CN211046952U - 一种基于NB-IoT的物联网安全通信装置 - Google Patents
一种基于NB-IoT的物联网安全通信装置 Download PDFInfo
- Publication number
- CN211046952U CN211046952U CN201921454627.9U CN201921454627U CN211046952U CN 211046952 U CN211046952 U CN 211046952U CN 201921454627 U CN201921454627 U CN 201921454627U CN 211046952 U CN211046952 U CN 211046952U
- Authority
- CN
- China
- Prior art keywords
- internet
- data
- platform
- things
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Selective Calling Equipment (AREA)
Abstract
本实用新型属于物联网设备技术领域,公开了一种基于NB‑IoT的物联网安全通信装置,通过NB通信装置与物联网设备相连接的物联网平台和秘钥管理分发平台;秘钥管理分发平台还与物联网平台相连接。使用占用资源较小的轻量级算法在保障安全性的前提下,使系统的功耗依然较低,同时较小的计算开销能够使绝大多数的物联网设备采用。在物联网平台方面采用分布式架构,满足海量物联网设备接入设备的需求;同时海量设备的注册和通信需要频繁使用数据库,因此秘钥管理分发平台采用Redis缓存数据库可满足高并发的需求。使得现有的不具有安全通信功能的物联网设备和物联网平台能够安全地连入互联网。
Description
技术领域
本实用新型属于物联网设备技术领域,尤其涉及一种基于NB-IoT的物联网安全通信装置。
背景技术
目前,业内常用的现有技术是这样的:物联网(IOT)掀起了近几十年来最大的技术浪潮之一,预计到2020年,将有500亿台设备实现互连,形成可能覆盖我们周围一切事物的网络。物联网将跨越工业、商业、医疗、汽车和其它应用,影响数十亿人。鉴于其对个人、机构和系统的影响范围甚广,安全性上升成为所有物联网系统中最关键的组成部分,任何负责任的商业物联网企业都必须真正把握安全性的理念受到了广泛认可。任何物联网设备都要保证数据机密性、完整性和真实性三方面,数据机密性:需要保证数据的机密性,从而确保在传输过程中数据或信息的不泄露;数据完整性:需要保证数据在整个传输过程中的完整性,从而确保数据不会被篡改,或者能够及时感知或分辨被篡改的数据;数据真实性:需要保证数据的真实性,从而确保在传输过程中数据或信息的是来自真正通信的双方而不是来自攻击者。物联网的应用打破了原有生产管理系统的闭环,导致相关机密或隐私的泄露风险。现有的物联网系统中的大部分组件不具有攻击防御的功能,也可能引发新型的网络攻击。因此,有必要对现有的物联网安全通信系统进行改进。
综上所述,现有技术存在的问题是:物联网设备资源有限,计算能力不足,无法采用公私钥进行秘钥切换,如果采用DH交换更新秘钥,又无法对交换过程进行消息认证,容易遭受中间人攻击;如果不更新秘钥,相同秘钥使用次数过多时容易受到惟密文攻击。
现有的物联网系统中的大部分组件不具有攻击防御的功能,也可能引发新型的网络攻击。
发明内容
针对现有技术存在的问题,本实用新型提供了一种基于NB-IoT的物联网安全通信装置。
本实用新型是这样实现的,一种基于NB-IoT4的物联网安全通信装置,包括:通过NB通信装置与物联网设备相连接的物联网平台和秘钥管理分发平台;
秘钥管理分发平台还与物联网平台相连接。将秘钥存储和物联网平台分离,防止平台被攻击时造成秘钥泄露。
进一步,所述物联网设备包括主控器,主控器上连接有NB通信装置、数据采集装置、电源装置以及本地数据存储器。NB通信装置使物联网设备无线远距离低成本低功耗通信成为可能。
进一步,所述主控器包括依次连接的安全通信装置、设备身份认证装置和网络安全数据收发器;安全通信装置与数据处理器、上行命令装置、下行命令装置、秘钥存储RAM等相连接,网络安全数据收发器与NB通信装置相连接;
设备身份认证装置、网络安全数据收发器、安全通信装置均集成于主控器的芯片内。以上装置可以实现对数据进行加解密、签名和认证、数据校验等功能,保证数据的真实性、机密性、完整性。
进一步,所述物联网平台包括通信装置,以及依次与通信装置相连接的平台身份认证装置和平台加解密装置,平台加解密装置上还连接有相互连接的设备管理装置和数据存储器。平台的身份认证模块和加解密模块与设备对应的模块功能类似;设备管理模块用于设备的添加或者删除;数据存储模块用于将设备的数据进行存储,用于为上层应用提供设备的数据。
进一步,所述秘钥管理分发平台包括通信装置,以及依次与通信装置相连接的秘钥管理装置和秘钥分发装置。用于生成每一个物联网设备的初始秘钥和存储设备的秘钥。
进一步,所述安全通信装置包括设备数据加密装置、设备数据解密装置和计数装置;设备数据加密装置的输入端与数据采集装置连接,输出端连接有计数装置;计数装置的输出端连接有上行命令装置,上行命令装置输出端与设备数据加密装置相连接;设备数据解密装置的输出端连接有下行命令装置,下行命令装置与秘钥存储RAM相连接。计数模块用于控制秘钥使用次数的阈值,达到阈值时切换秘钥。
进一步,所述网络安全数据收发器包括输出端与设备身份认证装置相连接的网络端数据接收装置,以及输入端与设备身份认证装置相连接的网络端数据发送装置。
进一步,所述平台加解密装置包括输入与设备管理装置相连接输出与平台身份认证装置的平台数据加密装置,以及输出与设备管理装置相连接输入与平台身份认证装置的平台数据解密装置;平台加解密装置还与数据存储装置相连接。
综上所述,本发明的优点及积极效果为:之前的技术方案无法实现公私钥技术下的秘钥切换,本方案提供的安全的具有签名和校验的DH交换在物联网设备上经过测试,可在3s内完成秘钥切换,在不特别频繁切换秘钥的情况下,本方案的时间消耗对于保障安全性来说是可以接受的。同时采用的AES加密方案在该装置上也可以很好的执行,通过对正常传输数据加解密的测试,加解密耗时不超过0.5s。该装置使用占用资源较小的轻量级算法在保障安全性的前提下,使系统的功耗依然较低,同时较小的计算开销能够使绝大多数的物联网设备采用。在物联网平台方面采用分布式架构,满足海量物联网设备接入设备的需求;同时海量设备的注册和通信需要频繁使用数据库,因此秘钥管理分发平台采用Redis缓存数据库可满足高并发的需求。在物联网设备和物联网平台进行信息传输控制的过程中,物联网设备在物联网平台注册时,由秘钥分发装置通过设备ID和注册时间等参数生成初始秘钥,初始秘钥存储于物联网设备和秘钥管理装置中,物联网平台在通信时获取秘钥管理装置缓存的秘钥,物联网设备存储的秘钥和物联网平台获取的秘钥分别通过设备身份认证装置和平台身份认证装置实现物联网设备和物联网平台之间的身份认证,认证通过才能进行正常数据交换,既可以保障物联网设备数据的真实性、机密性、完整性,又能在物联网设备和物联网平台之间进行双向身份认证,从而有效解决了现有的物联网系统中的大部分组件不具有攻击防御的功能,也可能引发新型的网络攻击的安全问题,使得现有的不具有安全通信功能的物联网设备和物联网平台能够安全地连入互网,由此解决物联网系统中所存在数据安全隐患的问题。
附图说明
图1是本实用新型实施例提供的基于NB-IoT的物联网安全通信装置的结构原理图。
图2是本实用新型实施例提供的主控器的原理图。
图3是本实用新型实施例提供的物联网平台数据处理流程图。
具体实施方式
为能进一步了解本实用新型的发明内容、特点及功效,兹例举以下实施例,并配合附图详细说明如下。
针对现有技术存在的问题,本发明提供了一种基于NB-IoT的物联网安全通信装置,下面结合附图1至附图3对本实用新型作详细的描述。
该基于NB-IoT的物联网安全通信装置包括通过NB通信装置与物联网设备相连接的物联网平台和秘钥管理分发平台,秘钥管理分发平台还与物联网平台相连接;秘钥管理分发平台用于物联网设备和物联网平台之间的秘钥管理。
该装置使用占用资源较小的轻量级算法在保障安全性的前提下,使系统的功耗依然较低,同时较小的计算开销能够使绝大多数的物联网设备采用;在物联网平台方面采用分布式架构,满足海量物联网设备接入设备的需求;同时海量设备的注册和通信需要频繁使用数据库,因此秘钥管理分发平台采用Redis缓存数据库可满足高并发的需求。
在物联网设备和物联网平台进行信息传输控制的过程中,通过秘钥管理分发平台实现物联网设备和物联网平台之间的身份认证,其具体的,物联网设备初始化时需要在平台进行注册,由秘钥分发装置通过设备ID和注册时间等参数生成初始秘钥,初始秘钥存储于物联网设备和秘钥管理装置中,物联网平台在和物联网设备进行通信时获取秘钥管理装置缓存的秘钥,秘钥分别在物联网设备和物联网平台上进行认证,认证通过才能进行正常数据交换;在需要对秘钥进行更新时,物联网设备内的主控器发起秘钥更新请求,NB通信装置传送此请求到物联网平台,平台对消息进行验证,验证通过后使用之前秘钥的哈希值作为签名,开始和物联网设备进行DH交换,交换完成后物联网平台用新秘钥对设备发起挑战,当设备对挑战的应答通过后可以证明双方秘钥一致,此时物联网设备将新秘钥存储于秘钥存储RAM中,物联网平台将新秘钥发送到秘钥管理分发平台的数据库中进行更新;交换的过程中数据通过分别在设备身份认证装置和平台身份认证装置内进行认证,其认证为对数据的哈希值进行完整性校验,使用初始秘钥作为的哈希值作为签名认证,并且使用挑战应答抵御重放攻击。其既可以保障物联网设备数据的真实性、机密性、完整性,又能在物联网设备和物联网平台之间进行双向身份认证。
另外,如图1、图2和图3所示,物联网设备包括主控器,主控器采用低功耗的Hi2115芯片,主控器上连接有NB通信装置、数据采集装置、电源装置以及本地数据存储器;主控器包括依次连接的安全通信装置、设备身份认证装置和网络安全数据收发器;安全通信装置与数据处理器、上行命令装置、下行命令装置、秘钥存储RAM等相连接,网络安全数据收发器与NB通信装置相连接;物联网平台包括通信装置,以及依次与通信装置相连接的平台身份认证装置和平台加解密装置,平台加解密装置上还连接有相互连接的设备管理装置和数据存储器。
设备身份认证装置、网络安全数据收发器、安全通信装置均集成于Hi2115芯片内。如图2所示,物联网设备向物联网平台发送信息的过程中,安全通信装置接收数据采集装置采集的信息,即接收传感器采集到的信息并上传到设备数据加密装置,加密结束后会将数据传输到身份认证装置进行签名和增加校验位,这个过程会使用到秘钥和设备唯一ID,之后通过网络端数据发送装置将数据发送出去。每次使用设备数据加密装置,计数装置都会加一,当达到阈值之后计数装置会通知上行命令装置发送申请切换秘钥命令,此命令再经过设备数据加密装置的处理,以及设备身份验证后通过网络前端数据发送装置将数据发送出去。
如图2所示,在物联网设备接收物联网平台发送信息的过程中,网络端数据接收装置接收到数据后发送到设备身份认证装置,设备身份认证装置进行签名认证和数据校验对比,这个过程会使用到秘钥和设备唯一ID,校验通过后发送到安全通信装置中的设备数据解密装置进行解密,将解密的命令发送到下行命令装置执行进一步的命令;如果下行命令是切换秘钥的命令,则将新秘钥写入到与物联网设备相连接的秘钥存储RAM中,从而实现设备对新秘钥的保存。
其中,数据处理器主要用于对数据拆分,格式转换和数据重组等处理。其为现有技术存在可实现的功能装置,其并不涉及到计算机程序或协议的改进。
在本实施例中,NB通信装置采用3GPP NB-IoT无线电协议与移动网络运营商基础设施设备进行通信。
如图2所示,数据处理器对采集物理世界中所需要的数据进行处理,然后将数据传输到安全通信装置装置,主控器内的安全通信装置从秘钥存储RAM中拿到秘钥后对数据进行加密处理,再通过设备身份认证装置从秘钥存储RAM中拿到秘钥后对数据进行签名封装,将封装好的数据传输到NB通信装置,由NB通信装置使用3GPP NB-IoT无线电协议与移动网络运营商基础设施设备进行通信将数据发送到物联网平台,然后平台对数据进行验证,验证通过后解密并使用。
如图3所示,物联网平台和秘钥管理分发平台通过通信装置连接,在物联网设备进行注册时平台将秘钥写入秘钥管理分发平台,在物联网平台与物联网设备通信时从秘钥管理分发平台获取秘钥。加密数据通过通信装置发送到平台身份认证装置,平台身份认证装置进行签名认证和数据校验对比,这个过程会使用到根据设备唯一ID从秘钥管理分发装置获取的秘钥,校验通过后发送到平台加解密装置中的平台数据解密装置进行解密,解密的数据发送到设备管理装置;同时物联网设备采集到的信息传输至物联网平台并储存在数据存储器中。在设备管理装置向平台加密装置发送数据后,物联网平台根据设备ID从秘钥管理分发装置获取相对应的秘钥,经过加密处理,再发送到平台身份认证装置,最终再通过通信装置将数据发送出去。
秘钥管理分发平台采用Linux系统部署Redis服务器,支持海量秘钥生成和秘钥查询请求。其为现有技术可实现的功能装置,其并不涉及到计算机程序或协议的改进。
在本实施例中,物联网设备的设备身份认证装置和数据加密装置和数据解密装置均采用集成于LKT4303芯片上的相关功能装置,再在LKT4303芯片上集成计数装置,计数装置采用常用的寄存器,应用LKT4303芯片本身所固有的AES算法实现加解密过程同时增加签名实现身份认证。同时物联网平台的平台身份认证装置和数据加解密装置也采用与LKT4303芯片上相同的算法实现身份认证和加解密过程。两者的加解密过程所采用的装置均为现有技术可实现的功能装置,其并不涉及到计算机程序或协议的改进。两者的身份认证功能采用初始秘钥加哈希函数取代计算量巨大的公钥验证方案。
网络安全数据收发器为现有技术存在或有现有技术可实现的功能装置,其功能为接收和发送数据,并不涉及到计算机程序或协议的改进。
通过设置数据加/解密处理装置,有效解决了现有的物联网系统中的大部分组件不具有攻击防御的功能,也可能引发新型的网络攻击的安全问题,使得现有的不具有安全通信功能的物联网设备和物联网平台能够安全地连入互联网,由此解决物联网系统中所存在数据安全隐患的问题。
工作原理:物联网设备首先在物联网平台进行注册,然后通过秘钥管理分发模块采用设备的一些参数创建与设备对应的初始化秘钥,然后将秘钥分别存储在秘钥管理模块和设备的秘钥存储RAM中。物联网设备在工作时,由数据采集模块采集到物理数据,经过数据处理模块处理完成后传输到设备数据加密模块,设备数据加密模块读取秘钥存储RAM中的秘钥对数据进行加密,同时计数模块对秘钥使用情况进行统计,在安全通信模块处理完成后数据传输到设备身份认证模块,由签名模块读取秘钥和设备ID对数据进行签名操作,由数据校验模块对数据增加校验位,然后将数据发送到网络端数据接收模块通过NB通信模块将数据发送到物联网平台。物联网平台收到数据后通过平台身份认证模块中的签名模块对数据进行认证,签名模块根据数据头部的设备ID号通过秘钥管理模块查询该ID对应的秘钥,通过ID和秘钥对数据的签名进行认证,认证通过后再由数据校验模块对数据的完整性进行校验,校验通过后传输到平台解密模块,通过之前的秘钥对数据进行解密,将解密的信息发送传输到设备管理模块和数据存储模块。同时,当设备中的计数模块统计同一个秘钥使用次数达到阈值之后由上行命令模块发送申请切换秘钥请求,该命令通过安全通信模块进行加密,通过设备身份认证模块进行签名和增加校验数据,然后由NB通信模块发送到物联网平台,之后设备和平台通过类似数据传输的方式进行DH交换产生新的秘钥,设备将新的秘钥更新与秘钥存储RAM,平台将新的秘钥发送到秘钥管理模块。
以上所述仅是对本实用新型的较佳实施例而已,并非对本实用新型作任何形式上的限制,凡是依据本实用新型的技术实质对以上实施例所做的任何简单修改,等同变化与修饰,均属于本实用新型技术方案的范围内。
Claims (5)
1.一种基于NB-IoT的物联网安全通信装置,其特征在于,所述基于NB-IoT的物联网安全通信装置包括:通过NB通信装置与物联网设备相连接的物联网平台和秘钥管理分发平台;
秘钥管理分发平台还与物联网平台相连接;
所述物联网设备包括主控器,主控器上连接有NB通信装置、数据采集装置、电源装置以及本地数据存储器;
所述主控器包括依次连接的安全通信装置、设备身份认证装置和网络安全数据收发器;安全通信装置与数据处理器、上行命令装置、下行命令装置、秘钥存储RAM相连接,网络安全数据收发器与NB通信装置相连接;
设备身份认证装置、网络安全数据收发器、安全通信装置均集成于主控器的芯片内;
所述物联网平台包括通信装置,以及依次与通信装置相连接的平台身份认证装置和平台加解密装置,平台加解密装置上还连接有相互连接的设备管理装置和数据存储器。
2.如权利要求1所述基于NB-IoT的物联网安全通信装置,其特征在于,所述秘钥管理分发平台包括通信装置,以及依次与通信装置相连接的秘钥管理装置和秘钥分发装置。
3.如权利要求1所述基于NB-IoT的物联网安全通信装置,其特征在于,所述安全通信装置包括设备数据加密装置、设备数据解密装置和计数装置;设备数据加密装置的输入端与数据采集装置连接,输出端连接有计数装置;计数装置的输出端连接有上行命令装置,上行命令装置输出端与设备数据加密装置相连接;设备数据解密装置的输出端连接有下行命令装置,下行命令装置与秘钥存储RAM相连接。
4.如权利要求1所述基于NB-IoT的物联网安全通信装置,其特征在于,所述网络安全数据收发器包括输出端与设备身份认证装置相连接的网络端数据接收装置,以及输入端与设备身份认证装置相连接的网络端数据发送装置。
5.如权利要求1所述基于NB-IoT的物联网安全通信装置,其特征在于,所述平台加解密装置包括输入与设备管理装置相连接输出与平台身份认证装置的平台数据加密装置,以及输出与设备管理装置相连接输入与平台身份认证装置的平台数据解密装置;平台加解密装置还与数据存储装置相连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201921454627.9U CN211046952U (zh) | 2019-09-03 | 2019-09-03 | 一种基于NB-IoT的物联网安全通信装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201921454627.9U CN211046952U (zh) | 2019-09-03 | 2019-09-03 | 一种基于NB-IoT的物联网安全通信装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN211046952U true CN211046952U (zh) | 2020-07-17 |
Family
ID=71538267
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201921454627.9U Active CN211046952U (zh) | 2019-09-03 | 2019-09-03 | 一种基于NB-IoT的物联网安全通信装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN211046952U (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117056916A (zh) * | 2023-10-12 | 2023-11-14 | 西安品盛互联网技术有限公司 | 一种基于物联网的数据安全性检测系统 |
-
2019
- 2019-09-03 CN CN201921454627.9U patent/CN211046952U/zh active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117056916A (zh) * | 2023-10-12 | 2023-11-14 | 西安品盛互联网技术有限公司 | 一种基于物联网的数据安全性检测系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104852925B (zh) | 移动智能终端数据防泄漏安全存储、备份方法 | |
| CN103532713B (zh) | 传感器认证和共享密钥产生方法和系统以及传感器 | |
| CN101599188B (zh) | 一种基于ipa安全认证的门禁系统 | |
| CN101296086B (zh) | 接入认证的方法、系统和设备 | |
| CN110336774A (zh) | 混合加密解密方法、设备及系统 | |
| CN104113839A (zh) | 基于sdn的移动数据安全保护系统及方法 | |
| CN106658474A (zh) | 利用嵌入式安全元件实现sim卡数据安全防护方法 | |
| CN104579679B (zh) | 用于农配网通信设备的无线公网数据转发方法 | |
| CN103699920A (zh) | 基于椭圆曲线的射频识别双向认证方法 | |
| CN106789024B (zh) | 一种远程解锁方法、装置和系统 | |
| CN110225014B (zh) | 基于指纹集中下发式的物联网设备身份认证方法 | |
| CN101964805B (zh) | 一种数据安全发送与接收的方法、设备及系统 | |
| CN110401530A (zh) | 一种燃气表的安全通信方法、系统、设备和存储介质 | |
| CN103971426A (zh) | 一种基于psam安全控制的门禁系统及其安全门禁方法 | |
| CN109618334A (zh) | 控制方法及相关设备 | |
| CN204180095U (zh) | 一种用于网络数据加密传输的加解密装置 | |
| CN109413648A (zh) | 访问控制方法、终端、智能卡、后台服务器及存储介质 | |
| CN105515757A (zh) | 基于可信执行环境的安全性信息交互设备 | |
| CN103905389B (zh) | 基于中继设备的安全关联、数据传输方法及装置、系统 | |
| CN103152326A (zh) | 一种分布式认证方法及认证系统 | |
| CN211046952U (zh) | 一种基于NB-IoT的物联网安全通信装置 | |
| CN106790078A (zh) | 一种sdk和电子凭证系统之间的安全通信方法与装置 | |
| CN110210199B (zh) | 基于指纹采集与识别的物联网设备身份认证方法 | |
| CN116208330A (zh) | 一种基于量子加密的工业互联网云边协同数据安全传输方法及系统 | |
| CN110113153A (zh) | 一种nfc密钥更新方法、终端及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |