一种适用于物联网的密钥分配方法及系统技术方案

本发明专利技术公开了一种适用于物联网的密钥分配方法，其包括以下步骤：系统控制服务端设置终端密钥生成次数限制，并发送到密钥生成器；密钥生成模块读取根密钥，并生成第一终端密钥；所述密钥生成器将所述第一终端密钥发送至终端设备；所述终端设备向服务端发送激活请求数据包；将生成的激活响应消息和校验信息发送至终端设备；所述终端设备比较所述激活响应消息和校验信息；若两者一致，则向服务端发送激活确认数据包；若计数值大于所述终端设备密钥生成数量，则服务器报错；反之，所述终端设备的密钥分配完毕。本发明专利技术还提供一种适用于物联网的密钥分配系统。本方案广泛应用于信息安全技术领域。

【技术实现步骤摘要】
一种适用于物联网的密钥分配方法及系统
本专利技术涉及信息安全
，适用于部署物联网设备，具体为适用于物联网的密钥分配方法及系统。
技术介绍
ECC：EllipticCurvesCryptography，椭圆曲线密码编码学，公钥算法的一种，相对于RSA算法达到相同的安全强度所需要的密钥长度更短。EEPROM：ElectricallyErasableProgrammablereadonlymemory，电可擦可编程只读存储器，一种掉电后数据不丢失的存储芯片。HMAC：Hash-basedMessageAuthenticationCode，密钥相关的哈希运算消息认证码，HMAC运算利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。PKI：PublicKeyInfrastructure，公钥基础设施，是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。RSA：目前最有影响力和最常用的公钥加密算法。SHA256：SHA(SecureHashAlgorithm，安全哈希算法)算法的一种，算法的哈希值长度为256位。随着物联网的快速发展，其中存在的比较突出的问题之一是节点资源有限，主要指传感器节点的计算能力、存储容量、通信能力和能源供给能力有限。能源供给受限是妨碍物联网应用于各个领域的重要因素。与有线网络相比，物联网存在更加严重的安全性问题，无线传输方式和终端的暴露性使得网络更加容易受到窃听、欺骗和拒绝服务等形式的攻击。因此，网络通讯安全是物联网面临的一个非常重要问题。而在物联网的安全问题中，首当其冲的又是终端与应用之间的双向身份认证以及会话中的数据加密问题。目前解决网络安全问题的解决方案，大多是基于PKI技术。PKI技术以非对称加密算法为核心技术基础，该算法使用了一对密钥：公共密钥(简称为公钥)和私有密钥(简称为私钥)，这两个密钥之间存在着相互依存的关系，即使用其中任何一个密钥加密的信息只能用另一个密钥进行解密。常用的非对称加密算法有RSA和ECC。不管是RSA还是ECC，对执行加解密的处理器的处理能力均有较高要求。由于物联网终端往往处于能力受限的条件下，高强度的加密算法使得终端厂家不得不提高终端的硬件成本，采用更好的处理器和更多的内存，这对于对终端成本极其敏感的物联网应用来说往往难以接受。此外，由于物联网终端往往处于无人值守的状态，其密钥的防窃取也是比较难于解决的问题；而一旦密钥泄露，就有可能伪造合法的终端去和应用通讯。综上，该技术有必要进行改进。
技术实现思路
为了解决上述技术问题，本专利技术的目的是提供一种适用于物联网的密钥分配方法及系统。本专利技术所采用的技术方案是：本专利技术提供一种适用于物联网的密钥分配方法，其包括以下步骤：系统控制服务端设置终端密钥生成次数限制，并发送给密钥生成器；系统启动密钥生成，并控制密钥生成器发送请求读取终端设备的身份标识；所述密钥生成器接收到终端设备身份标识后，将其输入至密钥生成模块；所述密钥生成模块读取根密钥，并生成第一终端密钥；所述密钥生成器将所述第一终端密钥发送至终端设备；所述终端设备向服务端发送激活请求数据包；所述服务端根据根密钥和终端设备身份标识信息生成第二终端密钥，并将生成的激活响应消息和校验信息发送至终端设备；所述终端设备比较所述激活响应消息和校验信息；若两者不一致，则向服务端重新发起激活请求；若两者一致，则向服务端发送激活确认数据包；所述服务端接收到激活确认数据包后，使计数值增1，并比较计数值和所述终端设备密钥生成数量；若计数值大于所述终端设备密钥生成数量，则服务器报错；反之，所述终端设备的密钥分配完毕。作为该技术方案的改进，所述密钥生成模块读取根密钥，并生成第一终端密钥时，同时控制计数模块将计数器值加1。作为该技术方案的改进，所述步骤系统控制服务端设置终端密钥生成次数限制，并将终端密钥生成次数限制发送至密钥生成器，其还包括系统将终端设备的批次号和随机生成的根密钥存储至密钥生成器。作为该技术方案的改进，所述服务端存储有与所述终端设备对应的根密钥，以及终端密钥生成次数。作为该技术方案的改进，所述系统控制所述密钥生成器与终端设备连接，启动密钥生成。另一方面，本专利技术还提供一种适用于物联网的密钥分配系统，其包括：服务端、终端设备和密钥生成器，所述服务端和密钥生成器分别与终端设备连接；其中，所述服务端包括第一微处理器、第一激活模块、第一计数模块、第一存储模块和第一通信模块；所述第一激活模块、第一计数模块、第一存储模块和第一通信模块均与第一微处理器连接；所述终端设备包括第二微处理器、第二通信模块、第二激活模块和第二存储模块；所述第二通信模块、第二激活模块和第二存储模块均与第二微处理器连接；所述密钥生成器包括第三微处理器、密钥生成模块、第二计数模块、第三通信模块、第三存储模块；所述密钥生成模块、第二计数模块、第三通信模块、第三存储模块均与第三微处理器连接。进一步地，所述第一存储模块用于存储终端设备的批次号和根密钥，以及许可的终端密钥生成次数。进一步地，所述第二存储模块用于存储终端设备的终端密钥以及终端设备的批次号。进一步地，所述第三存储模块用于存储终端设备的批次号和根密钥。若计数模块无法存储终端密钥生成次数限制，存储模块需存储。本专利技术的有益效果是：本专利技术提供的适用于物联网的密钥分配方法及系统，采用的密钥通过安全摘要或对称加密算法生成，所有的密码学操作均没有采用非对称密码算法，降低了物联网设备终端的计算成本，也降低了服务端的密钥管理成本；终端密钥无需在线传输，减少了泄露的渠道；服务端能设置终端密钥数量限制，且对终端密钥的生成过程和设备终端的激活过程计数并比较，进一步降低密钥系统在部署过程中出错的概率。附图说明下面结合附图对本专利技术的具体实施方式作进一步说明：图1是本专利技术第一实施例的系统示意图；图2是本专利技术第二实施例的系统示意图；图3是本专利技术第三实施例的示意图；图4是本专利技术第四实施例的控制流程图。具体实施方式需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。本专利技术提供一种物联网中的密钥分配方案及系统及方法，用于解决在实现物联网中数据加密的前提下降低密钥管理成本的问题。同时，本专利技术没有使用非对称密码运算，极大地降低了相关的密码学操作对物联网终端资源的占用。本专利技术提供一种适用于物联网的密钥分配方法，其包括以下步骤：系统控制服务端设置终端密钥生成次数限制，并发送给密钥生成器；系统启动密钥生成，并控制密钥生成器发送请求读取终端设备的身份标识；所述密钥生成器接收到终端设备身份标识后，将其输入至密钥生成模块；所述密钥生成模块读取根密钥，并生成第一终端密钥；所述密钥生成器将所述第一终端密钥发送至终端设备；所述终端设备向服务端发送激活请求数据包；所述服务端根据根密钥和终端设备身份标识信息生成第二终端密钥，并将生成的激活响应消息和校验信息发送至终端设备；所述终端设备比较所述激活响应消息和校验信息；若两者不一致，则向服务端重新发起激活请求；若两者一致，则向服务端发送激活确认数据包；所述服务端接收到激活确认数据包后，使计数值增1，并比较计数值和所述终端设备密钥生成数量；若计数值大于所述终端设备密钥生成数量，则服务器报错；反之，所本文档来自技高网...

【技术保护点】
一种适用于物联网的密钥分配方法，其特征在于，其包括以下步骤：系统控制服务端设置终端密钥生成次数限制，并发送给密钥生成器；系统启动密钥生成，并控制密钥生成器发送请求读取终端设备的身份标识；所述密钥生成器接收到终端设备身份标识后，将其输入至密钥生成模块；所述密钥生成模块读取根密钥，并生成第一终端密钥；所述密钥生成器将所述第一终端密钥发送至终端设备；所述终端设备向服务端发送激活请求数据包；所述服务端根据根密钥和终端设备身份标识信息生成第二终端密钥，并将生成的激活响应消息和校验信息发送至终端设备；所述终端设备比较所述激活响应消息和校验信息；若两者不一致，则向服务端重新发起激活请求；若两者一致，则向服务端发送激活确认数据包；所述服务端接收到激活确认数据包后，使计数值增1，并比较计数值和所述终端设备密钥生成数量；若计数值大于所述终端设备密钥生成数量，则服务器报错；反之，所述终端设备的密钥分配完毕。

【技术特征摘要】
1.一种适用于物联网的密钥分配方法，其特征在于，其包括以下步骤：系统控制服务端设置终端密钥生成次数限制，并发送给密钥生成器；系统启动密钥生成，并控制密钥生成器发送请求读取终端设备的身份标识；所述密钥生成器接收到终端设备身份标识后，将其输入至密钥生成模块；所述密钥生成模块读取根密钥，并生成第一终端密钥；所述密钥生成器将所述第一终端密钥发送至终端设备；所述终端设备向服务端发送激活请求数据包；所述服务端根据根密钥和终端设备身份标识信息生成第二终端密钥，并将生成的激活响应消息和校验信息发送至终端设备；所述终端设备比较所述激活响应消息和校验信息；若两者不一致，则向服务端重新发起激活请求；若两者一致，则向服务端发送激活确认数据包；所述服务端接收到激活确认数据包后，使计数值增1，并比较计数值和所述终端设备密钥生成数量；若计数值大于所述终端设备密钥生成数量，则服务器报错；反之，所述终端设备的密钥分配完毕。2.根据权利要求1所述的适用于物联网的密钥分配方法，其特征在于：所述密钥生成模块读取根密钥，并生成第一终端密钥时，同时控制计数模块将计数器值加1。3.根据权利要求1或2所述的适用于物联网的密钥分配方法，其特征在于：所述步骤系统控制服务端设置终端密钥生成次数限制，其还包括系统将终端密钥生成次数限制、终端设备的批次号和随机生成的根密钥存储至密钥生成器。4.根据权利要求3所述的适用于物联网的密钥分配方...

【专利技术属性】
技术研发人员：郭浩，余小龙，马亚飞，江峰，李新国，
申请(专利权)人：深圳数字电视国家工程实验室股份有限公司，
类型：发明
国别省市：广东,44