CN118250016B - 一种物联网设备的tcp私有协议通信认证方法 - Google Patents

一种物联网设备的tcp私有协议通信认证方法 Download PDF

Info

Publication number
CN118250016B
CN118250016B CN202410671569.4A CN202410671569A CN118250016B CN 118250016 B CN118250016 B CN 118250016B CN 202410671569 A CN202410671569 A CN 202410671569A CN 118250016 B CN118250016 B CN 118250016B
Authority
CN
China
Prior art keywords
cloud platform
terminal
key
authentication
symmetric key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202410671569.4A
Other languages
English (en)
Other versions
CN118250016A (zh
Inventor
隋榕华
林伟
兰成荣
薛永洲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Flaircomm Microelectronics Inc
Original Assignee
Flaircomm Microelectronics Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Flaircomm Microelectronics Inc filed Critical Flaircomm Microelectronics Inc
Priority to CN202410671569.4A priority Critical patent/CN118250016B/zh
Publication of CN118250016A publication Critical patent/CN118250016A/zh
Application granted granted Critical
Publication of CN118250016B publication Critical patent/CN118250016B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供一种物联网设备的TCP私有协议通信认证方法,终端发送认证请求,以发送终端的认证信息到云平台。云平台应答终端认证请求,发送认证结果及云平台信息到终端。终端认证云平台信息后,使用公钥加密进行通信密钥请求。云平台应答终端通信密钥请求,生成通信随机第二对称密钥,后续交互使用第二对称密钥进行登录与数据上报,做到一机一密,保证数据交互安全。

Description

一种物联网设备的TCP私有协议通信认证方法
技术领域
本申请涉及物联网技术领域,具体涉及一种物联网设备的TCP私有协议通信认证方法。
背景技术
随着物联网技术的发展,对应的物联网设备也层出不穷,影响着我们的社会和生活。通信技术是物联网技术一个重要且关键的技术,而物联网设备需要和云平台进行数据交互,完成基本通信功能,从而云平台可以对物联网设备进行状态监测与设备升级等等。为此,人们研发了各式各样的通信协议和通信方案。
然而,由于部分物联网项目往往基于成本、资源、开发效率等因素考虑,在数据通信过程中采用资源较少的嵌入式芯片及无CA证书体系方案,而因此直接使用TCP(Transmission Control Protocol,传输控制协议)私有协议进行数据上下行通信,这样嵌入式设备终端与云平台的通信安全无法保证,也缺少必要的安全认证流程,可能导致信息存在泄露风险。对于企业社会来说,通信安全关乎着整个物联网设备和云平台的安全,因此设计一种基于TCP私有协议通信的物联网设备连接云平台的方法显得十分必要。
发明内容
本申请的目的是提供一种物联网设备的TCP私有协议通信认证方法,解决现有物联网设备的安全问题。
第一方面,本申请实施例提供了一种物联网设备的TCP私有协议通信认证方法,应用于物联网设备终端,所述终端基于TCP私有协议与云平台进行通信,所述方法包括:
基于TCP私有协议消息头中的时间戳和所述终端的设备唯一码集,生成终端与云平台认证过程的第一对称密钥;
向所述云平台发送认证请求,所述认证请求中携带有设备唯一码集密文,所述设备唯一码集密文是通过第一对称密钥加密所述设备唯一码集得到的;
接收到所述云平台返回的应答认证结果,使用第一对称密钥解密后得到云平台信息、随机数X和公钥;
若使用所述云平台信息与终端内置的云平台信息对比认证失败,则重新向所述云平台发送认证请求;
若使用所述云平台信息与终端内置的云平台信息对比认证成功,则向所述云平台发送通信密钥请求;所述通信密钥请求中携带有通信密钥请求报文,所述通信密钥请求报文是通过第一对称密钥加密公钥加密的密文得到的,所述公钥加密的密文是使用所述公钥加密所述随机数X生成的密文;
接收到所述云平台下发的第二对称密钥,后续云平台与终端交互流程都使用第二对称密钥进行加解密。
在本申请的一些实施方式中,所述云平台信息包括云服务器地址和云服务器端口。
在本申请的一些实施方式中,所述接收到所述云平台下发的第二对称密钥,包括:
接收到所述云平台下发的通信密钥报文,则使用第一对称密钥解密;若解密成功,则得到第二对称密钥;若解密失败,则断开TCP连接。
在本申请的一些实施方式中,所述基于TCP私有协议消息头中的时间戳和所述终端的设备唯一码集,生成终端与云平台认证过程的第一对称密钥,包括:
基于TCP私有协议消息头中的时间戳和所述终端的设备唯一码集进行哈希计算,将生成值作为终端与云平台认证过程的第一对称密钥。
第二方面,本申请实施例提供了一种物联网设备的TCP私有协议通信认证方法,应用于云平台,所述云平台基于TCP私有协议与物联网设备终端进行通信,所述方法包括:
接收所述终端发送的认证请求;
使用第一对称密钥解密所述认证请求中的设备唯一码集密文,得到所述终端的设备唯一码集;
将解密得到的所述终端的设备唯一码集与数据库中提前导入的设备唯一码集进行对比认证;若从数据库对比认证出对应的设备唯一码集,则认证终端成功;若未能从数据库对比认证出对应的设备唯一码集,则断开TCP连接;
认证终端成功后,将应答认证结果使用第一对称密钥加密后发送至所述终端,所述应答认证结果包括云平台信息、随机数X和公钥数据;
接收到所述终端发送的通信密钥请求,使用第一对称密钥解密其中的通信密钥请求报文,得到密文,再经过公钥匹配的私钥进行解密密文生成随机数X,与云平台保存的随机数X对比,若比对成功则下发用于后续通信的第二对称密钥,若解密或者比对失败则断开TCP连接。
在本申请的一些实施方式中,所述云平台信息包括云服务器地址和云服务器端口。
在本申请的一些实施方式中,所述下发用于后续通信的第二对称密钥,包括:
下发第二对称密钥时,使用第一对称密钥对第二对称密钥进行加密。
相较于现有技术,本申请提供的物联网设备的TCP私有协议通信认证方法,终端发送认证请求,以发送终端的认证信息到云平台。云平台应答终端认证请求,发送认证结果及云平台信息到终端。终端认证云平台信息后,使用加密进行通信密钥请求。云平台应答终端通信密钥请求,生成通信随机第二对称密钥,后续交互使用第二对称密钥进行登录与数据上报,做到一机一密,保证数据交互安全。
附图说明
为了能够进一步理解本公开实施例,通过结合附图对本公开实施例的具体流程进行更详细的描述,更加明显体现本发明的目的性。附图主要是实施例的具体流程构成说明书的一部分,与本公开实施例一起用于解释本公开,并不构成对本公开的限制。在附图中,相同的参考标号通常代表步骤。
图1是本公开一示例性实施例提供的物联网设备的TCP私有协议通信认证方法的流程示意图;
图2是本公开另一示例性实施例提供的物联网设备的TCP私有协议通信认证方法的流程示意图;
图3是本公开一示例性实施例提供的物联网设备的TCP私有协议通信认证方法的交互流程示意图。
具体实施方式
下面将参考附图详细地描述根据本公开的示例实施例。显然,所描述的实施例仅仅是本公开的一部分实施例,而不是本公开的全部实施例,应理解,本公开不受这里描述的示例实施例的限制。
应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
本领域技术人员可以理解,本公开实施例中的“第一”、“第二”等术语仅用于区别不同步骤,既不代表任何特定技术含义,也不表示它们之间的必然逻辑顺序。
另外,本公开中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本公开中字符“/”,一般表示前后关联对象是一种“或”的关系。
此外,本公开实施例中的控制端包括计算机系统、服务器等
还应理解,本公开对各个实施例的描述着重强调各个实施例之间的不同之处,其相同或相似之处可以相互参考,为了简洁,不再一一赘述。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本公开实施例可以应用于终端设备、计算机系统、服务器等电子设备,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与终端设备、计算机系统、服务器等电子设备一起使用的众所周知的终端设备、计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统、大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
终端设备、计算机系统、服务器等电子设备可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
为了使本领域技术人员准确、清楚地理解本公开的技术方案,通过示例的方式对本公开技术方案进行详细描述。
本公开主要为了解决现有内部资源较少的嵌入式设备连接云平台安全性低,而导致存在信息泄露风险,设计了一种基于TCP私有协议的设备安全连接平台的方法,保证了数据交互安全。
为了解决上述通信安全问题,本公开设计使用了RSA非对称加密算法和AES对称加密算法,使用RSA做签名验签认证,认证完成后协商出AES交互密钥,做到设备一机一密,提高通信安全性。
请参考图1,图1所示为本公开一示例性实施例提供的物联网设备的TCP私有协议通信认证方法的流程示意图。在本公开实施例中,该物联网设备的TCP私有协议通信认证方法,应用于物联网设备终端,所述终端基于TCP私有协议与云平台进行通信。
如图1所示,本公开一种物联网设备的TCP私有协议通信认证方法可以包括如下步骤:
步骤101,基于TCP私有协议消息头中的时间戳和所述终端的设备唯一码集,生成终端与云平台认证过程的第一对称密钥;
具体的,基于TCP私有协议消息头中的时间戳和所述终端的设备唯一码集进行哈希计算,将生成值作为终端与云平台认证过程的第一对称密钥,具体可以为AES128-KEY1。哈希计算具体可以采用MD5算法,本申请对此不做限定。
步骤102,向所述云平台发送认证请求,所述认证请求中携带有设备唯一码集密文,所述设备唯一码集密文是通过第一对称密钥加密所述设备唯一码集得到的;
步骤103,接收到所述云平台返回的应答认证结果,使用第一对称密钥解密后得到云平台信息、随机数X和公钥;具体可以为RSA4096公钥。
具体的,所述云平台信息包括云服务器地址和云服务器端口。
步骤104,若使用所述云平台信息与终端内置的云平台信息对比认证失败,则重新向所述云平台发送认证请求;
步骤105,若使用所述云平台信息与终端内置的云平台信息对比认证成功,则向所述云平台发送通信密钥请求;所述通信密钥请求中携带有通信密钥请求报文,所述通信密钥请求报文是通过第一对称密钥加密所述公钥加密的密文得到的,所述公钥加密的密文是使用所述公钥加密所述随机数X生成的密文;
步骤106,接收到所述云平台下发的第二对称密钥,后续云平台与终端交互流程都使用第二对称密钥进行加解密。第二对称密钥具体可以为AES128-KEY2。
具体的,接收到所述云平台下发的通信密钥报文,则使用第一对称密钥解密;若解密成功,则得到第二对称密钥;若解密失败,则断开TCP连接。
图2是本公开另一示例性实施例提供的物联网设备的TCP私有协议通信认证方法的流程示意图。在本公开实施例中,该物联网设备的TCP私有协议通信认证方法,应用于云平台,所述云平台基于TCP私有协议与物联网设备终端进行通信。
如图2所示,本公开一种物联网设备的TCP私有协议通信认证方法可以包括如下步骤:
步骤201,接收所述终端发送的认证请求;
步骤202,使用第一对称密钥解密所述认证请求中的设备唯一码集密文,得到所述终端的设备唯一码集;
步骤203,将解密得到的所述终端的设备唯一码集与数据库中提前导入的设备唯一码集进行对比认证;若从数据库对比认证出对应的设备唯一码集,则认证终端成功;若未能从数据库对比认证出对应的设备唯一码集,则断开TCP连接;
步骤204,认证终端成功后,将应答认证结果使用第一对称密钥加密后发送至所述终端,所述应答认证结果包括云平台信息、随机数X和公钥数据;
步骤205,接收到所述终端发送的通信密钥请求,使用第一对称密钥解密其中的通信密钥请求报文,得到公钥加密的密文,再经过公钥匹配的私钥进行解密公钥加密的密文生成随机数X,与云平台保存的随机数X对比,若比对成功则下发用于后续通信的第二对称密钥,若解密或者比对失败则断开TCP连接。
为了使本领域技术人员能够清楚、准确地理解本公开实施例的技术方案,下面将结合图3所示交互图对本公开实施例进行详细介绍。
图3是本公开一示例性实施例提供的物联网设备的TCP私有协议通信认证方法的交互流程示意图,其交互流程如下:
1、终端认证请求,发送终端的认证信息到云平台。
2、云平台应答终端认证请求,发送认证结果及云平台信息到终端。
3、终端认证云平台信息后,使用RSA加密进行通信密钥请求。
4、云平台应答终端通信密钥请求,生成通信随机AES128-KEY2密钥,做到一机一密。
5、后续交互使用AES128-KEY2进行登录与数据上报。
本公开的通信协议格式设计如下:
表1为数据类型,规定了通信协议的数据类型,主要分为BYTE、WORD、DWORD、数组BYTE[N]、STRING字符串、STREAM字节流等。
表1数据类型
表2为通信协议数据包结构和定义,通信协议主要包括固定数据头、可变长度的数据体及数据尾部校验码等三部分组成。固定长度数据头包括头标识、命令单元、设备唯一码SN、数据单元加密方式、流水号、时间戳和数据单元长度等。可变数据体部分则由数据长度决定,不同的交互过程数据单元体部分存在差异。数据尾部则为数据校验值,用于校验数据的完整性。
表2数据包结构及定义
表3为表2中命令单元中标识定义,本设计发明中使用主要使用到认证请求与应答0x01、数据通信密钥请求与应答0x02,剩余命令标识用于后续业务交互使用。
表3命令标识定义
上述表1到表3为TCP私有协议通信格式,基于该TCP通信协议架构,本发明使用了RSA非对称加密算法和对称加密算法AES,使用RSA做签名验签认证,认证完成后协商AES交互密钥,做到设备一机一密,保证数据交互安全。其详细步骤如下:
步骤1: 终端认证数据导入云平台,预先将设备唯一码集(ICCID/SN/IMEI关系)导入云平台数据库。
步骤2:设备与云平台认证过程的AES128-KEY1密钥生成,发送方密钥生成逻辑:TCP通信数据生成时,使用本地UTC时间作为时间戳,同时将设备唯一序列码SN填充到消息头部(见表2)。使用生成的时间戳和终端设备唯一码集信息(卡号ICCID+设备序列号SN+通信模组编号IMEI)进行MD5计算生成16字节的数组,该生成值作为AES128-KEY1密钥。另外,使用时间戳作为密钥生成要素之一,可以保证每次交互过程AES128-KEY1都是不一样的,不易被破解,做到信息安全。
步骤3:终端使用AES128-KEY1加密认证终端设备唯一码集(SN/ICCID/IMEI)到云平台,其中SN已经在消息头部体现,消息头部数据单元加密方式使用0x01(AES128加密方式)。终端认证请求数据体格式如下表4所示:
表4 终端认证请求数据体格式
步骤4:云平台收到终端认证请求信息(命令标识为0x01)后,从表2消息头部第4起始字节解析出设备唯一序列码SN,第22个起始字节解析出时间戳。同时云平台根据SN从数据库中找到对应的ICCID和IMEI值,然后使用时间戳和设备唯一码集(ICCID、SN与IMEI)生成AES128-KEY1,对数据单元部分进行解密,将表4中的ICCID与IMEI解密出来后与数据库中提前导入的设备唯一码集(ICCID、SN与IMEI)进行对比认证,若对应的关系不正确则断开TCP连接(保证数据交互安全以及通信链路资源不被占用),若从云平台数据库对比认证出对应的设备唯一码集(ICCID、SN与IMEI),则云平台认证终端成功。
步骤5:在步骤4云平台认证终端成功后,云平台使用步骤2的密钥产生方式生成AES128-KEY1加密应答认证结果(命令标识为0x01)发送到终端。应答认证结果数据单元部分见下表5,包括云平台信息(云服务器地址+云服务器端口)、随机数X和RSA4096公钥数据等。
表5 平台认证应答报文格式
步骤6:终端收到云平台认证结果信息,使用步骤2的密钥产生方式生成AES128-KEY1解密得到如表5中的云平台信息、随机数X和RSA公钥数据。若终端使用云平台信息(域名+端口)与其内置的云平台信息(域名+端口)对比认证失败,则重新走步骤1。若比对认证云平台成功则进行下一步操作。
步骤7:在步骤6终端认证云平台信息成功基础上,发送通信密钥请求报文到云平台(命令标识为0x02),该过程也使用AES128-KEY1加密。其中通信密钥请求报文是步骤6中的RSA4096公钥加密随机数X生成的密文。
表6 终端通信密钥请求报文格式
步骤8:云平台接收到通信密钥请求报文(命令标识为0x02)后,使用步骤2的密钥产生方式生成AES128-KEY1解密生成RSA密文,再经过RSA4096公钥匹配的私钥进行解密生成表6中的随机数X,与平台保存的随机数X对比,若比对成功则下发通信密钥AES128-KEY2(下表7所示为通信密钥报文,该密钥值也是使用AES128-KEY1进行加密下发)。若失败则断开TCP连接。
表7 通信密钥报文格式
步骤9:终端收到平台下发的通信密钥报文(命令标识为0x02),则使用步骤2的密钥产生方式生成AES128-KEY1解密,若解密成功则后续平台与终端交互流程都使用AES128-KEY2进行加解密。若解密失败,则断开TCP连接。
如上所述,使用自定义的基于TCP私有协议以及所描述的方案,每次认证过程使用AES128-KEY1都不一致,确保认证过程加密数据的安全。同时本发明设计中,加入了云平台对终端进行认证,终端也对云平台进行了认证,在认证完成后又协商出新的通信随机密钥AES128-KEY2,做到设备一机一密,保证了每次后续交互过程密钥的安全。
其中,只要以上任意步骤出现校验异常,则TCP链路断开,保证通信安全及资源释放,终端则需要重新发起认证流程,整个设计流程保证了云平台与终端的合法性,也保证了通信安全。因此,通过本发明所使用的方案,可以将基于TCP通信的嵌入式设备交互变得更加安全。
本公开实施例公开了的技术方案,终端发送认证请求,以发送终端的认证信息到云平台。云平台应答终端认证请求,发送认证结果及云平台信息到终端。终端认证云平台信息后,使用RSA加密进行通信密钥请求。云平台应答终端通信密钥请求,生成通信随机AES128-KEY2密钥,后续交互使用AES128-KEY2密钥进行登录与数据上报,做到一机一密,保证数据交互安全。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
可能以许多方式来实现本公开的方法。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
还需要指出的是,在本公开方法中,各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。

Claims (4)

1.一种物联网设备的TCP私有协议通信认证方法,应用于物联网设备终端,所述终端基于TCP私有协议与云平台进行通信,其特征在于,所述方法包括:
基于TCP私有协议消息头中的时间戳和所述终端的设备唯一码集,生成终端与云平台认证过程的第一对称密钥;
向所述云平台发送认证请求,所述认证请求中携带有设备唯一码集密文,所述设备唯一码集密文是通过第一对称密钥加密所述设备唯一码集得到的;
接收到所述云平台返回的应答认证结果,使用第一对称密钥解密后得到云平台信息、随机数X和公钥;
若使用所述云平台信息与终端内置的云平台信息对比认证失败,则重新向所述云平台发送认证请求;
若使用所述云平台信息与终端内置的云平台信息对比认证成功,则向所述云平台发送通信密钥请求;所述通信密钥请求中携带有通信密钥请求报文,所述通信密钥请求报文是通过第一对称密钥加密公钥加密的密文得到的,所述公钥加密的密文是使用所述公钥加密所述随机数X生成的密文;
接收到所述云平台下发的第二对称密钥,后续云平台与终端交互流程都使用第二对称密钥进行加解密;
所述接收到所述云平台下发的第二对称密钥,包括:
接收到所述云平台下发的通信密钥报文,则使用第一对称密钥解密;若解密成功,则得到第二对称密钥;若解密失败,则断开TCP连接;
所述云平台信息包括云服务器地址和云服务器端口。
2.根据权利要求1所述的方法,其特征在于,所述基于TCP私有协议消息头中的时间戳和所述终端的设备唯一码集,生成终端与云平台认证过程的第一对称密钥,包括:
基于TCP私有协议消息头中的时间戳和所述终端的设备唯一码集进行哈希计算,将生成值作为终端与云平台认证过程的第一对称密钥。
3.一种物联网设备的TCP私有协议通信认证方法,应用于云平台,所述云平台基于TCP私有协议与物联网设备终端进行通信,其特征在于,所述方法包括:
接收所述终端发送的认证请求;
使用第一对称密钥解密所述认证请求中的设备唯一码集密文,得到所述终端的设备唯一码集;
将解密得到的所述终端的设备唯一码集与数据库中提前导入的设备唯一码集进行对比认证;若从数据库对比认证出对应的设备唯一码集,则认证终端成功;若未能从数据库对比认证出对应的设备唯一码集,则断开TCP连接;
认证终端成功后,将应答认证结果使用第一对称密钥加密后发送至所述终端,所述应答认证结果包括云平台信息、随机数X和公钥数据;
接收到所述终端发送的通信密钥请求,使用第一对称密钥解密其中的通信密钥请求报文,得到公钥加密的密文,再经过公钥匹配的私钥进行解密公钥加密的密文生成随机数X,与云平台保存的随机数X对比,若比对成功则下发用于后续通信的第二对称密钥,若解密或者比对失败则断开TCP连接;
所述云平台信息包括云服务器地址和云服务器端口。
4.根据权利要求3所述的方法,其特征在于,所述下发用于后续通信的第二对称密钥,包括:
下发第二对称密钥时,使用第一对称密钥对第二对称密钥进行加密。
CN202410671569.4A 2024-05-28 2024-05-28 一种物联网设备的tcp私有协议通信认证方法 Active CN118250016B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410671569.4A CN118250016B (zh) 2024-05-28 2024-05-28 一种物联网设备的tcp私有协议通信认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410671569.4A CN118250016B (zh) 2024-05-28 2024-05-28 一种物联网设备的tcp私有协议通信认证方法

Publications (2)

Publication Number Publication Date
CN118250016A CN118250016A (zh) 2024-06-25
CN118250016B true CN118250016B (zh) 2024-09-10

Family

ID=91552997

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410671569.4A Active CN118250016B (zh) 2024-05-28 2024-05-28 一种物联网设备的tcp私有协议通信认证方法

Country Status (1)

Country Link
CN (1) CN118250016B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104486307A (zh) * 2014-12-03 2015-04-01 中国电子科技集团公司第三十研究所 一种基于同态加密的分权密钥管理方法
CN116132156A (zh) * 2023-01-18 2023-05-16 福州市江北智慧城市建设运营有限公司 一种面向智慧灯杆的可信认证方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111314274B (zh) * 2019-07-30 2023-02-10 厦门雅迅网络股份有限公司 一种车载终端与中心平台双向认证方法及系统
CN116830525A (zh) * 2022-01-27 2023-09-29 京东方科技集团股份有限公司 数据传输方法、装置、系统、电子设备及可读介质
CN115766119A (zh) * 2022-10-31 2023-03-07 国网山西省电力公司电力科学研究院 通信方法、装置、通信系统及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104486307A (zh) * 2014-12-03 2015-04-01 中国电子科技集团公司第三十研究所 一种基于同态加密的分权密钥管理方法
CN116132156A (zh) * 2023-01-18 2023-05-16 福州市江北智慧城市建设运营有限公司 一种面向智慧灯杆的可信认证方法

Also Published As

Publication number Publication date
CN118250016A (zh) 2024-06-25

Similar Documents

Publication Publication Date Title
US11089032B2 (en) Signed envelope encryption
US10447674B2 (en) Key exchange through partially trusted third party
CN111131278B (zh) 数据处理方法及装置、计算机存储介质、电子设备
CN107612889B (zh) 防止用户信息泄露的方法
CN104639534A (zh) 网站安全信息的加载方法和浏览器装置
CN111181723B (zh) 物联网设备间离线安全认证的方法和装置
CN104580189A (zh) 一种安全通信系统
CN111884811B (zh) 一种基于区块链的数据存证方法和数据存证平台
CN111030814A (zh) 秘钥协商方法及装置
CN111131416A (zh) 业务服务的提供方法和装置、存储介质、电子装置
WO2023151479A1 (zh) 数据处理方法及设备
CN115242392B (zh) 基于安全传输协议实现工业信息安全传输的方法及系统
CN112865965B (zh) 一种基于量子密钥的列车业务数据处理方法及系统
CN114244508B (zh) 数据加密方法、装置、设备及存储介质
CN111490874B (zh) 一种配网安全防护方法、系统、装置及存储介质
CN112954039A (zh) 一种区块链存证方法
CN110830413B (zh) 通信方法、客户端、服务器、通信装置和系统
CN112261002B (zh) 数据接口对接的方法及设备
EP3076584B1 (en) Hashed data retrieval method
CN112926983A (zh) 一种基于区块链的存证交易加密系统及方法
CN118250016B (zh) 一种物联网设备的tcp私有协议通信认证方法
CN113965327B (zh) 一种硬件密码设备的密钥分身方法和密钥分身管理系统
CN111600718B (zh) 一种数字证书离线认证系统和方法
CN110881026A (zh) 一种用于对信息采集终端用户进行身份认证的方法及系统
CN115001705B (zh) 一种基于加密设备的网络协议安全提升方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Country or region after: China

Address after: Building 1, 5th Floor, No. 116 Jiangbin East Avenue, Mawei District, Fuzhou City, Fujian Province, China

Applicant after: FLAIRCOMM MICROELECTRONICS, Inc.

Address before: Building 1, 7th Floor, No.116 Jiangbin East Avenue, Mawei District, Fuzhou City, Fujian Province, China

Applicant before: FLAIRCOMM MICROELECTRONICS, Inc.

Country or region before: China

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant