本发明涉及物联网和云计算技术领域,具体涉及一种物联网终端设备安全传输认证方法及装置。
背景技术:
近年来,物联网技术发展迅速,应用领域已经遍及交通、物流、公共安全、家居、医疗等多个行业。通过各类传感设备,可以实时采集来自传感设备的信息,以实现对设备的识别、监控、定位、连接、跟踪以及管理,让设备、网络和交互变得更加智能。传统制造厂商也在对产品生产链进行改造创新,将物联网技术与制造技术融合发展,创建智能工厂,发展智能制造装备。物联网技术已从单纯技术上升到一种经济形态的新经济形态。
物联网所涉及的数据量规模巨大,随着云计算和虚拟技术的推广普及,云基础设施和云服务平台的建设,使得物联网中海量物品的实时动态管理以及智能分析变得可能。然而随着各类接入设备的增多,各类行业数据的集中,物联网终端设备与云中心之间的认证问题就成为一个亟须解决的问题。一方面,如何能够保证物联网终端设备通过传感器收集的数据可以安全上传到云中心,而在传输过程中无法被第三方监听获取数据或恶意篡改。另一方面,如何保证物联网终端设备不被第三方非法入侵和控制。
技术实现要素:
本发明要解决的技术问题是:本发明针对以上问题,提供一种物联网终端设备安全传输认证方法及装置。
本发明所采用的技术方案为:
一种物联网终端设备安全传输认证方法,所述方法通过采用分级安全传输认证策略,在物联网终端设备和云中心之间进行安全数据传输以及身份认证,其中,云中心包括通讯模块、硬件加密机、公钥中心、安全中心和业务中心:
所述通讯模块负责与所述的物联网中海量终端设备进行数据交换;
所述硬件加密机保存云中心的多个密钥对并在硬件层面实现签名、加解密;
所述公钥中心保存物联网终端设备的公钥信息;
所述安全中心负责根据通讯模块得到的数据,进行协议解析、数据加解密和相关认证服务;
所述业务中心负责后续物联网业务逻辑的实现;
所述物联网终端设备负责从传感器中采集数据,并通过加密模块进行相关的安全认证和数据加密传输,完成与云中心交互。
所述物联网终端设备注册步骤如下:
步骤101、物联网终端设备通过加密硬件模块产生密钥对;
步骤102、根据物联网终端设备的硬件信息生成注册申请书,其中包含设备硬件ID和步骤101中产生的公钥;
步骤103、云中心将审核所述的物联网终端设备提交的申请书,并将公钥与其硬件身份信息保存到公钥中心;
步骤104、云中心将分级的云中心服务端公钥信息发送到所述的物联网终端设备;
步骤105、物联网终端设备将接收到公钥信息写入设备端公钥库中。
所述于终端设备上传数据步骤如下:
步骤201、物联网终端设备根据通过传感芯片收集的数据的安全级别,选择相应的传输认证安全协议套件;
步骤202、物联网终端设备根据选择的传输认证安全协议套件在加密模块中完成数据加密、签名以及数据协议封包;
步骤203、物联网终端设备将封包数据发送到云中心;
步骤204、云中心的通讯模块负责数据接收;
步骤205、云中心的安全中心根据传输认证安全协议套件进行数据解析,如果数据是签名格式,根据终端设备信息在公钥中心获取相应的设备公钥进行签名认证;如果数据是加密格式,则调用所述的硬件加密机进行数据解密,再根据终端设备信息在公钥中心获取相应的设备公钥进行签名认证;如果是原文格式,直接返回;
步骤206、云中心的安全中心根据步骤205的认证结果,如果认证通过,则交给业务中心负责后续物联网业务逻辑的处理,如果认证失败,则返回错误。
所述云中心向终端设备下发指令的步骤如下:
步骤301、云中心根据发送指令的安全级别,选择相应的传输认证安全协议套件;
步骤302、云中心安全中心根据选择的传输认证安全协议套件,调用硬件加密机,完成数据签名以及数据协议封包;
步骤303、云中心将封包数据发送到物联网终端设备;
步骤304、物联网终端设备的调用收发模块接收指令数据;
步骤305、物联网终端设备根据传输认证安全协议套件进行数据解析,并根据终端设备存储的公钥进行签名认证;
步骤306、物联网终端设备根据步骤305的认证结果,如果认证通过,则执行指令,如果认证失败,则返回错误。
一种物联网终端设备安全传输认证装置,所述装置结构包括:设备主控制器单元、传感芯片、加密芯片、加密配置存储模块、数据存储模块、信号指令模块、收发数据模块以及IO控制模块,其中:
设备主控制器单元负责智能设备的指挥控制中心;
传感芯片负责采集信息和状态;
加密芯片负责完成加解密、数字签名、协议封包相关运算;
加密配置存储模块分为明文区域、加密区域两个区域,明文区域存放来自所述的云中心的分级公钥,加密区域存储设备密钥,该密钥受硬件保护无法被导出;
数据存储模块存储终端设备需要存储的其他信息;
信号指令模块负责信号指令的处理;
收发数据模块负责与云中心进行数据传输;
IO控制模块负责整个终端设备的输入输出控制。
本发明的有益效果为:
本发明通过采用分级安全传输认证策略,与传统统一的加密方式相比,极大的提高了数据传输效率和认证效率,并且有效的保护了高级密钥的安全性,保证了终端设备资源访问控制的合法性和安全性,并且在对于传感器采集的敏感数据保护的同时,诸如心跳包等数据传输又采用明文传输,保证了传输效率。通过硬件加密装置保护了终端设备的密钥,提升了终端设备与云中心数据传输的安全性,并且所有涉及安全的运算都在硬件装置中完成,保证其运算效率。
附图说明
图1为终端设备安全传输认证装置硬件结构图;
图2为物联网终端设备与云中心结构示意图;
图3为注册物联网终端设备流程图。
具体实施方式
下面根据说明书附图,结合具体实施方式对本发明进一步说明:
实施例1
如图2所示,一种物联网终端设备安全传输认证方法,所述方法通过采用分级安全传输认证策略,在物联网终端设备和云中心之间进行安全数据传输以及身份认证,其中,云中心包括通讯模块、硬件加密机、公钥中心、安全中心和业务中心:
所述通讯模块负责与所述的物联网中海量终端设备进行数据交换;
所述硬件加密机保存云中心的多个密钥对并在硬件层面实现签名、加解密等功能;
所述公钥中心保存物联网终端设备的公钥信息;
所述安全中心负责根据通讯模块得到的数据,进行协议解析、数据加解密和相关认证服务;
所述业务中心负责后续物联网业务逻辑的实现;
所述物联网终端设备负责从传感器中采集数据,并通过加密模块进行相关的安全认证和数据加密传输,完成与云中心交互。
实施例2
如图3所示,在实施例1的基础上,本实施例所述物联网终端设备注册步骤如下:
步骤101、物联网终端设备通过加密硬件模块产生密钥对;
步骤102、根据物联网终端设备的硬件信息生成注册申请书,其中包含设备硬件ID和步骤101中产生的公钥;
步骤103、云中心将审核所述的物联网终端设备提交的申请书,并将公钥与其硬件身份信息保存到公钥中心;
步骤104、云中心将分级的云中心服务端公钥信息发送到所述的物联网终端设备;
步骤105、物联网终端设备将接收到公钥信息写入设备端公钥库中。
实施例3
在实施例1或2的基础上,本实施例所述于终端设备上传数据步骤如下:
步骤201、物联网终端设备根据通过传感芯片收集的数据的安全级别,选择相应的传输认证安全协议套件;
步骤202、物联网终端设备根据选择的传输认证安全协议套件在加密模块中完成数据加密、签名以及数据协议封包;
步骤203、物联网终端设备将封包数据发送到云中心;
步骤204、云中心的通讯模块负责数据接收;
步骤205、云中心的安全中心根据传输认证安全协议套件进行数据解析,如果数据是签名格式,根据终端设备信息在公钥中心获取相应的设备公钥进行签名认证;如果数据是加密格式,则调用所述的硬件加密机进行数据解密,再根据终端设备信息在公钥中心获取相应的设备公钥进行签名认证;如果是原文格式,直接返回;
步骤206、云中心的安全中心根据步骤205的认证结果,如果认证通过,则交给业务中心负责后续物联网业务逻辑的处理,如果认证失败,则返回错误。
实施例4
在实施例3的基础上,本实施例所述云中心向终端设备下发指令的步骤如下:
步骤301、云中心根据发送指令的安全级别,选择相应的传输认证安全协议套件;
步骤302、云中心安全中心根据选择的传输认证安全协议套件,调用硬件加密机,完成数据签名以及数据协议封包;
步骤303、云中心将封包数据发送到物联网终端设备;
步骤304、物联网终端设备的调用收发模块接收指令数据;
步骤305、物联网终端设备根据传输认证安全协议套件进行数据解析,并根据终端设备存储的公钥进行签名认证;
步骤306、物联网终端设备根据步骤305的认证结果,如果认证通过,则执行指令,如果认证失败,则返回错误。
实施例5
如图1所示,一种物联网终端设备安全传输认证装置,所述装置结构包括:设备主控制器单元、传感芯片、加密芯片、加密配置存储模块、数据存储模块、信号指令模块、收发数据模块以及IO控制模块,其中:
设备主控制器单元负责智能设备的指挥控制中心;
传感芯片负责采集信息和状态;
加密芯片负责完成加解密、数字签名、协议封包等相关运算;
加密配置存储模块分为明文区域、加密区域两个区域,明文区域存放来自所述的云中心的分级公钥,加密区域存储设备密钥,该密钥受硬件保护无法被导出;
数据存储模块存储终端设备需要存储的其他信息;
信号指令模块负责信号指令的处理;
收发数据模块负责与云中心进行数据传输;
IO控制模块负责整个终端设备的输入输出控制。
可以在设备端实现密钥生成、密钥管理、数据加解密、数据摘要、数字签名等功能,实现物联网终端设备与云中心的安全传输认证的目的。
实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。