WO2018233041A1

WO2018233041A1 - 一种基于位置的物联网数据加密方法及系统

Info

Publication number: WO2018233041A1
Application number: PCT/CN2017/100001
Authority: WO
Inventors: 杜光东
Original assignee: 深圳市盛路物联通讯技术有限公司
Priority date: 2017-06-21
Filing date: 2017-08-31
Publication date: 2018-12-27
Also published as: CN107248993B; CN107248993A

Abstract

本发明公开一种基于位置的物联网数据加密方法及系统，该方法包括：汇聚单元设置密钥生成算法，将密钥生成算法和汇聚单元感兴趣的位置信息发送给接入设备；接入设备将密钥生成算法写入位置信息匹配汇聚单元感兴趣的位置信息的终端设备中；终端设备根据唯一序列号，基于密钥生成算法生成第一鉴权信息，以第一鉴权信息对待发送数据进行鉴权加密获得第一数据包并发送给接入设备；接入设备识别终端设备的位置信息是否与汇聚单元感兴趣的位置信息相匹配，若是，根据接入设备的唯一序列号，基于密钥生成算法生成第二鉴权信息，以第二鉴权信息对第一数据包进行鉴权加密，获得第二数据包并发送给汇聚单元；提高数据传输的安全性和可靠性。

Description

一种基于位置的物联网数据加密方法及系统

技术领域

本发明涉及物联网技术领域，具体涉及一种基于位置的物联网数据加密方法及系统。

背景技术

物联网系统管理着海量终端设备，由于终端设备分散在各个地方，分布范围较广，是物联网系统中的薄弱节点，也是安全隐患较大的位置。而用户对物联网某些数据安全性要求也比较高。在市场上常用的物联网加密方式是在终端设备和汇聚单元中采用加密算法，该加密算法包括有对称加密算法和非对称加密算法，在对称加密算法中，加密密钥和解密密钥是相同的；在非对称加密算法中，加密密钥和解密密钥为配对的密钥，这两种加密算法都比较容易破解，降低了物联网数据传输的安全和可靠性。

发明内容

本发明实施例公开了一种基于位置的物联网数据加密方法及系统，摒弃传统的加密方式，用于解决现有物联网加密算法容易被破解，导致数据传输安全性和可靠性较低的问题，为数据传输提供安全性较高的数据通信链路，提高数据传输的安全和可靠性。

本发明第一方面公开了一种基于位置的物联网数据加密方法，可包括：

汇聚单元设置密钥生成算法，并将所述密钥生成算法和所述汇聚单元感兴趣的位置信息一起打包并发送给接入设备；

所述接入设备接收所述密钥生成算法和所述汇聚单元感兴趣的位置信息，保存所述密钥生成算法和所述汇聚单元感兴趣的位置信息，以及将所述密钥生成算法写入其无线网络覆盖范围内位置信息匹配所述汇聚单元感兴趣的位置信息的终端设备中；

所述终端设备获取待发送数据和所述终端设备的唯一序列号，以所述终端设备的唯一序列号为依据，基于所述密钥生成算法生成第一鉴权信息，以及以所述第一鉴权信息为依据，对所述待发送数据进行鉴权加密，以获得第一数据包；

所述终端设备将所述第一数据包发送给所述接入设备；

所述接入设备根据所述第一数据包，识别所述终端设备的位置信息是否与所述汇聚单元感兴趣的位置信息相匹配；

所述接入设备在确定出所述终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，获取所述接入设备的唯一序列号，以所述接入设备的唯一序列号为依据，基于保存的所述密钥生成算法生成第二鉴权信息；

所述接入设备以所述第二鉴权信息为依据，对所述第一数据包进行鉴权加密，以获得第二数据包，并将所述第二数据包发送给所述汇聚单元。

作为一种可选的实施方式，在本发明第一方面中，所述接入设备以所述第二鉴权信息为依据，对所述第一数据包进行鉴权加密，以获得第二数据包，并将所述第二数据包发送给所述汇聚单元之后，所述方法还包括：

所述汇聚单元接收所述接入设备发送的所述第二数据包；

所述汇聚单元以存储的所述接入设备的唯一序列号为依据，基于所述密钥生成算法生成第一验证信息，根据所述第一验证信息对所述第二数据包进行鉴权解密，以获得所述第一数据包；

所述汇聚单元以存储的所述终端设备的唯一序列号为依据，基于所述密钥生成算法生成第二验证信息，根据所述第二验证信息对所述第一数据包进行鉴权解密，以获得所述待发送数据。

作为一种可选的实施方式，在本发明第一方面中，所述接入设备在将所述密钥生成算法写入其无线网络覆盖范围内位置信息匹配所述汇聚单元感兴趣的位置信息的终端设备中之后，所述方法还包括：

所述接入设备在将所述密钥生成算法写入其无线网络覆盖范围内位置信息匹配所述汇聚单元感兴趣的位置信息的终端设备中之后，在其无线网络覆盖范围内广播侦听消息；

所述接入设备接收其无线网络覆盖范围内的终端设备针对所述侦听消息反馈的响应消息；

所述接入设备根据所述响应消息，判断其无线网络覆盖范围内是否接入新终端设备；

所述接入设备在确定出其无线网络覆盖范围内接入有所述新终端设备时，获取所述新终端设备的位置信息；

所述接入设备判断所述新终端设备的位置信息是否与所述汇聚单元感兴趣的位置信息相匹配；

所述接入设备在确定出所述新终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，将所述密钥生成算法写入所述新终端设备中。

作为一种可选的实施方式，在本发明第一方面中，所述接入设备在确定出所述新终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，以及将所述密钥生成算法写入所述新终端设备中之前，所述方法还包括：

所述接入设备在确定出所述新终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，确定所述密钥生成算法是否处于有效期；

所述接入设备在确定出所述密钥生成算法处于有效期时，执行将所述密钥生成算法写入所述新终端设备中的步骤。

作为一种可选的实施方式，在本发明第一方面中，所述接入设备将所述第二数据包发送给所述汇聚单元，包括：

所述接入设备通过跳频方式从目标传输频段中确定用于发送所述第二数据包的物理资源块的频域位置；

所述接入设备在确定的物理资源块的频域位置所对应的时频资源上，向所述汇聚单元发送所述第二数据包。

本发明第二方面公开了一种基于位置的物联网数据加密系统，可包括：

汇聚单元，用于设置密钥生成算法，并将所述密钥生成算法和所述汇聚单元感兴趣的位置信息一起打包并发送给接入设备；

所述接入设备，用于接收所述密钥生成算法和所述汇聚单元感兴趣的位置信息，保存所述密钥生成算法和所述汇聚单元感兴趣的位置信息，以及将所述密钥生成算法写入其无线网络覆盖范围内位置信息匹配所述汇聚单元感兴趣的位置信息的终端设备中；

所述终端设备，还用于获取待发送数据和所述终端设备的唯一序列号，以所述终端设备的唯一序列号为依据，基于所述密钥生成算法生成第一鉴权信息，以及以所述第一鉴权信息为依据，对所述待发送数据进行鉴权加密，以获得第一数据包；

所述终端设备，还用于将所述第一数据包发送给所述接入设备；

所述接入设备，还用于根据所述第一数据包，识别所述终端设备的位置信息是否与所述汇聚单元感兴趣的位置信息相匹配；

所述接入设备还用于在确定出所述终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，获取所述接入设备的唯一序列号，以所述接入设备的唯一序列号为依据，基于保存的所述密钥生成算法生成第二鉴权信息；

所述接入设备，还用于以所述第二鉴权信息为依据，对所述第一数据包进行鉴权加密，以获得第二数据包，并将所述第二数据包发送给所述汇聚单元。

作为一种可选的实施方式，在本发明第二方面中，所述汇聚单元，还用于接收所述接入设备发送的所述第二数据包；

所述汇聚单元，还用于以存储的所述接入设备的唯一序列号为依据，基于所述密钥生成算法生成第一验证信息，根据所述第一验证信息对所述第二数据包进行鉴权解密，以获得所述第一数据包；

所述汇聚单元，还用于以存储的所述终端设备的唯一序列号为依据，基于所述密钥生成算法生成第二验证信息，根据所述第二验证信息对所述第一数据包进行鉴权解密，以获得所述待发送数据。

作为一种可选的实施方式，在本发明第二方面中，所述接入设备还用于在将所述密钥生成算法写入其无线网络覆盖范围内位置信息匹配所述汇聚单元感兴趣的位置信息的终端设备中之后，在其无线网络覆盖范围内广播侦听消息；

所述接入设备，还用于接收其无线网络覆盖范围内的终端设备针对所述侦听消息反馈的响应消息；

所述接入设备，还用于根据所述响应消息，判断其无线网络覆盖范围内是否接入新终端设备；

所述接入设备还用于在确定出其无线网络覆盖范围内接入有所述新终端设备时，获取所述新终端设备的位置信息；

所述接入设备，还用于判断所述新终端设备的位置信息是否与所述汇聚单元感兴趣的位置信息相匹配；

所述接入设备还用于在确定出所述新终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，将所述密钥生成算法写入所述新终端设备中。

作为一种可选的实施方式，在本发明第二方面中，所述接入设备还用于在确定出所述新终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，确定所述密钥生成算法是否处于有效期；

所述接入设备还用于在确定出所述密钥生成算法处于有效期时，执行将所述密钥生成算法写入所述新终端设备中。

作为一种可选的实施方式，在本发明第二方面中，所述接入设备还用于将所述第二数据包发送给所述汇聚单元的方式具体为：

所述接入设备还用于通过跳频方式从目标传输频段中确定用于发送所述第二数据包的物理资源块的频域位置，在确定的物理资源块的频域位置所对应的时频资源上，向所述汇聚单元发送所述第二数据包。

与现有技术相比，本发明实施例具有以下有益效果：

在本发明实施例中，汇聚单元设置好用于生成鉴权信息的密钥生成算法，将密钥生成算法和汇聚单元感兴趣的位置信息一起打包发送给接入设备，接入设备自己保存该密钥生成算法和汇聚单元感兴趣的位置信息，并在其无线网络覆盖范围内，将密钥生成算法写入到汇聚单元感兴趣的位置信息对应的终端设备中。终端设备在写入了密钥生成算法后，以其唯一序列号为依据，基于该密钥生成算法生成第一鉴权信息，利用第一鉴权信息对待发送数据进行鉴权加密，获得第一数据包，然后将第一数据包发送给接入设备。接入设备在接收到第一数据包后，以其自身的唯一序列号为依据，基于保存的密钥生成算法生成第二鉴权信息，利用第二鉴权信息对第一数据包进行鉴权加密，获得第二数据包，然后将第二数据包发送给汇聚单元。可以看出，在本发明实施例中，对于汇聚单元指定位置信息的终端设备，利用汇聚单元给以的密钥生成算法生成鉴权信息，而且生成鉴权信息的因子为设备的唯一序列号，由于每个设备的唯一序列号为唯一的，生成的鉴权信息也不相同，而且在整条数据通信链路中每个设备都会数据进行了鉴权加密，为数据传输提供了一条安全性较高的数据通信链路，提高了数据传输的安全和可靠性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一些实施例公开的物联网架构示意图；

图2为本发明实施例公开的基于位置的物联网数据加密方法的流程示意图；

图3为本发明实施例公开的基于位置的物联网数据加密方法的另一流程示意图；

图4为本发明实施例公开的基于位置的物联网数据加密系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书中的术语“第一”、“第二”等是用于区别不同的对象，而不是用于描述特定顺序。本发明实施例的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本发明实施例公开了一种基于位置的物联网数据加密方法，用于为数据传输提供一条安全性较高的数据通信链路，提高了数据传输的安全和可靠性。本发明实施例还相应地公开了一种基于位置的物联网数据加密系统。

在介绍本发明技术方案之前，先简单介绍本发明一些实施例公开的物联网架构，图1为本发明一些实施例公开的物联网架构示意图，需要说明的是，图1仅为本发明一些实施例公开的物联网架构示意图，其它在图1基础上进行优化或者变形得到的示意图均属于本发明的保护范围，在此不再一一举例。图1所示的物联网架构按照功能划分可以包括终端设备层、接入设备层以及汇聚层三个层。其中，终端设备层可以包括海量规模的终端设备，例如湿度计、烟感器、通风设备、雨量传感器、灌溉阀等等；接入设备层可以包括网络连接的大量的接入设备，接入设备可以包括路由器、中继器、接入点等设备，本发明实施例不作限定；接入设备可以使用任何标准的组网协议，而且接入设备可以在不同的网络制式之间实现数据解析；汇聚层可以包括汇聚单元，汇聚单元可以对接入设备层的各个接入设备进行高层管理，从而实现数据传输频率、网络拓扑以及其他组网功能的控制；汇聚单元不仅可以对海量终端设备产生的物联网数据进行分析和决策，还可以通过发指令去获取信息或者配置终端设备参数(此时数据的传输指向终端设备)；汇聚单元还可以引入各种业务，从大数据到社交网络、甚至从社交工具“点赞”到天气分享等。在图1所示的物联网架构中，每一个接入设备可以为其自身无线网络覆盖范围内的海量终端设备提供物联网数据收发服务，其中，每一个接入设备自身无线网络覆盖范围内的每一个终端设备可以内置有无线通讯模块，这使得每一个接入设备可以通过无线网络通讯方式与自身无线网络覆盖范围内的每一个终端设备进行无线通讯。在图1所示的物联网架构中，终端设备内置的无线通讯模块在生产时，可以输入上频点470MHz，下频点510MHz，这样无线通讯模块可以自动将通讯频段定义为470MHz～510MHz，以符合中国SRRC标准的规定；或者，也可以输入上频点868MHz，下频点908MHz，这样无线通讯模块可以自动将通讯频段定义为868MHz～908MHz，以符合欧洲ETSI标准的规定；或者，可以输入上频点918MHz，下频点928MHz，这样无线通讯模块可以自动将通讯频段定义为918MHz～928MHz，以符合美国FCC标准的规定；或者，无线通讯模块的通讯频段也可以定义为符合日本ARIB标准或加拿大IC标准的规定，本发明实施例不作限定。在图1所示的物联网架构中，终端设备可以采用频分复用(Frequency Division Multiple Access，FDMA)、跳频 (Frequency-Hopping Spread Spectrum，FHSS)、动态时分复用(Dynamic Time Division Multiple Access，DTDMA)、退避复用(CSMA)相结合的方法来解决干扰问题。

基于图1所示的物联网架构，下面将结合具体实施例，对本发明技术方案进行详细说明。

请参阅图2，图2为本发明实施例公开的基于位置的物联网数据加密方法的流程示意图；如图2所示，一种基于位置的物联网数据加密方法可包括：

201、汇聚单元设置密钥生成算法，并将密钥生成算法和汇聚单元感兴趣的位置信息一起打包并发送给接入设备。

其中，汇聚单元针对其感兴趣的位置信息(可以设置了用于采集重要数据的终端设备所在位置)，需要加强这个位置的终端设备发出的数据的安全。进而，在本发明实施例中，汇聚单元可以针对这些位置的终端设备，设置相应的加密算法。在本发明实施例中提供了密钥生成算法，该密钥生成算法采用设备的唯一序列号作为因子，生成鉴权信息用于鉴权加密。

202、接入设备接收密钥生成算法和汇聚单元感兴趣的位置信息，保存密钥生成算法和汇聚单元感兴趣的位置信息，以及将密钥生成算法写入其无线网络覆盖范围内位置信息匹配汇聚单元感兴趣的位置信息的终端设备中。

作为一种可选的实施方式，该接入设备将密钥生成算法写入其无线网络覆盖范围内位置信息匹配汇聚单元感兴趣的位置信息的终端设备中，包括：接入设备确定出其无线网络覆盖范围内匹配该汇聚单元感兴趣的位置信息的终端设备，然后将密钥生成算法发送给对应的终端设备以进行自动写入或者保存。

203、终端设备获取待发送数据和终端设备的唯一序列号，以终端设备的唯一序列号为依据，基于密钥生成算法生成第一鉴权信息，以及以第一鉴权信息为依据，对待发送数据进行鉴权加密，以获得第一数据包。

204、终端设备将第一数据包发送给接入设备。

作为一种可选的实施方式，终端设备将第一数据包发送给接入设备具体包括：终端设备获取目标传输频段，然后确定目标传输频段所对应的时频资源，在时频资源上向接入设备发送该第一数据包。

作为另一种可选的实施方式，汇聚单元可以对终端设备指定上报数据的时间点，并通过接入设备将上报数据的时间点发送给终端设备，以便终端设备能够设置其上报数据的时间点。进而，终端设备将第一数据包发送给接入设备具体包括：终端设备检测当前系统时间，判断当前系统时间是否到达汇聚单元指定的上报数据的时间点，在当前系统时间到达汇聚单元指定的上报数的时间点时，将第一数据包发送给接入设备。

作为另一种可选的实施方式，终端设备将第一数据包发送给接入设备具体包括：终端设备检测当前系统时间，判断当前系统时间是否到达汇聚单元指定的上报数据的时间点，在当前系统时间到达汇聚单元指定的上报数的时间点时，获取目标传输频段，然后确定目标传输频段所对应的时频资源，在时频资源上向接入设备发送该第一数据包。

205、接入设备根据第一数据包，识别终端设备的位置信息是否与汇聚单元感兴趣的位置信息相匹配。其中，在判断结果为匹配时，转向步骤206；在判断结果为不匹配时，直接将第一数据包发送给汇聚单元。

其中，终端设备在第一数据包中携带终端设备的位置信息，接入设备从第一数据包中提取该位置信息，以提取的位置信息作为该终端设备的位置信息；或者

终端设备在第一数据包中携带设备标识，接入设备在接收到第一数据包后，从第一数据包中提取该设备标识，以该设备标识为关键字索引，从接入设备管理的终端设备信息表中查找该设备标识对应的位置信息，以查到的位置信息作为该终端设备的位置信息。

206、接入设备获取接入设备的唯一序列号，以接入设备的唯一序列号为依据，基于保存的密钥生成算法生成第二鉴权信息。

207、接入设备以第二鉴权信息为依据，对第一数据包进行鉴权加密，以获得第二数据包，并将第二数据包发送给汇聚单元。

作为一种可选的实施方式，接入设备将第二数据包发送给汇聚单元包括：接入设备通过跳频方式从目标传输频段中确定用于发送第二数据包的物理资源块的频域位置；在确定的物理资源块的频域位置所对应的时频资源上，向汇聚单元发送第二数据包。

作为一种可选的实施方式，接入设备以第二鉴权信息为依据，对第一数据包进行鉴权加密，以获得第二数据包，并将第二数据包发送给汇聚单元之后，本发明实施例还包括：

汇聚单元接收接入设备发送的第二数据包；

汇聚单元以存储的接入设备的唯一序列号为依据，基于密钥生成算法生成第一验证信息，根据第一验证信息对第二数据包进行鉴权解密，以获得第一数据包；

汇聚单元以存储的终端设备的唯一序列号为依据，基于密钥生成算法生成第二验证信息，根据第二验证信息对第一数据包进行鉴权解密，以获得待发送数据。

通过上述实施方式，汇聚单元能够根据密钥生成算法，以设备的唯一序列号为因子，生成验证信息，对数据包进行验证和解密。

进一步地，汇聚单元以存储的接入设备的唯一序列号为依据，基于密钥生成算法生成第一验证信息，根据第一验证信息对第二数据包进行鉴权解密，以获得第一数据包，包括：

汇聚单元根据接入设备的唯一序列号，基于密钥生成算法生成第一验证信息，利用该第一验证信息验证用于对第一数据包进行鉴权和加密的第二鉴权信息是否正确，并在判断结果为正确时，以解密得到第一数据包；

汇聚单元在判断结果为不正确时，向接入设备发送验证失败通知。

另外，汇聚单元以存储的终端设备的唯一序列号为依据，基于密钥生成算法生成第二验证信息，根据第二验证信息对第一数据包进行鉴权解密，以获得待发送数据，包括：

汇聚单元根据终端设备的唯一序列号，基于密钥生成算法生成第二验证信息，利用该第二验证信息验证用于对待发送数据进行鉴权和加密的第一鉴权信息是否正确，并在判断结果为正确时，以解密得到待发送数据；

在上述实施方式中，在验证失败发送失败通知以通知接入设备和终端设备。

实施例二

请参阅图3，图3为本发明实施例公开的基于位置的物联网数据加密方法的另一流程示意图；如图3所示，一种基于位置的物联网数据加密方法可包括：

301、汇聚单元设置密钥生成算法，并将密钥生成算法和汇聚单元感兴趣的位置信息一起打包并发送给接入设备。

302、接入设备接收密钥生成算法和汇聚单元感兴趣的位置信息，保存密钥生成算法和汇聚单元感兴趣的位置信息，以及将密钥生成算法写入其无线网络覆盖范围内位置信息匹配汇聚单元感兴趣的位置信息的终端设备中。

303、接入设备在将密钥生成算法写入其无线网络覆盖范围内位置信息匹配汇聚单元感兴趣的位置信息的终端设备中之后，在其无线网络覆盖范围内广播侦听消息。

其中，接入设备在接收汇聚单元下发的密钥生成算法和汇聚单元感兴趣的位置信息之后，将密钥生成算法写入其无线网络覆盖范围内位置信息匹配汇聚单元感兴趣的位置信息的终端设备中，之后，在其无线网络覆盖范围内广播侦听消息，以实时侦听接入的新终端设备。

作为一种可选的实施方式，接入设备还将在其无线网络覆盖范围内广播侦听消息，以实时侦听长时间不在线的终端设备，以实时更新路由表。

304、接入设备接收其无线网络覆盖范围内的终端设备针对侦听消息反馈的响应消息。

305、接入设备根据响应消息，判断其无线网络覆盖范围内是否接入新终端设备。其中，在判断结果为是时，转向步骤306；在判断结果为否时，结束该流程。

306、接入设备在确定出其无线网络覆盖范围内接入有新终端设备时，获取新终端设备的位置信息。

307、接入设备判断新终端设备的位置信息是否与汇聚单元感兴趣的位置信息相匹配。其中，在判断结果为是时，转向步骤306；在判断结果为否时，结束该流程。

308、接入设备在确定出新终端设备的位置信息与汇聚单元感兴趣的位置信息相匹配时，将密钥生成算法写入新终端设备中。

作为一种可选的实施方式，接入设备在确定出新终端设备的位置信息与汇聚单元感兴趣的位置信息相匹配时，以及将密钥生成算法写入新终端设备中之前，本发明实施例还包括：

接入设备在确定出新终端设备的位置信息与汇聚单元感兴趣的位置信息相匹配时，确定密钥生成算法是否处于有效期；

接入设备在确定出密钥生成算法处于有效期时，执行将密钥生成算法写入新终端设备中的步骤。在该实施方式中，汇聚单元在密钥生成算法中写入有效期，在其有效期内，接入设备可以将密钥生成算法发送给新终端设备，以便新终端设备能够根据密钥生成算法生成鉴权信息。

在本发明实施例中，接入设备在接收到汇聚单元下发的密钥生成算法和汇聚单元感兴趣的位置信息后，将密钥生成算法写入其无线网络覆盖范围内的匹配汇聚单元感兴趣的位置信息的终端设备，之后，对其无线网络覆盖范围进行实时侦听，在侦听到新终端设备时，将密钥生成算法写入新终端设备，以便新终端设备能够根据密钥生成算法生成对数据进行鉴权加密的鉴权信息，而接入设备也能根据密钥生成算法生成对数据进行鉴权加密的鉴权信息，以提高数据传输链路中的数据安全。

实施例三

请参阅图4，图4为本发明实施例公开的基于位置的物联网数据加密系统的结构示意图；如图4所示，一种基于位置的物联网数据加密系统可包括：

汇聚单元410，用于设置密钥生成算法，并将密钥生成算法和汇聚单元410感兴趣的位置信息一起打包并发送给接入设备420；

接入设备420，用于接收密钥生成算法和汇聚单元410感兴趣的位置信息，保存密钥生成算法和汇聚单元410感兴趣的位置信息，以及将密钥生成算法写入其无线网络覆盖范围内位置信息匹配汇聚单元410感兴趣的位置信息的终端设备430中；

终端设备430，还用于获取待发送数据和终端设备430的唯一序列号，以终端设备430的唯一序列号为依据，基于密钥生成算法生成第一鉴权信息，以及以第一鉴权信息为依据，对待发送数据进行鉴权加密，以获得第一数据包；

终端设备430，还用于将第一数据包发送给接入设备420；

接入设备420，还用于根据第一数据包，识别终端设备430的位置信息是否与汇聚单元410感兴趣的位置信息相匹配；

接入设备420还用于在确定出终端设备430的位置信息与汇聚单元410感兴趣的位置信息相匹配时，获取接入设备420的唯一序列号，以接入设备420的唯一序列号为依据，基于保存的密钥生成算法生成第二鉴权信息；

接入设备420，还用于以第二鉴权信息为依据，对第一数据包进行鉴权加密，以获得第二数据包，并将第二数据包发送给汇聚单元410。

其中，终端设备430在第一数据包中携带终端设备430的位置信息，接入设备420从第一数据包中提取该位置信息，以提取的位置信息作为该终端设备430的位置信息；或者

终端设备430在第一数据包中携带设备标识，接入设备420在接收到第一数据包后，从第一数据包中提取该设备标识，以该设备标识为关键字索引，从接入设备420管理的终端设备信息表中查找该设备标识对应的位置信息，以查到的位置信息作为该终端设备430的位置信息。

作为一种可选的实施方式，接入设备420用于将密钥生成算法写入其无线网络覆盖范围内位置信息匹配汇聚单元410感兴趣的位置信息的终端设备430中的方式具体为：接入设备420用于确定出其无线网络覆盖范围内匹配该汇聚单元410感兴趣的位置信息的终端设备430，然后将密钥生成算法发送给对应的终端设备430以进行自动写入或者保存。

作为一种可选的实施方式，终端设备430还用于将第一数据包发送给接入设备420的方式具体为：终端设备430还用于获取目标传输频段，然后确定目标传输频段所对应的时频资源，在时频资源上向接入设备420发送该第一数据包。

作为另一种可选的实施方式，汇聚单元410可以对终端设备430指定上报数据的时间点，并通过接入设备420将上报数据的时间点发送给终端设备430，以便终端设备430能够设置其上报数据的时间点。进而，终端设备430还用于将第一数据包发送给接入设备420的方式具体为：终端设备430还用于检测当前系统时间，判断当前系统时间是否到达汇聚单元410指定的上报数据的时间点，在当前系统时间到达汇聚单元410指定的上报数的时间点时，将第一数据包发送给接入设备420。

作为另一种可选的实施方式，终端设备430用于将第一数据包发送给接入设备420的方式具体为：终端设备430检测当前系统时间，判断当前系统时间是否到达汇聚单元410指定的上报数据的时间点，在当前系统时间到达汇聚单元410指定的上报数的时间点时，获取目标传输频段，然后确定目标传输频段所对应的时频资源，在时频资源上向接入设备420发送该第一数据包。

作为一种可选的实施方式，接入节点420向汇聚单元410发送第二数据包后，汇聚单元410，还用于接收接入设备420发送的第二数据包；

汇聚单元410，还用于以存储的接入设备420的唯一序列号为依据，基于密钥生成算法生成第一验证信息，根据第一验证信息对第二数据包进行鉴权解密，以获得第一数据包；

汇聚单元410，还用于以存储的终端设备430的唯一序列号为依据，基于密钥生成算法生成第二验证信息，根据第二验证信息对第一数据包进行鉴权解密，以获得待发送数据。

作为一种可选的实施方式，接入设备420还用于以第二鉴权信息为依据，对第一数据包进行鉴权加密，以获得第二数据包，并将第二数据包发送给汇聚单元410之后，汇聚单元410还用于接收接入设备420发送的第二数据包；

汇聚单元410还用于以存储的接入设备420的唯一序列号为依据，基于密钥生成算法生成第一验证信息，根据第一验证信息对第二数据包进行鉴权解密，以获得第一数据包；

汇聚单元410还用于以存储的终端设备430的唯一序列号为依据，基于密钥生成算法生成第二验证信息，根据第二验证信息对第一数据包进行鉴权解密，以获得待发送数据。

通过上述实施方式，汇聚单元410能够根据密钥生成算法，以设备的唯一序列号为因子，生成验证信息，对数据包进行验证和解密。

作为一种可选的实施方式，接入设备420还用于在将密钥生成算法写入其无线网络覆盖范围内位置信息匹配汇聚单元410感兴趣的位置信息的终端设备430中之后，在其无线网络覆盖范围内广播侦听消息；

接入设备420，还用于接收其无线网络覆盖范围内的终端设备430针对侦听消息反馈的响应消息；

接入设备420，还用于根据响应消息，判断其无线网络覆盖范围内是否接入新终端设备430；

接入设备420还用于在确定出其无线网络覆盖范围内接入有新终端设备430时，获取新终端设备430的位置信息；

接入设备420，还用于判断新终端设备430的位置信息是否与汇聚单元410感兴趣的位置信息相匹配；

接入设备420还用于在确定出新终端设备430的位置信息与汇聚单元410感兴趣的位置信息相匹配时，将密钥生成算法写入新终端设备430中。

作为一种可选的实施方式，接入设备420还用于在确定出新终端设备430的位置信息与汇聚单元410感兴趣的位置信息相匹配时，确定密钥生成算法是否处于有效期；

接入设备420还用于在确定出密钥生成算法处于有效期时，执行将密钥生成算法写入新终端设备430中。

作为一种可选的实施方式，接入设备420还用于将第二数据包发送给汇聚单元410的方式具体为：

接入设备420还用于通过跳频方式从目标传输频段中确定用于发送第二数据包的物理资源块的频域位置，在确定的物理资源块的频域位置所对应的时频资源上，向汇聚单元410发送第二数据包。

实施上述系统，对于汇聚单元指定位置信息的终端设备，利用汇聚单元给以的密钥生成算法生成鉴权信息，而且生成鉴权信息的因子为设备的唯一序列号，由于每个设备的唯一序列号为唯一的，生成的鉴权信息也不相同，而且在整条数据通信链路中每个设备都会数据进行了鉴权加密，为数据传输提供了一条安全性较高的数据通信链路，提高了数据传输的安全和可靠性。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质包括只读存储器(Read-Only Memory，ROM)、随机存储器(Random Access Memory，RAM)、可编程只读存储器(Programmable Read-only Memory，PROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、一次可编程只读存储器(One-time Programmable Read-Only Memory，OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory，EEPROM)、只读光盘(Compact Disc Read-Only Memory，CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。

以上对本发明实施例公开的一种基于位置的物联网数据加密方法及系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

一种基于位置的物联网数据加密方法，其特征在于，包括：

汇聚单元设置密钥生成算法，并将所述密钥生成算法和所述汇聚单元感兴趣的位置信息一起打包并发送给接入设备；

所述接入设备接收所述密钥生成算法和所述汇聚单元感兴趣的位置信息，保存所述密钥生成算法和所述汇聚单元感兴趣的位置信息，以及将所述密钥生成算法写入其无线网络覆盖范围内位置信息匹配所述汇聚单元感兴趣的位置信息的终端设备中；

所述终端设备获取待发送数据和所述终端设备的唯一序列号，以所述终端设备的唯一序列号为依据，基于所述密钥生成算法生成第一鉴权信息，以及以所述第一鉴权信息为依据，对所述待发送数据进行鉴权加密，以获得第一数据包；

所述终端设备将所述第一数据包发送给所述接入设备；

所述接入设备根据所述第一数据包，识别所述终端设备的位置信息是否与所述汇聚单元感兴趣的位置信息相匹配；

所述接入设备在确定出所述终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，获取所述接入设备的唯一序列号，以所述接入设备的唯一序列号为依据，基于保存的所述密钥生成算法生成第二鉴权信息；

所述接入设备以所述第二鉴权信息为依据，对所述第一数据包进行鉴权加密，以获得第二数据包，并将所述第二数据包发送给所述汇聚单元。
根据权利要求1所述的方法，其特征在于，所述接入设备以所述第二鉴权信息为依据，对所述第一数据包进行鉴权加密，以获得第二数据包，并将所述第二数据包发送给所述汇聚单元之后，所述方法还包括：

所述汇聚单元接收所述接入设备发送的所述第二数据包；

所述汇聚单元以存储的所述接入设备的唯一序列号为依据，基于所述密钥生成算法生成第一验证信息，根据所述第一验证信息对所述第二数据包进行鉴权解密，以获得所述第一数据包；

所述汇聚单元以存储的所述终端设备的唯一序列号为依据，基于所述密钥生成算法生成第二验证信息，根据所述第二验证信息对所述第一数据包进行鉴权解密，以获得所述待发送数据。
根据权利要求1或2所述的方法，其特征在于，所述接入设备在将所述密钥生成算法写入其无线网络覆盖范围内位置信息匹配所述汇聚单元感兴趣的位置信息的终端设备中之后，所述方法还包括：

所述接入设备在将所述密钥生成算法写入其无线网络覆盖范围内位置信息匹配所述汇聚单元感兴趣的位置信息的终端设备中之后，在其无线网络覆盖范围内广播侦听消息；

所述接入设备接收其无线网络覆盖范围内的终端设备针对所述侦听消息反馈的响应消息；

所述接入设备根据所述响应消息，判断其无线网络覆盖范围内是否接入新终端设备；

所述接入设备在确定出其无线网络覆盖范围内接入有所述新终端设备时，获取所述新终端设备的位置信息；

所述接入设备判断所述新终端设备的位置信息是否与所述汇聚单元感兴趣的位置信息相匹配；

所述接入设备在确定出所述新终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，将所述密钥生成算法写入所述新终端设备中。
根据权利要求3所述的方法，其特征在于，所述接入设备在确定出所述新终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，以及将所述密钥生成算法写入所述新终端设备中之前，所述方法还包括：

所述接入设备在确定出所述新终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，确定所述密钥生成算法是否处于有效期；

所述接入设备在确定出所述密钥生成算法处于有效期时，执行将所述密钥生成算法写入所述新终端设备中的步骤。
根据权利要求1～4任一项所述的方法，其特征在于，所述接入设备将所述第二数据包发送给所述汇聚单元，包括：

所述接入设备通过跳频方式从目标传输频段中确定用于发送所述第二数据包的物理资源块的频域位置；

所述接入设备在确定的物理资源块的频域位置所对应的时频资源上，向所述汇聚单元发送所述第二数据包。
一种基于位置的物联网数据加密系统，其特征在于，包括：

汇聚单元，用于设置密钥生成算法，并将所述密钥生成算法和所述汇聚单元感兴趣的位置信息一起打包并发送给接入设备；

所述接入设备，用于接收所述密钥生成算法和所述汇聚单元感兴趣的位置信息，保存所述密钥生成算法和所述汇聚单元感兴趣的位置信息，以及将所述密钥生成算法写入其无线网络覆盖范围内位置信息匹配所述汇聚单元感兴趣的位置信息的终端设备中；

所述终端设备，还用于获取待发送数据和所述终端设备的唯一序列号，以所述终端设备的唯一序列号为依据，基于所述密钥生成算法生成第一鉴权信息，以及以所述第一鉴权信息为依据，对所述待发送数据进行鉴权加密，以获得第一数据包；

所述终端设备，还用于将所述第一数据包发送给所述接入设备；

所述接入设备，还用于根据所述第一数据包，识别所述终端设备的位置信息是否与所述汇聚单元感兴趣的位置信息相匹配；

所述接入设备还用于在确定出所述终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，获取所述接入设备的唯一序列号，以所述接入设备的唯一序列号为依据，基于保存的所述密钥生成算法生成第二鉴权信息；

所述接入设备，还用于以所述第二鉴权信息为依据，对所述第一数据包进行鉴权加密，以获得第二数据包，并将所述第二数据包发送给所述汇聚单元。
根据权利要求6所述的系统，其特征在于，

所述汇聚单元，还用于接收所述接入设备发送的所述第二数据包；

所述汇聚单元，还用于以存储的所述接入设备的唯一序列号为依据，基于所述密钥生成算法生成第一验证信息，根据所述第一验证信息对所述第二数据包进行鉴权解密，以获得所述第一数据包；

所述汇聚单元，还用于以存储的所述终端设备的唯一序列号为依据，基于所述密钥生成算法生成第二验证信息，根据所述第二验证信息对所述第一数据包进行鉴权解密，以获得所述待发送数据。
根据权利要求6或7所述的系统，其特征在于，

所述接入设备还用于在将所述密钥生成算法写入其无线网络覆盖范围内位置信息匹配所述汇聚单元感兴趣的位置信息的终端设备中之后，在其无线网络覆盖范围内广播侦听消息；

所述接入设备，还用于接收其无线网络覆盖范围内的终端设备针对所述侦听消息反馈的响应消息；

所述接入设备，还用于根据所述响应消息，判断其无线网络覆盖范围内是否接入新终端设备；

所述接入设备还用于在确定出其无线网络覆盖范围内接入有所述新终端设备时，获取所述新终端设备的位置信息；

所述接入设备，还用于判断所述新终端设备的位置信息是否与所述汇聚单元感兴趣的位置信息相匹配；

所述接入设备还用于在确定出所述新终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，将所述密钥生成算法写入所述新终端设备中。
根据权利要求8所述的系统，其特征在于，

所述接入设备还用于在确定出所述新终端设备的位置信息与所述汇聚单元感兴趣的位置信息相匹配时，确定所述密钥生成算法是否处于有效期；

所述接入设备还用于在确定出所述密钥生成算法处于有效期时，执行将所述密钥生成算法写入所述新终端设备中。
根据权利要求6～9任一项所述的系统，其特征在于，所述接入设备还用于将所述第二数据包发送给所述汇聚单元的方式具体为：

所述接入设备还用于通过跳频方式从目标传输频段中确定用于发送所述第二数据包的物理资源块的频域位置，在确定的物理资源块的频域位置所对应的时频资源上，向所述汇聚单元发送所述第二数据包。