一种基于可信计算技术进行物联网数据安全保护的方法技术

本发明专利技术涉及物联网数据安全技术领域，公开了一种基于可信计算技术进行物联网数据安全保护的方法。即通过本发明专利技术创造所提供的物联网设备数据加密传输及物联网服务器数据保护的管理机制，一方面若攻击者攻击传输链路，由于从传输链路获取的数据是用非对称加密算法加密的，而攻击者没有密钥解密，使得数据传输安全得以保证，另一方面若攻击者攻击服务器并获取了服务器的控制权，由于数据解密是在SGX技术下的可信执行环境内进行，而任何权限都无法访问可信执行环境，所以攻击者仍然无法获取解密的数据，由此既保证了数据传输过程的安全性，又保证了数据处理及存储的安全性和可信性，便于实际推广和实现。

A method of data security protection of Internet of things based on Trusted Computing Technology

The invention relates to the field of Internet of things data security technology, and discloses a method of Internet of things data security protection based on trusted computing technology. That is to say, through the management mechanism of data encryption transmission of Internet of things devices and data protection of Internet of things servers provided by the invention, on the one hand, if the attacker attacks the transmission link, because the data obtained from the transmission link is encrypted with asymmetric encryption algorithm, and the attacker does not decrypt the key, the data transmission security can be guaranteed, on the other hand, if the attacker attacks the server And obtain the control right of the server, because the data decryption is carried out in the trusted execution environment under the SGX technology, and any authority can not access the trusted execution environment, so the attacker still can not obtain the decrypted data, which not only ensures the security of the data transmission process, but also ensures the security and credibility of the data processing and storage, which is convenient for practical promotion and implementation.

【技术实现步骤摘要】
一种基于可信计算技术进行物联网数据安全保护的方法
本专利技术属于物联网数据安全
，具体涉及一种基于可信计算技术进行物联网数据安全保护的方法。
技术介绍
物联网(IoT，InternetofThings的缩写，字面翻译是"物体组成的因特网"，准确的翻译应该为"物联网")由一个或多个IoT设备(也可称为物联网客户端)通过网络与物联网服务器互联。物联网服务器管理IoT设备发送的数据，并与IoT设备进行通信。如果攻击者攻击物联网服务器并获取了服务器的控制权，那所有与此物联网服务器通讯的IoT设备的信息也就会被泄露，而IoT设备例如摄像机和指纹采集器等通常涉及敏感数据，因此这种情况下将会造成非常严重的安全问题。在目前数据传输中，通常使用RSA算法(即RSA公钥加密算法，是1977年由罗纳德·李维斯特-RonRivest、阿迪·萨莫尔-AdiShamir和伦纳德·阿德曼-LeonardAdleman一起提出的。RSA就是他们三人姓氏开头字母拼在一起组成的，其是目前最有影响力和最常用的公钥加密算法，它能够抵抗到目前为止已知的绝大多数密码攻击，已被ISO推荐为公钥数据加密标准)对物联网数据进行加密/解密，以保障数据的安全传输。此方法虽然能够保证数据在传输过程中的安全性，但是当服务器侧被破解时，攻击者可以获取到服务器侧存储的私钥，进而使得从IoT设备加密传输的数据也可以被攻击者获取，导致敏感数据泄露，所以仅仅使用RSA算法仅能保证数据传输的安全，并不能保证整个物联网系统的安全。SGX全称IntelSoftwareGuardExtensions，其是对因特尔体系(IA)的一个扩展，用于增强软件的安全性。这种方式并不是识别和隔离平台上的所有恶意软件，而是将合法软件的安全操作封装在一个enclave(英文原意为“飞地”，此处可理解为可信执行环境)中，保护其不受恶意软件的攻击，特权或者非特权的软件都无法访问enclave，也就是说，一旦软件和数据位于enclave可信执行环境中，即便操作系统或者VMM(Hypervisor)也无法影响enclave里面的代码和数据。该enclave可以理解为一个“黑盒”，此“黑盒”并非用来识别和隔离恶意程序，而是将软件的敏感数据和信息封装起来，任何权限包括管理员都无法访问此可信执行环境，因此敏感信息不会被运行在更高特权等级下的欺诈软件进行非法访问和修改。SGX技术依赖操作系统，因此只能保证操作系统上运行的应用的安全性，无法保证数据传输的安全。
技术实现思路
为了解决现有物联网系统中关于物联网数据在传输及处理过程中所存在的安全性问题，本专利技术目的在于提供一种采用非对称密钥加密与可信计算相结合的方式实现物联网数据安全保护的新方法。本专利技术所采用的技术方案为：一种基于可信计算技术进行物联网数据安全保护的方法，包括如下步骤：S101.在初始化配置物联网服务器时，利用SGX技术的enclave可信执行环境进行服务器侧非对称密钥对的生成及存储，其中，所述服务器侧非对称密钥对包含服务器侧公钥和服务器侧私钥；S102.在初始化配置物联网客户端时，存储来自物联网服务器的所述服务器侧公钥；S103.物联网客户端在启动后，向物联网服务器请求建立通讯连接；S104.由物联网客户端使用所述服务器侧公钥对第一数据进行加密，获取第一加密数据，并利用建立的通讯连接将所述第一加密数据传输至物联网服务器的enclave可信执行环境内；S105.在物联网服务器的enclave可信执行环境内，使用所述服务器侧私钥解密所述第一加密数据，若解密成功，则获取并处理所述第一数据，否则丢弃所述第一加密数据。优化的，在所述步骤S101中包括有如下步骤：S201.在物联网服务器的enclave可信执行环境内,随机生成所述服务器侧非对称密钥对；S202.通过seal操作，将生成的服务器侧私钥加密存储在服务器硬盘中，同时将生成的服务器侧公钥输出至enclave可信执行环境外，以便分发给待初始化配置的物联网客户端。进一步优化的，在所述步骤S202之后还包括有如下步骤：S203.每次启动SGX程序时，在enclave可信执行环境中通过unseal操作从服务器硬盘中获取服务器侧私钥，并将该服务器侧私钥缓存于内部存储器中。优化的，在所述步骤S103中：物联网客户端通过握手协议建立与物联网服务器的双向通讯连接。具体的，所述握手协议为三次握手协议或四次握手协议。进一步优化的，在所述步骤S103中包括有如下步骤：S301.物联网客户端使用所述服务器侧公钥对本地生成的客户端侧公钥进行加密，得到第二加密数据，并将所述第二加密数据传输至物联网服务器的enclave可信执行环境内，同时本地缓存与该客户端侧公钥一一对应的客户端侧私钥；S302.在物联网服务器的enclave可信执行环境内，使用所述服务器侧私钥解密所述第二加密数据，若解密成功，则获取并缓存所述客户端侧公钥，否则丢弃所述第二加密数据。详细具体的，在所述步骤S301之前，还包括有如下步骤：S300.物联网客户端在请求建立双向通讯连接时，通过随机密钥生成器生成客户端侧密钥对，其中，所述客户端侧密钥对包含所述客户端侧公钥和客户端侧私钥。详细优化的，在所述步骤S302之后，还包括有如下步骤：S303.由物联网服务器使用所述客户端侧公钥对第三数据进行加密，获取第三加密数据，并利用建立的通讯连接将所述第三加密数据传输至物联网客户端；S304.由物联网客户端使用所述客户端侧私钥解密所述第三加密数据，若解密成功，则获取所述第三数据，否则丢弃所述第三加密数据。优化的，在所述步骤S105中还包括如下步骤：若解密成功则向物联网客户端反馈传输成功消息，否则向物联网客户端反馈传输失败消息。优化的，在所述步骤S105之后还包括如下步骤：通过seal操作，将经过处理的第一数据加密存储在服务器硬盘中。本专利技术的有益效果为：(1)本专利技术创造提供了一种将非对称加密技术与可信计算技术相结合来保护物联网敏感数据安全的新方法，即通过本专利技术创造所提供的物联网设备数据加密传输及物联网服务器数据保护的管理机制，一方面若攻击者攻击传输链路，由于从传输链路获取的数据是用非对称加密算法加密的，而攻击者没有密钥解密，使得数据传输安全得以保证，另一方面若攻击者攻击服务器并获取了服务器的控制权，由于数据解密是在SGX技术下的可信执行环境内进行，而任何权限都无法访问可信执行环境，所以攻击者仍然无法获取解密的数据，由此既保证了数据传输过程的安全性，又保证了数据处理及存储的安全性和可信性，便于实际推广和实现。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附本文档来自技高网...

【技术保护点】
1.一种基于可信计算技术进行物联网数据安全保护的方法，其特征在于,包括如下步骤：/nS101.在初始化配置物联网服务器时，利用SGX技术的enclave可信执行环境进行服务器侧非对称密钥对的生成及存储，其中，所述服务器侧非对称密钥对包含服务器侧公钥和服务器侧私钥；/nS102.在初始化配置物联网客户端时，存储来自物联网服务器的所述服务器侧公钥；/nS103.物联网客户端在启动后，向物联网服务器请求建立通讯连接；/nS104.由物联网客户端使用所述服务器侧公钥对第一数据进行加密，获取第一加密数据，并利用建立的通讯连接将所述第一加密数据传输至物联网服务器的enclave可信执行环境内；/nS105.在物联网服务器的enclave可信执行环境内，使用所述服务器侧私钥解密所述第一加密数据，若解密成功，则获取并处理所述第一数据，否则丢弃所述第一加密数据。/n

【技术特征摘要】
1.一种基于可信计算技术进行物联网数据安全保护的方法，其特征在于,包括如下步骤：
S101.在初始化配置物联网服务器时，利用SGX技术的enclave可信执行环境进行服务器侧非对称密钥对的生成及存储，其中，所述服务器侧非对称密钥对包含服务器侧公钥和服务器侧私钥；
S102.在初始化配置物联网客户端时，存储来自物联网服务器的所述服务器侧公钥；
S103.物联网客户端在启动后，向物联网服务器请求建立通讯连接；
S104.由物联网客户端使用所述服务器侧公钥对第一数据进行加密，获取第一加密数据，并利用建立的通讯连接将所述第一加密数据传输至物联网服务器的enclave可信执行环境内；
S105.在物联网服务器的enclave可信执行环境内，使用所述服务器侧私钥解密所述第一加密数据，若解密成功，则获取并处理所述第一数据，否则丢弃所述第一加密数据。


2.如权利要求1所述的一种基于可信计算技术进行物联网数据安全保护的方法，其特征在于,在所述步骤S101中包括有如下步骤：
S201.在物联网服务器的enclave可信执行环境内,随机生成所述服务器侧非对称密钥对；
S202.通过seal操作，将生成的服务器侧私钥加密存储在服务器硬盘中，同时将生成的服务器侧公钥输出至enclave可信执行环境外，以便分发给待初始化配置的物联网客户端。


3.如权利要求2所述的一种基于可信计算技术进行物联网数据安全保护的方法，其特征在于,在所述步骤S202之后还包括有如下步骤：
S203.每次启动SGX程序时，在enclave可信执行环境中通过unseal操作从服务器硬盘中获取服务器侧私钥，并将该服务器侧私钥缓存于内部存储器中。


4.如权利要求1所述的一种基于可信计算技术进行物联网数据安全保护的方法，其特征在于,在所述步骤S103中：物联网客户端通过握手协议建立与物联网服务器的双向通讯连接。


5.如权利要求4所述的一种基于可信计算技术进行物联网数据安全保护...

【专利技术属性】
技术研发人员：闫晓艳，张耀，刘亮，
申请(专利权)人：四川普思科创信息技术有限公司，
类型：发明
国别省市：四川;51