驱动控制机器工作,常由核心传感器、智能移动终端、控制驱动执行部件、RFID系统等组成,其通信分为有线通信和无线通信,主要采用CAN总线通信和以太网。传输层相当于人的神经系统,通过各种通信网络和互联网进行数据传输,实现数据信息的共享与交换,主要采用的是无线通信,短距离的主要有Wifi、蓝牙、Zigbee等,用于机器和机器之间的通信,机器与云平台等的通信主要使用GPRS、4G或5G进行通信。应用层相当于大脑,结合传输的感知信息和存储数据,进行数据分析和挖掘,做出相应的决策,主要通过高性能软件处理海量数据,对数据进行分类存储、挖掘与管理,实现远程诊断、工况监控、定位等功能。
与传统的互联网系统相比,物联网系统增加了感知层网络,其面临的通信安全问题更加复杂。在工程机械物联网系统中,感知层节点数量众多,其硬件结构简单,计算和存储能力较弱,难以使用传统互联网安全防御的解决方案,同时还需要考虑面临的物理攻击问题。
现有技术中提出的物联网感知层状态与行为的可信度量方法,其实现较为复杂,对TPM芯片等硬件设施要求较高,其中对感知层节点的状态与行为度量,需要使用相关算法进行大量的存储和运算,在很大程度上,增加现有产品的成本,同时实现相对复杂,难以适用于普通的物联网感知层通信网络。
现有技术的物联网终端安全保护系统,主要设计可信计算模块,对物联网终端进行平台完整性保护,忽略了在物联网感知层中其它节点之间的通信安全问题,在实际中,许多的物联网感知层系统结构复杂,节点数量众多,各个节点的计算能力存储能力等都有较大的区别,该方法对节点的计算存储能力有较大的要求,难以适用,不能保障整个感知层通信网络的安全。
发明内容
本发明的目的在于克服现有技术中的不足,提供一种面向工程机械物联网感知层网络的通信安全系统及认证方法,可提高感知层的通信安全性。
为达到上述目的,本发明是采用下述技术方案实现的:
第一方面,本发明提供了一种面向工程机械物联网感知层网络的通信安全系统,所述系统基于工程机械物联网系统架构,所述工程机械物联网系统架构包括执行机构、控制器和监视器、驱动器、传感器、物联网终端、RFID系统;
包括物理感知层;
所述物联网感知层包括采集感知层、信息传输层、隔离保护层;
所述采集感知层的节点用于进行感知,收集信息并传输给信息传输层,包括传感器;
所述信息传输层的节点用于对采集感知节点的信息统合,并进行初步处理、存储或者转发给隔离保护层,包括控制器;
所述隔离保护层的节点用于对信息进行加密和解密,将信息进行转发,与外部进行网络通信,包括物联网终端;
通过身份认证方法进行所述采集感知层的节点与信息传输层的节点间通信以及信息传输层的节点与隔离保护层的节点间通信。
进一步的,所述身份认证方法包括:
在信息传输层、隔离保护层节点中嵌入可信计算模块;
通过可信计算模块,对节点的身份进行度量,产生各自的完整性报告,完整性报告以一套快照的形式显示,其包含了系统组件的完整性信息和声明,实现对节点的身份鉴别;
所述可信计算模块为一个嵌入式系统的独立安全密码芯片,用于提供完整性度量功能,防止恶意代码获取芯片私钥信息。
进一步的,信息传输层节点与隔离保护层节点间的身份认证方法包括:
通过各层节点内的可信计算模块获取节点完整性报告,根据验证节点的身份信息,构建可信的通信环境,保证节点间的通信安全,防止攻击;
所述身份信息包括完整性报告、硬件信息、序列号、节点类型以及产生的随机数。
进一步的,控制器和物联网终端身份认证的方法包括:
控制器和物联网终端,内部包含有可信计算模块,利用该模块进行度量,能够产生各自的完整性报告,控制器完整性报告为Ic,物联网终端完整性报告为It;在物联网终端节点中,还存储有下一级节点的初始完整性报告以及节点的硬件信息、类型序列号,包括控制器、监视器、RFID、GPS终端,下一级节点则会储存上一级节点的完整性报告;
控制器向物联网终端发出请求接入信号。将自身的硬件信息、序列号、节点类型,时间戳信息用散列算法生成函数H1,结合控制器模块完整性报告,由AIK对该数据信息进行签名,再使用AES-128进行加密,生成控制信息,然后发送控制信息给物联网终端;
物联网终端模块接收到控制信息之后进行解密,验证时间戳后,对比接收到的控制完整性报告Ic、硬件信息、序列号、节点类型,如果验证通过,则物联网终端的可信计算模块将产生一个随机数,与时间戳信息使用散列算法生成函数H2,结合解密后的控制信息由AIK签名后,使用AES-128算法进行加密,发送给控制器,同时使用安全哈希算法SHA256对随机数加密,生成终端信息并进行存储并发送;
控制器接收到终端信息后,进行解密,得到物联网平台的完整性报告、时间戳、随机数,先验证时间戳,然后对比接收到的物联网终端完整性报告,验证成功,则对同样使用安全哈希算法对随机数加密,生成加密的随机数信息,并发送给物联网终端;
物联网终端接收到加密的随机数信息,与计算存储的信息对比,如果相同,则向控制器发送一个证书,在证书有效期内,控制器可以和物联网终端以及采集感知节点进行数据交互,否则认证失败,关闭数据交互。
进一步的,采集感知层节点与信息传输层节点间身份认证方法包括:
通过传输层节点对其进行身份验证,将感知节点的相关硬件信息、标识符信息加密后发送给传输层节点,由传输层节点验证该节点的身份,验证通过,则向其发送一个确认符,进行正常通信,否则终止会话。
进一步的,采集感知层节点与信息传输层节点间身份认证方法包括有线通信身份认证方法和无线通信身份认证方法;
所述无线通信身份认证方法包括:
信息传输层节点确认采集端节点可信,传感器将自身的唯一性的身份信息利用AES-128算法加密后,发送给控制器;
控制器接收到信息,进行解密,对传感器的身份信息进行验证,如果验证成功后,控制器将一个验证成功的确认符加密后发送给传感器;
传感器验证其有效性,验证成功,两者进行正常通信,否则终止会话。
第二方面,本发明提供一种身份认证方法,基于第一方面所述的系统,包括以下步骤:
控制器向物联网终端发出接入请求;
依据自身硬件信息、序列号、节点类型、时间戳信息生成函数H1;
使用AIK对H1和平台完整性报告签名,并使用AHS-128进行加密;
物联网终端对数据信息进行解密,验证时间戳、平台完整性报告以及节点信息,验证不通过则本次认证结束,认证失败;
物联网终端通过可信计算模块产生一个随机数,并用哈希安全算法加密,对加密结果存储,并将随机数、时间戳以及自身平台完整性报告使用AIK签名,加密后发送给控制器;
控制器接收信息并进行解密,验证时间戳,对比物联网终端的平台完整性报告,验证不通过则会话结束,认证失败;
控制器对随机数使用安全哈希算法加密,使用AES加密后发送给物联网终端,由物联网终端对比存储的随机数加密值,如果值错误则认证失败。
与现有技术相比,本发明所达到的有益效果:
针对工程机械物联网感知层通信安全问题,本发明提供了一种面向工程机械物联网感知层网络的通信安全系统。该系统依据工程机械物联网感知层节点功能,将系统感知层分为采集感知层、信息传输层、隔离保护层,在控制器、监视器、GPS终端、物联网终端等重要节点中嵌入可信计算模块,依据硬件安全芯片保证节点的安全,同时设计了各层节点间的身份认证方法,使得节点间的通信环境可信、节点的身份可信。
本发明在现有的工程机械物联网系统架构基础上,重点分析感知层安全问题,将感知层系统依据节点功能分为采集感知层、信息传输层、隔离保护层,利用可信计算模块,可以获取节点自身的完整性报告,能有效防止未授权的节点加入网络,抵御伪造攻击、多重身份攻击等,节点身份认证成功后,发放相应的证书,依据证书进行数据交互。
附图说明
图1为本发明工程机械物联网架构图;
图2为本发明工程机械物联网感知层架构图;
图3为本发明工程机械物联网感知层通信安全架构图;
图4为本发明基于可信计算模块的工程机械物联网感知层安全架构图;
图5为本发明工程机械物联网感知层节点身份认证流程图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
在此之前,对于一些缩略语和关键术语进行定义:
RFID---Radio Frequency Identification射频识别技术
TPM---TrustedPlatform Module可信平台模块
AES-128---Advanced Encryption Standard一种高级加密标准算法,对称加密算法
AIK---Attestation Identify Key平台身份认证密钥,专门用于对TPM产生的数据进行签名的不可迁移的密钥
SHA256---Secure HashAlgorithm安全散列算法,用于消息的加密,产生一个256位的哈希值
TCM---Trusted Cryptography Module可信密码模块,由国内自主研发的密码算法和引擎,构建安全芯片
GPS---Global Positioning System全球定位系统
GPRS---General Packet Radio Service通用无线分组业务,是一种基于GSM系统的无线分组交换技术
实施例一:
本实施例提供一种面向工程机械物联网感知层网络的通信安全系统。依据工程机械物联网通信架构,重点针对工程机械物联网感知层网络通信安全问题,结合工程机械物联网系统感知层网络特点,将系统感知层网络划分为采集感知层,信息传输层,隔离保护层,并在此基础上,引入可信计算模块,设计各层节点之间的可信度量方案,实现各节点之间的身份认证,能有效抵御感知层节点面临的各种攻击,保证了工程机械物联网感知层通信安全。
本发明提供了一种面向工程机械物联网感知层网络的通信安全系统,包括工程机械物联网感知层通信系统,物联网感知层节点的可信度量,以及基于此设计的工程机械物联网感知层安全通信方案。
所述的工程机械物联网感知层通信系统,在传统的工程机械物联网通信系统架构的基础上,结合工程机械物联网系统结构,将工程机械物联网系统感知层网络依据感知层各节点功能划分为采集感知层、信息传输层、隔离保护层。其中采集感知层节点主要进行感知,收集物理环境等信息,主要为传感器,如倾角传感器、摄像头、RFID标签等,信息传输层节点主要是对采集感知节点的信息统合,并进行初步处理、存储或者转发,主要有主、次控制器等。隔离保护层节点对信息进行加密和解密,将信息进行转发,与云平台进行网络通信等,主要为物联网终端。工程机械物联网系统主要模块有执行机构、控制器和监视器、驱动器、传感器、物联网终端、RFID系统等。
所述的工程机械物联网感知层节点可信度量方法,引入了可信计算模块,对节点的身份进行度量,实现对节点的身份鉴别。可信计算模块通常是一个嵌入式系统的独立安全密码芯片(例如英飞凌的SLB9365TT、兆日科技的SSX35、意法微电子ST19WP18等产品),能够提供完整性度量功能,有效防止恶意代码获取芯片私钥等信息。利用该模块对节点进行度量,能够产生各自的完整性报告,完整性报告以一套快照的形式显示,其包含了系统组件的完整性信息和声明。在RFID系统、控制器和监视器、GPS终端以及物联网终端等硬件结构中加入可信计算模块,以可信计算安全芯片为核心,对现有平台系统进行改进,设计节点的身份认证协议,实现节点的双向身份认证,防止未授权的节点加入网络,或者授权的节点被控制,能有效防止伪造攻击、假冒工具、多重身份攻击等。同时,应用可信计算芯片,通过芯片自身的物理不可克隆函数技术,防止各节点密钥被暴力破解,能够有效抵御节点捕获攻击、复制攻击。
所述的节点身份认证方法,基于可信计算模块对节点进行平台完整性验证,获取其完整性报告,结合随机数加密算法,设计节点间身份认证方法,保证节点间的通信环境可信。
对于信息传输层与隔离保护层节点间的身份认证,以控制器节点和物联网终端节点身份认证为例,其认证步骤为:
(1)控制器和物联网终端节点,内部包含有可信计算模块,利用该模块对节点进行度量,能够产生各自的完整性报告,控制器完整性报告为Ic,物联网终端完整性报告为It,同时,在物联网终端节点中,还存储有下一级节点的初始完整性报告以及节点的硬件信息、类型序列号等,包括控制器、监视器、RFID、GPS终端,下一级节点则会储存上一级节点的完整性报告;
(2)控制器向物联网终端发出请求接入信号。将自身的硬件信息、序列号、节点类型,时间戳等信息用散列算法生成函数H1,结合控制器模块完整性报告,由AIK对该数据信息进行签名,再使用AES-128进行加密,然后发送给物联网终端模块;
(3)物联网终端模块接收到信息之后进行解密,验证时间戳后,对比接收到的控制完整性报告Ic、硬件信息、序列号、节点类型等信息,如果验证通过,则物联网终端的可信计算模块将产生一个随机数,与时间戳等信息使用散列算法生成函数H2,结合自身平台完整性报告等数据由AIK签名后,使用AES-128算法进行加密,发送给控制器,同时使用安全哈希算法SHA256对随机数加密,并进行存储;
(4)控制器接收到物联网终端信息后,进行解密,得到物联网平台的完整性报告、时间戳、随机数等信息,先验证时间戳,然后对比接收到的物联网终端完整性报告,验证成功,则对同样使用安全哈希算法对随机数加密,并发送给物联网终端;
(5)物联网终端接收到加密的随机数信息,与计算存储的信息对比,如果相同,则向控制器发送一个证书,在证书有效期内,控制器可以和物联网终端以及采集感知节点进行数据交互,否则验证失败。
然后考虑采集感知层与隔离保护层节点身份认证,采集感知层节点主要为传感器、RFID标签等,通信方式分为有线和无线,有线通信多为总线通信,为封闭网络,认证方案较为成熟,本发明只考虑无线通信身份认证方法。信息传输层节点首先确认采集端节点可信,无线传感器等将自身的硬件信息、节点号等具有唯一性的身份信息利用AES-128算法加密后,发送给控制器。控制器接收到信息,进行解密,对传感器的身份信息进行验证,如果验证成功后,控制器将一个验证成功的确认符加密后发送给传感器。传感器验证其有效性,验证成功,两者进行正常通信,否则终止会话。考虑到采集感知层节点中多为传感器以及RFID标签等,其计算与存储能力较弱,主要通过传输层节点对其唯一标识符等身份信息进行验证。
本系统在现有的工程机械物联网系统架构基础上,重点分析感知层安全问题,将感知层系统依据节点功能分为采集感知层、信息传输层、隔离保护层,利用可信计算模块,可以获取节点自身的完整性报告,能有效防止未授权的节点加入网络,抵御伪造攻击、多重身份攻击等,节点身份认证成功后,发放相应的证书,依据证书进行数据交互。
如图所示,图1为本发明使用的工程机械物联网架构图。
图2为本发明工程机械物联网感知层架构图。
图3为本发明工程机械物联网感知层通信安全结构图。其主要在易受攻击的节点加入了可信计算模块。
图4为本发明基于可信计算模块的工程机械物联网感知层安全架构图,其主要在控制器、RFID、GPS终端、物联网终端等具有一定计算能力和存储能力的节点中加入了可信计算模块。
图5为本发明工程机械物联网感知层节点身份认证流程图,为信息传输层节点与隔离保护层节点之间的身份认证,整个过程按照以下步骤执行:
控制器、GPS终端、RFID等模块向物联网终端发出接入请求;
依据自身硬件信息、序列号、节点类型、时间戳等信息生成函数H1;
使用AIK对H1和平台完整性报告签名,并使用AHS-128进行加密;
物联网终端对数据信息进行解密,验证时间戳、平台完整性报告以及节点信息,验证不通过则本次认证结束,认证失败;
物联网终端通过可信计算模块产生一个随机数,并用哈希安全算法加密,对加密结果存储,并将随机数、时间戳以及自身平台完整性报告使用AIK签名,加密后发送给控制器;
控制器等接收信息并进行解密,验证时间戳,对比物联网终端的平台完整性报告,验证不通过则会话结束,认证失败;
控制器等对随机数使用安全哈希算法加密,使用AES加密后发送给物联网终端,由物联网终端对比存储的随机数加密值,如果值错误则认证失败。
实施例二:
本实施例提供一种身份认证方法,基于实施例一所述的通信安全系统,其具体如图5所示为本发明工程机械物联网感知层节点身份认证流程图,为信息传输层节点与隔离保护层节点之间的身份认证,整个过程按照以下步骤执行:
控制器、GPS终端、RFID等模块向物联网终端发出接入请求;
依据自身硬件信息、序列号、节点类型、时间戳等信息生成函数H1;
使用AIK对H1和平台完整性报告签名,并使用AHS-128进行加密;
物联网终端对数据信息进行解密,验证时间戳、平台完整性报告以及节点信息,验证不通过则本次认证结束,认证失败;
物联网终端通过可信计算模块产生一个随机数,并用哈希安全算法加密,对加密结果存储,并将随机数、时间戳以及自身平台完整性报告使用AIK签名,加密后发送给控制器;
控制器等接收信息并进行解密,验证时间戳,对比物联网终端的平台完整性报告,验证不通过则会话结束,认证失败;
控制器等对随机数使用安全哈希算法加密,使用AES加密后发送给物联网终端,由物联网终端对比存储的随机数加密值,如果值错误则认证失败。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (8)
1.一种面向工程机械物联网感知层网络的通信安全系统,所述系统基于工程机械物联网系统架构,所述工程机械物联网系统架构包括执行机构、控制器和监视器、驱动器、传感器、物联网终端、RFID系统;其特征在于,包括物理感知层;
所述物联网感知层包括采集感知层、信息传输层、隔离保护层;
所述采集感知层的节点用于进行感知,收集信息并传输给信息传输层,包括传感器;
所述信息传输层的节点用于对采集感知节点的信息统合,并进行初步处理、存储或者转发给隔离保护层,包括控制器;
所述隔离保护层的节点用于对信息进行加密和解密,将信息进行转发,与外部进行网络通信,包括物联网终端;
通过身份认证方法进行所述采集感知层的节点与信息传输层的节点间通信以及信息传输层的节点与隔离保护层的节点间通信;
所述身份认证方法包括:
在信息传输层、隔离保护层节点中嵌入可信计算模块;
通过可信计算模块,对节点的身份进行度量,产生各自的完整性报告,完整性报告以一套快照的形式显示,其包含了系统组件的完整性信息和声明,实现对节点的身份鉴别;
采集感知层节点与信息传输层节点间身份认证方法包括:
通过传输层节点对其进行身份验证,将感知节点的相关硬件信息、标识符信息加密后发送给传输层节点,由传输层节点验证该节点的身份,验证通过,则向其发送一个确认符,进行正常通信,否则终止会话。
2.根据权利要求1所述的通信安全系统,其特征在于,所述可信计算模块为一个嵌入式系统的独立安全密码芯片,用于提供完整性度量功能,防止恶意代码获取芯片私钥信息。
3.根据权利要求1所述的通信安全系统,其特征在于,信息传输层节点与隔离保护层节点间的身份认证方法包括:
通过各层节点内的可信计算模块获取节点完整性报告,根据验证节点的身份信息,构建可信的通信环境,保证节点间的通信安全,防止攻击。
4.根据权利要求3所述的通信安全系统,其特征在于,所述身份信息包括完整性报告、硬件信息、序列号、节点类型以及产生的随机数。
5.根据权利要求3所述的通信安全系统,其特征在于,控制器和物联网终端身份认证的方法包括:
控制器和物联网终端,内部包含有可信计算模块,利用该模块进行度量,能够产生各自的完整性报告,控制器完整性报告为Ic,物联网终端完整性报告为It;在物联网终端节点中,还存储有下一级节点的初始完整性报告以及节点的硬件信息、类型序列号,包括控制器、监视器、RFID、GPS终端,下一级节点则会储存上一级节点的完整性报告;
控制器向物联网终端发出请求接入信号,将自身的硬件信息、序列号、节点类型,时间戳信息用散列算法生成函数H1,结合控制器模块完整性报告,由AIK对函数H1和完整性报告进行签名,再使用AES-128进行加密,生成控制信息,然后发送控制信息给物联网终端;AIK为平台身份认证密钥;
物联网终端模块接收到控制信息之后进行解密,验证时间戳后,对比接收到的控制完整性报告Ic、硬件信息、序列号、节点类型,如果验证通过,则物联网终端的可信计算模块将产生一个随机数,与时间戳信息使用散列算法生成函数H2,结合解密后的控制信息由AIK签名后,使用AES-128算法进行加密,发送给控制器,同时使用安全哈希算法SHA256对随机数加密,生成终端信息并进行存储并发送;
控制器接收到终端信息后,进行解密,得到物联网平台的完整性报告、时间戳、随机数,先验证时间戳,然后对比接收到的物联网终端完整性报告,验证成功,则对同样使用安全哈希算法对随机数加密,生成加密的随机数信息,并发送给物联网终端;
物联网终端接收到加密的随机数信息,与计算存储的信息对比,如果相同,则向控制器发送一个证书,在证书有效期内,控制器可以和物联网终端以及采集感知节点进行数据交互,否则认证失败,关闭数据交互。
6.根据权利要求1所述的通信安全系统,其特征在于,采集感知层节点与信息传输层节点间身份认证方法包括有线通信身份认证方法和无线通信身份认证方法。
7.根据权利要求6所述的通信安全系统,其特征在于,所述无线通信身份认证方法包括:
信息传输层节点确认采集端节点可信,传感器将自身的唯一性的身份信息利用AES-128算法加密后,发送给控制器;
控制器接收到信息,进行解密,对传感器的身份信息进行验证,如果验证成功后,控制器将一个验证成功的确认符加密后发送给传感器;
传感器验证其有效性,验证成功,两者进行正常通信,否则终止会话。
8.一种身份认证方法,其特征在于,基于权利要求1-7任一项所述的系统,包括以下步骤:
控制器向物联网终端发出接入请求;
依据自身硬件信息、序列号、节点类型、时间戳信息生成函数H1;
使用AIK对函数H1和完整性报告签名,并使用AHS-128进行加密;AIK为平台身份认证密钥;
物联网终端对数据信息进行解密,验证时间戳、平台完整性报告以及节点信息,验证不通过则本次认证结束,认证失败;
物联网终端通过可信计算模块产生一个随机数,并用哈希安全算法加密,对加密结果存储,并将随机数、时间戳以及自身平台完整性报告使用AIK签名,加密后发送给控制器;
控制器接收信息并进行解密,验证时间戳,对比物联网终端的平台完整性报告,验证不通过则会话结束,认证失败;
控制器对随机数使用安全哈希算法加密,使用AES加密后发送给物联网终端,由物联网终端对比存储的随机数加密值,如果值错误则认证失败。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210455330.4A CN114826742B (zh) | 2022-04-28 | 2022-04-28 | 一种面向工程机械物联网感知层网络的通信安全系统及认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210455330.4A CN114826742B (zh) | 2022-04-28 | 2022-04-28 | 一种面向工程机械物联网感知层网络的通信安全系统及认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114826742A CN114826742A (zh) | 2022-07-29 |
CN114826742B true CN114826742B (zh) | 2023-07-28 |
Family
ID=82510187
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210455330.4A Active CN114826742B (zh) | 2022-04-28 | 2022-04-28 | 一种面向工程机械物联网感知层网络的通信安全系统及认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114826742B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118132998B (zh) * | 2024-05-07 | 2024-07-09 | 中国电子科技集团公司第三十研究所 | 一种物联网终端特征提取与识别装置和方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102497647A (zh) * | 2011-12-14 | 2012-06-13 | 华南理工大学 | 一种物联网监测系统的完整性验证评估方法 |
CN104378354A (zh) * | 2014-10-16 | 2015-02-25 | 江苏博智软件科技有限公司 | 一种基于等级划分的物联网安全模型的方法 |
CN106790491A (zh) * | 2016-12-14 | 2017-05-31 | 日照职业技术学院 | 面向数据的物联网可移动终端智能平台的实现方法 |
WO2018153362A1 (zh) * | 2017-02-27 | 2018-08-30 | 华为技术有限公司 | 接入物联网平台的方法、物联网平台和物联网设备 |
CN109889522A (zh) * | 2019-02-25 | 2019-06-14 | 重庆邮电大学 | 一种基于区块链的物联网信息安全保护方法 |
CN112615841A (zh) * | 2020-12-11 | 2021-04-06 | 辽宁电力能源发展集团有限公司 | 一种基于可信计算的分层安全管控系统和方法 |
CN112636923A (zh) * | 2020-12-23 | 2021-04-09 | 江苏徐工工程机械研究院有限公司 | 一种工程机械can设备身份认证方法及系统 |
WO2021244000A1 (zh) * | 2020-06-03 | 2021-12-09 | 国网上海市电力公司 | 一种区域能源综合体虚拟聚合系统及方法 |
-
2022
- 2022-04-28 CN CN202210455330.4A patent/CN114826742B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102497647A (zh) * | 2011-12-14 | 2012-06-13 | 华南理工大学 | 一种物联网监测系统的完整性验证评估方法 |
CN104378354A (zh) * | 2014-10-16 | 2015-02-25 | 江苏博智软件科技有限公司 | 一种基于等级划分的物联网安全模型的方法 |
CN106790491A (zh) * | 2016-12-14 | 2017-05-31 | 日照职业技术学院 | 面向数据的物联网可移动终端智能平台的实现方法 |
WO2018153362A1 (zh) * | 2017-02-27 | 2018-08-30 | 华为技术有限公司 | 接入物联网平台的方法、物联网平台和物联网设备 |
CN109889522A (zh) * | 2019-02-25 | 2019-06-14 | 重庆邮电大学 | 一种基于区块链的物联网信息安全保护方法 |
WO2021244000A1 (zh) * | 2020-06-03 | 2021-12-09 | 国网上海市电力公司 | 一种区域能源综合体虚拟聚合系统及方法 |
CN112615841A (zh) * | 2020-12-11 | 2021-04-06 | 辽宁电力能源发展集团有限公司 | 一种基于可信计算的分层安全管控系统和方法 |
CN112636923A (zh) * | 2020-12-23 | 2021-04-09 | 江苏徐工工程机械研究院有限公司 | 一种工程机械can设备身份认证方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114826742A (zh) | 2022-07-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111010410B (zh) | 一种基于证书身份认证的拟态防御系统及证书签发方法 | |
CN111181928B (zh) | 车辆诊断方法、服务器及计算机可读存储介质 | |
CN112887338B (zh) | 一种基于ibc标识密码的身份认证方法和系统 | |
CN106357400B (zh) | 建立tbox终端和tsp平台之间通道的方法以及系统 | |
CN101917270B (zh) | 一种基于对称密码的弱认证和密钥协商方法 | |
CN106685985B (zh) | 一种基于信息安全技术的车辆远程诊断系统及方法 | |
CN106790064B (zh) | 可信根服务器-云计算服务器模型中双方进行通信的方法 | |
CN106850207B (zh) | 无ca的身份认证方法和系统 | |
CN102025503B (zh) | 一种集群环境下数据安全实现方法和一种高安全性的集群 | |
CN111614621B (zh) | 物联网通信方法和系统 | |
CN106506149B (zh) | 一种tbox终端和tsp平台之间密钥生成方法以及系统 | |
US11303453B2 (en) | Method for securing communication without management of states | |
CN103179129A (zh) | 一种基于云计算IaaS环境的远程证明方法 | |
CN113556230B (zh) | 数据安全传输方法、证书相关方法、服务端、系统及介质 | |
CN102970676B (zh) | 一种对原始数据进行处理的方法、物联网系统及终端 | |
CN116633530A (zh) | 量子密钥传输方法、装置及系统 | |
CN114826742B (zh) | 一种面向工程机械物联网感知层网络的通信安全系统及认证方法 | |
CN109922022A (zh) | 物联网通信方法、平台、终端和系统 | |
Lauser et al. | Formal Security Analysis of Vehicle Diagnostic Protocols | |
CN103138923A (zh) | 一种节点间认证方法、装置及系统 | |
Li et al. | In-Vehicle Digital Forensics for Connected and Automated Vehicles With Public Auditing | |
CN110995671A (zh) | 一种通信方法及系统 | |
CN103414567A (zh) | 信息监控方法及系统 | |
CN111327415A (zh) | 一种联盟链数据保护方法及装置 | |
CN112069487B (zh) | 一种基于物联网的智能设备网络通讯安全实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |