TWI649997B - 物聯網系統及其資訊安全通訊方法 - Google Patents
物聯網系統及其資訊安全通訊方法 Download PDFInfo
- Publication number
- TWI649997B TWI649997B TW106144749A TW106144749A TWI649997B TW I649997 B TWI649997 B TW I649997B TW 106144749 A TW106144749 A TW 106144749A TW 106144749 A TW106144749 A TW 106144749A TW I649997 B TWI649997 B TW I649997B
- Authority
- TW
- Taiwan
- Prior art keywords
- data
- communication device
- dynamic password
- password
- internet
- Prior art date
Links
Landscapes
- Arrangements For Transmission Of Measured Signals (AREA)
Abstract
本發明提供一種物聯網系統及其資訊安全通訊方法。伺服主機產生動態密碼,並依據動態密碼對感應通訊裝置的身分識別碼加密以產生伺服端加密密碼。感應通訊裝置經由物聯網網路而自伺服主機取得此伺服端加密密碼,並依據身分識別碼對伺服端加密密碼解密,以產生動態密碼。感應通訊裝置依據動態密碼對感應端資料加密,以產生感應端加密資料並經由物聯網網路送至伺服主機。藉此,達到幾乎不可破解的資通安全強度,解決物聯網系統的資料通訊安全問題,大幅提升資料傳遞的可靠度。
Description
本發明是有關於一種資訊安全,且特別是有關於一種是用於物聯網(Internet of Things,IoT)之IoT系統及其方法。
IoT發想的目的之一係為了讓行使獨立功能的裝置能實現相互聯通,使這些裝置都能發送訊息至IoT網路,以取得位置、溫度、氣壓等任何感測資訊,或是對這些裝置進行遠端遙控、自動化操作等作業。甚至,佈建數以萬計的IoT裝置來聚合大數據資料,再將這些資料分析歸納後即對都市、公司、家庭或個人的事物進行改變。然而,現有IoT技術中,鮮少有針對資料傳輸提出合適的安全機制,更難以避免傳輸資料遭到竄改。
有鑑於此,本發明提供一種IoT系統及其方法,其利用動態密碼(One Time Password,OTP,或稱一次性密碼)對資料進行
加密或解密,從而提升資料傳輸的可靠度。
本發明的資訊安全通訊方法,其適用於IoT網路,且伺服主機與感應通訊裝置經由IoT網路通訊,而此資訊安全通訊方法包括下列步驟。產生動態密碼,並依據動態密碼對感應通訊裝置的身分識別碼加密,以產生伺服端加密密碼。經由IoT網路取得此伺服端加密密碼,並依據身分識別碼對伺服端加密密碼解密,以產生動態密碼。感應通訊裝置依據動態密碼對感應端資料加密,以產生感應端加密資料並經由IoT網路發送。
本發明的IoT系統,其包括感應通訊裝置及伺服主機。感應通訊裝置連線至IoT網路。伺服主機亦連線至此IoT網路,產生動態密碼,並依據動態密碼對感應通訊裝置的身分識別碼加密以產生伺服端加密密碼。感應通訊裝置自伺服主機取得此伺服端加密密碼,並依據身分識別碼對伺服端加密密碼解密,以產生動態密碼。感應通訊裝置依據動態密碼對感應端資料加密,以產生感應端加密資料並送至伺服主機。
基於上述,本發明實施例係由伺服主機提供動態密碼,而感應通訊裝置提供身分識別碼,使雙方能透過對方提供的資料進行加解密,從而提升資訊安全強度,解決IoT系統的資料通訊安全問題。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
1‧‧‧IoT系統
10‧‧‧感應通訊裝置
11‧‧‧感測元件
13、31‧‧‧通訊模組
30‧‧‧伺服主機
32‧‧‧儲存器
33‧‧‧處理器
40‧‧‧憑證管理中心
50‧‧‧線上憑證狀態通訊協定伺服器
S210~S240、S310~S360、S410~S490、S510~S550‧‧‧步驟
圖1是依據本發明一實施例之物聯網系統的示意圖。
圖2是依據本發明一實施例的資訊安全通訊的流程圖。
圖3是依據本發明第一應用情境的註冊階段的流程圖。
圖4是依據本發明第二應用情境的憑證申請階段的流程圖。
圖5是依據本發明第三應用情境的資料傳輸階段的流程圖。
圖1是依據本發明一實施例之物聯網(IoT)系統1的示意圖。請參照圖1,IoT系統1包括一個或更多個感應通訊裝置10、伺服主機30、憑證管理中心40及線上憑證狀態通訊協定伺服器50。
感應通訊裝置10可以係感測器、智慧家電、監控設備、機器人等各類型IoT設備。感應通訊裝置10至少包括但不僅限於感測元件11、及通訊模組13。感測元件11可以係偵測諸如溫度、氣壓、濕度、無線電、流量等任何物理條件、化學組成或數位資訊感測器,並可將原資料轉換後呈感測資訊。而通訊模組13可以係支援長距離(Long Range,LoRa)、載頻(Narrow Band)-IoT、Sigfox等低功耗廣域網路(Low Power Wide Area,LPWA)、第四代(4G)行動通訊網路、或乙太網路(Ethernet)、光纖網路等各種通訊技術的通訊處理電路、晶片或微控制器,以將感測元件11所產生的感測
資料發送至IoT網路20。
伺服主機30可以係個人電腦、伺服器、工作站等電子裝置。伺服主機30至少包括但不僅限於通訊模組31、儲存器32及處理器33。通訊模組31可以係與通訊模組13相同或相似的硬體元件。儲存器32可以係任何型態的固定或可移動隨機存取記憶體(RAM)、唯讀記憶體(ROM)、快閃記憶體(flash memory)、傳統硬碟(hard disk drive)、固態硬碟(solid-state drive)或類似元件,並用以記錄動態密碼產生模組321、伺服控制模組322、代理簽章伺服模組323等軟體程式、感測資訊、動態密碼、身分識別碼、憑證等相關資訊及資料。前述模組、資料待後續實施例再詳細說明。處理器33與通訊模組31及儲存器32耦接,並可以是中央處理單元(CPU),或是其他可程式化之一般用途或特殊用途的微處理器(Microprocessor)、數位信號處理器(DSP)、可程式化控制器、特殊應用積體電路(ASIC)或其他類似元件或上述元件的組合。在本發明實施例中,處理器33用以執行伺服主機30的所有作業,且可存取並執行上述儲存器32中記錄的模組。
憑證管理中心40為發行與驗證物聯網憑證的組織,是屬於公正的第三方,負責證明提出IoT憑證發行者的身分正確性,保證包含在物聯網憑證裡資訊內容的正確性,並且需要對IoT憑證作數位簽章,其作業可由電腦設備來執行。而線上憑證狀態通訊協定伺服器50,可提供其他裝置對發行之憑證狀態進行查詢,以檢驗憑證之有效性。
為了方便理解本發明的操作流程,以下將舉諸多實施例詳細說明。圖2是依據本發明一實施例說明一種資訊安全通訊方法之流程圖。請參照圖2,下文中,將搭配IoT系統1中的各裝置、元件及模組說明本發明實施例所述之方法。本方法的各個流程可依照實施情形而隨之調整,且並不僅限於此。
伺服主機30的動態密碼產生模組321可反應於感應通訊裝置10的註冊申請、憑證申請或資料傳輸需求,而產生動態密碼(步驟S210)。而伺服控制模組322則可依據此動態密碼對任何資料(例如,感應通訊裝置10的身分識別碼、特定序號、編號等資料)進行加密,以產生伺服端加密密碼(步驟S220)。伺服控制模組322可利用互斥或密碼(XOR cipher)、雜湊(Hash)函數、先進加密標準(Advanced Encryption Standard,AES)等各類型對稱式加密演算法。而若考量感應通訊裝置10的運算能力不高,則較佳實施例係採用互斥或密碼來實現,亦能達到一定的安全強度。而伺服控制模組322除了可利用動態密碼來對資料加密,還能對已加密資料進行解密,若能解密成功,表示使用相同的動態密碼。
而感應通訊裝置10之通訊模組13則可經由IoT網路20而自伺服主機30取得此伺服端加密密碼,並依據身分識別碼對伺服端加密密碼解密,以產生動態密碼(步驟S230)。也就是說,若步驟S220所使用的資料是源自於感應通訊裝置10的身分識別碼,則具有此身分識別碼的感應通訊裝置10同樣能將伺服端加密密碼還原成動態密碼,從而取得來自伺服主機30的動態密碼。而
由於伺服端加密密碼已受加密,因此任何不同於感應通訊裝置10的身分識別碼的其他識別碼都無法還原步驟S210所產生的動態密碼。
接著,感應通訊裝置10即可依據動態密碼對感應端資料(例如,任何識別碼、申請資料、感測元件11的感測資料等)加密,以產生感應端加密資料並透過通訊模組13送至伺服主機30(步驟S240)。感應通訊裝置10需要採用與步驟S220相同的加密演算法來加密,使伺服主機30以步驟S210產生的動態密碼對感應端資料解密可得出感應端資料。
為了幫助讀者更加清楚本發明精神,以下將舉三種應用情境:請參照圖3是依據本發明第一應用情境的註冊階段的流程圖。感應通訊裝置110以出場內建的產品序號作為身分識別碼,而透過通訊模組13向伺服主機30之伺服控制模組322申請身分識別登錄註冊前置作業(步驟S310)。伺服控制模組322則向動態密碼產生模組321要求產生動態密碼(步驟S320)。動態密碼產生模組321反應於註冊申請要求,而產生動態密碼並提供給伺服控制模組322(步驟S330)。伺服控制模組322即可將產品序號與此動態密碼作互斥或密碼加密,以產生伺服端加密密碼並傳送至感應通訊裝置10(步驟340)。而由於產品序號容易受他人取得,因此感應通訊裝置10以出廠的產品序號解密出動態密碼,並產生一組不同於產品序號的新身分識別碼取代出廠的產品序號,再以此動態密碼與產
生的新身分識別碼作互斥或密碼資料加密,且將此加密密碼資料(即,感應端加密資料)傳送至伺服主機30(步驟S350)。伺服控制模組322則可利用原動態密碼解密出感應通訊裝置10的新身分識別碼(步驟S360)。而新身分識別碼係經加密後才經由IoT網路20發出,即便他人取得此加密密碼資料,除非具有步驟S330所產生的動態密碼,否則無法得到新身分識別碼。
請參照圖4是依據本發明第二應用情境的憑證申請階段的流程圖。感應通訊裝置10向伺服控制模組322提出簽章憑證之申請(步驟S410)。反應於申請的接收,伺服控制模組322向動態密碼產生模組321要求產生動態密碼(步驟S420)。動態密碼產生模組321產生動態密碼給予伺服控制模組322(步驟S430)。伺服控制模組322以步驟S360所取得之新身分識別碼與動態密碼作互斥或密碼資料加密以產生加密密碼資料,再由通訊模組31傳送加密密碼資料至感應通訊裝置10(步驟S440)。感應通訊裝置10以新身分識別碼解密出動態密碼,再以此動態密碼與簽章憑證申請所需資料(即,感應端資料)作互斥或密碼資料加密,再將此感應端加密資料傳送至伺服主機30(步驟S450)。伺服控制模組322以原動態密碼解密出感應通訊裝置10的簽章憑證申請所需資料(步驟S460)。伺服控制模組322要求代理簽章伺服模組323向憑證管理中心40申請感應通訊裝置10的憑證(步驟S470)。代理簽章伺服模組323向憑證管理中心40申請感應通訊裝置10的憑證,並產生製造金鑰對(私鑰與公鑰),管理私密金鑰,產生憑證申請檔(步驟S480)。憑證管理中心40將感應
通訊裝置10申請的憑證發行至線上憑證狀態通訊協定伺服器50所提供的查詢系統,以供物聯網系統查詢憑證信任來源(步驟S490)。
請參照圖5是依據本發明第三應用情境的資料傳輸階段的流程圖。伺服控制模組322欲得到感應通訊裝置10所偵測的感測資料,要求動態密碼產生模組321產生動態密碼(步驟S510)。動態密碼產生模組321產生動態密碼給予伺服控制模組322(步驟S520)。伺服控制模組322以感應通訊裝置10的新身分識別碼與動態密碼作互斥或密碼資料加密,並將產生的加密密碼資料傳送至感應通訊裝置10(步驟S530)。感應通訊裝置10以新身分識別碼解密出動態密碼,再以此動態密碼與所感測資料(即,感應端資料)作互斥或密碼資料加密,再將此感應端加密資料傳送至伺服主機30(步驟S540)。伺服控制模組322以原動態密碼解密出感應通訊裝置偵測的感測資料(步驟S550)。伺服控制模組322將感應通訊裝置10的感測資料要求以代理簽章伺服模組323代管的私鑰(步驟S480所得)作簽章,確保IoT網路20所流通資料的可驗證性和正確性(步驟S560)。依此類推,重複循環執行步驟S510~S560即能達到資料通訊安全。
綜上所述,本發明實施例在IoT網路上的資料傳輸導入加密機制,由伺服主機產生動態密碼,並與感應通訊裝置用相同的動態密碼加密,使經由IoT網路發送的資料都能加密,從而提升安全性。在感應通訊裝置內嵌入互斥或密碼,即可大幅強化感應通訊裝置與伺服主機的資料安全通訊能力。互斥或密碼與動態
密碼加密搭配使用,增強資料安全性,這種密碼運算組合在理論上是不可破解的,達到極致安全的境地。感應通訊裝置以內建安全識別碼與動態密碼向伺服主機申請產製金鑰對,可由伺服主機執行感應通訊裝置的憑證之代理簽章服務,達到以識別碼轉換憑證。藉此,IoT感應通訊裝置如具有憑證的簽章能力,感應通訊裝置的傳輸資料就有信任的機制特性,有效防止傳輸資料被竄改的問題。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
Claims (8)
- 一種資訊安全通訊方法,適用於一物聯網(Internet of Things,IoT)網路,且一伺服主機與一感應通訊裝置經由該物聯網網路通訊,而該資訊安全通訊方法包括:產生一動態密碼(One Time Password,OTP);依據該動態密碼對該感應通訊裝置的身分識別碼加密,以產生一伺服端加密密碼;經由該物聯網網路取得該伺服端加密密碼,並依據該身分識別碼對該伺服端加密密碼解密,以產生該動態密碼;以及依據該動態密碼對一感應端資料加密,以產生一感應端加密資料並經由該物聯網網路發送,其中該身分識別碼係該感應通訊裝置的裝置識別碼,而依據該動態密碼對該感應端資料加密之前,更包括:產生不同於該裝置識別碼的新身分識別碼作為該感應端資料。
- 如申請專利範圍第1項所述的資訊安全通訊方法,其中依據該動態密碼對該感應端資料加密之前,更包括:將一簽章憑證所需資料作為該感應端資料。
- 如申請專利範圍第2項所述的資訊安全通訊方法,其中產生該感應端加密資料之後,更包括:將該感應端加密資料解密以取得該簽章憑證所需資料;以及以該簽章憑證所需資料向一憑證管理中心申請該感應通訊裝 置之憑證。
- 如申請專利範圍第1項所述的資訊安全通訊方法,其中依據該動態密碼對該感應端資料加密之前,更包括:將其所產生之感測資料作為該感應端資料,使得以該動態密碼對該感應端資料解密可得出該感測資料。
- 一種物聯網系統,包括:一感應通訊裝置,連線至一物聯網網路;以及一伺服主機,連線至該物聯網網路,產生一動態密碼,並依據該動態密碼對該感應通訊裝置的身分識別碼加密以產生一伺服端加密密碼,而該感應通訊裝置自該伺服主機取得該伺服器端加密密碼,並依據該身分識別碼對該伺服端加密密碼解密以產生該動態密碼,且該感應通訊裝置依據該動態密碼對一感應端資料加密以產生一感應端加密資料並送至該伺服主機,其中該身分識別碼係該感應通訊裝置的裝置識別碼,而該感應通訊裝置產生不同於該裝置識別碼的新身分識別碼作為該感應端資料。
- 如申請專利範圍第5項所述的物聯網系統,其中該感應通訊裝置將一簽章憑證所需資料作為該感應端資料。
- 如申請專利範圍第6項所述的物聯網系統,其中該伺服主機將該感應端加密資料解密以取得該簽章憑證所需資料,且該物聯網系統更包括:一憑證管理中心,接收該伺服主機所發送的該簽章憑證所需 資料,並據以產生該感應通訊裝置之憑證。
- 如申請專利範圍第6項所述的物聯網系統,其中該感應通訊裝置將其所產生之感測資料作為該感應端資料,使該伺服主機以該動態密碼對該感應端資料解密可得出該感測資料。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106144749A TWI649997B (zh) | 2017-12-20 | 2017-12-20 | 物聯網系統及其資訊安全通訊方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106144749A TWI649997B (zh) | 2017-12-20 | 2017-12-20 | 物聯網系統及其資訊安全通訊方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI649997B true TWI649997B (zh) | 2019-02-01 |
| TW201929475A TW201929475A (zh) | 2019-07-16 |
Family
ID=66213555
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106144749A TWI649997B (zh) | 2017-12-20 | 2017-12-20 | 物聯網系統及其資訊安全通訊方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI649997B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130268444A1 (en) * | 2010-05-28 | 2013-10-10 | Jong Namgoong | Three-factor user authentication method for generating otp using iris information and secure mutual authentication system using otp authentication module of wireless communication terminal |
| TW201521410A (zh) * | 2013-11-19 | 2015-06-01 | Chunghwa Telecom Co Ltd | 資訊傳輸防護系統及其簽章金鑰安全傳輸方法及機密資料加密傳送方法 |
| US20160285628A1 (en) * | 2015-03-26 | 2016-09-29 | EUROTECH S.p.A | System and method for trusted provisioning and authentication for networked devices in cloud-based iot/m2m platforms |
| CN107210914A (zh) * | 2015-01-27 | 2017-09-26 | 维萨国际服务协会 | 用于安全凭证供应的方法 |
| CN107395567A (zh) * | 2017-06-16 | 2017-11-24 | 深圳市盛路物联通讯技术有限公司 | 一种基于物联网的设备使用权限获取方法及系统 |
-
2017
- 2017-12-20 TW TW106144749A patent/TWI649997B/zh active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130268444A1 (en) * | 2010-05-28 | 2013-10-10 | Jong Namgoong | Three-factor user authentication method for generating otp using iris information and secure mutual authentication system using otp authentication module of wireless communication terminal |
| TW201521410A (zh) * | 2013-11-19 | 2015-06-01 | Chunghwa Telecom Co Ltd | 資訊傳輸防護系統及其簽章金鑰安全傳輸方法及機密資料加密傳送方法 |
| CN107210914A (zh) * | 2015-01-27 | 2017-09-26 | 维萨国际服务协会 | 用于安全凭证供应的方法 |
| US20160285628A1 (en) * | 2015-03-26 | 2016-09-29 | EUROTECH S.p.A | System and method for trusted provisioning and authentication for networked devices in cloud-based iot/m2m platforms |
| CN107395567A (zh) * | 2017-06-16 | 2017-11-24 | 深圳市盛路物联通讯技术有限公司 | 一种基于物联网的设备使用权限获取方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201929475A (zh) | 2019-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10958664B2 (en) | Method of performing integrity verification between client and server and encryption security protocol-based communication method of supporting integrity verification between client and server | |
| TWI537764B (zh) | 驗證資料中心內部執行之虛擬磁碟映像的地理位置的方法 | |
| US20190074980A1 (en) | Post-manufacture certificate generation | |
| US20150326539A1 (en) | Increased communication security | |
| TWI477134B (zh) | 產生安全裝置秘密金鑰的方法 | |
| US20100250949A1 (en) | Generation, requesting, and/or reception, at least in part, of token | |
| TW202137199A (zh) | 生物支付設備的認證方法、裝置、電腦設備和儲存媒體 | |
| WO2019161285A1 (en) | Devices and systems for industrial internet of things security | |
| EP3695561A1 (en) | Secure provisioning of data to client device | |
| US20150281241A1 (en) | Increased communication security | |
| CN117930736A (zh) | 一种plc通信安全检测方法 | |
| JP6408536B2 (ja) | 通信システム、通信装置、サーバ装置、通信方法、及びコンピュータプログラム | |
| EP4348920A1 (en) | Binding with cryptographic key attestation | |
| WO2018076291A1 (zh) | 权限令牌生成方法、系统及其设备 | |
| TWI649997B (zh) | 物聯網系統及其資訊安全通訊方法 | |
| Jerald et al. | Algorithmic approach to security architecture for integrated IoT smart services environment | |
| WO2018054144A1 (zh) | 对称密钥动态生成方法、装置、设备及系统 | |
| WO2022219319A1 (en) | Encrypted and authenticated firmware provisioning with root-of-trust based security | |
| WO2018076299A1 (zh) | 数据传输方法及装置 | |
| TWI698113B (zh) | 電子裝置之認證方法及系統 | |
| Kamarudin et al. | IBE_Trust Authentication for e-health mobile monitoring system | |
| Ren et al. | BIA: A blockchain-based identity authorization mechanism | |
| TWI747659B (zh) | 物聯網系統及隱私授權方法 | |
| CN116599771B (zh) | 数据分级保护传输方法及装置、存储介质和终端 | |
| JP2008203581A (ja) | ネットワークシステム |