CN116886334A - 一种基于DTLS的轻量级CoAP安全通信方法及系统 - Google Patents

一种基于DTLS的轻量级CoAP安全通信方法及系统 Download PDF

Info

Publication number
CN116886334A
CN116886334A CN202310681687.9A CN202310681687A CN116886334A CN 116886334 A CN116886334 A CN 116886334A CN 202310681687 A CN202310681687 A CN 202310681687A CN 116886334 A CN116886334 A CN 116886334A
Authority
CN
China
Prior art keywords
handshake
dtls
internet
coap
delegator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310681687.9A
Other languages
English (en)
Inventor
赵泽钧
袁苇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Newland Communication Science Technologies Co ltd
Original Assignee
Fujian Newland Communication Science Technologies Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Newland Communication Science Technologies Co ltd filed Critical Fujian Newland Communication Science Technologies Co ltd
Priority to CN202310681687.9A priority Critical patent/CN116886334A/zh
Publication of CN116886334A publication Critical patent/CN116886334A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了物联网技术领域的一种基于DTLS的轻量级CoAP安全通信方法及系统,方法包括:步骤S10、各物联网设备通过信任管理器,向安全服务管理模块的DTLS握手委托器执行注册操作,生成注册信息;步骤S20、主机服务器获取注册信息并存储至资源目录服务器;步骤S30、Web浏览器通过Web服务器,基于CoAP协议向安全服务管理模块发送握手请求;步骤S40、安全服务管理模块基于接收的握手请求,通过DTLS握手委托器与Web浏览器执行握手操作,DTLS握手委托器在握手结束后存储握手数据,基于握手数据向对应的物联网设备发送安全认证数据;步骤S50、物联网设备基于接收的安全认证数据与Web服务器进行安全通信。本发明的优点在于:极大的提升了物联网设备通信的可靠性和及时性。

Description

一种基于DTLS的轻量级CoAP安全通信方法及系统
技术领域
本发明涉及物联网技术领域,特别指一种基于DTLS的轻量级CoAP安全通信方法及系统。
背景技术
物联网是一种允许所有设备相互连接的范式,其具有与互联网不同的特点。物联网通常由资源受限的设备组成,其资源包括CPU、内存和电池。
数据包传输层安全协议(DTLS)是一种现有的安全通信协议,它向基于UDP的应用程序提供安全通信,使应用程序能以一种防止窃听、篡改和伪造的方式通信,但直接在物联网使用DTLS协议会存在如下一些问题:
使用DTLS协议,在发送加密数据之前必须发送六个握手的消息数据包来交换密钥块,在物联网环境中,消息数据包被分段为127字节MTU大小,这些分段的消息数据包在有限网络中容易带来数据丢失和延迟,影响网络开销,且使用基于证书的密码技术会让网络环境更加恶劣。
因此,如何提供一种基于DTLS的轻量级CoAP安全通信方法及系统,实现提升物联网设备通信的可靠性和及时性,成为一个亟待解决的技术问题。
发明内容
本发明要解决的技术问题,在于提供一种基于DTLS的轻量级CoAP安全通信方法及系统,实现提升物联网设备通信的可靠性和及时性。
第一方面,本发明提供了一种基于DTLS的轻量级CoAP安全通信方法,包括如下步骤:
步骤S10、各物联网设备通过信任管理器,向安全服务管理模块的DTLS握手委托器执行注册操作,生成注册信息;
步骤S20、主机服务器获取DTLS握手委托器生成的所述注册信息,将所述注册信息存储至资源目录服务器;
步骤S30、Web浏览器通过Web服务器,基于CoAP协议向安全服务管理模块发送握手请求;
步骤S40、安全服务管理模块基于接收的所述握手请求,通过DTLS握手委托器与Web浏览器执行握手操作,DTLS握手委托器在握手结束后存储握手数据,基于所述握手数据向对应的物联网设备发送安全认证数据;
步骤S50、物联网设备基于接收的所述安全认证数据与Web服务器进行安全通信。
进一步的,所述步骤S10具体为:
各物联网设备通过信任管理器,基于预设的注册密钥向安全服务管理模块的DTLS握手委托器执行注册操作,生成至少携带设备IP地址、设备名以及注册时间的注册信息。
进一步的,所述步骤S40中,所述握手数据至少包括设备IP地址、设备名、DTLS会话的会话ID。
进一步的,所述步骤S40中,所述安全认证数据至少包括DTLS会话的会话ID、DTLS版本号、通信密钥。
进一步的,所述步骤S50具体为:
物联网设备基于接收的所述安全认证数据携带的通信密钥,与Web服务器进行安全通信。
第二方面,本发明提供了一种基于DTLS的轻量级CoAP安全通信系统,包括如下模块:
注册模块,用于各物联网设备通过信任管理器,向安全服务管理模块的DTLS握手委托器执行注册操作,生成注册信息;
注册信息存储模块,用于主机服务器获取DTLS握手委托器生成的所述注册信息,将所述注册信息存储至资源目录服务器;
握手请求模块,用于Web浏览器通过Web服务器,基于CoAP协议向安全服务管理模块发送握手请求;
握手模块,用于安全服务管理模块基于接收的所述握手请求,通过DTLS握手委托器与Web浏览器执行握手操作,DTLS握手委托器在握手结束后存储握手数据,基于所述握手数据向对应的物联网设备发送安全认证数据;
加密通信模块,用于物联网设备基于接收的所述安全认证数据与Web服务器进行安全通信。
进一步的,所述注册模块具体用于:
各物联网设备通过信任管理器,基于预设的注册密钥向安全服务管理模块的DTLS握手委托器执行注册操作,生成至少携带设备IP地址、设备名以及注册时间的注册信息。
进一步的,所述握手模块中,所述握手数据至少包括设备IP地址、设备名、DTLS会话的会话ID。
进一步的,所述握手模块中,所述安全认证数据至少包括DTLS会话的会话ID、DTLS版本号、通信密钥。
进一步的,所述加密通信模块具体用于:
物联网设备基于接收的所述安全认证数据携带的通信密钥,与Web服务器进行安全通信。
本发明的优点在于:
通过物联网设备向DTLS握手委托器执行注册操作并生成注册信息,主机服务器将注册信息存储至资源目录服务器;安全服务管理模块基于Web浏览器发送的握手请求,通过DTLS握手委托器与Web浏览器执行握手操作,DTLS握手委托器在握手结束后存储包括设备IP地址、设备名、会话ID的握手数据,基于握手数据向对应的物联网设备发送包括会话ID、DTLS版本号、通信密钥的安全认证数据,物联网设备基于安全认证数据中的通信密钥与Web服务器进行安全通信;即通过安全服务管理模块将握手阶段和加密阶段分开,物联网设备仅执行加密阶段(利用通信密钥进行安全通信),不必在缓冲区中存储分段握手的数据包,解决受限网络下的数据丢失和延迟问题,最终极大的提升了物联网设备通信的可靠性和及时性。
附图说明
下面参照附图结合实施例对本发明作进一步的说明。
图1是本发明一种基于DTLS的轻量级CoAP安全通信方法的流程图。
图2是本发明一种基于DTLS的轻量级CoAP安全通信系统的结构示意图。
图3是本发明的硬件架构图。
具体实施方式
本申请实施例中的技术方案,总体思路如下:通过安全服务管理模块将握手阶段和加密阶段分开,物联网设备仅执行加密阶段,不必在缓冲区中存储分段握手的数据包,解决受限网络下的数据丢失和延迟问题,以提升物联网设备通信的可靠性和及时性。
请参照图1至图3所示,本发明一种基于DTLS的轻量级CoAP安全通信方法的较佳实施例,包括如下步骤:
步骤S10、各物联网设备通过信任管理器,向安全服务管理模块的DTLS握手委托器执行注册操作,生成注册信息;
信任管理器用于负责物联网设备与SSM的安全注册,与物联网受限网络(物联网环境)中设备节点之间的信任关系。为了实现身份认证,所有的物联网设备都需要提前注册,因此所有物联网设备与SSM中的DTLS握手委托器要保有用于认证身份的注册密钥。
步骤S20、主机服务器获取DTLS握手委托器生成的所述注册信息,将所述注册信息存储至资源目录服务器;所述资源目录服务器还存储握手的过程数据;
所述主机服务器还用于管理域的主页(CoAP://home.com),当Web浏览器通过URL请求数据时,主机服务器提供可以访问物联网设备的用户界面,并显示来自物联网设备的数据。
步骤S30、Web浏览器通过Web服务器,基于CoAP协议向安全服务管理模块发送握手请求;
CoAP协议是针对资源受限的物联网设备设计的一种通信协议,其基于UDP协议,支持例如GET、PUT、POST和DELETE的简单方法,其使不同物联网设备之间的通信成为可能;使用CoAP协议,异构的物联网设备之间可以部署到同一个物联网中,例如智能汽车、智能家居与智能医疗系统。
所述Web浏览器和Web服务器位于可连接到互联网的任意地方,而SSM、信任管理器与物联网设备位于资源受限的物联网环境中。
根据物联网的具体架构环境,SSM的每一个组件通常位于一个机器中,但为了扩展性,可以分别部署到不同机器中;此外,SSM和信任管理器也可以运行在云中作为虚拟系统实现。
步骤S40、安全服务管理模块基于接收的所述握手请求,通过DTLS握手委托器与Web浏览器执行握手操作,DTLS握手委托器在握手结束后存储握手数据,基于所述握手数据向对应的物联网设备发送安全认证数据,不再干扰后续流程;
运行CoAP的设备可以同时在服务器与客户端两个角色中切换,当物联网设备作为CoAP客户端时,对端即为Web服务器,当物联网设备作为CoAP服务器(Web服务器)时,对端即为CoAP客户端(Web浏览器)。
如果访问时,物联网设备作为CoAP服务器,则DTLS握手产生的DTLS会话创建于DTLS握手委托器与CoAP客户端之间,如果物联网设备作为CoAP客户端,DTLS会话则创建于DTLS委托器与Web服务器之间。
步骤S50、物联网设备基于接收的所述安全认证数据与Web服务器进行安全通信。
所述步骤S10具体为:
各物联网设备通过信任管理器,基于预设的注册密钥向安全服务管理模块的DTLS握手委托器执行注册操作,生成至少携带设备IP地址、设备名以及注册时间的注册信息。
所述步骤S40中,所述握手数据至少包括设备IP地址、设备名、DTLS会话的会话ID。
所述握手数据举例如下:
会话ID 设备名 设备IP地址
EAFE32..EF DEV(N/A) 103.23.1.2
3CAACC…C2 DEV_B(power) 103.23.1.3
FFEBA2…C2 DEV_C(speaker) 103.23.1.9
所述步骤S40中,所述安全认证数据至少包括DTLS会话的会话ID、DTLS版本号、通信密钥。
所述步骤S50具体为:
物联网设备基于接收的所述安全认证数据携带的通信密钥,与Web服务器进行安全通信。
本发明一种基于DTLS的轻量级CoAP安全通信系统的较佳实施例,包括如下模块:
注册模块,用于各物联网设备通过信任管理器,向安全服务管理模块的DTLS握手委托器执行注册操作,生成注册信息;
信任管理器用于负责物联网设备与SSM的安全注册,与物联网受限网络(物联网环境)中设备节点之间的信任关系。为了实现身份认证,所有的物联网设备都需要提前注册,因此所有物联网设备与SSM中的DTLS握手委托器要保有用于认证身份的注册密钥。
注册信息存储模块,用于主机服务器获取DTLS握手委托器生成的所述注册信息,将所述注册信息存储至资源目录服务器;所述资源目录服务器还存储握手的过程数据;
所述主机服务器还用于管理域的主页(CoAP://home.com),当Web浏览器通过URL请求数据时,主机服务器提供可以访问物联网设备的用户界面,并显示来自物联网设备的数据。
握手请求模块,用于Web浏览器通过Web服务器,基于CoAP协议向安全服务管理模块发送握手请求;
CoAP协议是针对资源受限的物联网设备设计的一种通信协议,其基于UDP协议,支持例如GET、PUT、POST和DELETE的简单方法,其使不同物联网设备之间的通信成为可能;使用CoAP协议,异构的物联网设备之间可以部署到同一个物联网中,例如智能汽车、智能家居与智能医疗系统。
所述Web浏览器和Web服务器位于可连接到互联网的任意地方,而SSM、信任管理器与物联网设备位于资源受限的物联网环境中。
根据物联网的具体架构环境,SSM的每一个组件通常位于一个机器中,但为了扩展性,可以分别部署到不同机器中;此外,SSM和信任管理器也可以运行在云中作为虚拟系统实现。
握手模块,用于安全服务管理模块基于接收的所述握手请求,通过DTLS握手委托器与Web浏览器执行握手操作,DTLS握手委托器在握手结束后存储握手数据,基于所述握手数据向对应的物联网设备发送安全认证数据,不再干扰后续流程;
运行CoAP的设备可以同时在服务器与客户端两个角色中切换,当物联网设备作为CoAP客户端时,对端即为Web服务器,当物联网设备作为CoAP服务器(Web服务器)时,对端即为CoAP客户端(Web浏览器)。
如果访问时,物联网设备作为CoAP服务器,则DTLS握手产生的DTLS会话创建于DTLS握手委托器与CoAP客户端之间,如果物联网设备作为CoAP客户端,DTLS会话则创建于DTLS委托器与Web服务器之间。
加密通信模块,用于物联网设备基于接收的所述安全认证数据与Web服务器进行安全通信。
所述注册模块具体用于:
各物联网设备通过信任管理器,基于预设的注册密钥向安全服务管理模块的DTLS握手委托器执行注册操作,生成至少携带设备IP地址、设备名以及注册时间的注册信息。
所述握手模块中,所述握手数据至少包括设备IP地址、设备名、DTLS会话的会话ID。
所述握手数据举例如下:
所述握手模块中,所述安全认证数据至少包括DTLS会话的会话ID、DTLS版本号、通信密钥。
所述加密通信模块具体用于:
物联网设备基于接收的所述安全认证数据携带的通信密钥,与Web服务器进行安全通信。
综上所述,本发明的优点在于:
通过物联网设备向DTLS握手委托器执行注册操作并生成注册信息,主机服务器将注册信息存储至资源目录服务器;安全服务管理模块基于Web浏览器发送的握手请求,通过DTLS握手委托器与Web浏览器执行握手操作,DTLS握手委托器在握手结束后存储包括设备IP地址、设备名、会话ID的握手数据,基于握手数据向对应的物联网设备发送包括会话ID、DTLS版本号、通信密钥的安全认证数据,物联网设备基于安全认证数据中的通信密钥与Web服务器进行安全通信;即通过安全服务管理模块将握手阶段和加密阶段分开,物联网设备仅执行加密阶段(利用通信密钥进行安全通信),不必在缓冲区中存储分段握手的数据包,解决受限网络下的数据丢失和延迟问题,最终极大的提升了物联网设备通信的可靠性和及时性。
虽然以上描述了本发明的具体实施方式,但是熟悉本技术领域的技术人员应当理解,我们所描述的具体的实施例只是说明性的,而不是用于对本发明的范围的限定,熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化,都应当涵盖在本发明的权利要求所保护的范围内。

Claims (10)

1.一种基于DTLS的轻量级CoAP安全通信方法,其特征在于:包括如下步骤:
步骤S10、各物联网设备通过信任管理器,向安全服务管理模块的DTLS握手委托器执行注册操作,生成注册信息;
步骤S20、主机服务器获取DTLS握手委托器生成的所述注册信息,将所述注册信息存储至资源目录服务器;
步骤S30、Web浏览器通过Web服务器,基于CoAP协议向安全服务管理模块发送握手请求;
步骤S40、安全服务管理模块基于接收的所述握手请求,通过DTLS握手委托器与Web浏览器执行握手操作,DTLS握手委托器在握手结束后存储握手数据,基于所述握手数据向对应的物联网设备发送安全认证数据;
步骤S50、物联网设备基于接收的所述安全认证数据与Web服务器进行安全通信。
2.如权利要求1所述的一种基于DTLS的轻量级CoAP安全通信方法,其特征在于:所述步骤S10具体为:
各物联网设备通过信任管理器,基于预设的注册密钥向安全服务管理模块的DTLS握手委托器执行注册操作,生成至少携带设备IP地址、设备名以及注册时间的注册信息。
3.如权利要求1所述的一种基于DTLS的轻量级CoAP安全通信方法,其特征在于:所述步骤S40中,所述握手数据至少包括设备I P地址、设备名、DTLS会话的会话ID。
4.如权利要求1所述的一种基于DTLS的轻量级CoAP安全通信方法,其特征在于:所述步骤S40中,所述安全认证数据至少包括DTLS会话的会话ID、DTLS版本号、通信密钥。
5.如权利要求1所述的一种基于DTLS的轻量级CoAP安全通信方法,其特征在于:所述步骤S50具体为:
物联网设备基于接收的所述安全认证数据携带的通信密钥,与Web服务器进行安全通信。
6.一种基于DTLS的轻量级CoAP安全通信系统,其特征在于:包括如下模块:
注册模块,用于各物联网设备通过信任管理器,向安全服务管理模块的DTLS握手委托器执行注册操作,生成注册信息;
注册信息存储模块,用于主机服务器获取DTLS握手委托器生成的所述注册信息,将所述注册信息存储至资源目录服务器;
握手请求模块,用于Web浏览器通过Web服务器,基于CoAP协议向安全服务管理模块发送握手请求;
握手模块,用于安全服务管理模块基于接收的所述握手请求,通过DTLS握手委托器与Web浏览器执行握手操作,DTLS握手委托器在握手结束后存储握手数据,基于所述握手数据向对应的物联网设备发送安全认证数据;
加密通信模块,用于物联网设备基于接收的所述安全认证数据与Web服务器进行安全通信。
7.如权利要求6所述的一种基于DTLS的轻量级CoAP安全通信系统,其特征在于:所述注册模块具体用于:
各物联网设备通过信任管理器,基于预设的注册密钥向安全服务管理模块的DTLS握手委托器执行注册操作,生成至少携带设备IP地址、设备名以及注册时间的注册信息。
8.如权利要求6所述的一种基于DTLS的轻量级CoAP安全通信系统,其特征在于:所述握手模块中,所述握手数据至少包括设备I P地址、设备名、DTLS会话的会话ID。
9.如权利要求6所述的一种基于DTLS的轻量级CoAP安全通信系统,其特征在于:所述握手模块中,所述安全认证数据至少包括DTLS会话的会话ID、DTLS版本号、通信密钥。
10.如权利要求6所述的一种基于DTLS的轻量级CoAP安全通信系统,其特征在于:所述加密通信模块具体用于:
物联网设备基于接收的所述安全认证数据携带的通信密钥,与Web服务器进行安全通信。
CN202310681687.9A 2023-06-09 2023-06-09 一种基于DTLS的轻量级CoAP安全通信方法及系统 Pending CN116886334A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310681687.9A CN116886334A (zh) 2023-06-09 2023-06-09 一种基于DTLS的轻量级CoAP安全通信方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310681687.9A CN116886334A (zh) 2023-06-09 2023-06-09 一种基于DTLS的轻量级CoAP安全通信方法及系统

Publications (1)

Publication Number Publication Date
CN116886334A true CN116886334A (zh) 2023-10-13

Family

ID=88255722

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310681687.9A Pending CN116886334A (zh) 2023-06-09 2023-06-09 一种基于DTLS的轻量级CoAP安全通信方法及系统

Country Status (1)

Country Link
CN (1) CN116886334A (zh)

Similar Documents

Publication Publication Date Title
CN108650262B (zh) 一种基于微服务架构的云平台扩展方法及系统
US20210297410A1 (en) Mec platform deployment method and apparatus
US11303431B2 (en) Method and system for performing SSL handshake
US10356153B2 (en) Transferring session data between network applications accessible via different DNS domains
US8533453B2 (en) Method and system for configuring a server and dynamically loading SSL information
US10862976B2 (en) System and method for improving efficiency of SSL/TLS connections
JP2016522509A (ja) 仮想ネットワーク機能マネージャによる仮想インフラストラクチャマネージャへのアクセスの自動化構成
CN107426339A (zh) 一种数据连接通道的接入方法、装置及系统
CN105873055B (zh) 一种无线网络接入认证方法及装置
CN110933084A (zh) 一种跨域共享登录态方法、装置、终端及存储介质
CN102111326A (zh) 在二层隧道协议虚拟专用网实现移动的方法、系统和装置
CN101404575B (zh) 一种更新签名算法的方法和系统
CN113691646A (zh) 域名服务资源访问方法、装置、电子设备和介质
CN112468540A (zh) 基于云平台的数据分发方法、设备及介质
CN102075504B (zh) 一种实现二层门户认证的方法、系统及门户服务器
CN111212117A (zh) 一种远程交互的方法和装置
CN110730189A (zh) 一种通信认证方法、装置、设备及存储介质
CN110062016B (zh) 用于可信服务管理的方法及装置
CN111030914B (zh) 一种数据传输方法及数据传输系统
CN111182071A (zh) 一种内网穿透与服务发布的方法
US7792975B1 (en) Application session management in networking devices
CN116886334A (zh) 一种基于DTLS的轻量级CoAP安全通信方法及系统
CN116248268A (zh) 国密握手请求的处理方法、设备及可读存储介质
CN111181904B (zh) 网络访问方法、装置及介质
Jo et al. IoTivity-lite: Comprehensive IoT solution in a constrained memory device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination