具有信息处理能力的终端,可穿戴设备可以具体表现为腕带、智能环、项链,监控医疗设备可以具体表现为智能体检设备、心脏检测设备、血压监测设备、血糖浓度监测设备及皮肤检测设备等,家庭自动化设备可以具体表现为开关门设备、灯控设备、音乐控设备、热控设备、智能恒温器、智能冰箱等。
[0080]在上述的系统实施例中,第二互联设备可以为Hub设备,这种情况下可以构成又一个实施例。参见图6,该图示出了该实施例的应用场景。在该应用场景中,物联网安全系统包括作为第一互联设备的智能设备以及作为第二互联设备的Hub设备,如图中箭头所示,通过智能设备上的安全模块与Hub设备之间的信息交互,可以实现Hub设备对智能设备的传输文档的认证。但是,在实际过程中,还可以实现智能设备对Hub设备传输文档的认证,这时,所述Hub设备中的第二存储模块521,还用于存储第二私钥;第二安全模块522还包括摘要加密第二单元5224,第二 HASH计算单元5222还用于对第二互联设备的待发送文档采用第二 HASH算法进行HASH计算,生成第三摘要;摘要加密第二单元5224,用于读取第二存储模块存储的第二私钥,利用所述第二私钥对所述第三摘要进行加密,并将加密的第三摘要以及所述第二互联设备的待发送文档发送给第一互联设备;
[0081]智能设备中的第一存储模块51,还用于存储于所述第二私钥对应的第二公钥;第一安全模块512还可以包括摘要解密第二单元5123和摘要比较第二单元5124,摘要解密第二单元5123,用于在接收到所述加密的第三摘要后,读取第一互联设备读取预先存储的与第二私钥对应的第二公钥,利用所述第二公钥对对加密的第三摘要进行解密,得到第三摘要;第一 HASH计算单元5124还用于在第一互联设备接收到文档后,对该第一互联设备接收到的文档采用所述第二 HASH算法进行HASH计算,生成第四摘要;摘要比较第二单元,用于比较所述第三摘要和第四摘要,如果相同,则确认所述第一互联设备接收到的文档与第二互联设备的待发送文档为同一文档。通过上述对智能设备以及Hub设备的组成结构的改进,实现了 Hub设备与互联设备之间传输文档的双向认证,这种双向认证机制实际上建立了 PKI架构,从而可以使物联网安全具有多方面的突出技术效果。比如,由于在Hub设备与互联设备之间实现了双向认证加密,使互联设备的IP不再暴露于网络之中,可以保证数据安全(包括保证设备内存储的数据的安全、保证设备间的数据交互安全)、保证交互认证的安全(包括保证物理访问的安全性、保证远程访问的安全性、保证互联设备认证的安全性等)、保证应用的安全(包括保证阻止恶意攻击的环境的安全性、允许实施安全支付应用等)。需要说明的是,这里是以智能设备作为第一互联设备,Hub设备作为第二互联设备为基础说明的另一个方向的认证(即第二互联设备到第一互联设备的认证),但是,本领域技术人员显然可以将这种方式推广到第一互联设备、第二互联设备为其他设备的情况下的双向认证。
[0082]实际上,现实应用过程中,在上述的实施例中的第二互联设备还可以为平台服务器,这种情况下可以构成再一个实施例。参见图7,该图示出了该实施例的应用场景。在该应用场景中,物联网安全系统包括作为第一互联设备的智能设备以及作为第二互联设备的平台服务器,在智能设备与平台服务器之间还包括路由单元,从而智能设备通过路由器与平台服务器连接具体可以体现为所述智能设备通过蓝牙、WIF1、WiMax或Zigbee与路由单元连接,所述路由单元通过蓝牙、WIF1、WiMax或Zigbee与平台服务器连接。如图中箭头所示,通过智能设备上的安全模块与平台服务器之间的信息交互,可以实现平台服务器对智能设备的认证。但是,在实际过程中,还可以实现智能设备对平台服务器的认证,其实现过程与上述智能设备与Hub设备之间的认证相同,并也能够实现相同或相似技术效果,为避免重复,这里不再赘言。
[0083]在上述几种情形之中,提及了两种情形:一是智能设备与Hub设备互联形成的物联网系统,二是智能设备与平台服务器互联形成的物联网系统,实际上,在实际运行过程中,还可能存在第三种情形,即智能设备与智能设备互联形成物联网系统,该情形下第一互联设备和第二互联设备均表现为智能设备。
[0084]还需要说明的是,上述实施例是从物联网的整个系统的角度进行描述的,实际上,还可以从构成物联网的各个互联设备的角度进行技术方案的描述,比如,当从上述第一互联设备的角度描述互联设备时,该互联设备可以包括:第一存储模块和第一安全模块,所述第一存储模块,用于存储私钥,所述第一安全模块包括第一 HASH计算单元和摘要加密单元,其中:所述第一 HASH计算单元,用于对互联设备的待发送文档采用第一 HASH算法进行HASH计算,生成第一摘要;所述摘要加密单元,用于读取第一存储模块存储的私钥,利用所述私钥对所述第一摘要进行加密,并将加密的第一摘要以及所述互联设备的待发送文档发送给其它互联设备,所述私钥与其它互联设备中认证时使用的公钥对应。该互联设备是从传送文档的互联设备端进行描述的,还可以从接收文档的互联设备的一端对互联设备进行描述,即这时的互联设备可以包括第二存储模块和第二安全模块,所述第二存储模块,用于存储公钥,所述第二安全模块包括摘要解密单元、第二 HASH计算单元和摘要比较单元,其中:所述摘要解密单元,用于在互联设备接收到其它互联设备发送的加密的第一摘要后,读取第二存储模块存储的公钥,利用所述公钥对加密的第一摘要进行解密,得到第一摘要;所述第二 HASH计算单元,用于在互联设备接收到文档后,对该互联设备接收到的文档采用所述第一 HASH算法进行HASH计算,生成第二摘要;所述摘要比较单元,用于比较所述第一摘要和第二摘要,如果相同,则确认所述互联设备接收到的文档与其它互联设备发送的文档为同一文档,所述公钥与其它互联设备使用的私钥对应。
[0085]在一些情况下,为了物联网系统的更加安全,可以将第一存储模块设置在所述第一安全模块内,或者,将第二存储器设置在第二安全模块内,甚至同时进行上述设置。由于安全模块具有较好的安全性,它将安全模块运行的系统与智能设备或Hub设备(平台服务器)运行的系统隔离开来,通过将存储模块设置在安全模块内,使得对存储模块内数据的访问必须满足一定的条件才能实现访问,从而保证了存储模块内存储数据的安全。当然,在考虑存储数据的安全性和嵌入成本大小等两方面的因素时,还可以将存储模块分解为两个子存储模块,其中存储私钥的子存储模块设置到安全模块之中,存储对应公钥的子存储模块放置到安全模块之外。此外,这种“分离式”设置存储模块的做法,还可能是基于对安全模块存储空间大小的考虑,因为安全模块相对于互联设备而言,其内存空间通常较小,因而仅将那些最为重要的数据(比如,私钥)放置到其中,而将次重要或不重要的数据(比如,公钥)放置在安全模块之外的互联设备的其它存储区域。
[0086]此外,还值得说明的是,虽然前述内容已经参考若干【具体实施方式】描述了本发明创造的精神和原理,但是应该理解,本发明创造并不限于所公开的【具体实施方式】,对各方面的划分也不意味着这些方面中的特征不能组合,这种划分仅是为了表述的方便。本发明创造旨在涵盖所附权利要求的精神和范围内所包括的各种修改和等同布置。
【主权项】
1.一种实现物联网安全的方法,其特征在于,所述方法应用于包含第二互联设备和至少一个第一互联设备,第一互联设备与第二互联设备连接的系统,所述第一互联设备包括第一安全模块,所述第二互联设备包括第二安全模块,该方法包括: 对第一互联设备的待发送文档采用第一HASH算法进行HASH计算,生成第一摘要;读取第一互联设备预先存储的第一私钥,利用所述第一私钥对所述第一摘要进行加密,并将加密的第一摘要以及所述第一互联设备的待发送文档发送给第二互联设备; 在第二互联设备接收到所述加密的第一摘要后,读取第二互联设备预先存储的与所述第一私钥对应的第一公钥,利用所述第一公钥对加密的第一摘要进行解密,得到第一摘要;在第二互联