CN115277101A - 一种分布式物联网设备连接方法、装置及存储介质 - Google Patents
一种分布式物联网设备连接方法、装置及存储介质 Download PDFInfo
- Publication number
- CN115277101A CN115277101A CN202210757746.1A CN202210757746A CN115277101A CN 115277101 A CN115277101 A CN 115277101A CN 202210757746 A CN202210757746 A CN 202210757746A CN 115277101 A CN115277101 A CN 115277101A
- Authority
- CN
- China
- Prior art keywords
- internet
- equipment
- information
- target
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000003860 storage Methods 0.000 title claims abstract description 24
- 238000004519 manufacturing process Methods 0.000 claims abstract description 29
- 238000004364 calculation method Methods 0.000 claims abstract description 13
- 230000007246 mechanism Effects 0.000 claims abstract description 13
- 238000012545 processing Methods 0.000 claims abstract description 5
- 238000004422 calculation algorithm Methods 0.000 claims description 16
- 230000006855 networking Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 206010000210 abortion Diseases 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000009439 industrial construction Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种分布式物联网设备连接方法、装置及存储介质,方法包括:获取物联网设备信息,存入生产数据库;对物联网设备信息进行加密计算,得到物联网设备加密信息,写入安全数据库;根据物联网设备加密信息生成公钥和私钥;根据安全机制的触发信号,生成目标设备密钥;根据公钥、私钥和目标设备密钥,确定目标设备认证信息;根据目标设备认证信息,从安全数据库获取目标物联网设备加密信息,更新生产数据库的目标物联网设备信息,标记更新记录;根据目标设备密钥进行解密处理,得到目标设备连接信息;通过所述目标设备连接信息完成目标设备的认证连接。本发明能够解决物联网设备至关重要的服务连接安全问题,可广泛应用于物联网技术领域。
Description
技术领域
本发明涉及物联网技术领域,尤其是一种分布式物联网设备连接方法、装置及存储介质。
背景技术
随着物联网设备的广泛使用,涉及领域广泛,分布地区也不尽相同,网络环境千差万别,并且设备的硬件性能也不相同,需要一种轻量、简单、和易用的传输协议实现与数据的交互。
MQTT协议是轻量、简单、开放和易于实现的,这些特点使它适用范围非常广泛。目前物联网设备接入协议众多,目前使用最广泛的是MQTT协议,MQTT协议是轻量级基于代理的发布/订阅的消息传输协议,设计思想是开放、简单、轻量、易于实现。这些特点使它适用于受限环境,MQTT拥有该协议的特点有:
使用发布/订阅消息模式,提供一对多的消息发布,解除应用程序耦合;
对负载内容屏蔽的消息传输;
使用TCP/IP提供网络连接;
有三种消息发布服务质量:“至多一次”,消息发布完全依赖底层TCP/IP网络。会发生消息丢失或重复。这一级别可用于如下情况,环境传感器数据,丢失一次读记录无所谓,因为不久后还会有第二次发送;“至少一次”,确保消息到达,但消息重复可能会发生;“只有一次”,确保消息到达一次。这一级别可用于如下情况,在计费系统中,消息重复或丢失会导致不正确的结果;
小型传输,开销很小(固定长度的头部是2字节),协议交换最小化,以降低网络流量;
使用LastWill和Testament特性通知有关各方客户端异常中断的机制。
Emqx(Erlang/Enterprise/ElasticMQTTBroker)是基于Erlang/OTP平台开发的开源物联网MQTT消息服务器。MQTT是轻量(Lightweight)、发布订阅模式(PubSub)的物联网消息协议。Emqx设计目标是实现高可靠,并支持承载海量物联网终端的MQTT连接,支持在海量物联网设备间低延时消息路由:稳定承载大规模的MQTT客户端连接,单服务器节点支持50万到100万连接;分布式节点集群,快速低延时的消息路由,单集群支持1000万规模的路由;消息服务器内扩展,支持定制多种认证方式、高效存储消息到后端数据库;完整物联网协议支持,MQTT、MQTT-SN、CoAP、LwM2M、WebSocket或私有协议支持。
EMQX支持使用内置数据源(文件、内置数据库)、JWT【JWT(opensnewwindow)认证基于Token的鉴权机制,不依赖服务端保留客户端的认证信息或者会话信息,在持有密钥的情况下可以批量签发认证信息,是最简便的认证方式。】、外部主流数据库(主要为LDAP、MySQL、PostgreSQL、Redis、MongoDB)和自定义HTTPAPI作为身份认证数据源。连接数据源、进行认证逻辑通过插件实现的,每个插件对应一种认证方式,使用前需要启用相应的插件。客户端连接时插件通过检查其username/clientid和password是否与指定数据源的信息一致来实现对客户端的身份认证。连接数据源、进行认证逻辑通过插件实现的,每个插件对应一种认证方式,使用前需要启用相应的插件。客户端连接时插件通过检查其username/clientid和password是否与指定数据源的信息一致来实现对客户端的身份认证。
任何一种认证方式最终都会返回一个结果:
认证成功:经过比对客户端认证成功
认证失败:经过比对客户端认证失败,数据源中密码与当前密码不一致
忽略认证(ignore):当前认证方式中未查找到认证数据,无法显式判断结果是成功还是失败,交由认证链下一认证方式或匿名认证来判断。
在实际的应用中,主流的方法都是通过搭建EMQX服务器实现,在物联网设备使用的通常情况下,因为设备是远程且分布广泛,所处的环境千差万别,要进行维护的难度是非常巨大的。MQTT协议是一个发布订阅模式(PubSub)的物联网消息协议,可理解为服务端并不知道设备在哪里,只进行消息的广播,由设备主动连接服务器,所以整个连接的安全尤其重要,会影响到所有设备的通信。尤其是近些年,国内外设备劫持事件频发,智能家居产品不断爆出安全漏洞,服务器被攻击、骑劫、泄露数据、漏洞被利用等情况发生时将造成不可逆的经济损失,同时也反映在物联网产业建设初期,安全作为物联网应用的基础设施的重要性。基于以上的背景,目前主流使用的方案,都主要是集中在使用EMQX的插件对客户端(设备)进行认证,只做到了基础的客户端设备连接安全,并没有意识到EMQX服务器存在隐患,并真正做到防范问题—发现问题—解决问题。
现有使用MQTT技术进行连接的方案,主要都是直接使用EMQX提供的认证插件,进行Username认证或者ClientID认证,仅从客户端连接的安全上面考虑,一旦EMQX服务器被攻击或者账号密码泄露,将可能发生认证模式、认证数据变更等风险,导致订阅该节点的所有客户端失联,同时由于物联网设备分布的特点,对其进行修复维护的难度极大。
发明内容
有鉴于此,本发明实施例提供了一种分布式物联网设备连接方法、装置及存储介质,能够实现物联网设备的服务连接安全。
一方面,本发明实施例提供了一种分布式物联网设备连接方法,包括:
获取物联网设备信息,存入生产数据库;其中,所述物联网设备信息包括现有的物联网设备的账户和密码以及新入库的物联网设备的账户和密码;
对所述物联网设备信息进行加密计算,得到物联网设备加密信息,写入安全数据库;并根据写入所述安全数据库的所述物联网设备加密信息生成公钥和私钥;
根据安全机制的触发信号,生成目标设备密钥;根据所述公钥、所述私钥和所述目标设备密钥,确定目标设备认证信息;
根据所述目标设备认证信息,从所述安全数据库获取目标物联网设备加密信息,通过所述目标物联网设备加密信息更新所述生产数据库的目标物联网设备信息,标记更新记录;
根据所述目标设备密钥进行解密处理,得到目标设备连接信息;其中,所述目标设备连接信息包括目标设备的账户和密码;
通过所述目标设备连接信息完成目标设备的认证连接。
可选地,所述方法还包括:
对所述生产数据库更新后的目标物联网设备信息进行加密计算,得到第二目标物联网设备加密信息,写入安全数据库。
可选地,所述方法还包括:
搭建EMQX服务器,并启用所述EMQX服务器的认证插件;其中,所述物联网设备信息通过所述认证插件获取,所述生产数据库基于所述EMQX服务器建立。
可选地,所述方法还包括:
通过私有云部署安全服务器;其中,所述安全数据库基于所述安全服务器建立。
可选地,所述对所述物联网设备信息进行加密计算,得到物联网设备加密信息,写入安全数据库,包括:
随机生成预设长度的账户;
将所述账户和时间戳拼接成字符串;
通过第一算法对所述字符串进行编码,生成密码;
根据所述账户和所述密码,得到物联网设备加密信息,写入安全数据库。
可选地,所述根据所述公钥、所述私钥和所述目标设备密钥,确定目标设备认证信息,包括:
通过所述公钥对所述目标设备密钥进行加密处理,生成签名;
通过所述私钥对所述目标设备密钥进行解密,并与所述签名进行比对,确定目标设备认证信息。
可选地,所述通过所述公钥对所述目标设备密钥进行加密处理,生成签名,包括:
获取目标设备sn码;
通过所述公钥使用第二算法对所述目标设备密钥进行加密,并通过第三算法根据所述sn码和加密后的目标设备密钥生成签名。
另一方面,本发明实施例提供了一种分布式物联网设备连接装置,包括:
第一模块,用于获取物联网设备信息,存入生产数据库;其中,所述物联网设备信息包括现有的物联网设备的账户和密码以及新入库的物联网设备的账户和密码;
第二模块,用于对所述物联网设备信息进行加密计算,得到物联网设备加密信息,写入安全数据库;并根据写入所述安全数据库的所述物联网设备加密信息生成公钥和私钥;
第三模块,用于根据安全机制的触发信号,生成目标设备密钥;根据所述公钥、所述私钥和所述目标设备密钥,确定目标设备认证信息;
第四模块,用于根据所述目标设备认证信息,从所述安全数据库获取目标物联网设备加密信息,通过所述目标物联网设备加密信息更新所述生产数据库的目标物联网设备信息,标记更新记录;
第五模块,用于根据所述目标设备密钥进行解密处理,得到目标设备连接信息;其中,所述目标设备连接信息包括目标设备的账户和密码;
第六模块,用于通过所述目标设备连接信息完成目标设备的认证连接。
另一方面,本发明实施例提供了一种电子设备,包括处理器以及存储器;
所述存储器用于存储程序;
所述处理器执行所述程序实现如前面所述的方法。
另一方面,本发明实施例提供了一种计算机可读存储介质,所述存储介质存储有程序,所述程序被处理器执行实现如前面所述的方法。
本发明实施例还公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行前面的方法。
本发明的实施例首先获取物联网设备信息,存入生产数据库;其中,所述物联网设备信息包括现有的物联网设备的账户和密码以及新入库的物联网设备的账户和密码;对所述物联网设备信息进行加密计算,得到物联网设备加密信息,写入安全数据库;并根据写入所述安全数据库的所述物联网设备加密信息生成公钥和私钥;根据安全机制的触发信号,生成目标设备密钥;根据所述公钥、所述私钥和所述目标设备密钥,确定目标设备认证信息;根据所述目标设备认证信息,从所述安全数据库获取目标物联网设备加密信息,通过所述目标物联网设备加密信息更新所述生产数据库的目标物联网设备信息,标记更新记录;根据所述目标设备密钥进行解密处理,得到目标设备连接信息;其中,所述目标设备连接信息包括目标设备的账户和密码;通过所述目标设备连接信息完成目标设备的认证连接。本发明通过独立于生产数据库的安全数据库,能够实现与生产数据分离,解决了物联网设备至关重要的服务连接安全问题。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的整体步骤流程示意图;
图2为本发明实施例提供的步骤原理流程示意图;
图3为本发明实施例提供的整体架构示意图;
图4为本发明实施例提供的安全服务器的架构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
针对现有技术存在的问题,一方面,本发明实施例提供了一种分布式物联网设备连接方法,参照图1,包括:
获取物联网设备信息,存入生产数据库;其中,所述物联网设备信息包括现有的物联网设备的账户和密码以及新入库的物联网设备的账户和密码;
对所述物联网设备信息进行加密计算,得到物联网设备加密信息,写入安全数据库;并根据写入所述安全数据库的所述物联网设备加密信息生成公钥和私钥;
根据安全机制的触发信号,生成目标设备密钥;根据所述公钥、所述私钥和所述目标设备密钥,确定目标设备认证信息;
根据所述目标设备认证信息,从所述安全数据库获取目标物联网设备加密信息,通过所述目标物联网设备加密信息更新所述生产数据库的目标物联网设备信息,标记更新记录;
根据所述目标设备密钥进行解密处理,得到目标设备连接信息;其中,所述目标设备连接信息包括目标设备的账户和密码;
通过所述目标设备连接信息完成目标设备的认证连接。
可选地,所述方法还包括:
对所述生产数据库更新后的目标物联网设备信息进行加密计算,得到第二目标物联网设备加密信息,写入安全数据库。
可选地,所述方法还包括:
搭建EMQX服务器,并启用所述EMQX服务器的认证插件;其中,所述物联网设备信息通过所述认证插件获取,所述生产数据库基于所述EMQX服务器建立。
可选地,所述方法还包括:
通过私有云部署安全服务器;其中,所述安全数据库基于所述安全服务器建立。
可选地,所述对所述物联网设备信息进行加密计算,得到物联网设备加密信息,写入安全数据库,包括:
随机生成预设长度的账户;
将所述账户和时间戳拼接成字符串;
通过第一算法对所述字符串进行编码,生成密码;
根据所述账户和所述密码,得到物联网设备加密信息,写入安全数据库。
可选地,所述根据所述公钥、所述私钥和所述目标设备密钥,确定目标设备认证信息,包括:
通过所述公钥对所述目标设备密钥进行加密处理,生成签名;
通过所述私钥对所述目标设备密钥进行解密,并与所述签名进行比对,确定目标设备认证信息。
可选地,所述通过所述公钥对所述目标设备密钥进行加密处理,生成签名,包括:
获取目标设备sn码;
通过所述公钥使用第二算法对所述目标设备密钥进行加密,并通过第三算法根据所述sn码和加密后的目标设备密钥生成签名。
另一方面,本发明实施例提供了一种分布式物联网设备连接装置,包括:
第一模块,用于获取物联网设备信息,存入生产数据库;其中,所述物联网设备信息包括现有的物联网设备的账户和密码以及新入库的物联网设备的账户和密码;
第二模块,用于对所述物联网设备信息进行加密计算,得到物联网设备加密信息,写入安全数据库;并根据写入所述安全数据库的所述物联网设备加密信息生成公钥和私钥;
第三模块,用于根据安全机制的触发信号,生成目标设备密钥;根据所述公钥、所述私钥和所述目标设备密钥,确定目标设备认证信息;
第四模块,用于根据所述目标设备认证信息,从所述安全数据库获取目标物联网设备加密信息,通过所述目标物联网设备加密信息更新所述生产数据库的目标物联网设备信息,标记更新记录;
第五模块,用于根据所述目标设备密钥进行解密处理,得到目标设备连接信息;其中,所述目标设备连接信息包括目标设备的账户和密码;
第六模块,用于通过所述目标设备连接信息完成目标设备的认证连接。
本发明方法实施例的内容均适用于本装置实施例,本装置实施例所具体实现的功能与上述方法实施例相同,并且达到的有益效果与上述方法达到的有益效果也相同。
本发明实施例的另一方面还提供了一种电子设备,包括处理器以及存储器;
存储器用于存储程序;
处理器执行所述程序实现如前面的方法。
本发明方法实施例的内容均适用于本电子设备实施例,本电子设备实施例所具体实现的功能与上述方法实施例相同,并且达到的有益效果与上述方法达到的有益效果也相同。
本发明实施例的另一方面还提供了一种计算机可读存储介质,存储介质存储有程序,程序被处理器执行实现如前面的方法。
本发明方法实施例的内容均适用于本计算机可读存储介质实施例,本计算机可读存储介质实施例所具体实现的功能与上述方法实施例相同,并且达到的有益效果与上述方法达到的有益效果也相同。
本发明实施例还公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行前面的方法。
下面详细描述本发明的分布式物联网设备连接的实现原理:
为了对本发明的实现原理进行充分说明,首先对相关技术内容进行解释说明:
MQTT:MQTT(MessageQueuingTelemetryTransport,消息队列遥测传输)是IBM开发的一个即时通讯协议,有可能成为物联网的重要组成部分。该协议支持所有平台,几乎可以把所有联网物品和外部连接起来,被用来当做传感器和制动器(比如通过Twitter让房屋联网)的通信协议。
EMQX:Emqx(Erlang/Enterprise/ElasticMQTTBroker)是基于Erlang/OTP平台开发的开源物联网MQTT消息服务器。MQTT是轻量(Lightweight)、发布订阅模式(PubSub)的物联网消息协议。Emqx设计目标是实现高可靠,并支持承载海量物联网终端的MQTT连接,支持在海量物联网设备间低延时消息路由:稳定承载大规模的MQTT客户端连接,单服务器节点支持50万到100万连接;分布式节点集群,快速低延时的消息路由,单集群支持1000万规模的路由;消息服务器内扩展,支持定制多种认证方式、高效存储消息到后端数据库;完整物联网协议支持,MQTT、MQTT-SN、CoAP、LwM2M、WebSocket或私有协议支持。
针对现有技术存在的问题,本发明拟解决的问题是,基于EMQX架构的物联网设备安全方法,并且建立了独立的安全服务器和数据库,与生产数据分离,结合EMQX的结构实现了高安全性低成本的解决方案,解决的是分布式物联网设备至关重要的服务连接安全问题。参照图2,包括以下流程步骤:
第一步,启用EMQX服务器的认证插件,使用外部数据库(含LDAP、MySQL、PostgreSQL、Redis、MongoDB),此时使用现物联网设备APP的username和password以及新入库的物联网设备username和password,下称生产数据库。
第二步,将安全服务器部署在私有云,接入安全服务器必须经过网络防火墙或堡垒机,安全负载、接入网关的多级安全认证通道,安全服务器里面部署了安全认证服务,设备通过安全的SSL/TLS进行通讯。
第三步,在物联网设备入库时,生成一对安全的私钥和公钥,私钥保存在安全服务器,公钥烧录至设备。进行加密计算,用户名采用26个英文小写字母和26个英文大写字母,随机获取10位字母作为用户名,然后将用户名和时间戳拼接成一个字符串,并采用base64算法将这个字符串编码,生成出密码。得出新的安全的username和password保存在安全数据库,下称安全数据库,安全数据库不直接投入使用。
第四步,在设备连接EMQX服务器在一段时间内返回一定次数的“认证失败”或发生人工触发的安全机制时,设备生成一串密钥,通过公钥使用RSA算法将密钥信息加密并将设备sn码和加密后密钥进行AES算法生成签名,以防止数据内容被篡改,连接至安全认证服务器,安全认证服务器收到请求后,通过私钥将密钥解密出来并进行签名对比,认证出是设备发出信息,然后从安全数据库中取出对应设备的username和password,将安全数据库中对应设备的username和password更新到生产数据库,并且标记更新记录。然后重复第三步的加密计算,生成下一次的新的安全的username和password,保存在安全数据库。
第五步,在安全服务器通过SSL/TLS进行通讯,使用第四步中设备生成的密钥通过AES算法加密后传送给设备,设备收到后使用密钥解密得到的username和password,重新使用的username和password连接至EMQX服务器。
最后,物联网设备重新认证完成与EMQX服务器连接,实现安全连接。
为满足当前背景下的迫切需求,本发明的整体架构如图3所示:包含5个部分,物联网的设备侧、作为MQTT的服务端EMQX服务器、设备入库的源头、独立的安全服务器、独立的安全数据库共同完成,他们分别实现如下功能:
A.物联网设备,物联网设备中运行APP,APP保存有该设备的连接EMQX服务器的连接信息,通过连接EMQX服务器,完成设备APP与物联平台进行数据安全连接传输。
B.EMQX服务器,EMQX支持使用内置数据源(文件、内置数据库)、JWT、外部主流数据库和自定义HTTPAPI作为身份认证数据源。在此处我们使用外部主流数据库MySQL作为认证数据源。此数据源在为触发安全机制时来源有两部分,一部分是存量的物联网设备认证数据,另一部分是新增的从设备入库源入库的物联网设备认证数据。
C.设备入库源,物联网设备经过一定的开发规则,在产生组装完成之后,会将预设的设备APP烧录到设备中,设备APP中包含username和password在内的认证信息,此认证信息分别入库到B中的生产数据库和经过下文的安全服务器加密后进入安全数据库。
D.安全服务器,图4为安全服务器的架构图,安全服务器是一个独立的服务器,有三个作用,第一个作用是是在(C)设备入库时,通过加密算法,得出安全的认证数据,所述加密算法为用户名采用26个英文小写字母和26个英文大写字母,随机获取10位字母作为用户名,然后将用户名和时间戳拼接成一个字符串,并采用base64算法将这个字符串编码,生成出密码。第二个作用是是在人为手动或设备触发安全机制时,将安全数据库中指定的设备认证信息更新到生产数据库,并且通过SSL/TLS通信,将安全数据库中指定的设备认证信息下发到物联网设备,完成物联网设备的认证信息更新。第三个作用是在触发安全机制后,重复作用一,生成下一次的安全的认证数据。
E.安全数据库,用于储存安全服务器加密的物联网设备,在更新后且标记更新记录。
综上所述,本发明是一种基于EMQX架构的物联网设备安全方法,能适应多种场景下的物联网设备连接安全,并且建立了独立的安全服务器和数据库,与生产数据分离,结合EMQX的结构实现了高安全性低成本的解决方案,解决的是分布式物联网设备至关重要的服务连接安全问题。
在一些可选择的实施例中,在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如,取决于所涉及的功能/操作,连续示出的两个方框实际上可以被大体上同时地执行或所述方框有时能以相反顺序被执行。此外,在本发明的流程图中所呈现和描述的实施例以示例的方式被提供,目的在于提供对技术更全面的理解。所公开的方法不限于本文所呈现的操作和逻辑流程。可选择的实施例是可预期的,其中各种操作的顺序被改变以及其中被描述为较大操作的一部分的子操作被独立地执行。
此外,虽然在功能性模块的背景下描述了本发明,但应当理解的是,除非另有相反说明,所述的功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中,或者一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是,有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说,考虑到在本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下,在工程师的常规技术内将会了解该模块的实际实现。因此,本领域技术人员运用普通技术就能够在无需过度试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是,所公开的特定概念仅仅是说明性的,并不意在限制本发明的范围,本发明的范围由所附权利要求书及其等同方案的全部范围来决定。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
以上是对本发明的较佳实施进行了具体说明,但本发明并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (10)
1.一种分布式物联网设备连接方法,其特征在于,包括:
获取物联网设备信息,存入生产数据库;其中,所述物联网设备信息包括现有的物联网设备的账户和密码以及新入库的物联网设备的账户和密码;
对所述物联网设备信息进行加密计算,得到物联网设备加密信息,写入安全数据库;并根据写入所述安全数据库的所述物联网设备加密信息生成公钥和私钥;
根据安全机制的触发信号,生成目标设备密钥;根据所述公钥、所述私钥和所述目标设备密钥,确定目标设备认证信息;
根据所述目标设备认证信息,从所述安全数据库获取目标物联网设备加密信息,通过所述目标物联网设备加密信息更新所述生产数据库的目标物联网设备信息,标记更新记录;
根据所述目标设备密钥进行解密处理,得到目标设备连接信息;其中,所述目标设备连接信息包括目标设备的账户和密码;
通过所述目标设备连接信息完成目标设备的认证连接。
2.根据权利要求1所述的一种分布式物联网设备连接方法,其特征在于,还包括:
对所述生产数据库更新后的目标物联网设备信息进行加密计算,得到第二目标物联网设备加密信息,写入安全数据库。
3.根据权利要求1所述的一种分布式物联网设备连接方法,其特征在于,还包括:
搭建EMQX服务器,并启用所述EMQX服务器的认证插件;其中,所述物联网设备信息通过所述认证插件获取,所述生产数据库基于所述EMQX服务器建立。
4.根据权利要求1所述的一种分布式物联网设备连接方法,其特征在于,还包括:
通过私有云部署安全服务器;其中,所述安全数据库基于所述安全服务器建立。
5.根据权利要求1所述的一种分布式物联网设备连接方法,其特征在于,所述对所述物联网设备信息进行加密计算,得到物联网设备加密信息,写入安全数据库,包括:
随机生成预设长度的账户;
将所述账户和时间戳拼接成字符串;
通过第一算法对所述字符串进行编码,生成密码;
根据所述账户和所述密码,得到物联网设备加密信息,写入安全数据库。
6.根据权利要求1所述的一种分布式物联网设备连接方法,其特征在于,所述根据所述公钥、所述私钥和所述目标设备密钥,确定目标设备认证信息,包括:
通过所述公钥对所述目标设备密钥进行加密处理,生成签名;
通过所述私钥对所述目标设备密钥进行解密,并与所述签名进行比对,确定目标设备认证信息。
7.根据权利要求6所述的一种分布式物联网设备连接方法,其特征在于,所述通过所述公钥对所述目标设备密钥进行加密处理,生成签名,包括:
获取目标设备sn码;
通过所述公钥使用第二算法对所述目标设备密钥进行加密,并通过第三算法根据所述sn码和加密后的目标设备密钥生成签名。
8.一种分布式物联网设备连接装置,其特征在于,包括:
第一模块,用于获取物联网设备信息,存入生产数据库;其中,所述物联网设备信息包括现有的物联网设备的账户和密码以及新入库的物联网设备的账户和密码;
第二模块,用于对所述物联网设备信息进行加密计算,得到物联网设备加密信息,写入安全数据库;并根据写入所述安全数据库的所述物联网设备加密信息生成公钥和私钥;
第三模块,用于根据安全机制的触发信号,生成目标设备密钥;根据所述公钥、所述私钥和所述目标设备密钥,确定目标设备认证信息;
第四模块,用于根据所述目标设备认证信息,从所述安全数据库获取目标物联网设备加密信息,通过所述目标物联网设备加密信息更新所述生产数据库的目标物联网设备信息,标记更新记录;
第五模块,用于根据所述目标设备密钥进行解密处理,得到目标设备连接信息;其中,所述目标设备连接信息包括目标设备的账户和密码;
第六模块,用于通过所述目标设备连接信息完成目标设备的认证连接。
9.一种电子设备,其特征在于,包括处理器以及存储器;
所述存储器用于存储程序;
所述处理器执行所述程序实现如权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有程序,所述程序被处理器执行实现如权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210757746.1A CN115277101A (zh) | 2022-06-30 | 2022-06-30 | 一种分布式物联网设备连接方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210757746.1A CN115277101A (zh) | 2022-06-30 | 2022-06-30 | 一种分布式物联网设备连接方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115277101A true CN115277101A (zh) | 2022-11-01 |
Family
ID=83763573
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210757746.1A Pending CN115277101A (zh) | 2022-06-30 | 2022-06-30 | 一种分布式物联网设备连接方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115277101A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130219166A1 (en) * | 2012-02-20 | 2013-08-22 | Motorola Mobility, Inc. | Hardware based identity manager |
| CN104580233A (zh) * | 2015-01-16 | 2015-04-29 | 重庆邮电大学 | 一种物联网智能家居安全网关系统 |
| CN108833101A (zh) * | 2018-09-28 | 2018-11-16 | 腾讯科技(深圳)有限公司 | 物联网设备的数据传输方法、物联网设备及认证平台 |
| US20190305963A1 (en) * | 2016-07-13 | 2019-10-03 | Lux Trust S.A. | Method for Providing Secure Digital Signatures |
| US20200151335A1 (en) * | 2018-11-12 | 2020-05-14 | Thirdwayv, Inc | Secure over-the-air firmware upgrade |
| CN112039918A (zh) * | 2020-09-10 | 2020-12-04 | 四川长虹电器股份有限公司 | 一种基于标识密码算法的物联网可信认证方法 |
| US20210019692A1 (en) * | 2016-11-29 | 2021-01-21 | China Unionpay Co., Ltd. | Standardisation method and apparatus for erroneous transactions |
| US20210218566A1 (en) * | 2020-01-09 | 2021-07-15 | Western Digital Technologies, Inc. | Recovery key for unlocking a data storage device |
| CN114449024A (zh) * | 2022-04-11 | 2022-05-06 | 广东新邦智联科技有限公司 | 基于物联网的电力设备控制方法、装置、设备和存储介质 |
-
2022
- 2022-06-30 CN CN202210757746.1A patent/CN115277101A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130219166A1 (en) * | 2012-02-20 | 2013-08-22 | Motorola Mobility, Inc. | Hardware based identity manager |
| CN104580233A (zh) * | 2015-01-16 | 2015-04-29 | 重庆邮电大学 | 一种物联网智能家居安全网关系统 |
| US20190305963A1 (en) * | 2016-07-13 | 2019-10-03 | Lux Trust S.A. | Method for Providing Secure Digital Signatures |
| US20210019692A1 (en) * | 2016-11-29 | 2021-01-21 | China Unionpay Co., Ltd. | Standardisation method and apparatus for erroneous transactions |
| CN108833101A (zh) * | 2018-09-28 | 2018-11-16 | 腾讯科技(深圳)有限公司 | 物联网设备的数据传输方法、物联网设备及认证平台 |
| US20200151335A1 (en) * | 2018-11-12 | 2020-05-14 | Thirdwayv, Inc | Secure over-the-air firmware upgrade |
| US20210218566A1 (en) * | 2020-01-09 | 2021-07-15 | Western Digital Technologies, Inc. | Recovery key for unlocking a data storage device |
| CN112039918A (zh) * | 2020-09-10 | 2020-12-04 | 四川长虹电器股份有限公司 | 一种基于标识密码算法的物联网可信认证方法 |
| CN114449024A (zh) * | 2022-04-11 | 2022-05-06 | 广东新邦智联科技有限公司 | 基于物联网的电力设备控制方法、装置、设备和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 谷正川、郭渊博、方晨: "基于代理重加密的消息队列遥测传输协议端到端安全解决方案", 计算机应用, vol. 41, no. 5, 10 May 2021 (2021-05-10) * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109889589B (zh) | 一种基于区块链实现嵌入式硬件ota升级系统及方法 | |
| Do et al. | A data exfiltration and remote exploitation attack on consumer 3D printers | |
| US8086842B2 (en) | Peer-to-peer contact exchange | |
| US20080005558A1 (en) | Methods and apparatuses for authentication and validation of computer-processable communications | |
| CN105873031B (zh) | 基于可信平台的分布式无人机密钥协商方法 | |
| CN103179134A (zh) | 基于Cookie的单点登录方法、系统及其应用服务器 | |
| CN112235266B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN101013939A (zh) | 密码通信方法及系统 | |
| CN112989426B (zh) | 授权认证方法及装置、资源访问令牌的获取方法 | |
| JP2022534023A (ja) | コンピュータで実施されるシステムおよび方法 | |
| US10708326B2 (en) | Secure media casting bypassing mobile devices | |
| US11882117B1 (en) | System and method for device label scan based zero touch device onboarding and device directory service | |
| Kang et al. | Analysis and Improvement on an Authentication Protocol for IoT‐Enabled Devices in Distributed Cloud Computing Environment | |
| CN107070998B (zh) | 一种安全的物联网通讯协议及方法 | |
| CN103716280A (zh) | 数据传输方法、服务器及系统 | |
| CN108846671B (zh) | 基于区块链的在线安全交易方法和系统 | |
| Dhiman et al. | Blockchain Merkle-Tree Ethereum Approach in Enterprise Multitenant Cloud Environment. | |
| KR102298716B1 (ko) | 통신 노드, 이의 동작 방법 및 협업 시스템 | |
| CN112073963A (zh) | 通信交互数据传输方法及装置 | |
| CN115277101A (zh) | 一种分布式物联网设备连接方法、装置及存储介质 | |
| US11658955B1 (en) | Methods, mediums, and systems for verifying devices in an encrypted messaging system | |
| US20220400000A1 (en) | Methods, mediums, and systems for verifying devices in an encrypted messaging system | |
| Şeker et al. | MARAS: Mutual authentication and role-based authorization scheme for lightweight Internet of Things applications | |
| US11818123B1 (en) | Optimized access control system | |
| CN115426392B (zh) | 一种设备网络管理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |