CN116346505A - 物联网数据安全通信方法、系统及计算机可读存储介质 - Google Patents
物联网数据安全通信方法、系统及计算机可读存储介质 Download PDFInfo
- Publication number
- CN116346505A CN116346505A CN202310621002.1A CN202310621002A CN116346505A CN 116346505 A CN116346505 A CN 116346505A CN 202310621002 A CN202310621002 A CN 202310621002A CN 116346505 A CN116346505 A CN 116346505A
- Authority
- CN
- China
- Prior art keywords
- zero
- trust
- zero trust
- information
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006854 communication Effects 0.000 title claims abstract description 108
- 238000004891 communication Methods 0.000 title claims abstract description 103
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000013475 authorization Methods 0.000 claims abstract description 71
- 238000012795 verification Methods 0.000 claims abstract description 50
- 238000005538 encapsulation Methods 0.000 claims abstract description 5
- YSMRWXYRXBRSND-UHFFFAOYSA-N TOTP Chemical compound CC1=CC=CC=C1OP(=O)(OC=1C(=CC=CC=1)C)OC1=CC=CC=C1C YSMRWXYRXBRSND-UHFFFAOYSA-N 0.000 claims description 15
- 238000005516 engineering process Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 6
- 238000004806 packaging method and process Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 206010063385 Intellectualisation Diseases 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及物联网数据安全通信方法、系统及计算机可读存储介质,包括:零信任客户端的零信任认证SDK向零信任控制器发起授权认证,生成授权信息并反馈至零信任认证SDK和零信任安全隐身通信服务器;零信任客户端的零信任发送器根据授权信息与零信任安全隐身通信服务器建立安全通信;零信任客户端收集传感器数据进行校验和封装;零信任发送器对封装后的数据添加安全校验信息;零信任安全隐身通信服务器对安全校验信息进行鉴权校验,校验通过后去除安全校验信息并转发至可授权业务应用服务器。本发明整个连接、通信过程,零信任控制器、零信任安全隐身通信服务器、业务应用服务器的端口均不对外暴露,可防扫描端口、DDOS、重放等攻击。
Description
技术领域
本发明属于物联网通信安全技术领域,具体涉及一种物联网数据安全通信方法、系统及计算机可读存储介质。
背景技术
随着物联网快速发展,接入网络中的后端应用设备数量激增,对后端应用设备的安全认证与授权提出了更高的要求。传统的网络安全架构无法满足新的网络安全需求,后端应用设备与传感器之间存在较大的通信安全隐患。
发明内容
基于现有技术中存在的上述缺点,本发明的目的是提供一种物联网数据安全通信方法、系统及计算机可读存储介质。
为了达到上述发明目的,本发明采用以下技术方案:
一种物联网数据安全通信方法,包括以下步骤:
S1、零信任客户端的零信任认证SDK向零信任控制器发起授权认证;认证通过后,零信任控制器根据零信任客户端的硬件信息和零信任认证SDK配置的账号信息计算可授权业务应用服务器信息,以生成授权信息并反馈至零信任认证SDK以及同步至零信任安全隐身通信服务器;其中,授权信息包括授权码和可授权业务应用服务器信息;
S2、零信任客户端的零信任发送器获取授权信息,并根据授权信息与零信任安全隐身通信服务器建立安全通信;
S3、零信任客户端收集传感器数据并进行数据格式校验,数据格式校验通过后进行数据协议封装;零信任发送器对封装后的数据添加安全校验信息,并发送至零信任安全隐身通信服务器;零信任安全隐身通信服务器对安全校验信息进行鉴权校验,鉴权校验通过后去除安全校验信息并转发至可授权业务应用服务器。
作为优选方案,所述步骤S1中,授权认证过程采用多道防伪防篡改技术,以使零信任控制器所接收的信息均为零信任认证SDK真实发出。
作为优选方案,所述步骤S1,包括以下步骤:
S11、零信任控制器上线,默认拦截网卡所有报文,并使用零拷贝技术持续捕获网卡的UDP协议的报文;
S12、零信任认证SDK获取零信任客户端的硬件信息,并将其与配置的账号信息填入第一SPA报文正文;
S13、零信任认证SDK根据指定的端口选择模式生成端口信息,并标记当前时间戳,根据时间及硬件信息通过TOTP共识算法生成防伪码,防伪码填入第一SPA报文正文;
S14、零信任认证SDK加密第一SPA报文正文,并根据加密后正文计算HMAC,将HMAC值存入报头,并将端口信息混淆后混入第一SPA报文;通过UDP协议将第一SPA报文发送至零信任控制器的IP端口;
S15、零信任控制器捕获到第一SPA报文,校验捕获的端口是否为第一SPA报文中携带的端口;若是,则转至步骤S16;若否,则丢弃报文;
S16、零信任控制器计算正文的HMAC,并校验是否与报头所携带的HMAC值一致;若是,则转至步骤S17;若否,则丢弃报文;
S17、零信任控制器解密正文,计算TOTP值,以验证数据是否过期;若是,则丢弃报文;若否,则转至步骤S18;
S18、零信任控制器获取硬件信息和账号信息,计算客户端对应的可授权业务应用服务器信息;若有可授权业务应用服务器,则定向开放第一SPA报文对应的零信任客户端IP连接零信任控制器的加密通道;
S19、零信任认证SDK连接上零信任控制器的加密通道,零信任控制器发送授权码和可授权业务应用服务器信息构成的授权信息至零信任认证SDK,并同步授权信息至零信任安全隐身通信服务器。
作为优选方案,所述步骤S13中,端口选择模式包括随机端口模式、固定端口模式和固定区间随机端口模式,随机端口模式为任意生成一个随机端口,固定端口模式为使用固定端口,固定区间随机端口模式为在指定区间内随机生成一个端口。
作为优选方案,所述步骤S16中,还判断HMAC是否与历史报文的HMAC重复;若是,则转至步骤S17;若否,则丢弃报文。
作为优选方案,所述步骤S2中,零信任发送器根据零信任认证SDK发送的通知零信任发送器建立安全通信的信息,以获取授权信息。
作为优选方案,所述步骤S2,包括以下步骤:
S21、零信任发送器获取零信任客户端的硬件信息,并根据授权信息组装第二SPA报文正文;
S22、零信任发送器标记当前时间戳,根据时间及硬件信息通过TOTP共识算法生成防伪码,防伪码填入第二SPA报文正文;
S23、零信任发送器加密第二SPA报文正文并向授权信息中所被授权的业务应用服务器对应的零信任安全隐身通信服务器的目标IP端口发送第二SPA报文;
S24、零信任安全隐身通信服务器捕获到第二SPA报文,校验捕获的端口是否为目标IP端口;若是,则转至步骤S25;若否,则丢弃报文;
S25、零信任安全隐身通信服务器解密正文,计算TOTP值,验证数据是否过期;若是,则丢弃报文;若否,则转至步骤S26;
S26、零信任安全隐身通信服务器获取硬件信息和授权信息,验证授权是否真实;若是,则转至步骤S27;若否,则丢弃报文;
S27、定向开放第二SPA报文对应的零信任客户端IP连接零信任安全隐身通信服务器的加密通道。
作为优选方案,所述加密通道采用国密加密通道。
本发明还提供一种物联网数据安全通信系统,应用如上任一项方案所述的物联网数据安全通信方法,所述物联网数据安全通信系统包括零信任客户端和零信任服务端;
零信任客户端设有零信任认证SDK、零信任发送器和数据处理模块;数据处理模块用于收集传感器数据并进行数据格式校验,数据格式校验通过后进行数据协议封装;
零信任服务端,包括零信任控制器、零信任安全隐身通信服务器和若干业务应用服务器。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当指令在计算机上运行时,使得计算机执行如上任一项方案所述的物联网数据安全通信方法。
本发明与现有技术相比,有益效果是:
(1)本发明整个连接、通信过程,零信任控制器、零信任安全隐身通信服务器、业务应用服务器的端口均不对外暴露;其中,零信任安全隐身通信服务器作为后端的业务应用服务器的反向代理使用,使业务应用服务器不会暴露在公网上,可防扫描端口、DDOS、重放等攻击;
(2)本发明的整个授权过程,采用多道防伪防篡改技术,确保信息接收的真实性;
(3)本发明的传感器数据流的传输经过持续鉴权,可识别异常流量并立即中止通信。
附图说明
图1是本发明实施例1的物联网数据安全通信的构架图;
图2是本发明实施例1的零信任认证SDK与零信任控制器的通信时序图;
图3是本发明实施例1的零信任认证SDK的授权流程图;
图4是本发明实施例1的零信任控制器的授权流程图;
图5是本发明实施例1的零信任发送器与零信任安全隐身通信服务器的通信时序图;
图6是本发明实施例1的零信任发送器的工作流程图;
图7是本发明实施例1的零信任发送器零信任安全隐身通信服务器的工作流程图。
具体实施方式
为了更清楚地说明本发明实施例,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
实施例1:
如图1所示,本实施例的物联网数据安全通信方法,包括以下步骤:
一、零信任客户端的零信任认证SDK向零信任控制器发起授权认证;认证通过后,零信任控制器根据零信任客户端的硬件信息和零信任认证SDK配置的账号信息计算可授权业务应用服务器信息,以生成授权信息并反馈至零信任认证SDK以及同步至零信任安全隐身通信服务器;其中,授权信息包括授权码和可授权业务应用服务器信息。
具体地,零信任认证SDK为零信任客户端提供零信任的授权认证功能。不同于传统的连接再认证的通信方式,零信任的登录方式为先授权认证、再连接通信。零信任认证SDK成功授权后连接零信任控制器获取被授权业务应用的零信任安全隐身通信服务。
如图2所示,零信任控制器向零信任认证SDK提供认证授权服务。零信任认证SDK生成SPA报文并发送至零信任控制器,以进行SPA认证;零信任控制器默认拒绝所有端口连接,并持续使用零拷贝技术抓包,抓到报文后进行安全性校验并根据策略获取其授权信息。定向开放端口供授权后的零信任认证SDK连接,15s后自动关闭。零信任认证SDK通过国密加密通道连接零信任控制器,零信任控制器将授权信息回复给零信任认证SDK。
在整个授权的过程中,采用了多道防伪防篡改防重放的手段,确保零信任控制器所收到的信息均为零信任认证SDK真实发出。如图3和图4所示,具体的认证授权的整体逻辑如下:
1、零信任控制器上线,默认拦截网卡所有报文,并使用零拷贝技术持续捕获网卡的UDP协议的报文;
2、零信任认证SDK开始SPA认证,收集零信任客户端的硬件信息,并将其与配置的账号信息填入第一SPA报文正文;
3、零信任认证SDK根据指定的端口选择模式生成端口信息,并标记当前时间戳,根据时间及硬件信息通过TOTP共识算法生成防伪码,防伪码填入第一SPA报文正文;
具体地,端口选择模式包括随机端口模式、固定端口模式和固定区间随机端口模式,随机端口模式为任意生成一个随机端口,固定端口模式为使用固定端口,固定区间随机端口模式为在指定区间内随机生成一个端口。
4、零信任认证SDK加密第一SPA报文正文,并根据加密后正文计算HMAC,将HMAC值存入报头,并将端口信息混淆后混入第一SPA报文;通过UDP协议将第一SPA报文发送至零信任控制器的IP端口;其中,每2s尝试连接零信任控制器的加密通道一次,直到连接成功或超时;连接成功后便于获取授权信息。
以上为零信任认证SDK的授权流程,以下详细说明零信任控制器的授权流程。
5、零信任控制器捕获到第一SPA报文,进行端口校验,即校验捕获的端口是否为第一SPA报文中携带的端口;若是(即符合),则转至下一步骤;若否(即不符合),则丢弃报文;
6、零信任控制器计算正文的HMAC,进行HMAC校验,即校验是否与报头所携带的HMAC值一致;若是,则转至下一步骤;若否,则丢弃报文;
7、零信任控制器解密正文,计算TOTP值,以验证数据是否过期;若是,则丢弃报文;若否,则转至下一步骤;
8、零信任控制器获取硬件信息和账号信息,计算客户端对应的可授权业务应用服务器信息;若有可授权业务应用服务器,则定向开放第一SPA报文对应的零信任客户端IP连接零信任控制器的加密通道;
9、等待零信任认证SDK连接上零信任控制器的加密通道(15s连接),零信任控制器发送授权码和可授权业务应用服务器信息构成的授权信息至零信任认证SDK,并同步授权信息至零信任安全隐身通信服务器。
二、零信任客户端的零信任发送器获取授权信息,并根据授权信息与零信任安全隐身通信服务器建立安全通信。其中,零信任发送器根据零信任认证SDK发送的通知零信任发送器建立安全通信的信息,以获取授权信息。
零信任安全隐身通信服务器作为后端的业务应用服务器的反向代理使用,支持充当软负载的功能;其默认拒绝所有端口连接,持续使用零拷贝技术抓包,抓到报文后进行安全性校验并验证其授权信息是否合法。定向开放端口供验证后的零信任发送器连接,15s后自动关闭。零信任发送器连接上国密加密通道后,零信任安全隐身通信服务器将保持与零信任发送器的会话连接,通信传输数据,对数据进行鉴权后发往真实的业务应用服务器。通过上述功能,可以使业务应用服务器完全不会暴露在公网上,从而实现防扫描、防DDOS的隐身功能。
在零信任发送器与零信任安全隐身通信服务器的通信过程中,同样采用了多道防伪防篡改的手段,并持续鉴权以保证所连接的客户端的安全性,及时断开非法连接。如图5至图7所示,零信任发送器与零信任安全隐身通信服务器的交互流程如下:
1、零信任发送器获取授权信息,并零信任客户端的硬件信息,并根据授权信息组装第二SPA报文正文(即授权信息写入正文);
2、零信任发送器标记当前时间戳,根据时间及硬件信息通过TOTP共识算法生成防伪码,防伪码填入第二SPA报文正文;
3、零信任发送器加密第二SPA报文正文并向授权信息中所被授权的业务应用服务器对应的零信任安全隐身通信服务器的目标IP端口发送第二SPA报文;其中,每隔2秒尝试连接零信任安全隐身通信服务器的国密加密通道;待连接成功后进行转发数据通信;若连接未成功,则返回当前时间戳标记。
以上为零信任发送器的工作流程,以下详细说明零信任安全隐身通信服务器的工作流程:
4、零信任安全隐身通信服务器隐身监听,捕获到第二SPA报文,校验捕获的端口是否为目标IP端口;若是,则转至下一步骤;若否,则丢弃报文;
5、零信任安全隐身通信服务器解密正文,计算TOTP值,验证数据是否过期;若是,则丢弃报文;若否,则转至下一步骤;
6、零信任安全隐身通信服务器获取硬件信息和授权信息,验证授权是否真实;若是,则转至下一步骤;若否,则丢弃报文;
7、定向开放第二SPA报文对应的零信任客户端IP连接零信任安全隐身通信服务器的加密通道;
8、等待连接,是否在15s内连接成功;若是,则进行后续的接收通信数据;若否,则丢弃报文。
三、零信任客户端收集传感器数据并进行数据格式校验,格式校验不通过则将异常回执回复给传感器,格式校验通过后进行数据协议封装,具体的协议封装可以参考现有技术,在此不赘述;零信任发送器对封装后的数据添加安全校验信息,并发送至零信任安全隐身通信服务器;
零信任安全隐身通信服务器对安全校验信息进行鉴权校验,鉴权校验通过后去除安全校验信息并转发通信数据至被授权的业务应用服务器。
本实施例的零信任控制器和零信任安全隐身通信服务器,均在连接前通过SPA报文认证其身份信息。在SPA报文和数据通信中,采用了多道防伪防篡改技术,具体说明如下:
(1)端口验证:由于本实施例的零信任控制器与零信任安全隐身通信服务器并不会真实监听固定的UDP端口,所以无论发往哪个端口,均能被服务端捕获到。即只要网络可以到达,便可以发往任意端口。所以随机端口后,将端口信息混淆后混在报文中,收到后按约定规则取出对比,即可进行第一层验证,由此可以剔除大量异常报文和扫描端口报文。此验证发生在所有验证计算前,保证安全的同时,大大减少了不必要的计算,大大提高了服务端工作性能。
(2)HMAC验证:HMAC作为防篡改的通用技术,可以很好的识别出加密后的报文是否被修改过。验证后再解密可以很大程度上保证报文可解密,保证安全性的同时,大大提高了服务端的工作性能。
(3)TOTP验证:TOTP为客户端与服务端的共识算法,通过共识算法可以实现同样的时间戳生成的数据值是相同的。在SPA报文中添加了TOTP可以判断报文的实际组装时间发生在何时,是否过期。可以识别流量重放攻击,防止攻击者截获报文进行重放,非法连接,可以极大提高系统安全性。
(4)持续鉴权:即在零信任发送器与零信任安全隐身通信服务器的通信过程中持续进行权限校验,及时断开越权或非法访问。在发送器发送数据时,会将硬件系统环境与授权信息一同上报,零信任安全隐身通信服务器获取后持续进行权限判断,关闭异常的连接。
本实施例的国密加密通道实现采用TLS 安全通信通道,TLS安全通信通道的本质是利用非对称加密协商生成的对称加密密钥,用其对后续通信内容进行安全加密,其主要流程如下:
(1)ClientHello:客户端发送一个生成的随机数,协议版本与支持的算法。指定国密算法,例如非对称加密算法SM2、摘要签名算法SM3、对称加密算法SM4等;
(2)ServerHello:服务端收到ClientHello后,也发送一个随机数,协议版本,与确定好的加密算法,在此强制指定国密算法。若客户端不支持则断开连接;
(3)证书验证:由于本实施例的国密加密通道强制需要双向认证,客户端与服务端均向对方发送证书,并使用上述约定的签名算法SM3进行验证;
(4)密钥交换:客户端使用上述约定的非对称加密算法SM2对第三个随机数进行加密,并使用签名算法SM3签名并发送给服务端。服务端验证签名确保未篡改并解密后,获取第三个随机数。
(5)客户端与服务端使用上述通信过程中生成的三个随机数,生成对称加密的密码。由于生成方式一致,此时密钥应为一致。
(6)密钥协商完毕,后续使用约定的对称加密算法SM4进行加密通信。
上述国密加密通道的具体加密流程可以参考现有技术,在此不赘述。
基于上述物联网数据安全通信方法,如图1所示,本实施例还提供物联网数据安全通信系统,包括零信任客户端和零信任服务端。
零信任客户端设有零信任认证SDK、零信任发送器和数据处理模块;数据处理模块包括数据收集模块和数据封装模块,数据收集模块用于收集传感器数据并进行数据格式校验,数据格式校验通过后,数据封装模块进行数据协议封装;
零信任服务端,包括零信任控制器、零信任安全隐身通信服务器和若干业务应用服务器。
上述各功能器件以及功能模块的具体工作流程可以参考上述物联网数据安全通信方法中的详细描述,在此不赘述。
本实施例的计算机可读存储介质,计算机可读存储介质中存储有指令,当指令在计算机上运行时,使得计算机执行上述物联网数据安全通信方法,实现智能化。
实施例2:
本实施例的物联网数据安全通信方法与实施例1的不同之处在于:
在具体的认证授权的整体逻辑中,在零信任控制器计算正文的HMAC之后,还判断HMAC是否与历史报文的HMAC重复;若是,则转至零信任控制器解密正文;若否,则丢弃报文;
其他流程可以参考实施例1。
相应地,物联网数据安全通信系统的相应功能器件的工作流程作出相应的调整;
本实施例的计算机可读存储介质,计算机可读存储介质中存储有指令,当指令在计算机上运行时,使得计算机执行上述物联网数据安全通信方法,实现智能化,满足不同应用的需求。
以上所述仅是对本发明的优选实施例及原理进行了详细说明,对本领域的普通技术人员而言,依据本发明提供的思想,在具体实施方式上会有改变之处,而这些改变也应视为本发明的保护范围。
Claims (10)
1.一种物联网数据安全通信方法,其特征在于,包括以下步骤:
S1、零信任客户端的零信任认证SDK向零信任控制器发起授权认证;认证通过后,零信任控制器根据零信任客户端的硬件信息和零信任认证SDK配置的账号信息计算可授权业务应用服务器信息,以生成授权信息并反馈至零信任认证SDK以及同步至零信任安全隐身通信服务器;其中,授权信息包括授权码和可授权业务应用服务器信息;
S2、零信任客户端的零信任发送器获取授权信息,并根据授权信息与零信任安全隐身通信服务器建立安全通信;
S3、零信任客户端收集传感器数据并进行数据格式校验,数据格式校验通过后进行数据协议封装;零信任发送器对封装后的数据添加安全校验信息,并发送至零信任安全隐身通信服务器;零信任安全隐身通信服务器对安全校验信息进行鉴权校验,鉴权校验通过后去除安全校验信息并转发至可授权业务应用服务器。
2.根据权利要求1所述的物联网数据安全通信方法,其特征在于,所述步骤S1中,授权认证过程采用多道防伪防篡改技术,以使零信任控制器所接收的信息均为零信任认证SDK真实发出。
3.根据权利要求2所述的物联网数据安全通信方法,其特征在于,所述步骤S1,包括以下步骤:
S11、零信任控制器上线,默认拦截网卡所有报文,并使用零拷贝技术持续捕获网卡的UDP协议的报文;
S12、零信任认证SDK获取零信任客户端的硬件信息,并将其与配置的账号信息填入第一SPA报文正文;
S13、零信任认证SDK根据指定的端口选择模式生成端口信息,并标记当前时间戳,根据时间及硬件信息通过TOTP共识算法生成防伪码,防伪码填入第一SPA报文正文;
S14、零信任认证SDK加密第一SPA报文正文,并根据加密后正文计算HMAC,将HMAC值存入报头,并将端口信息混淆后混入第一SPA报文;通过UDP协议将第一SPA报文发送至零信任控制器的IP端口;
S15、零信任控制器捕获到第一SPA报文,校验捕获的端口是否为第一SPA报文中携带的端口;若是,则转至步骤S16;若否,则丢弃报文;
S16、零信任控制器计算正文的HMAC,并校验是否与报头所携带的HMAC值一致;若是,则转至步骤S17;若否,则丢弃报文;
S17、零信任控制器解密正文,计算TOTP值,以验证数据是否过期;若是,则丢弃报文;若否,则转至步骤S18;
S18、零信任控制器获取硬件信息和账号信息,计算客户端对应的可授权业务应用服务器信息;若有可授权业务应用服务器,则定向开放第一SPA报文对应的零信任客户端IP连接零信任控制器的加密通道;
S19、零信任认证SDK连接上零信任控制器的加密通道,零信任控制器发送授权码和可授权业务应用服务器信息构成的授权信息至零信任认证SDK,并同步授权信息至零信任安全隐身通信服务器。
4.根据权利要求3所述的物联网数据安全通信方法,其特征在于,所述步骤S13中,端口选择模式包括随机端口模式、固定端口模式和固定区间随机端口模式,随机端口模式为任意生成一个随机端口,固定端口模式为使用固定端口,固定区间随机端口模式为在指定区间内随机生成一个端口。
5.根据权利要求3所述的物联网数据安全通信方法,其特征在于,所述步骤S16中,还判断HMAC是否与历史报文的HMAC重复;若是,则转至步骤S17;若否,则丢弃报文。
6.根据权利要求3所述的物联网数据安全通信方法,其特征在于,所述步骤S2中,零信任发送器根据零信任认证SDK发送的通知零信任发送器建立安全通信的信息,以获取授权信息。
7.根据权利要求3所述的物联网数据安全通信方法,其特征在于,所述步骤S2,包括以下步骤:
S21、零信任发送器获取零信任客户端的硬件信息,并根据授权信息组装第二SPA报文正文;
S22、零信任发送器标记当前时间戳,根据时间及硬件信息通过TOTP共识算法生成防伪码,防伪码填入第二SPA报文正文;
S23、零信任发送器加密第二SPA报文正文并向授权信息中所被授权的业务应用服务器对应的零信任安全隐身通信服务器的目标IP端口发送第二SPA报文;
S24、零信任安全隐身通信服务器捕获到第二SPA报文,校验捕获的端口是否为目标IP端口;若是,则转至步骤S25;若否,则丢弃报文;
S25、零信任安全隐身通信服务器解密正文,计算TOTP值,验证数据是否过期;若是,则丢弃报文;若否,则转至步骤S26;
S26、零信任安全隐身通信服务器获取硬件信息和授权信息,验证授权是否真实;若是,则转至步骤S27;若否,则丢弃报文;
S27、定向开放第二SPA报文对应的零信任客户端IP连接零信任安全隐身通信服务器的加密通道。
8.根据权利要求3或7所述的物联网数据安全通信方法,其特征在于,所述加密通道采用国密加密通道。
9.一种物联网数据安全通信系统,应用如权利要求1-8任一项所述的物联网数据安全通信方法,其特征在于,所述物联网数据安全通信系统包括零信任客户端和零信任服务端;
零信任客户端设有零信任认证SDK、零信任发送器和数据处理模块;数据处理模块用于收集传感器数据并进行数据格式校验,数据格式校验通过后进行数据协议封装;
零信任服务端,包括零信任控制器、零信任安全隐身通信服务器和若干业务应用服务器。
10.一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当指令在计算机上运行时,使得计算机执行如权利要求1-8任一项所述的物联网数据安全通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310621002.1A CN116346505B (zh) | 2023-05-30 | 2023-05-30 | 物联网数据安全通信方法、系统及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310621002.1A CN116346505B (zh) | 2023-05-30 | 2023-05-30 | 物联网数据安全通信方法、系统及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116346505A true CN116346505A (zh) | 2023-06-27 |
| CN116346505B CN116346505B (zh) | 2023-07-21 |
Family
ID=86893407
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310621002.1A Active CN116346505B (zh) | 2023-05-30 | 2023-05-30 | 物联网数据安全通信方法、系统及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116346505B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553568A (zh) * | 2022-02-25 | 2022-05-27 | 重庆邮电大学 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| CN114661485A (zh) * | 2020-12-23 | 2022-06-24 | 息象(北京)科技发展有限公司 | 基于零信任架构的应用程序接口访问控制的系统及方法 |
| WO2022262078A1 (zh) * | 2021-06-15 | 2022-12-22 | 腾讯云计算(北京)有限责任公司 | 基于零信任安全的访问控制方法、设备及存储介质 |
| CN115567310A (zh) * | 2022-10-12 | 2023-01-03 | 江苏易安联网络技术有限公司 | 零信任模式下基于网络隐身的客户端安全分发方法 |
| CN116032533A (zh) * | 2022-11-29 | 2023-04-28 | 兴业银行股份有限公司 | 基于零信任的远程办公访问方法及系统 |
-
2023
- 2023-05-30 CN CN202310621002.1A patent/CN116346505B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114661485A (zh) * | 2020-12-23 | 2022-06-24 | 息象(北京)科技发展有限公司 | 基于零信任架构的应用程序接口访问控制的系统及方法 |
| WO2022262078A1 (zh) * | 2021-06-15 | 2022-12-22 | 腾讯云计算(北京)有限责任公司 | 基于零信任安全的访问控制方法、设备及存储介质 |
| CN114553568A (zh) * | 2022-02-25 | 2022-05-27 | 重庆邮电大学 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| CN115567310A (zh) * | 2022-10-12 | 2023-01-03 | 江苏易安联网络技术有限公司 | 零信任模式下基于网络隐身的客户端安全分发方法 |
| CN116032533A (zh) * | 2022-11-29 | 2023-04-28 | 兴业银行股份有限公司 | 基于零信任的远程办公访问方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116346505B (zh) | 2023-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7584505B2 (en) | Inspected secure communication protocol | |
| US7769997B2 (en) | System, method and computer program product for guaranteeing electronic transactions | |
| US6874089B2 (en) | System, method and computer program product for guaranteeing electronic transactions | |
| US20160072787A1 (en) | Method for creating secure subnetworks on a general purpose network | |
| CN111740844A (zh) | 基于硬件的国密算法的ssl通信方法及装置 | |
| US20060190723A1 (en) | Payload layer security for file transfer | |
| US7930542B2 (en) | MashSSL: a novel multi party authentication and key exchange mechanism based on SSL | |
| US20020073322A1 (en) | Countermeasure against denial-of-service attack on authentication protocols using public key encryption | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| KR20080089500A (ko) | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 | |
| WO2018226154A1 (en) | Secure and encrypted heartbeat protocol | |
| CN101729871B (zh) | 一种sip视频监控系统安全跨域访问方法 | |
| CN113904809A (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| CN114650173A (zh) | 一种加密通讯方法及系统 | |
| CN114826659B (zh) | 一种加密通讯方法及系统 | |
| CN114553430A (zh) | 一种基于sdp的新型电力业务终端的安全接入系统 | |
| US20080104693A1 (en) | Transporting keys between security protocols | |
| KR20200099873A (ko) | 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템 | |
| CN111262693B (zh) | 一种信息处理方法及系统 | |
| CN115835194B (zh) | 一种nb-iot物联网终端安全接入系统及接入方法 | |
| KR101089269B1 (ko) | 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템 | |
| CN114928503B (zh) | 一种安全通道的实现方法及数据传输方法 | |
| CN116346505B (zh) | 物联网数据安全通信方法、系统及计算机可读存储介质 | |
| CN210839642U (zh) | 一种物联网终端数据安全接收、发送的装置 | |
| Bozkurt et al. | Exploring the Vulnerabilities and Countermeasures of SSL/TLS Protocols in Secure Data Transmission Over Computer Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |