物联网终端加密方法和物联网终端加密装置转让专利
申请号 : CN201610150560.4
文献号 : CN105610872B
文献日 : 2018-09-07
发明人 : 李文杰
申请人 : 中国联合网络通信集团有限公司
摘要 :
本发明提供一种物联网终端加密方法,包括:构建密钥组织结构树,所述密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对和链路通信密钥对;将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中;利用所述密钥组织结构树生成所述物联网终端的鉴权信息;将所述鉴权信息写入所述物联网终端和所述物联网后台鉴权系统中。本发明还提供一种物联网终端加密装置。利用所述物联网终端加密方法对物联网终端进行加密可以提高物联网的安全性。
权利要求 :
1.一种物联网终端加密方法,其特征在于,所述物联网终端加密方法包括:构建密钥组织结构树,所述密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对和链路通信密钥对;
将所述密钥组织结构树写入所述物联网终端和物联网后台服务器中;
利用所述密钥组织结构树生成所述物联网终端的鉴权信息;
将所述鉴权信息写入所述物联网终端和物联网后台鉴权系统中,其中,利用所述密钥组织结构树生成所述物联网终端的鉴权信息的步骤包括:生成与所述物联网终端唯一对应的内部标识符;
生成非对称密钥对;
利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名,以获得物联网终端签名,其中,所述物联网终端的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥和所述内部标识符。
2.根据权利要求1所述的物联网终端加密方法,其特征在于,构建密钥组织结构树的方法包括:生成所述根节点密钥对;
生成所述核心密钥对;
利用所述根节点密钥对的根节点私钥对所述核心密钥对的公钥进行签名,以生成该核心密钥对的签名。
3.根据权利要求1或2所述的物联网终端加密方法,其特征在于,所述物联网终端加密方法还包括在构建密钥组织结构树的步骤之前进行的:按照业务类型对所述物联网终端进行分类;其中,
在构建密钥组织结构树的步骤中,每种类型的物联网终端对应一个根节点密钥对。
4.根据权利要求1或2所述的物联网终端加密方法,其特征在于,所述核心密钥对还包括指令密钥对、消息密钥对和主撤销密钥对中的至少一者。
5.一种物联网终端加密装置,其特征在于,所述物联网终端加密装置包括:组织结构树构建模块,所述组织结构树构建模块用于构建密钥组织结构树,所述密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对和链路通信密钥对;
鉴权信息生成模块,所述鉴权信息生成模块用于根据所述组织结构树生成所述物联网终端的鉴权信息;
写入模块,所述写入模块用于将所述密钥组织结构树写入所述物联网终端和物联网后台服务器中,并且,所述写入模块用于将所述鉴权信息写入所述物联网终端和物联网后台鉴权系统中,其中,所述鉴权信息生成模块包括:
标识符生成单元,所述标识符生成单元用于生成与所述物联网终端唯一对应的内部标识符;
非对称密钥对生成单元,所述非对称密钥对生成单元用于生成非对称密钥对;
第二签名单元,所述第二签名单元的输入端分别与所述非对称密钥生成单元的输出端和所述组织结构树构件模块的输出端分别相连,以获取所述终端签名密钥对的私钥和所述非对称密钥对的公钥,并利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名,以获得物联网终端签名;其中,所述物联网终端的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥和所述内部标识符。
6.根据权利要求5所述的物联网终端加密装置,其特征在于,所述组织结构构建模块包括:根节点密钥对生成单元,所述根节点密钥生成单元用于生成所述根节点密钥对;
核心密钥对生成单元,所述核心密钥对生成单元用于生成所述核心密钥对;
第一签名单元,所述第一签名单元的输入端与所述根节点密钥对生成单元的输出端和所述核心密钥对生成单元的输出端分别相连,以获取所述根节点密钥对的根节点私钥对所述核心密钥对,并利用所述根节点密钥对的根节点私钥对所述核心密钥对的公钥进行签名,以生成该核心密钥对的签名。
7.根据权利要求5或6所述的物联网终端加密装置,其特征在于,所述物联网终端加密装置还包括终端分类模块,所述终端分类模块的输入端与物联网中所有物联网终端的输出端分别相连,以获取所有物联网终端的业务类型和终端信息,所述终端分类模块能够按照业务类型对物联网终端进行分类,所述终端分类模块的输出端与所述组织结构树构建模块的输入端相连,以分别将各个业务类型的物联网终端的终端信息发给所述组织结构树构建模块;其中,所述组织结构树构建模块能够为每种类型的物联网终端都生成一个对应的根节点密钥对。
8.根据权利要求5或6所述的物联网终端加密装置,其特征在于,所述核心密钥对还包括指令密钥对、消息密钥对和主撤销密钥对中的至少一者。
说明书 :
物联网终端加密方法和物联网终端加密装置
技术领域
[0001] 本发明涉及物联网领域,具体地,涉及一种物联网终端加密方法和一种物联网终端加密装置。
背景技术
[0002] 在物联网系统中,由于硬件安全的限制,任意物理设备都可能被盗用。物联网终端散布范围广,是整个网络安全中的薄弱节点。物联网安全模型不仅能保证信息安全,如保护用户隐私、减少身份盗用,同时也会提高通信可靠性。
[0003] 目前常用的物联网终端加密技术包括对称加密和非对称加密。在对称加密方法中,加密和解密使用相同的密钥;在非对称加密方法中,加密和解密使用不同的密钥,并且加解密的密钥成对出现。
[0004] 但是,现有技术中,使用单一密钥进行通信,当攻击者对链路进行监听探测,可拦截到链路中的密钥信息,从而进一步伪造身份或利用链路发送攻击数据。
[0005] 也就是说,现有技术中的加密方法的安全性较低,因此,如何提供一种更加安全的加密方法成为本领域亟待解决的技术问题。
发明内容
[0006] 本发明的目的在于提供一种物联网终端加密方法和一种物联网终端加密装置,利用所述物联网终端加密方法对物联网的物联网终端进行加密具有较高的安全性。
[0007] 为了实现上述目的,作为本发明的一个方面,提供一种物联网终端加密方法,其中,所述物联网终端加密方法包括:
[0008] 构建密钥组织结构树,所述密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对和链路通信密钥对;
[0009] 将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中;
[0010] 利用所述密钥组织结构树生成所述物联网终端的鉴权信息;
[0011] 将所述鉴权信息写入所述物联网终端和所述物联网后台鉴权系统中。
[0012] 优选地,构建密钥组织结构树的方法包括:
[0013] 生成所述根节点密钥对;
[0014] 生成所述核心密钥对;
[0015] 利用所述根节点密钥对的根节点私钥对所述核心密钥对的公钥进行签名,以生成该核心密钥对的签名。
[0016] 优选地,利用所述密钥组织结构树生成所述物联网终端的鉴权信息的步骤包括:
[0017] 生成与所述物联网终端唯一对应的内部标识符;
[0018] 生成非对称密钥对;
[0019] 利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名,以获得物联网终端签名,其中,
[0020] 所述物联网终端的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥和所述内部标识符。
[0021] 优选地,所述物联网终端加密方法还包括在构建密钥组织结构树的步骤之前进行的:
[0022] 按照业务类型对所述物联网终端进行分类;其中,
[0023] 在构建密钥组织结构树的步骤中,每种类型的物联网终端对应一个根节点密钥对。
[0024] 优选地,所述核心密钥对还包括指令密钥对、消息密钥对和主撤销密钥对中的至少一者。
[0025] 作为本发明的另一个方面,提供一种物联网终端加密装置,其中,所述物联网终端加密装置包括:
[0026] 组织结构树构建模块,所述组织结构树构建模块用于构建密钥组织结构树,所述密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对和链路通信密钥对;
[0027] 鉴权信息生成模块,所述鉴权信息生成模块用于根据所述组织结构树生成所述物联网终端的鉴权信息;
[0028] 写入模块,所述写入模块用于将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中,并且,所述写入模块用于将所述鉴权信息写入所述物联网终端和所述物联网后台鉴权系统中。
[0029] 优选地,所述组织结构构建模块包括:
[0030] 根节点密钥对生成单元,所述根节点密钥生成单元用于生成所述根节点密钥对;
[0031] 核心密钥对生成单元,所述核心密钥对生成单元用于生成所述核心密钥对;
[0032] 第一签名单元,所述第一签名单元的输入端与所述根节点密钥对生成单元的输出端和所述核心密钥对生成单元的输出端分别相连,以获取所述根节点密钥对的根节点私钥对所述核心密钥对,并利用所述根节点密钥对的根节点私钥对所述核心密钥对的公钥进行签名,以生成该核心密钥对的签名。
[0033] 优选地,所述鉴权信息生成模块包括:
[0034] 标识符生成单元,所述标识符生成单元用于生成与所述物联网终端唯一对应的内部标识符;
[0035] 非对称密钥对生成单元,所述非对称密钥对生成单元用于生成非对称密钥对;
[0036] 第二签名单元,所述第二签名单元的输入端分别与所述非对称密钥生成单元的输出端和所述组织结构树构件模块的输出端分别相连,以获取所述终端签名密钥对的私钥和所述非对称密钥对的公钥,并利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名,以获得物联网终端签名;其中,
[0037] 所述物联网终端的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥和所述内部标识符。
[0038] 优选地,所述物联网终端加密装置还包括终端分类模块,所述终端分类模块的输入端与物联网中所有物联网终端的输出端分别相连,以获取所有物联网终端的业务类型和终端信息,所述终端分类模块能够按照业务类型对物联网终端进行分类,所述终端分类模块的输出端与所述组织结构树构建模块的输入端相连,以分别将各个业务类型的物联网终端的终端信息发给所述组织结构树构建模块;其中,
[0039] 所述组织结构树构建模块能够为每种类型的物联网终端都生成一个对应的根节点密钥对。
[0040] 优选地,所述核心密钥对还包括指令密钥对、消息密钥对和主撤销密钥对中的至少一者。
[0041] 在本发明所提供的物联网终端加密方法中,密钥组织结构树至少包括终端签名密钥对和链路通信密钥对,终端签名密钥对是对终端唯一序列号进行签名获得的,代表了物联网终端的身份信息,链路通信密钥对能够在需要建立连接的通信时,对通信连接进行加密。在所述物联网终端与物联网后台服务器进行通信时,至少包括两级加密,即,当物联网终端相物联网后台服务器发起通信时,物联网后台的鉴权系统首先根据物联网终端提供的终端签名密钥对验证物联网终端的身份信息,此为第一级加密;当验证通过后,链路通信密钥对可以对通信进行加密,防止通信信息被截获,此为第二级加密。因此,利用本发明所提供的方法对物联网终端进行加密可以使得所述物联网具有较高的安全性。
附图说明
[0042] 附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
[0043] 图1是本发明所提供的物联网终端加密方法的流程图;
[0044] 图2是本发明所提供的物联网终端加密装置的模块示意图;
[0045] 图3是经过本发明所提供的物联网终端加密方法加密后的物联网终端的注册流程示意图。
[0046] 附图标记说明
[0047] 100:物联网终端加密装置 110:组织结构树构建模块
[0048] 111:根节点密钥对生成单元 112:核心密钥对生成单元
[0049] 113:第一签名单元 120:鉴权信息生成模块
[0050] 121:标识符生成单元 122:非对称密钥对生成单元
[0051] 123:第二签名单元 130:写入模块
[0052] 140:终端分类模块 200:物联网终端
[0053] 300:物联网后台服务器 400:物联网后台鉴权系统
具体实施方式
[0054] 以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
[0055] 作为本发明的一个方面,提供一种物联网终端加密方法,其中,所述物联网终端加密方法包括:
[0056] S1、构建密钥组织结构树,所述密钥组织结构树包括对应于物联网终端的根节点密钥对keyroot(pk,sk)、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对keyid(pk,sk)和链路通信密钥对keylink(pk,sk);
[0057] S2、将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中;
[0058] S3、利用所述密钥组织结构树生成所述物联网终端的鉴权信息;
[0059] S4、将所述鉴权信息写入所述物联网终端和所述物联网后台服务器的鉴权系统中。
[0060] 在本发明中,利用根节点密钥对keyroot(pk,sk)对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名包括多个。例如,至少包括根节点密钥对keyroot(pk,sk)对终端签名密钥对keyid(pk,sk)进行签名获得的签名和根节点密钥对对链路通信密钥对keylink(pk,sk)进行签名获得的签名。
[0061] 密钥组织结构树至少包括终端签名密钥对和链路通信密钥对,终端签名密钥对keyid(pk,sk)是对终端唯一序列号进行签名获得的,代表了物联网终端的身份信息,链路通信密钥keylink(pk,sk)对能够在需要建立连接的通信时,对通信连接进行加密。在所述物联网终端与物联网后台服务器进行通信时,至少包括两级加密,即,当物联网终端相物联网后台服务器发起通信时,物联网后台的鉴权系统首先根据物联网终端提供的终端签名密钥对验证物联网终端的身份信息,此为第一级加密;当验证通过后,链路通信密钥对可以对通信进行加密,防止通信信息被截获,此为第二级加密。因此,利用本发明所提供的方法对物联网终端进行加密可以使得所述物联网具有较高的安全性。
[0062] 并且,在步骤S3中生成的鉴权信息由密钥组织结构树生成,不容易被破译。
[0063] 在步骤S2中,所述密钥组织结构树被写入所述物联网终端的可信模块和所述物联网后台服务器的可信模块中。
[0064] 在步骤S4中,所述鉴权信息被写入所述物联网终端的可信模块和所述物联网后台服务器的可信模块中。
[0065] 当物联网终端注册到物联网中之后,当需要与物联网的后台系统通信时,首先向物联网后台发出通讯请求,具体通讯过程如图2所示:
[0066] Stp1、物联网终端申请连接到物联网后台服务器;
[0067] Stp2、物联网后台服务器向物联网终端发送一个唯一的请求验证消息;
[0068] Stp3、所述物联网终端在接收到所述验证消息后生成验证回复消息,回复给所述物联网后台鉴权系统;
[0069] Stp4、所述物联网后台服务器的鉴权系统验证回复消息的合法性,当验证回复消息合法时,向所述物联网终端发送验证通过信息。
[0070] 终端序列号id、物联网终端的签名和非对称密钥的公钥key(pk)组合为步骤Stp3中生成的所述验证回复消息(id,signature,key(pk))。
[0071] 在步骤Stp4中,服务器后台提取验证回复消息(id,signature,key(pk))中的物联网终端序列号和签名,并且将其与存储在服务器后台鉴权系统中的鉴权信息进行对比,如果二者一致,则向物联网终端发送验证通过信息,该验证通过信息为非对称密钥对中的私钥key(sk);如果二者不一致,则向物联网终端发送错误信息。
[0072] 物联网终端验证通过后即可向物联网后台的服务器发送信息。
[0073] 作为本发明的一种优选实施方式,构建密钥组织结构树的步骤(即,步骤S1)可以包括:
[0074] S11、生成所述根节点密钥对keyroot(pk,sk);
[0075] S12、生成所述核心密钥对;
[0076] S13、利用所述根节点密钥对keyroot(pk,sk)的根节点私钥keyroot(sk)对所述核心密钥对的公钥进行签名,以生成该核心密钥对的签名。
[0077] 在步骤S13中,利用所述根节点密钥对keyroot(pk,sk)的根节点私钥keyroot(sk)对每一个核心密钥对的公钥进行签名。
[0078] 例如,利用所述根节点密钥对keyroot(pk,sk)的根节点私钥keyroot(sk)对终端签名密钥对的公钥keyid(pk)签名的过程为{keyroot(sk),keyid(pk)}→signatureid。其中,signatureid即为利用根节点密钥对的根节点私钥对终端签名密钥对签名获得的签名信息。
[0079] 利用所述根节点密钥对keyroot(pk,sk)的根节点私钥keyroot(sk)对其他核心密钥对的公钥签名的过程与上述对终端签名密钥对的公钥keyid(pk)签名的过程类似,这里不再赘述。
[0080] 优选地,利用所述密钥组织结构树生成所述物联网终端的鉴权信息的步骤(即,步骤S3)包括:
[0081] S31、生成与所述物联网终端唯一对应的内部标识符;
[0082] S32、生成非对称密钥对;
[0083] S33、利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名,以获得物联网终端签名,其中,
[0084] 所述物联网终端的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥和所述内部标识符。
[0085] 由此可知,所述鉴权信息包括的信息较多,不容易被破译,从而提高了物联网通信的安全性。
[0086] 物联网中通常包括多种类型的物联网终端,为了便于管理,优选地,所述物联网终端加密方法还包括在构建密钥组织结构树的步骤之前进行的:
[0087] 按照业务类型对所述物联网终端进行分类;其中,
[0088] 在构建密钥组织结构树的步骤(即,步骤S1)中,每种类型的物联网终端对应一个根节点密钥对。
[0089] 在本发明所提供的方法中,步骤S1中构建的密钥组织结构树的数量与物联网中物联网终端的种类数相等。
[0090] 同种类型的物联网终端也可以包括多个物联网终端,每种类型的物联网终端共用同一个根节点密钥对。
[0091] 为了提高物联网终端加密方法的安全性,优选地,所述核心密钥对还包括指令密钥对keyinstruction(pk,sk)、消息密钥对keymessage(pk,sk)和主撤销密钥对keyrevocation(pk,sk)中的至少一者。
[0092] 核心密钥对包括的密钥的个数越多,那么加密的级数越多,从而使得本发明所提供的加密方法具有越高的安全性。
[0093] 指令密钥对keyinstruction(pk,sk)用于对通信指令(例如,查询指令、修改指令等)进行加密,可以防止攻击者监听硬件或总线时探测到执行信息,进而防止攻击者伪装层终端发送假指令;消息密钥对keymessage(pk,sk)用于对通信数据进行加密,防止通信数据泄露;在终端发现自身某些数据泄露或者被盗用时,使用主撤销密钥对keyrevocation(pk,sk)作废已经泄露或者被盗用的密钥对及其相关签名信息。
[0094] 作为本发明的另一个方面,提供一种物联网终端加密装置100,该物联网终端加密装置100用于执行本发明所提供的上述物联网终端加密方法,其中,如图3所示,所述物联网终端加密装置包括:
[0095] 组织结构树构建模块110,该组织结构树构建模块用于构建密钥组织结构树,该密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对和链路通信密钥对;
[0096] 鉴权信息生成模块120,该鉴权信息生成模块120用于根据所述组织结构树生成所述物联网终端的鉴权信息;
[0097] 写入模块130,该写入模块130用于将所述密钥组织结构树写入物联网终端200和物联网后台服务器300中,并且,写入模块130还用于将所述鉴权信息写入物联网后台鉴权系统400中。
[0098] 在本发明所提供的物联网终端加密装置中,组织结构树构建模块110用于执行步骤S1,鉴权信息生成模块120用于执行步骤S3,写入模块130用于执行步骤S2和步骤S4。
[0099] 作为本发明的一种优选实施方式,组织结构构建模块110包括:
[0100] 根节点密钥对生成单元111(用于执行步骤S11),该根节点密钥生成单元111用于生成所述根节点密钥对;
[0101] 核心密钥对生成单元112(用于执行步骤S12),该核心密钥对生成单元112用于生成所述核心密钥对;
[0102] 第一签名单元113(用于执行步骤S13),该第一签名单元113的输入端与根节点密钥对生成单元110的输出端和核心密钥对生成单元112的输出端分别相连,以获取所述根节点密钥对的根节点私钥和所述核心密钥对的公钥,并利用所述根节点密钥对的根节点私钥对所述核心密钥对的公钥进行签名,以生成该核心密钥对的签名。
[0103] 优选地,鉴权信息生成模块120包括:
[0104] 标识符生成单元121(用于执行步骤S31),该标识符生成单元121用于生成与所述物联网终端唯一对应的内部标识符;
[0105] 非对称密钥对生成单元122(用于执行步骤S32),该非对称密钥对生成单元122用于生成非对称密钥对;
[0106] 第二签名单元123(用于执行步骤S33),该第二签名单元123的输入端分别与非对称密钥生成单元122的输出端和组织结构树构件模块110的输出端分别相连,以获取所述终端签名密钥对的私钥和所述非对称密钥对的公钥,并利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名,以获得物联网终端签名;其中,
[0107] 所述物联网终端200的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥和所述内部标识符。
[0108] 优选地,物联网终端加密装置100还包括终端分类模块140,该终端分类模块140的输入端与物联网中所有物联网终端200的输出端分别相连,以获得所述物联网终端的业务类型和终端信息,终端分裂模块140能够按照业务类型对物联网终端200进行分类,终端分类模块140的输出端与组织结构树构建模块110的输入端相连,以分别将各个业务类型的物联网终端的终端信息发给所述组织结构树构建模块;其中,
[0109] 组织结构树构建模块110能够为每种类型的物联网终端200都生成一个对应的根节点密钥对。
[0110] 优选地,所述核心密钥对还包括指令密钥对、消息密钥对和主撤销密钥对中的至少一者。
[0111] 可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。