一种采用安全单钥管理技术的物联网密码认证方法技术

一种采用安全单钥管理技术的物联网密码认证方法，是采用认证或签名密钥来建立物联网安全协议，用传输密钥加密认证或签名密钥，保证认证或签名密钥交换传输过程的安全，用存储密钥分别加密全体对应传感节点端的传输密钥，保证传输密钥在认证中心端的存储安全，当传感节点设备的数量较大时，不需要购置较多的加密卡设备来存储大量的传输密钥，能大大节约认证中心的建设成本，采用安全单钥管理方法，解决了单钥密码算法在物联网安全协议中密钥更新管理的难题，降低了单钥更新维护的成本，同时，发挥了单钥密码算法加解密速度快的优势，有效提高物联网安全协议的运行速度，从而，建立一种采用安全单钥管理技术的物联网密码认证系统。

【技术实现步骤摘要】

本专利技术涉及信息安全领域，是利用密码技术进行物联网传感节点设备的认证、并对传感数据进行加密和数字签名，保证传感节点设备真实、可信，保证感知层传感数据的传输安全、保密和完整。
技术介绍
目前，国内外一些厂商生产的基于密码算法的物联网传感节点设备认证、感知层传感数据保密传输和完整性验证的产品，都是采用公钥技术如PKI，但是，物联网传感节点设备数量是互联网用户量的32倍，采用PKI技术建立CA数字认证中心的成本较高，且CA 认证中心进行传感节点设备认证、传感数据加密和数字签名，以及传感数据解密和签名验证的速度都较慢，不能满足超大规模(海量)传感节点设备的并发认证、传感数据解密和签名验证的市场需求，从而，影响了 PKI技术在物联网密码认证领域的应用。
技术实现思路
采用一种安全单钥管理技术的物联网密码认证方法，是采用单钥密码算法、安全单钥管理技术和芯片硬件技术，建立物联网密码认证系统；若在采用常用的单钥管理情况下，在传感节点端智能卡芯片里写入单钥密码算法、摘要算法、一组传输密钥、传感节点端智能卡芯片的标识、传感节点设备认证协议、传感数据的加密和数字签名协议，在认证中心端的认证服务器加密卡芯片里，写入单钥密码算法、摘要算法、全体对应认证中心端的传感节点端智能卡芯片的标识和对应的传输密钥，以及认证中心端的设备认证协议、传感数据解密和签名验证协议；当传感节点端的设备量较大时，认证中心需要部署较多的加密卡设备，来存储大量对应传感节点端的传输密钥；在传感节点端智能卡芯片里，用一组随机数作为认证密钥加密另一组随机数S，生成传感节点端的认证口令，并用传输密钥将认证密钥加密成密文后，与认证口令和随机数S—起发送给认证中心端，在认证中心端加密卡芯片里，使用对应传感节点端的传输密钥，将接收到的认证密钥的密文解密，再用解密后的认证密钥加密随机数S，生成认证中心端的认证口令，通过对比传感节点端和认证中心两端的认证口令，来确认传感节点端的设备是否真实、可信；在传感节点端智能卡芯片里，用一组随机数作为签名密钥对传感数据进行加密和数字签名，并用传输密钥将签名密钥加密成密文后，与传感数据的密文和传感数据的数字签名一起发送给认证中心端，在认证中心端加密卡芯片里，使用对应传感节点端的传输密钥，将接收到的签名密钥的密文解密，再用解密后的签名密钥,来解密传感数据的密文，并对传感数据的数字签名进行签名验证,来实现感知层的传感数据保密传输，确认传感节点端对传感数据的签名是否完整、未被篡改；本专利技术是采用单钥密码算法和一种安全单钥密钥管理技术，在传感节点端和认证中心端的芯片硬件里，建立传感节点设备认证、传感数据加、解密和数字签名系统，其方法的技术特征在于在采用一种安全单钥管理情况下，在传感节点端智能卡芯片里写入单钥密码算法、摘要算法、传感节点端智能卡芯片的标识、一组传输密钥、传感节点端的设备认证协议、传感数据加密和数字签名协议，在认证中心端认证服务器的加密卡芯片里写入单钥密码算法、摘要算法、一组存储密钥、认证中心端设备认证协议、传感数据解密和签名验证协议，在认证中心端认证服务器的硬盘存储区，存储对应认证中心端全体传感节点端智能卡芯片标识和传输密钥的密文；当传感节点端的设备量较大时，不需要在认证中心部署较多的加密卡设备，来存储大量对应传感节点端的传输密钥；采用一种安全单钥管理技术，是指采用三种密钥管理方法，其中第一种密钥为认证或签名密钥，认证密钥用来建立设备认证协议，签名密钥用来建立传感数据加密和数字签名协议；第二种密钥为传输密钥，传输密钥用于加密认证或签名密钥，保证认证或签名密钥交换传输过程的安全；第三种密钥为存储密钥，存储密钥用于分别加密对应全体传感节点端的传输密钥，保证传输密钥在认证中心端的存储安全，使用存储密钥加密传输密钥，使用传输密钥加密认证或签名密钥，再用认证密钥加密一组随机数生成认证口令，实现传感节点端的设备认证，或用签名密钥对传感数据和传感数据的“摘要”信息进行加密即数字签名，实现感知层的传感数据保密传输和完整性验证，从而，建立采用一种安全单钥管理技术的物联网密码认证系统，全部过程用软件和硬件结合方式实现，具体方法如下I、传感节点端的设备，包括传感器或RFID设备和智能卡设备，传感器或RFID设 备作为传感设备，用于采集传感数据，在传感器或RFID设备上嵌入一块智能卡，将智能卡作为传感节点端的加密系统硬件设备，传感节点端的传感设备与一块智能卡连接，两者之间的数据是双向传输，在传感节点端智能卡芯片里，建立传感节点端的加密系统，即:写入单钥密码算法、摘要算法、传感节点端的物联网安全协议包括传感节点端的设备认证协议、加密和数字签名协议，且写入数据传感节点端智能卡芯片的标识和一组传输密钥。2、认证中心端由认证服务器和加密卡硬件设备组成，在认证服务器的PCI接口上插入加密卡，将加密卡作为认证中心端的加密系统硬件设备，物联网数据中心与认证中心连接，物联网数据中心与认证中心之间的数据是双向传输，在加密卡的芯片里，建立认证中心端的加密系统，即写入单钥密码算法、摘要算法、认证中心端的物联网安全协议包括认证中心端的设备认证协议、解密和签名验证协议，且写入数据一组存储密钥，在认证中心端认证服务器的硬盘存储区，写入数据Z，数据Z包括对应全体传感节点端智能卡芯片标识和传输密钥SKi (i = I n，n为传感节点端的设备数量总和)的密文，即将数据Z存储在认证中心端认证服务器的传输密钥数据库中。3、物联网数据中心由服务器或小型机组成，在物联网数据中心里，存放的内容有两种(I)存放传感节点端传感设备采集的传感数据、对应的传感节点端智能卡芯片标识、接收传感数据的时间戳、以及接收到的传感数据完整验证的“结果” ；(2)存放设备认证“结果”、对应的传感节点端智能卡芯片标识、接收设备认证“结果”的时间戳。4、每个传感节点端智能卡芯片都有唯一的标识，每个传感节点端智能卡芯片标识两两互不相同，传感节点端智能卡芯片标识由数字或数字加英文字母加字符组成，设传感节点端智能卡芯片标识的数据长度为C2(C2 = 5 15位)，当传感节点端智能卡芯片标识由数字加英文字母组成时，若C2位8位字母和数字时，如CG-00017 ;当传感节点端智能卡芯片标识全部由数字组成时，若C2为12位数字时，如000000000026，一组传感节点端智能卡芯片标识对应一台传感节点设备和一组传输密钥，随机数S长度为128 256比特数字或英文字母。5、传感节点端和认证中心两端的加密系统，使用的单钥密码算法，如SM1、DES、RC5、SMS4、ASE，使用的摘要算法，如=SHA-U SM3、MD5，密钥长度M，M = 128比特或210比特，摘要算法的摘要信息长度为128比特或256比特。6、安全单钥管理(即三种密钥管理)方法及其特征如下(I)第一种密钥即认证或签名密钥，设认证或签名密钥为CK，在传感节点端的设备认证协议、或加密和数字签名协议运行过程时，由传感节点端智能卡芯片里的随机数发生器实时产生一组128或210比特的随机数，用该组随机数作为认证或签名密钥CK，当CK作为认证密钥时，用CK来加密另一组随机数S产生认证口令，当CK作为签名密钥时，用CK对传感节点端的传感数据进行加密和数字签名，认证或签名密钥本文档来自技高网...

【技术保护点】
采用一种安全单钥管理技术的物联网密码认证方法，是采用单钥密码算法、安全单钥管理技术和芯片硬件技术，建立物联网密码认证系统；若在采用常用的单钥管理情况下，在传感节点端智能卡芯片里写入：单钥密码算法、摘要算法、一组传输密钥、传感节点端智能卡芯片的标识、传感节点设备认证协议、传感数据的加密和数字签名协议，在认证中心端的认证服务器加密卡芯片里，写入单钥密码算法、摘要算法、全体对应认证中心端的传感节点端智能卡芯片的标识和对应的传输密钥，以及认证中心端的设备认证协议、传感数据解密和签名验证协议；当传感节点端的设备量较大时，认证中心需要部署较多的加密卡设备，来存储大量对应传感节点端的传输密钥；在传感节点端智能卡芯片里，用一组随机数作为认证密钥加密另一组随机数S，生成传感节点端的认证口令，并用传输密钥将认证密钥加密成密文后，与认证口令和随机数S一起发送给认证中心端，在认证中心端加密卡芯片里，使用对应传感节点端的传输密钥，将接收到的认证密钥的密文解密，再用解密后的认证密钥加密随机数S，生成认证中心端的认证口令，通过对比传感节点端和认证中心两端的认证口令，来确认传感节点端的设备是否真实、可信；在传感节点端智能卡芯片里，用一组随机数作为签名密钥对传感数据进行加密和数字签名，并用传输密钥将签名密钥加密成密文后，与传感数据的密文和传感数据的数字签名一起发送给认证中心端，在认证中心端加密卡芯片里，使用对应传感节点端的传输密钥，将接收到的签名密钥的密文解密，再用解密后的签名密钥，来解密传感数据的密文，并对传感数据的数字签名进行签名验证，来实现感知层的传感数据保密传输，确认传感节点端对传感数据的签名是否完整、未被篡改；本专利技术是采用单钥密码算法和一种安全单钥密钥管理技术，在传感节点端和认证中心端的芯片硬件里，建立传感节点设备认证、传感数据加、解密和数字签名系统，其方法的技术特征在于：在采用一种安全单钥管理情况下，在传感节点端智能卡芯片里写入：单钥密码算法、摘要算法、传感节点端智能卡芯片的标识、一组传输密钥、传感节点端的设备认证协议、传感数据加密和数字签名协议，在认证中心端认证服务器的加密卡芯片里写入：单钥密码算法、摘要算法、一组存储密钥、认证中心端设备认证协议、传感数据解密和签名验证协议，在认证中心端认证服务器的硬盘存储区，存储对应认证中心端全体传感节点端智能卡芯片标识和传输密钥的密文；当传感节点端的设备量较大时，不需要在认证中心 部署较多的加密卡设备，来存储大量对应传感节点端的传输密钥；采用一种安全单钥管理技术，是指采用三种密钥管理方法，其中：第一种密钥为：认证或签名密钥，认证密钥用来建立设备认证协议，签名密钥用来建立传感数据加密和数字签名协议；第二种密钥为：传输密钥，传输密钥用于加密认证或签名密钥，保证认证或签名密钥交换传输过程的安全；第三种密钥为：存储密钥，存储密钥用于分别加密对应全体传感节点端的传输密钥，保证传输密钥在认证中心端的存储安全，使用存储密钥加密传输密钥，使用传输密钥加密认证或签名密钥，再用认证密钥加密一组随机数生成认证口令，实现传感节点端的设备认证，或用签名密钥对传感数据和传感数据的“摘要”信息进行加密即：数字签名，实现感知层的传感数据保密传输和完整性验证，从而，建立采用一种安全单钥管理技术的物联网密码认证系统。...

【技术特征摘要】
1.采用一种安全单钥管理技术的物联网密码认证方法，是采用单钥密码算法、安全单钥管理技术和芯片硬件技术，建立物联网密码认证系统；若在采用常用的单钥管理情况下，在传感节点端智能卡芯片里写入单钥密码算法、摘要算法、一组传输密钥、传感节点端智能卡芯片的标识、传感节点设备认证协议、传感数据的加密和数字签名协议，在认证中心端的认证服务器加密卡芯片里，写入单钥密码算法、摘要算法、全体对应认证中心端的传感节点端智能卡芯片的标识和对应的传输密钥，以及认证中心端的设备认证协议、传感数据解密和签名验证协议；当传感节点端的设备量较大时，认证中心需要部署较多的加密卡设备，来存储大量对应传感节点端的传输密钥；在传感节点端智能卡芯片里，用一组随机数作为认证密钥加密另一组随机数S，生成传感节点端的认证口令，并用传输密钥将认证密钥加密成密文后，与认证口令和随机数S—起发送给认证中心端，在认证中心端加密卡芯片里，使用对应传感节点端的传输密钥，将接收到的认证密钥的密文解密，再用解密后的认证密钥加密随机数S，生成认证中心端的认证口令，通过对比传感节点端和认证中心两端的认证口令，来确认传感节点端的设备是否真实、可信；在传感节点端智能卡芯片里，用一组随机数作为签名密钥对传感数据进行加密和数字签名，并用传输密钥将签名密钥加密成密文后，与传感数据的密文和传感数据的数字签名一起发送给认证中心端，在认证中心端加密卡芯片里，使用对应传感节点端的传输密钥，将接收到的签名密钥的密文解密，再用解密后的签名密钥,来解密传感数据的密文，并对传感数据的数字签名进行签名验证,来实现感知层的传感数据保密传输，确认传感节点端对传感数据的签名是否完整、未被篡改； 本发明是采用单钥密码算法和一种安全单钥密钥管理技术，在传感节点端和认证中心端的芯片硬件里，建立传感节点设备认证、传感数据加、解密和数字签名系统，其方法的技术特征在于 在采用一种安全单钥管理情况下，在传感节点端智能卡芯片里写入单钥密码算法、摘要算法、传感节点端智能卡芯片的标识、一组传输密钥、传感节点端的设备认证协议、传感数据加密和数字签名协议，在认证中心端认证服务器的加密卡芯片里写入单钥密码算法、摘要算法、一组存储密钥、认证中心端设备认证协议、传感数据解密和签名验证协议，在认证中心端认证服务器的硬盘存储区，存储对应认证中心端全体传感节点端智能卡芯片标识和传输密钥的密文；当传感节点端的设备量较大时，不需要在认证中心部署较多的加密卡设备，来存储大量对应传感节点端的传输密钥；采用一种安全单钥管理技术，是指采用三种密钥管理方法，其中第一种密钥为认证或签名密钥，认证密钥用来建立设备认证协议，签名密钥用来建立传感数据加密和数字签名协议；第二种密钥为传输密钥，传输密钥用于加密认证或签名密钥，保证认证或签名密钥交换传输过程的安全；第三种密钥为存储密钥，存储密钥用于分别加密对应全体传感节点端的传输密钥，保证传输密钥在认证中心端的存储安全，使用存储密钥加密传输密钥，使用传输密钥加密认证或签名密钥，再用认证密钥加密一组随机数生成认证口令，实现传感节点端的设备认证，或用签名密钥对传感数据和传感数据的“摘要”信息进行加密即数字签名，实现感知层的传感数据保密传输和完整性验证，从而，建立采用一种安全单钥管理技术的物联网密码认证系统。2.根据权利要求I的方法，其特征在于 (I)第一种密钥即认证或签名密钥，设认证或签名密钥为CK，在传感节点端的设备认证协议、或加密和数字签名协议运行过程时，由传感节点端智能卡芯片里的随机数发生器实时产生一组128或210比特的随机数，用该组随机数作为认证或签名密钥CK，当CK作为认证密钥时，用CK来加密另一组随机数S产生认证口令，当CK作为签名密钥时，用CK对传感节点端的传感数据进行加密和数字签名，认证或签名密钥在传感节点端智能卡芯片里产生，在智能卡芯片里被使用后，并在智能卡芯片里被清除，认证或签名密钥的明文不出传感节点端智能卡芯片硬件，保证认证或签名密钥在传感节点端的运行安全； 认证或签名密钥从传感节点端传输到认证中心端之前，在传感节点端智能卡芯片里，先用传感节点端智能卡芯片里的传输密钥将认证或签名密钥加密成密文后，再从传感节点端智能卡芯片里输出并传到认证中心端，在认证中心端加密卡芯片里，使用对应传感节点端的传输密钥将认证或签名密钥的密文解密成明文，保证了认证或签名密钥的交换传输安全； (2)第二种密钥即传输密钥，设传输密钥为SKi(i = I n，n为对应认证中心的全体 传感节点端的设备总和)，在密钥初始化过程中，由认证中心端加密卡芯片里的随机数发生器，生成一组128或210比特的随机数，将该组随机数作为一组传输密钥SKi (i = I n)，分别输入到对应的各个传感节点端智能卡芯片里，同时，在认证中心端加密卡的芯片里，使用一组存储密钥，将全体对应传感节点端的每组传输密钥SKi (i = I n)分别加密生成密文即SKi ’(i = l n)后输出加密卡芯片，并将传输密钥SKi (i = I n)以密文即SK1’、SK2’ SKn’的形式，分别与对应传输密钥SKi (i = I n)的传感节点端智能卡芯片的标识，一起存储在认证中心端认证服务器的传输密钥数据库中； 在传感节点端智能卡芯片里，用传输密钥SKi (i = I n)来加密认证或签名密钥CK，生成认证或签名密钥密文即CK’，并将CK’发送给认证中心端，每个传感节点端对应的传输密钥SKi (i = I n)都存储在传感节点端智能卡芯片里,并在传感节点端智能卡芯片里被使用，传输密钥的明文不出传感节点端智能卡芯片，保证了传感节点端传输密钥在传感节点端的存储和运行安全； 在认证中心端，全体传感节点端对应的传输密钥，是以密文形式存放在认证中心的传输密钥数据库中，保证全体传感节点端对应的传输密钥在认证中心端的存储安全，当认证中心端对应传感节点端的传输密钥的密文SKi’(i = I n)被调用时，是在加密卡芯片里被解密成明文，并在加密卡芯片里被使用后清除，传输密钥的明文不出加密卡芯片，保证全体传感节点端对应的传输密钥在认证中心端的运行安全； (3)第三种密钥即存储密钥，设存储密钥为K，在密钥初始化过程中，存储密钥事先由认证中心端加密卡芯片里的随机数发生器，产生一组128或210比特的随机数，将该组随机数作为一组存储密钥K，并存储在加密卡芯片里，存储密钥K是一组固定的单钥，用存储密钥K分别将全体对应传感节点端的传输密钥SKi (i = I n)加密成密文即SK1’、SK2’、……、SKn’(i = I n)后，存储在认证中心端的传输密钥数据库中； 当传感节点端和认证中心端进行认证或签名密钥CK交换时，在认证中心端加密卡芯片里，使用存储密钥K将认证中心端对应加密CK的传输密钥的密文SKi，(i = I n)解密成明文，再用解密后的传输密钥SKi (i = I n)，将收到传感节点端发送来的认证或签名密钥的密文CK’解密成明文即CK，存储密钥K在加密卡的芯片里产生，并存储在加密卡芯片，存储密钥K的明文在使用时不出芯片硬件，保证存储密钥K的存储和运行安全。3.根据权利要求2的方法，其特征在于(1)认证或签名密钥是由传感节点端智能卡芯片里的随机数发生器产生，具有随机性，一次一变，且都属于一组乱码，用传输密钥SKi (i = I n)将每次产生的认证或签名密钥即CK1、CK2、……、CKm(m自然数)，分别加密成密文即CK1，、CK2，、……、CKm’，(m自然数)，也具有随机性，一次一变，也都属于一组乱码，无规律性，破译者无法将CK1’、CK2’、……、CKm’ (m自然数)，作为破译条件一“重复报”(使用相同的单钥将多份不同的明文报文加密成密文报文)，来破译认证或签名密钥即CK1、CK2、……、CKm(m自然数)，或破译传输密钥S...

【专利技术属性】
技术研发人员：胡祥义，
申请(专利权)人：胡祥义，
类型：发明
国别省市：