一种基于密码技术的物联网安全系统和通信方法技术方案

本发明专利技术属于密码技术领领域，公开了一种基于密码技术的物联网安全系统和通信方法，注册设备标识和应用标识并产生保护密钥、签到密钥、数据密钥、指令密钥、半密钥、CPK密钥和SM9密钥；将产生的全部密钥进行加密后安全存储；向密码机发送携带终端标识的请求，经注册设备及密码机双方认证并协商后，进行数据加密传输；通过数据加密传输，密码机接到加密数据后，进行解密。本发明专利技术使用对称算法或标识密码算法，结合一系列软硬件产品，整体解决物联网安全，快速实现安全通道、安全存储、数据加密、身份认证、数字签名等功能。本发明专利技术确保了物联网中数据不被窃取、不被篡改，身份可信，数据能保密传输。

A security system and communication method of Internet of things based on Cryptography

The invention belongs to the field of cryptography technology, and discloses a security system and communication method of Internet of things based on cryptography technology, which registers device identification and application identification and generates protection key, sign in key, data key, instruction key, half key, Cpk key and SM9 key; encrypts all the generated keys and stores them safely; sends the request of carrying terminal identification to cipher It is required to conduct data encryption transmission after authentication and negotiation between the registered equipment and the cipher machine, and decrypt after the cipher machine receives the encrypted data through data encryption transmission. The invention uses symmetric algorithm or identification cipher algorithm and a series of software and hardware products to solve the security of the Internet of things as a whole, and quickly realizes the functions of safe channel, safe storage, data encryption, identity authentication, digital signature, etc. The invention ensures that the data in the Internet of things can not be stolen, tampered with, the identity can be trusted, and the data can be transmitted confidentially.

【技术实现步骤摘要】
一种基于密码技术的物联网安全系统和通信方法
本专利技术属于密码技术领领域，公开了一种基于密码技术的物联网安全系统和通信方法。
技术介绍
目前，最接近的现有技术：物联网在蓬勃发展的同时,其背后隐藏的安全问题也逐渐凸显出来。物联网的应用在某种程度上需要依赖互联网或者TCP/IP网络，物联网环境中从硬件层到软件应用层均可能存在安全隐患。目前无论是智慧城市、智能机器人、智能家居等等各种互联网+应用，都存在一个致命的核心问题：如何鉴别互联网上的身份、如何确保数据不被窃取、不被篡改。如果人-人、人-物、物-物之间通过可信的识别，通过数据的保密传输，将大大扩展了互联网的应用，甚至很快的促进物联网的蓬勃发展。综上所述，现有技术存在的问题是：(1)现有技术中，没有利用密码技术，解决物联网安全问题，并且不能可快速实现安全通道、安全存储、数据加密、身份认证、数字签名等功能。不能确保物联网中数据不被窃取、不被篡改，身份可信，数据能保密传输。(2)现有技术中，终端密钥的加密存储的加密密钥KEK只依赖终端本身，不能由密码机参与控制，终端与平台任何一方都不能单独生成。(3)现有的技术中，没有区分设备的激活和签到，在设备启动初始化时，设备管控平台不能参与设备各种密钥的初始化。解决上述技术问题的难度：(1)不同计算和存储能力的终端设备可以选用不同的认证、加密的方式。(2)在终端设备中加密存储的密钥等敏感参数，如何防止非法解密。(3)不同的传输通道使用不同的安全策略。解决上述技术问题的意义：(1)物联网中的终端设备有自己的标识、应用标识，同一设备不同的应用方便采用不同安全级别的加密方式进行保护，方便开展多种业务和满足不同业务的安全需求，适应不同设备能力和业务的需要；(2)物联网中的终端设备在初始化时进行认证，密码机参与密钥初始化，增强了终端设备的安全可靠性，防止第三非法使用；(3)指令、数据采用不同的加密方式，有利于不同传输方式的业务应用。
技术实现思路
针对现有技术存在的问题，本专利技术提供了一种基于密码技术的物联网安全系统和通信方法。本专利技术是这样实现的，一种基于密码技术的物联网安全通信方法，包括：在终端安全管控子系统中注册设备标识和应用标识，并产生保护密钥、签到密钥、数据密钥、指令密钥、半密钥、CPK密钥和SM9密钥；将产生的所述保护密钥、签到密钥、数据密钥、指令密钥、半密钥、CPK密钥和SM9密钥发送注册设备，进行加密后安全存储；所述注册设备向密码机发送携带终端标识的请求，经注册设备及密码机双方认证并协商后，进行数据加密传输；通过所述数据加密传输，密码机子系统接到加密数据后，进行解密。进一步，产生保护密钥的方法包括：利用根密钥ApprootKEY对保护密钥的分散参数进行加密，得到注册设备的保护密钥的二级根密钥，利用所述保护密钥的二级根密钥对所述设备标识和应用标识加密得到所述注册设备的本地保护密钥；利用主密钥ZMK对所述注册设备的本地保护密钥进行加密得到所述注册设备的保护密钥ZMK。进一步，产生数据密钥的方法包括：利用根密钥ApprootKEY对数据密钥的分散参数进行加密，得到所述注册设备的数据密钥的二级根密钥，利用所述数据密钥的二级根密钥对所述设备标识和应用标识加密得到所述注册设备的本地数据密钥，利用所述注册设备的保护密钥ZMK对所述注册设备的本地数据密钥进行加密得到所述注册设备的数据密钥ZMK。进一步，所述注册设备采用设备指纹+版密钥产生密钥加密密钥KEK，用所述产生的密钥加密密钥KEK将全部密钥在安全芯片或内存中加密后安全存储，所述密钥加密密钥KEK只在内存中使用，不存储，同时修改全部密钥状态。进一步，所述终端标识包括：所述终端的模组组件在初始化时生成的终端随机数、所述模组组件的标识。进一步，通过所述数据加密传输，密码机子系统接到加密数据后，进行解密的方法包括：注册设备A向密码机子系统或第三方注册设备B安全传输数据时，注册设备A使用数据加密密钥在安全芯片或内存中对数据加密，再传输给所述密码机子系统，所述密码机子系统接到加密数据后，使用注册终端A的数据密钥解密数据；如果是传输给第三方注册设备B的数据，密码机子系统采用第三方注册设备B的指令密钥加密消息通知第三方注册设备B，并使用第三方注册设备B的数据加密密钥对注册设备A传输给第三方注册设备B的数据转加密后传输给第三方注册设备B；第三方注册设备B接到加密消息后使用指令密钥解密消息，并使用数据密钥解密数据。进一步，通过所述数据加密传输，密码机子系统接到加密数据后，进行解密的方法进一步包括：注册设备A和第三方注册设备B采用SM9机制协商临时数据加密密钥CEK，注册设备A使用CEK加密数据并传输给第三方注册设备B,第三方注册设备B收到数据后使用CEK解密数据。本专利技术的另一目的在于提供一种基于密码技术的物联网安全系统，包括：注册设备，对物联网中心密钥管理子系统产生的所述保护密钥、签到密钥、数据密钥、指令密钥、半密钥、CPK密钥和SM9密钥进行加密后安全存储；并向密码机子系统发送携带终端标识的请求；与注册设备通信的密码机子系统，用于接收物联网终端侧设备发送的加密后的终端标识请求，并对所述终端标识请求进行解密。进一步，所述注册设备包括多个终端；所述终端包括：传感器、预置有该终端的主密钥或标识密钥的安全芯片或安全SDK和用于与所述物联网中心安全管理平台通信的模组组件；所述传感器和所述安全芯片或安全SDK均与所述模组组件通信连接；所述密码机包括：终端安全管控子系统和密钥管理子系统；所述终端安全管控子系统与模组组件通信，密码机子系统与密钥管理子系统通信。进一步，所述模组组件包括终端内的应用程序模块、模组安全管控装置、安全芯片接口组件和终端安全管控子系统的接口组件。综上所述，本专利技术的优点及积极效果为：本专利技术使用密码技术来构建信息安全的最关键防线，可以快速、经济地解决敏感数据保护的问题。本专利技术是使用密码技术构建物联网安全，使用对称算法(国密SM4)或标识密码算法(国密SM9算法)，结合一系列软硬件产品，整体解决物联网安全，可快速实现安全通道、安全存储、数据加密、身份认证、数字签名等功能。本专利技术确保了物联网中数据不被窃取、不被篡改，身份可信，数据能保密传输。附图说明图1是本专利技术实施例提供的基于密码技术的物联网安全系统的结构示意图；图中：1、物联网终端侧设备；2、物联网中心安全管理平台；3、终端；4、终端安全管控子系统；5、密钥管理子系统；6、密码机；7、模组组件；7-1、模组安全管控装置；7-2、安全芯片接口组件；7-3终端安全管控子系统的接口组件；7-4、终端内的应用程序模块；8、传感器；9、安全芯片。图2是本专利技术实施例提供的基于密码技术的物联网安全通信方法流程图。具体实施方式本文档来自技高网...

【技术保护点】
1.一种基于密码技术的物联网安全通信方法，其特征在于，所述基于密码技术的物联网安全通信方法包括：/n注册设备标识和应用标识，并产生保护密钥、签到密钥、数据密钥、指令密钥、半密钥、CPK密钥和SM9密钥；/n将产生的所述保护密钥、签到密钥、数据密钥、指令密钥、半密钥、CPK密钥和SM9密钥进行发送，以及进行加密后安全存储；/n接收加密后的保护密钥、签到密钥、数据密钥、指令密钥、半密钥、CPK密钥和SM9密钥，经双方认证并协商后，进行数据加密传输；/n对传输的加密数据，进行解密。/n

【技术特征摘要】
1.一种基于密码技术的物联网安全通信方法，其特征在于，所述基于密码技术的物联网安全通信方法包括：
注册设备标识和应用标识，并产生保护密钥、签到密钥、数据密钥、指令密钥、半密钥、CPK密钥和SM9密钥；
将产生的所述保护密钥、签到密钥、数据密钥、指令密钥、半密钥、CPK密钥和SM9密钥进行发送，以及进行加密后安全存储；
接收加密后的保护密钥、签到密钥、数据密钥、指令密钥、半密钥、CPK密钥和SM9密钥，经双方认证并协商后，进行数据加密传输；
对传输的加密数据，进行解密。


2.如权利要求1所述的基于密码技术的物联网安全通信方法，其特征在于，所述终端标识包括：所述终端的模组组件在初始化时生成的终端随机数、所述模组组件的标识。


3.如权利要求1所述的基于密码技术的物联网安全通信方法，其特征在于，产生保护密钥的方法包括：
利用根密钥ApprootKEY对保护密钥的分散参数进行加密，得到注册设备的保护密钥的二级根密钥，利用所述保护密钥的二级根密钥对所述设备标识和应用标识加密得到所述注册设备的本地保护密钥；
利用主密钥ZMK对所述注册设备的本地保护密钥进行加密得到所述注册设备的保护密钥ZMK。


4.如权利要求1所述的基于密码技术的物联网安全通信方法，其特征在于，产生数据密钥的方法包括：
利用根密钥ApprootKEY对数据密钥的分散参数进行加密，得到所述注册设备的数据密钥的二级根密钥，利用所述数据密钥的二级根密钥对所述设备标识和应用标识加密得到所述注册设备的本地数据密钥，利用所述注册设备的保护密钥ZMK对所述注册设备的本地数据密钥进行加密得到所述注册设备的数据密钥ZMK。


5.如权利要求1所述的基于密码技术的物联网安全通信方法，其特征在于，注册设备采用设备指纹和半密钥产生密钥加密密钥KEK，用所述产生的加密密钥KEK将全部密钥在安全芯片或内存中加密后安全存储，所述密钥加密密钥KEK只在内存中使用；不存储，同时修改全部密钥状态。


6.如权利要求1所述的基于密码技术的物联网安全通信方法，其特征在于，通过所述数据加密传输，密码机接到加密数...

【专利技术属性】
技术研发人员：叶雷，胡瑾，王新树，
申请(专利权)人：北京安御道合科技有限公司，
类型：发明
国别省市：北京;11