本发明专利技术公开了一种基于物联网的智能设备网络通讯安全实现方法,包括智能设备发起认证请求;智能设备将业务数据包加密后发送给服务器;服务器验证智能设备的合法性;服务器将业务数据包加密后发送给智能设备;智能设备验证服务器的合法性;实现双向认证连接,业务数据包包括加密区和校验区,所述加密区中的所有数据都进行加密处理,包含业务数据、设备唯一序列号和签名数据,所述校验区中存放请求方或者应答方的签名值,用于身份校验和数据篡改检查。本发明专利技术每次通讯的加解密密钥和身份认证信息都会随机变化,能有效抵抗重复数据攻击;采用“密钥组+密钥索引”进行密钥管理,通讯双方始终不进行密钥相关信息交互,保证了密钥的安全性。
【技术实现步骤摘要】
一种基于物联网的智能设备网络通讯安全实现方法
本专利技术涉及网络通讯
,尤其涉及一种基于物联网的智能设备网络通讯安全实现方法。
技术介绍
随着物联网技术的不断发展,物联网智能设备(以下简称智能设备)的数量呈指数式增长,而网络通讯方式由原来的Wi-Fi、GSM(GlobalSystemforMobileCommunications,全球移动通信系统)、LTE(LongTermEvolution,长期演进技术)发展到现在的NB-IoT(NarrowBandInternetofThings,窄带物联网)。目前大部分智能设备出于开发成本和运维成本的考虑,并没有做任何网络通讯的安全措施,只有一小部分设备采用了一定的安全措施。目前智能设备网络通讯安全的方法,通常有以下几种:1)通讯数据电子签名。即通讯双方事先约定密钥和授权码,发生数据交互时,发送方通过随机数生成器生成随机数,将待发送数据、密钥、授权码按一定排列规律进行电子签名,然后将本次传输数据和签名结果发送,接收方按照相同的排列规律对接收的数据进行电子签名,验证签名结果是否相同,保证本次数据的安全性。2)设备单向身份认证,通讯数据对称加密。即智能设备将自己的身份信息发送给服务器,发起认证请求,服务器验证智能设备身份的合法性,如果智能设备合法,给智能设备分配一个令牌token。需要发生数据交互时,智能设备将token添加至待发送数据,接着对数据用对称密钥进行加密,服务器收到数据后用相同的对称密钥进行解密,并验证token的合法性。服务器每隔一定时间回收token,智能设备重新进行认证请求,获取新的token。3)智能设备和服务器双向认证,用非对称密钥对通讯数据进行加密。即智能设备和服务器通过可信机构CA(证书颁发机构CertificateAuthority)签名颁发的数字证书进行双向身份认证,交换各自证书,获取对方的公钥信息,需要发生数据交互时,发送方用对方的公钥信息对数据进行加密,接收方通过自己的私钥进行解密。而现有技术具有以下缺点:1)对于没有任何安全措施的智能设备,攻击者可以通过网络工具或本地工具监听通讯过程和通讯数据,通过分析通讯数据破解传输协议,从而进行数据伪造,设备和服务器伪装等攻击。2)通讯数据电子签名方案只能保证传输数据防篡改,攻击者可以监听通讯数据,不需要解析出数据内容,重复发送监听得到的通讯数据进行非法控制。3)设备单向身份认证,通讯数据对称加密方案只能在一定程度上保证传输安全。此方案存在以下缺点:①只对智能设备进行身份认证,默认服务器是安全的,若攻击者伪装成服务器与智能设备通讯,则可以套取智能设备信息,伪装设备,甚至可以完全控制智能设备。②攻击者可以监听双方通讯,窃取token并伪装设备和服务器进行通讯。③攻击者同样可以监听通讯数据,不需要解析数据内容,重复发送监听得到的通讯数据进行非法控制。4)CA数字证书双向身份认证的方法能防止身份伪造,非对称加密能保证数据安全,防止数据窃取和篡改。此方案有以下缺点:①占用智能设备MCU资源,数据的加解密效率低,影响通讯效率,管理数量庞大的数字证书也有不小的难度。②对于NB-IoT网络的单包传输量有限制的环境,不适合传输数据量大的数字证书。③CA数字证书用于SSL或TLS,无法适用于UDP通讯方式。④对于有低功耗需求的智能设备,一般都是电池供电,太过复杂的认证方式,增加了通讯时间,从而增加了功耗,严重降低了电池的使用年限。
技术实现思路
本专利技术主要解决现有的技术中网络通讯出现通讯链路被窃听、身份被伪造、数据被篡改以及密钥易泄露的问题;提供一种基于物联网的智能设备网络通讯安全实现方法,提高网络通讯的安全性,解决网络通讯链路被窃听、身份被伪造、数据被篡改以及密钥易泄露的问题。本专利技术的上述技术问题主要是通过下述技术方案得以解决的:一种基于物联网的智能设备网络通讯安全实现方法,应用于智能设备与服务器之间建立连接,包括智能设备发起认证请求;智能设备将业务数据包加密后发送给服务器;服务器验证智能设备的合法性;服务器将业务数据包加密后发送给智能设备;智能设备验证服务器的合法性;实现双向认证连接。作为优选,为每个智能设备设置密钥组,不同的智能设备具有不同的密钥组;将每个智能设备的密钥组同步到服务器;每个密钥组包括2M个密钥和2M个密钥索引。作为优选,所述的业务数据包包括加密区和校验区,所述加密区中的所有数据都进行加密处理,包含业务数据、设备唯一序列号和签名数据,所述校验区中存放请求方或者应答方的签名值,用于身份校验和数据篡改检查。作为优选,所述的服务器验证智能设备的合法性通过电子签名进行验证,所述电子签名方法采用MD5信息摘要算法(MD5Message-DigestAlgorithm)进行验证。作为优选,采用MD5信息摘要算法进行电子签名时,将完整的签名值进行分割,分为应答方签名值、签名数据、请求方签名值和密钥索引;应答方签名值:从签名值中截取K1个字节,当作为应答方应答请求时,将应答方签名值填入校验区;请求方签名值:从签名值中截取K1个字节,当作为请求方发送请求时,将请求方签名值填入校验区;签名数据:从签名值中截取K2个字节,接收方用于身份验证,发送方将签名数据当做随机数加入到通讯数据中进行电子签名;密钥索引:从签名值中截取Mbit(位)作为密钥索引,通过密钥索引从密钥组中获取对应密钥进行数据加解密。作为优选,所述的签名值在每次通讯完成后进行更新。作为优选,除了第一次建立通信连接时需要进行电子签名外,在每次通讯的过程中,都需要进行电子签名,同时,服务器与智能设备在每次签名完成后均进行签名值更新。本专利技术的有益效果是:(1)每次通讯的加解密密钥和身份认证信息都会随机变化,能有效抵抗重复数据攻击;(2)占用MCU资源少,执行效率高,有效降低智能设备成本;(3)不需要通讯双方保持长连接,占用单包字节数少,加密和身份认证嵌在业务数据包中,不需要证书交换等复杂操作,能有效解决网络通讯安全问题;(4)采用“密钥组+密钥索引”进行密钥管理,通讯双方始终不进行密钥相关信息交互,保证了密钥的安全性。附图说明图1是实施例一的网络通讯连接框图。图2是实施例一的通讯流程示意图。具体实施方式下面通过实施例,并结合附图,对本专利技术的技术方案作进一步具体的说明。实施例一:一种基于物联网的智能设备网络通讯安全实现方法,如图1所示,首先设置密钥组,每个密钥组均2M个密钥和2M个密钥索引,密钥组结构如表2-1所示:表2-1密钥组结构对通讯数据进行封装和加密处理,封装后的数据包结构如表2-2所示:表2-2数据包结构数据包分为加密区和校验区;加密区中的所有数据都进行加密处理,包含业务数本文档来自技高网...
【技术保护点】
1.一种基于物联网的智能设备网络通讯安全实现方法,其特征在于,应用于智能设备与服务器之间建立连接,所述方法包括:/n智能设备发起认证请求;/n智能设备将业务数据包加密后发送给服务器;/n服务器验证智能设备的合法性;/n服务器将业务数据包加密后发送给智能设备;/n智能设备验证服务器的合法性;/n实现双向认证连接。/n
【技术特征摘要】
1.一种基于物联网的智能设备网络通讯安全实现方法,其特征在于,应用于智能设备与服务器之间建立连接,所述方法包括:
智能设备发起认证请求;
智能设备将业务数据包加密后发送给服务器;
服务器验证智能设备的合法性;
服务器将业务数据包加密后发送给智能设备;
智能设备验证服务器的合法性;
实现双向认证连接。
2.根据权利要求1所述的一种基于物联网的智能设备网络通讯安全实现方法,其特征在于,为每个智能设备设置密钥组,不同的智能设备具有不同的密钥组;
将每个智能设备的密钥组同步到服务器;
每个密钥组包括2M个密钥和2M个密钥索引。
3.根据权利要求1或2所述的一种基于物联网的智能设备网络通讯安全实现方法,其特征在于,所述业务数据包包括加密区和校验区,所述加密区中的所有数据都进行加密处理,包含业务数据、设备唯一序列号和签名数据,所述校验区中存放请求方或者应答方的签名值,用于身份校验和数据篡改检查。
4.根据权利要求1所述的一种基于物联网的智能设备网络通讯安全实现方法,其特征在于,所述服务器验证智能设备的合法性通过电子签名进行验证,所述电子签名方法采用MD5信息摘要算法(MD5Me...
【专利技术属性】
技术研发人员:杨守望,焦绍华,王哲豪,葛淑君,程晨瓯,
申请(专利权)人:杭州绿鲸科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。