一种物联网的设备认证、数据完整和保密传输实现方法技术

一种物联网的设备认证、数据完整和保密传输实现方法，是传感器将采集到的信息通过智能芯片，进行数字签名和加密后发送给网络数据中心，网络数据中心再通过认证中心进行数据解密和签名验证，获得完整、可信的传感器采集的信息，网络数据中心将发送给传感器端的操作指令，通过认证中心进行数字签名和加密后发送给传感器，传感器将收到的操作指令数据，通过智能芯片进行数据解密和签名验证，获得正确、完整的操作指令，另外，通过建立认证中心对传感器的设备认证协议，来确认传感器设备是否处于正常工作状态，从而，建立物联网基础设施的认证、数据完整和保密传输的信息安全系统。

【技术实现步骤摘要】

本专利技术涉及物联网信息安全领域。
技术介绍
目前，国内外能解决物联网从感知层、传输层到应用层的信息安全产品还没有，一 些厂商生产的相关产品都存在重大不足，如PKI/CA技术，PKI/CA技术是采用非对称密码 算法和对称密码算法，共同来建立用户身份认证、文件数字签名和数据保密传输系统，但 是，PKI/CA的认证速度太慢，单一 CA认证中心管理用户的数量不足，需要建立很多CA认证 中心造成建立成本太高，其它基于组合对称密钥技术，建立的用户身份认证、文件数字签名 和数据保密传输系统，也不能直接用于物联网的信息安全，总之，现有的认证和数字签名产 品都不能满足市场对物联网信息安全的需求。
技术实现思路
，是采用传感器、网络、密 码和芯片技术，在互联网环境下，与其它基于对称密码算法和组合对称密钥技术，建立身份 认证和数字签名系统一样，在客户机端智能芯片里，使用对称密码算法建立客户端加密系 统，并写入对称密码算法、摘要算法、组合对称密钥生成算法、密钥“基”表(数据)、客户 端身份认证协议、签名验证协议、数字签名协议，在网络数据中心应用服务器端建立认证中 心，认证中心由多台服务器以及每台服务器里插入多块加密卡组成，在认证中心使用对称 密码算法来建立认证中心端加密系统，在加密卡芯片里，写入对称密码算法、摘要算法、一 组存储密钥、认证中心端身份认证协议、数字签名协议和签名验证协议，在认证中心的服务 器密钥“基”数据库里存储全体用户密钥“基”密文，其中全体用户密钥“基”事先被使用 加密卡芯片里的存储密钥加密成密文，客户端身份认证协议，将生成的认证口令1发送给 认证中心，认证中心端身份认证协议，再产生认证口令2，经对比认证口令1和2是否相同？ 来判断客户端用户是否为合法用户；客户端数字签名和加密系统，对文件进行数字签名和 数据加密并发送给认证中心，认证中心端加密系统和签名验证协议，将收到的客户端发送 来的密文数据进行解密，再进行签名文件的签名验证，来判别是否为合法签名，认证密钥和 签名密钥都采用组合对称密钥技术生成，基本实现一次一变，其中组合对称密钥技术是采 用组合对称密钥生成算法，对一套用户的密钥“基”表的元素进行选取，选出若干个元素合 成一组对称密钥，将客户端的用户密钥“基”数据存储在智能芯片里，将认证中心端全体网 络用户的密钥“基”以密文形式存储在密钥“基”数据库中，保证了密钥“基”数据的存储安 全，身份认证协议、数字签名协议、签名验证协议、数据加密和解密都在芯片里实现，是芯片 级的安全协议，协议的运行安全得到保证，从而，实现在互联网环境下，客户端与认证中心 之间的用户身份认证、数据完整和保密传输；本专利技术在传感器设备与网络数据中心之间，建立的设备认证、数据完整和保密传 输方法的的技术特征在于在物联网环境下，在传感器芯片上再嵌入一块智能芯片，在智能芯片里还写入传 感器设备认证协议、传感器操作指令对比协议，在接收传感器信息的网络数据中心建立认 证中心，在认证中心的加密卡里，还写入认证中心端的传感器设备认证协议、发送操作指令 的协议，传感器根据数据传输操作指令，将传感器采集到的信息在智能芯片里进行数字签 名和信息加密，传感器再将数字签名和加密后的密文信息发送给网络数据中心，认证中心 对网络数据中心收到的密文信息进行解密和签名验证，即实现对传感器采集的信息进行 了完整性验证，传感器根据设备认证操作指令，通过智能芯片产生认证口令并发送给网络 数据中心，网络数据中心通过认证中心进行口令认证，来确认传感器设备是否处于正常工 作状态，网络数据中心传输给传感器端的操作指令，是通过认证中心对操作指令数据进行 数字签名和加密后发送给传感器端，在智能芯片里，传感器端加密系统将收到的密文数据 解密，再通过签名验证协议对解密后的明文数据进行签名验证，获得正确完整的操作指令 并分别存放在传感器芯片和智能芯片里，传感器在运行操作指令时，先在智能芯片里进行 操作指令对比，只有正确的操作指令才有效，认证密钥和签名密钥都采用组合对称密钥技 术，基本实现认证和签名密钥一次一变，其中组合对称密钥技术，是使用一种组合对称密 钥生成算法对密钥“基”表的元素进行选取，选出Y(Y = 16，或32)个元素并合成一组对称 密钥，从而，建立物联网基础设施的认证、数据完整和保密传输的信息安全系统，全部过程 用软件和硬件结合方式实现，具体方法如下1、在传感器芯片上再嵌入一块智能芯片，作为传感器端的加密系统硬件设备，在 传感器端智能芯片里建立传感器端的加密系统，在智能芯片里，写入对称加密算法、组合对 称密钥生成算法、摘要算法、传感器端设备认证协议、数字签名协议、签名验证协议，传感器 操作指令对比协议，且写入数据传感器端的密钥“基”和智能芯片的标识。2、网络数据中心由服务器或小型组成，在网络数据中心建立认证中心，认证中心 由服务器(或工控机)和加密卡硬件设备组成，在服务器(或工控机)的PCI接口上插入 加密卡，将加密卡作为认证中心的加密系统硬件设备，在认证中心建立认证中心端的加密 系统，在加密卡里，写入对称密码算法、组合对称密钥生成算法、一组固定对称密钥(即存 储密钥)、摘要算法、认证中心端的传感器设备认证协议、发送操作指令的协议、数字签名协 议和签名验证协议。3、在智能芯片和加密卡芯片中，是将对称密码算法存储在芯片的IP里，IP是一种 硬件逻辑电路，存储在IP里的软件程序实现的对称密码算法无法读取，对称密码算法的安 全能得到保障，智能芯片中供数据存储的文件分密文文件包和明文文件包，在密文文件包 里存储的数据只能运行程序时调用，不能直接读取，存储在密文文件包里的数据安全得到 保障，在明文文件包里存储的数据能直接读取，存储在明文文件包里的数据安全不能得到 保障。4、传感器、智能芯片、网络数据中心的服务器、认证中心的加密卡和服务器(或工 控机)这些硬件设备，组成物联网的基础设施，建立传感器与网络数据中心之间的设备认 证、数据完整和保密传输系统，就是建立物联网基础设施的信息安全系统。5、在认证中心的服务器(或工控机)里，建立认证中心的密钥管理系统，负责对认 证中心的全部传感器端密钥“基”的密文数据进行管理，尤其，建立密钥“基”密文数据库的 索引库，为密钥管理系统提供对密钥“基”密文记录的检索定位。86、在认证中心的服务器(或工控机)里，建立日志数据库，存储认证中心每次对传 感器进行设备认证的有关数据和结果，存储认证中心每次对传感器采集的信息进行完整性 的有关数据和结果。7、每个传感器都有唯一的标识，各传感器的标识两两互不相同，传感器的标识由 数字或数字加英文字母组成；每块智能芯片也有唯一的标识，各智能芯片的标识两两互不 相同，智能芯片的标识由数字组成，一组智能芯片的标识对应一组智能芯片的标识和一组密钥“基”。8、传感器和认证中心两端加密系统使用的对称密码算法，如SM1、DES、RC5、SMS4、 ASE，使用的摘要算法，如SHA-I、SM3、MD5。9、各传感器端的智能芯片里存储的一套密钥“基”数据，并事先用智能芯片里的随 机数发生器来生成随机乱码，来作为智能芯片里的一套密钥“基”，使得密钥“基”具有随机 性，且两两都互不相同，认证中心对应全部传感器端的密钥“基”，事先使用本文档来自技高网...

【技术保护点】
一种物联网的设备认证、数据完整和保密传输实现方法，是采用传感器、网络、密码和芯片技术，在互联网环境下，与其它基于对称密码算法和组合对称密钥技术，建立身份认证和数字签名系统一样，在客户机端智能芯片里，使用对称密码算法建立客户端加密系统，并写入对称密码算法、摘要算法、组合对称密钥生成算法、密钥“基”表（数据）、客户端身份认证协议、签名验证协议、数字签名协议，在网络数据中心应用服务器端建立认证中心，认证中心由多台服务器以及每台服务器里插入多块加密卡组成，在认证中心使用对称密码算法来建立认证中心端加密系统，在加密卡芯片里，写入对称密码算法、摘要算法、一组存储密钥、认证中心端身份认证协议、数字签名协议和签名验证协议，在认证中心的服务器密钥“基”数据库里存储全体用户密钥“基”密文，其中：全体用户密钥“基”事先被使用加密卡芯片里的存储密钥加密成密文，客户端身份认证协议，将生成的认证口令１发送给认证中心，认证中心端身份认证协议，再产生认证口令２，经对比认证口令１和２是否相同？来判断客户端用户是否为合法用户；客户端数字签名和加密系统，对文件进行数字签名和数据加密并发送给认证中心，认证中心端加密系统和签名验证协议，将收到的客户端发送来的密文数据进行解密，再进行签名文件的签名验证，来判别是否为合法签名，认证密钥和签名密钥都采用组合对称密钥技术生成，基本实现一次一变，其中：组合对称密钥技术是采用组合对称密钥生成算法，对一套用户的密钥“基”表的元素进行选取，选出若干个元素合成一组对称密钥，将客户端的用户密钥“基”数据存储在智能芯片里，将认证中心端全体网络用户的密钥“基”以密文形式存储在密钥“基”数据库中，保证了密钥“基”数据的存储安全，身份认证协议、数字签名协议、签名验证协议、数据加密和解密都在芯片里实现，是芯片级的安全协议，协议的运行安全得到保证，从而，实现在互联网环境下，客户端与认证中心之间的用户身份认证、数据完整和保密传输；本专利技术在传感器设备与网络数据中心之间，建立的设备认证、数据完整和保密传输方法的技术特征在于：在物联网环境下，在传感器芯片上再嵌入一块智能芯片，在智能芯片里还写入：传感器设备认证协议、传感器操作指令对比协议，在接收传感器信息的网络数据中心建立认证中心，在认证中心的加密卡里，还写入认证中心端的传感器设备认证协议、发送操作指令的协议，传感器根据数据传输操作指令，将传感器采集到的信息在智能芯片里进行数字签名和信息加密，...

【技术特征摘要】
一种物联网的设备认证、数据完整和保密传输实现方法，是采用传感器、网络、密码和芯片技术，在互联网环境下，与其它基于对称密码算法和组合对称密钥技术，建立身份认证和数字签名系统一样，在客户机端智能芯片里，使用对称密码算法建立客户端加密系统，并写入对称密码算法、摘要算法、组合对称密钥生成算法、密钥“基”表(数据)、客户端身份认证协议、签名验证协议、数字签名协议，在网络数据中心应用服务器端建立认证中心，认证中心由多台服务器以及每台服务器里插入多块加密卡组成，在认证中心使用对称密码算法来建立认证中心端加密系统，在加密卡芯片里，写入对称密码算法、摘要算法、一组存储密钥、认证中心端身份认证协议、数字签名协议和签名验证协议，在认证中心的服务器密钥“基”数据库里存储全体用户密钥“基”密文，其中全体用户密钥“基”事先被使用加密卡芯片里的存储密钥加密成密文，客户端身份认证协议，将生成的认证口令1发送给认证中心，认证中心端身份认证协议，再产生认证口令2，经对比认证口令1和2是否相同？来判断客户端用户是否为合法用户；客户端数字签名和加密系统，对文件进行数字签名和数据加密并发送给认证中心，认证中心端加密系统和签名验证协议，将收到的客户端发送来的密文数据进行解密，再进行签名文件的签名验证，来判别是否为合法签名，认证密钥和签名密钥都采用组合对称密钥技术生成，基本实现一次一变，其中组合对称密钥技术是采用组合对称密钥生成算法，对一套用户的密钥“基”表的元素进行选取，选出若干个元素合成一组对称密钥，将客户端的用户密钥“基”数据存储在智能芯片里，将认证中心端全体网络用户的密钥“基”以密文形式存储在密钥“基”数据库中，保证了密钥“基”数据的存储安全，身份认证协议、数字签名协议、签名验证协议、数据加密和解密都在芯片里实现，是芯片级的安全协议，协议的运行安全得到保证，从而，实现在互联网环境下，客户端与认证中心之间的用户身份认证、数据完整和保密传输；本发明在传感器设备与网络数据中心之间，建立的设备认证、数据完整和保密传输方法的技术特征在于在物联网环境下，在传感器芯片上再嵌入一块智能芯片，在智能芯片里还写入传感器设备认证协议、传感器操作指令对比协议，在接收传感器信息的网络数据中心建立认证中心，在认证中心的加密卡里，还写入认证中心端的传感器设备认证协议、发送操作指令的协议，传感器根据数据传输操作指令，将传感器采集到的信息在智能芯片里进行数字签名和信息加密，传感器再将数字签名和加密后的密文信息发送给网络数据中心，认证中心对网络数据中心收到的密文信息进行解密和签名验证，即实现对传感器采集的信息进行了完整性验证，传感器根据设备认证操作指令，通过智能芯片产生认证口令并发送给网络数据中心，网络数据中心通过认证中心进行口令认证，来确认传感器设备是否处于正常工作状态，网络数据中心传输给传感器端的操作指令，是通过认证中心对操作指令数据进行数字签名和加密后发送给传感器端，在智能芯片里，传感器端加密系统将收到的密文数据解密，再通过签名验证协议对解密后的明文数据进行签名验证，获得正确完整的操作指令并分别存放在传感器芯片和智能芯片里，传感器在运行操作指令时，先在智能芯片里进行操作指令对比，只有正确的操作指令才有效，认证密钥和签名密钥都采用组合对称密钥技术，基本实现认证和签名密钥一次一变，其中组合对称密钥技术，是使用一种组合对称密钥生成算法对密钥“基”表的元素进行选取，选出Y(Y＝16，或32)个元素并合成一组对称密钥，从而，建立物联网基础设施的认证、数据完整和保密传输的信息安全系统。2.根据权利要求1的方法，其特征在于(1)在传感器芯片上再嵌入一块智能芯片，作为传感器端的加密系统硬件设备，在传感 器端智能芯片里建立传感器端的加密系统，在智能芯片里，写入对称加密算法、组合对称密 钥生成算法、摘要算法、传感器端设备认证协议、数字签名协议、签名验证协议，传感器操作 指令对比协议，且写入数据传感器端的密钥“基”和智能芯片的标识；(2)网络数据中心由服务器或小型组成，在网络数据中心建立认证中心，认证中心由服 务器(或工控机)和加密卡硬件设备组成，在服务器(或工控机)的PCI接口上插入加密 卡，将加密卡作为认证中心的加密系统硬件设备，在认证中心建立认证中心端的加密系统， 在加密卡里，写入对称密码算法、组合对称密钥生成算法、一组固定对称密钥(即存储密 钥)、摘要算法、认证中心端的传感器设备认证协议、发送操作指令的协议、数字签名协议和 签名验证协议；(3)在认证中心的服务器(或工控机)里，建立认证中心的密钥管理系统，负责对认证 中心的全部传感器端密钥“基”的密文数据进行管理，尤其，建立密钥“基”密文数据库的索 引库，为密钥管理系统提供对密钥“基”密文记录的检索定位；(4)各传感器端的智能芯片里存储的一套密钥“基”数据，并事先用智能芯片里的随机 数发生器来生成随机乱码，来作为智能芯片里的一套密钥“基”，使得密钥“基”具有随机性， 且两两都互不相同，认证中心对应全部传感器端的密钥“基”，事先使用认证中心加密卡芯 片里的存储密钥，分别将全部传感器端智能芯片里的密钥“基”加密成密文，与对应的智能 芯片的标识一起存储在认证中心服务器(或工控机)的密钥“基”密文数据库中。3.根据权利要求1的方法，其特征在于组合对称密钥技术是指采用组合对称密钥生成算法，对密钥“基”表B的元素进行选 取，选出Y(Y= 16，或32)并合成一组对称密钥，这也是一种简单的组合对称密钥生成算法，设S1，S2，......，Sy，为γ(γ= 16，或32)个十六进制随机数，由智能芯片里的随机数发生器产生，具体组合对称密钥生成算法如下用第1位十六进制随机数Sl对应表B第1行元素，用Sl的数值来对应表B第Sl列的 元素，将第1行和第Sl列交叉处的元素取出，设为kkl，用第2位十六进制随机数S2对应 表B第2行元素，用S2的数值来对应表B第S2列的元素，将第2行和第S2列交叉处的元素取出，设为kk2，......，用第Y位十六进制随机数Sy对应表B第Y行元素，用Sy的数值来对应表B第Sy列的元素，将第Y行和第Sy列交叉处的元素取出，设为kkY，再将选出表B 的这Y个元素(即kkl，kk2，......，kkY)合成一组对称密钥。4.根据权利要求1的方法，其特征在于(1)当每个传感器端的智能芯片里，存储的密钥“基”占32X32= 1024/2 = 512字节 (Y = 32)，并取表B的元素占0. 5字节时，每次生成认证或签名密钥的重复率为1/3232 = 1/216°，当每个传感器端的智能芯片里，存储的密钥“基”占16X16 = 256字节(Y = 16)，并 取表B的元素占1字节时，每次生成认证或签名密钥的重复率为1/1616 = 1/264，每次生成 认证或签名密钥的重复率十分小，从而，保证每次生成认证或签名密钥几乎都一次一变，基 本上不重复；(2)采用对称密码算法和组合对称密钥技术，建立的传感器设备认证系统和数字签名 系统，占用认证中心资源较少，每套密钥“基”即表B，占256或512字节，3亿智能芯片的标识和密钥“基”，大约占80G 160G字节，从而，实现认证中心能管理大规模的传感器设备， 且能建设低成本的认证中心，同时，使用对称密码算法建立的认证和签名验证协议，大大提 高传感器设备认证协议和签名验证协议的运行效率；(3)在物联网的设备认证、数据完整和保密传输过程中，每次生成认证或签名密钥是由 组合对称密钥生成算法自动完成，不需要人工更新认证或签名密钥，且基本实现一次一变， 这既降低了物联网基础设施的信息安全系统的维护成本，又提高了物联网设备认证协议和 数据传输过程中数字签名协议的安全等级。5.根据权利要求1的方法，其特征在于(1)传感器端的数字签名协议，当智能芯片收到传感器的标识和传感器采集的信息 (设为数据M)后，调用随机数发生器产生一组随机数S，调用智能芯片里的组合密钥生成 算法，根据随机数S对智能芯片里的密钥“基”，即表B的元素进行选取，选出Y (Y = 16，或 32)个表B的元素并合成一组对称密钥K1，调用摘要算法对传感器发送来的传感器采集的 信息(数据M)进行摘要，生成摘要信息Li，再调用对称密钥Kl和对称加密算法来加密数 据M和数据M的摘要信息...

【专利技术属性】
技术研发人员：胡祥义，
申请(专利权)人：胡祥义，
类型：发明
国别省市：11[中国|北京]