基于白盒密码服务的透明化物联网安全传输方法及装置制造方法及图纸

本发明专利技术公开了一种基于白盒密码服务的透明化物联网安全传输方法及装置，方法包括：身份认证过程，网关客户端发送身份序列号至白盒密服系统，白盒密服系统进行身份验证并返回通行证；网关客户端使用获取的白盒密钥表对约定数据进行加密，并将加密后数据发至网关服务端；白盒密服系统对数据进行解密，并返回解密后的明文数据，网关服务端验证明文数据是否为约定数据，是则验证通过；安全数据传输过程，物联网设备发送明文数据至网关客户端；网关客户端和网关网服务端按设定的数据安全传输服务进行安全数据传输；网关服务端将数据发送至应用服务。本发明专利技术不仅解决了兼容不安全的物联网系统的问题，还解决了物联网设备在非受信环境下密钥泄露问题。下密钥泄露问题。下密钥泄露问题。

【技术实现步骤摘要】
基于白盒密码服务的透明化物联网安全传输方法及装置


[0001]本专利技术属于物联网信息安全的
，具体涉及一种基于白盒密码服务的透明化物联网安全传输方法及装置。

技术介绍

[0002]随着物联网信息传输的广泛应用，如何保障物联网中数据传输的安全性越来越来越被重视。现有技术中，物联网数据安全传输方法包括将PUF芯片的若干挑战/响应对注册在数据平台上、感知终端与数据平台建立双向通信连接、通过请求与应答方式进行至少双向识别与认证过程、通过PUF芯片生成加密密钥和解密密钥用于数据的加密与解密。该种方法通过利用PUF芯片独有的挑战响应机制，既减少了控制模块的运算负荷，降低了系统功耗，又使双方建立了安全的双向通信链路，提升了双方数据传输的安全性，能够有效防止第三方入侵。
[0003]但是也存在下述缺陷：
[0004]1、发送方客户端会存储大量的历史数据以计算信用值，这不适用于资源受限的物联网环境。
[0005]2、对于发送数据端向数据平台发送的过程中，只有对发送端数据可信度的判断，无法保证发送端至网络节点间数据传输的安全性。...

【技术保护点】

【技术特征摘要】
1.基于白盒密码服务的透明化物联网安全传输方法，其特征在于，包括下身份认证过程和安全数据传输过程；所述身份认证过程具体为：网关客户端发送身份序列号至白盒密服系统，白盒密服系统进行身份验证并返回通行证，网关客户端通过通行证获取白盒密钥表；网关客户端使用获取的白盒密钥表对约定数据进行加密，并将加密后数据发至网关服务端；网关服务端收到密文数据后，将数据发送给白盒密服系统，白盒密服系统对数据进行解密，并返回解密后的明文数据，网关服务端验证明文数据是否为约定数据，是则验证通过，不是则验证失败；所述安全数据传输过程具体为：物联网设备发送明文数据至网关客户端；网关客户端将数据发送至网关网服务端前会使用上述获取白盒密钥表通过白盒密码算法对数据进行加密；网关服务端接收到数据后，调用白盒密码服务的解密接口对接收的数据进行解密；网关服务端将解密后数据发送至应用服务。2.根据权利要求1所述基于白盒密码服务的透明化物联网安全传输方法，其特征在于，在网关客户端和网关服务端建立安全传输隧道，所述安全传输隧道基于安全透传协议实现，所述安全透传协议通过对TCP/IP协议族增加白盒加解密安全层实现；在主机A的应用层数据发送至传输层时，使用白盒密码算法对数据进行加密，主机B收到数据后，数据经传输层发送至应用层前，使用白盒密码算法对数据进行解密；所述安全透传协议一方面用于身份认证，认证网关客户端的合法性，另一方面进行数据传输，实现网关客户端和网关服务端数据的透明传输。3.根据权利要求1所述基于白盒密码服务的透明化物联网安全传输方法，其特征在于，所述白盒密服系统具体为：密钥分发，利用白盒密钥库中封装接口，生成白盒加/解密密钥表文件，并分发白盒密钥表至网关客户端；身份验证，验证接入的网关客户端身份，验证身份是否有效，有效方方可进行白盒密钥表获取操作；密钥管理功能，对接入的白盒国密网关身份进行管理，对所有由白盒密服系统生成的密钥表进行管理；白盒SM4加解密，对接入的网关服务端传输的加密数据和身份序列，查询云安全存储的相关白盒密钥表，对消息进行解密操作，并将解密数据返还至网关服务端。4.根据权利要求1所述基于白盒密码服务的透明化物联网安全传输方法，其特征在于，所述设定的数据安全传输服务具体为：应用A创建数据包，并将数据包由主机A的用户态发送至内核态网络协议栈A；网络协议栈A对数据包添加传输层头部、IP头部操作，并将数据转发至虚拟网卡A；VPN应用A监控虚拟网卡A，使用白盒SM4算法CBC模式或GCM模式对监控的数据包进行加密，使用CBCMAC或GCMMAC生成数据包认证码；
VPN应用A将加密后的数据再写回到虚拟网卡A；虚拟网卡A将写入的数据发送至网络协议栈A；网络协议栈A对数据包再次进行封包处理，之后将数据发送到物理网卡A；物理网卡A通过互联网将数据包发送至物理网卡B；物理网卡B收到数据后，将数据交由网络协议栈B处理；网络协议栈B对数据包拆包，去掉IP头部和传输层头部后将数据发送给虚拟网卡B；VPN应用B监控虚拟网卡B，使用相对应的白盒SM4算法CBC模式或GCM模式对监控的数据包进行解密；并通过CBC MAC或GCM MAC方式对数据包认证码进行验证，来验证数据包完整性；VPN应用B将解密后的数据再写回到虚拟网卡B；虚拟网卡B将数据转发至网络协议栈B；网络协议栈B对数据包进行再次拆包处理，并将拆包后数据发送到用户态应用B。5.根据权利要求4所述基于白盒密码服务的透明化物联网安全传输方法，其特征在于，所述使用白盒SM4算法CBC模式的加密过程如下：将数据按照8个字节一组进行分组得到D1，D2，......，Dn，若数据不是8的整数倍，使用PKCS#7对数据进行填充；第一组数据D1与初始化向量IV异或后的结果进...

【专利技术属性】
技术研发人员：龚征，郝金福，邓伟杰，谢南江，邓童夏，王磊，陈锦海，汤宇锋，刘恒星，
申请(专利权)人：华南师范大学，
类型：发明
国别省市：