一种采用安全单钥管理技术的物联网密码认证方法

文档序号:7859578阅读:266来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种采用安全单钥管理技术的物联网密码认证方法
技术领域
本发明涉及信息安全领域,是利用密码技术进行物联网传感节点设备的认证、并对传感数据进行加密和数字签名,保证传感节点设备真实、可信,保证感知层传感数据的传输安全、保密和完整。
背景技术
目前,国内外一些厂商生产的基于密码算法的物联网传感节点设备认证、感知层传感数据保密传输和完整性验证的产品,都是采用公钥技术如PKI,但是,物联网传感节点设备数量是互联网用户量的32倍,采用PKI技术建立CA数字认证中心的成本较高,且CA 认证中心进行传感节点设备认证、传感数据加密和数字签名,以及传感数据解密和签名验证的速度都较慢,不能满足超大规模(海量)传感节点设备的并发认证、传感数据解密和签名验证的市场需求,从而,影响了 PKI技术在物联网密码认证领域的应用。

发明内容
采用一种安全单钥管理技术的物联网密码认证方法,是采用单钥密码算法、安全单钥管理技术和芯片硬件技术,建立物联网密码认证系统;若在采用常用的单钥管理情况下,在传感节点端智能卡芯片里写入单钥密码算法、摘要算法、一组传输密钥、传感节点端智能卡芯片的标识、传感节点设备认证协议、传感数据的加密和数字签名协议,在认证中心端的认证服务器加密卡芯片里,写入单钥密码算法、摘要算法、全体对应认证中心端的传感节点端智能卡芯片的标识和对应的传输密钥,以及认证中心端的设备认证协议、传感数据解密和签名验证协议;当传感节点端的设备量较大时,认证中心需要部署较多的加密卡设备,来存储大量对应传感节点端的传输密钥;在传感节点端智能卡芯片里,用一组随机数作为认证密钥加密另一组随机数S,生成传感节点端的认证口令,并用传输密钥将认证密钥加密成密文后,与认证口令和随机数S—起发送给认证中心端,在认证中心端加密卡芯片里,使用对应传感节点端的传输密钥,将接收到的认证密钥的密文解密,再用解密后的认证密钥加密随机数S,生成认证中心端的认证口令,通过对比传感节点端和认证中心两端的认证口令,来确认传感节点端的设备是否真实、可信;在传感节点端智能卡芯片里,用一组随机数作为签名密钥对传感数据进行加密和数字签名,并用传输密钥将签名密钥加密成密文后,与传感数据的密文和传感数据的数字签名一起发送给认证中心端,在认证中心端加密卡芯片里,使用对应传感节点端的传输密钥,将接收到的签名密钥的密文解密,再用解密后的签名密钥,来解密传感数据的密文,并对传感数据的数字签名进行签名验证,来实现感知层的传感数据保密传输,确认传感节点端对传感数据的签名是否完整、未被篡改;本发明是采用单钥密码算法和一种安全单钥密钥管理技术,在传感节点端和认证中心端的芯片硬件里,建立传感节点设备认证、传感数据加、解密和数字签名系统,其方法的技术特征在于在采用一种安全单钥管理情况下,在传感节点端智能卡芯片里写入单钥密码算法、摘要算法、传感节点端智能卡芯片的标识、一组传输密钥、传感节点端的设备认证协议、传感数据加密和数字签名协议,在认证中心端认证服务器的加密卡芯片里写入单钥密码算法、摘要算法、一组存储密钥、认证中心端设备认证协议、传感数据解密和签名验证协议,在认证中心端认证服务器的硬盘存储区,存储对应认证中心端全体传感节点端智能卡芯片标识和传输密钥的密文;当传感节点端的设备量较大时,不需要在认证中心部署较多的加密卡设备,来存储大量对应传感节点端的传输密钥;采用一种安全单钥管理技术,是指采用三种密钥管理方法,其中第一种密钥为认证或签名密钥,认证密钥用来建立设备认证协议,签名密钥用来建立传感数据加密和数字签名协议;第二种密钥为传输密钥,传输密钥用于加密认证或签名密钥,保证认证或签名密钥交换传输过程的安全;第三种密钥为存储密钥,存储密钥用于分别加密对应全体传感节点端的传输密钥,保证传输密钥在认证中心端的存储安全,使用存储密钥加密传输密钥,使用传输密钥加密认证或签名密钥,再用认证密钥加密一组随机数生成认证口令,实现传感节点端的设备认证,或用签名密钥对传感数据和传感数据的“摘要”信息进行加密即数字签名,实现感知层的传感数据保密传输和完整性验证,从而,建立采用一种安全单钥管理技术的物联网密码认证系统,全部过程用软件和硬件结合方式实现,具体方法如下I、传感节点端的设备,包括传感器或RFID设备和智能卡设备,传感器或RFID设 备作为传感设备,用于采集传感数据,在传感器或RFID设备上嵌入一块智能卡,将智能卡作为传感节点端的加密系统硬件设备,传感节点端的传感设备与一块智能卡连接,两者之间的数据是双向传输,在传感节点端智能卡芯片里,建立传感节点端的加密系统,即:写入单钥密码算法、摘要算法、传感节点端的物联网安全协议包括传感节点端的设备认证协议、加密和数字签名协议,且写入数据传感节点端智能卡芯片的标识和一组传输密钥。2、认证中心端由认证服务器和加密卡硬件设备组成,在认证服务器的PCI接口上插入加密卡,将加密卡作为认证中心端的加密系统硬件设备,物联网数据中心与认证中心连接,物联网数据中心与认证中心之间的数据是双向传输,在加密卡的芯片里,建立认证中心端的加密系统,即写入单钥密码算法、摘要算法、认证中心端的物联网安全协议包括认证中心端的设备认证协议、解密和签名验证协议,且写入数据一组存储密钥,在认证中心端认证服务器的硬盘存储区,写入数据Z,数据Z包括对应全体传感节点端智能卡芯片标识和传输密钥SKi (i = I n,n为传感节点端的设备数量总和)的密文,即将数据Z存储在认证中心端认证服务器的传输密钥数据库中。3、物联网数据中心由服务器或小型机组成,在物联网数据中心里,存放的内容有两种(I)存放传感节点端传感设备采集的传感数据、对应的传感节点端智能卡芯片标识、接收传感数据的时间戳、以及接收到的传感数据完整验证的“结果” ;(2)存放设备认证“结果”、对应的传感节点端智能卡芯片标识、接收设备认证“结果”的时间戳。4、每个传感节点端智能卡芯片都有唯一的标识,每个传感节点端智能卡芯片标识两两互不相同,传感节点端智能卡芯片标识由数字或数字加英文字母加字符组成,设传感节点端智能卡芯片标识的数据长度为C2(C2 = 5 15位),当传感节点端智能卡芯片标识由数字加英文字母组成时,若C2位8位字母和数字时,如CG-00017 ;当传感节点端智能卡芯片标识全部由数字组成时,若C2为12位数字时,如000000000026,一组传感节点端智能卡芯片标识对应一台传感节点设备和一组传输密钥,随机数S长度为128 256比特数字或英文字母。5、传感节点端和认证中心两端的加密系统,使用的单钥密码算法,如SM1、DES、RC5、SMS4、ASE,使用的摘要算法,如=SHA-U SM3、MD5,密钥长度M,M = 128比特或210比特,摘要算法的摘要信息长度为128比特或256比特。6、安全单钥管理(即三种密钥管理)方法及其特征如下(I)第一种密钥即认证或签名密钥,设认证或签名密钥为CK,在传感节点端的设备认证协议、或加密和数字签名协议运行过程时,由传感节点端智能卡芯片里的随机数发生器实时产生一组128或210比特的随机数,用该组随机数作为认证或签名密钥CK,当CK作为认证密钥时,用CK来加密另一组随机数S产生认证口令,当CK作为签名密钥时,用CK对传感节点端的传感数据进行加密和数字签名,认证或签名密钥在传感节点端智能卡芯片里产生,在智能卡芯片里被使用后,并在智能卡芯片里被清除,认证或 签名密钥的明文不出传感节点端智能卡芯片硬件,保证认证或签名密钥在传感节点端的运行安全;认证或签名密钥从传感节点端传输到认证中心端之前,在传感节点端智能卡芯片里,先用传感节点端智能卡芯片里的传输密钥将认证或签名密钥加密成密文后,再从传感节点端智能卡芯片里输出并传到认证中心端,在认证中心端加密卡芯片里,使用对应传感节点端的传输密钥将认证或签名密钥的密文解密成明文,保证了认证或签名密钥的交换传输安全;(2)第二种密钥即传输密钥,设传输密钥为SKi (i = I n,n为对应认证中心的全体传感节点端的设备总和),在密钥初始化过程中,由认证中心端加密卡芯片里的随机数发生器,生成一组128或210比特的随机数,将该组随机数作为一组传输密钥SKi (i =I n),分别输入到对应的各个传感节点端智能卡芯片里,同时,在认证中心端加密卡的芯片里,使用一组存储密钥,将全体对应传感节点端的每组传输密钥SKi (i = I n)分别加密生成密文即SKi’(i = I n)后输出加密卡芯片,并将传输密钥SKi (i = I n)以密文即SK1’、SK2’ SKn’的形式,分别与对应传输密钥SKi (i = I n)的传感节点端智能卡芯片的标识,一起存储在认证中心端认证服务器的传输密钥数据库中;在传感节点端智能卡芯片里,用传输密钥SKi (i = I n)来加密认证或签名密钥CK,生成认证或签名密钥密文即CK’,并将CK’发送给认证中心端,每个传感节点端对应的传输密钥SKi (i = I n)都存储在传感节点端智能卡芯片里,并在传感节点端智能卡芯片里被使用,传输密钥的明文不出传感节点端智能卡芯片,保证了传感节点端传输密钥在传感节点端的存储和运行安全;在认证中心端,全体传感节点端对应的传输密钥,是以密文形式存放在认证中心的传输密钥数据库中,保证全体传感节点端对应的传输密钥在认证中心端的存储安全,当认证中心端对应传感节点端的传输密钥的密文SKi’(i = I n)被调用时,是在加密卡芯片里被解密成明文,并在加密卡芯片里被使用后清除,传输密钥的明文不出加密卡芯片,保证全体传感节点端对应的传输密钥在认证中心端的运行安全;(3)第三种密钥即存储密钥,设存储密钥为K,在密钥初始化过程中,存储密钥事先由认证中心端加密卡芯片里的随机数发生器,产生一组128或210比特的随机数,将该组随机数作为一组存储密钥K,并存储在加密卡芯片里,存储密钥K是一组固定的单钥,用存储密钥K分别将全体对应传感节点端的传输密钥SKi (i = I n)加密成密文即SK1’、SK2’、……、SKn’(i = I n)后,存储在认证中心端的传输密钥数据库中;当传感节点端和认证中心端进行认证或签名密钥CK交换时,在认证中心端加密卡芯片里,使用存储密钥K将认证中心端对应加密CK的传输密钥的密文SKi’(i = I n)解密成明文,再用解密后的传输密钥SKi (i = I n),将收到传感节点端发送来的认证或签名密钥的密文CK’解密成明文即CK,存储密钥K在加密卡的芯片里产生,并存储在加密卡芯片,存储密钥K的明文在使用时不出芯片硬件,保证存储密钥K的存储和运行安全;(4)认证或签名密钥是由传感节点端智能卡芯片里的随机数发生器产生,具有随机性,一次一变,且都属于一组乱码,用传输密钥SKi (i = I n)将每次产生的认证或签名密钥即CK1、CK2、……、CKm(m自然数),分别加密成密文即CK1’、CK2’、……、CKm’,(m自然数),也具有随机性,一次一变,也都属于一组乱码,无规律性,破译者无法将CKl ’、CK2’、……、CKm’(m自然数),作为破译条件——“重复报”(使用相同的单钥将多份不同的明文报文加密成密文报文),来破译认证或签名密钥即CK1、CK2、……、CKm(m自然数), 或破译传输密钥SK1、SK2、……、SKn(n为对应认证中心的全体传感节点端用户的总和);(5)每组传输密钥SKi (i = I n)是在密钥初始化时,由随机数发生器产生,都具有随机性,且都属于一组乱码,用存储密钥K分别来加密每一组传输密钥SKi (i = I n)生成的传输密钥密文,即SK1’、SK2’、……、SKn’,也具有随机性,一次一变,也都属于一组乱码,破译者无法将SK1’、SK2’、……、SKn,作为破译条件——“重复报”(使用相同的单钥将多份不同的明文报文加密成密文报文)来破译传输密钥SK1、SK2、……、SKn,或者来破译存储密钥K ;(6)采用安全单钥管理(即三种密钥管理)方法,保证存放在认证中心端全体对应传感节点端传输密钥的存储安全,当用户量较大时,不需要购置大量的加密卡设备来存储大量的传输密钥,能大大节约认证中心的建设成本。7、传感节点端的设备认证协议,由传感节点端的传感设备产生另一组随机数,设该组随机数为S,将随机数S输入传感节点端智能卡芯片里,智能卡芯片里的随机数发生器,产生一组128比特或210比特的随机数,将该随机数作为认证密钥CK,用CK来加密随机数S,得到随机数S的密文即认证口令1,之后,在传感节点端智能卡芯片里,用传输密钥SKi (i = I n)将认证密钥CK加密成密文即CK’,最后,将传感节点端智能卡芯片的标识、随机数S、认证口令I和认证密钥的密文CK’这4组认证数据,一并发送给认证中心端。8、认证中心端的设备认证协议,当认证中心端收到传感节点端发送来的认证数据后,认证中心端根据传感节点端智能卡芯片的标识,在传输密钥数据库中定位对应该标识的记录,再将记录中的传输密钥的密文即SKi’ (i = I n),输入认证中心端的加密卡芯片中,并在加密卡芯片里,使用存储密钥K将SKi’(i = I n)解密成明文即SKi(i = I n),用SKi (i = I n)将接收到的认证密钥的密文CK’解密成明文,即CK,用CK加密随机数S生成认证口令2,通过对比认证口令I和认证口令2是否相同?来判别传感节点端的设备是否可"[目。9、在传感节点端的设备认证协议和认证中心端的设备认证协议过程中,是在传感节点端智能卡芯片里,进行如下操作产生认证密钥,生成认证口令1,用传输密钥加密认证密钥,在认证中心端加密卡芯片里,进行如下操作用存储密钥将对应传感节点端的传输密钥密文解密,再用解密后的传输密钥对认证密钥的密文进行解密,生成认证口令2,并进行认证口令I和认证口令2的对比认证,因此,传感节点端的设备认证协议和认证中心端的设备认证协议,是“芯片级”的设备认证协议,安全性高。10、传感节点端的传感数据加密和数字签名协议,在传感节点端,将传感节点设备采集的传感数据输入传感节点端智能卡芯片中,在传感节点端智能卡芯片里,使用摘要算法对传感数据进行“摘要”得到传感数据的“摘要”信息LI,由传感节点端智能卡芯片里的随机数发生器,产生一组128比特或210比特的随机数,将该随机数作为签名密钥CK,来加密传感数据和“摘要”信息LI,得到传感数据的密文和LI的密文即数字签名,之后,用传感节点端智能卡芯片里的传输密钥,将签名密钥CK加密成密文即CK’,最后,将传感节点端智能卡芯片的标识、传感数据的密文、传感数据的数字签名和签名密钥的密文CK’这4组数字签名数据,一并发送给认证中心端。11、认证中心端的传感数据解密和签名验证协议,当认证中心端收到传感节点端发送来的数字签名数据后,首先,根据传感节点端智能卡芯片的标识,在传输密钥数据库中定位对应该标识的记录,再将记录中的传输密钥的密文即SKi’(i = I n)输入认证中心 端的加密卡芯片中,并在加密卡芯片里,使用存储密钥K将SKi’(i = I n)解密成明文即SKi(i = I n),用SKi (i = I n)将接收到的签名密钥的密文CK’解密成明文,SP CK,用CK解密传感数据的密文和传感数据的数字签名,得到传感数据的明文和传感数据的“摘要”信息LI,再用摘要算法对传感数据进行“摘要”,得到传感数据的“摘要”信息L2,通过对比LI和L2是否相同?来确认传感节点端对传感数据的签名是否可信、完整。12、在传感节点端的传感数据加密和数字签名协议和认证中心端的传感数据解密和签名验证协议过程中,是在传感节点端智能卡芯片里,进行如下操作产生签名密钥,用摘要算法对传感数据进行“摘要”,得到文件的“摘要”信息LI,用签名密钥将传感数据和“摘要”信息LI加密生成密文,其中对“摘要”信息LI的加密为数字签名,再用传输密钥加密签名密钥生成签名密钥的密文,在认证中心端加密卡芯片里,进行如下操作用存储密钥解密对应传感节点端的传输密钥密文,再用解密后的传输密钥对签名密钥的密文进行解密,用解密后的签名密钥解密传感数据和数字签名,得到传感数据的明文和“摘要”信息LI,用摘要算法对传感数据进行“摘要”,得到“摘要”信息L2,进行LI和L2的对比,因此,传感节点端的加密和数字签名协议是“芯片级”的加密和数字签名协议,认证中心端的解密和签名验证协议也是“芯片级”的解密和签名验证协议,安全性高。13、传感节点端传感设备产生一组随机数S,将随机数S输入传感节点端智能卡芯片里,在智能卡芯片里,传感节点端的设备认证协议将接收到的随机数S加密成密文,并将产生的认证数据,发送给传感节点端的传感设备,传感节点端的传感设备通过物联网发送给物联网数据中心,物联网数据中心再转发给认证中心,认证中心端的设备认证协议,在加密卡芯片里,完成对传感节点端的设备认证后,并将设备认证“结果”即传感节点端的设备是否可信、对应的传感节点端智能卡芯片标识和当前的时间戳,一并反馈给物联网数据中心。14、传感节点端传感设备采集的传感数据,首先,传输给传感节点端智能卡芯片里,在智能卡芯片里,传感节点端传感数据加密和数字签名协议,将接收到的传感数据进行加密和数字签名,并将产生的数字签名数据,发送给传感节点端的传感设备,传感节点端的传感设备通过物联网发送给物联网数据中心,物联网数据中心再转发给认证中心,认证中心端的传感数据解密和签名验证协议,在加密卡芯片里完成对传感数据密文的解密和对传感数据的签名验证后,并将传感数据的明文、签名验证的“结果”、对应的传感节点端智能卡芯片标识和当前的时间戳,一并反馈给物联网数据中心。15、传感节点端传感设备负责将智能卡产生的认证数据或签名数据,通过物联网数据中心传送给认证中心,认证中心根据认证中心端的物联网安全协议,将设备认证或数据完整性验证和解密的结果,反馈给物联网数据中心,从而,实现传感节点端的物联网安全协议和认证中心端的物联网安全协议,直接依附物联网的通信协议完成数据的传输,不需要在传感节点端智能卡和认证中心端加密卡之间,再建立单独的通信协议,这不仅,能降低在传感节点和认证中心两端加密系统硬件设备里,重新建立通信协议的成本,而且,降低物联网密码认证系统的复杂度。16、在芯片里,由于单钥密码算法加、解密速度比双钥密码算法快1000倍,采用安全单钥管理方法,解决了单钥密码算法在设备认证、或数字签名系统中密钥更新管理的难题,降低了单钥更新维护的成本,同时,发挥了单钥密码算法加、解密速度快的优势,有效提 高物联网安全协议的运行速度,因此,基于单钥密码算法建立的传感节点端的设备认证协议、认证中心端的设备认证协议、传感节点端的传感数据加密和数字签名协议,以及认证中心端的传感数据解密和签名验证协议,速度快、效率高。


图I :3种单钥在物联网安全协议中应用流程2 :物联网密码认证系统的4种设备的数据传输流程图
具体实施例方式以下结合

3种单钥在物联网安全协议中的使用过程,以及物联网密码认证系统的4种设备之间的数据传输实现步骤图I :说明3种单钥在物联网安全协议的使用过程,首先,在传感节点端智能卡芯片里,传感节点端的物联网安全协议,控制随机数发生器产生一组随机数,将该组随机数作为认证或签名密钥CK,用传感节点端智能卡芯片里的传输密钥SK,加密认证或签名密钥CK,生成认证或签名密钥CK的密文即CK’,将CK’发送给认证中心,在认证中心,认证中心端物联网安全协议从认证中心端的传输密钥数据库中,取出对应传感节点端智能卡芯片标识的传输密钥密文SK’,在认证中心加密卡芯片里,用存储密钥K将SK’解密成明文,即 得到传输密钥SK,再用传输密钥SK将CK’解密成明文,即得到认证或签名密钥CK,从而,利用传输密钥SK和存储密钥K,实现认证或签名密钥CK从传感节点端到认证中心端的传输交换安全。图2 以传感节点端的设备认证过程为例,说明物联网密码认证系统的4种设备的数据传输过程,首先,由传感节点端的传感设备产生一组随机数S,将随机数S输入传感节点端智能卡芯片里,在智能卡芯片里生成一组认证密钥CK,用CK来加密随机数S,得到随机数S的密文即认证口令1,在传感节点端智能卡芯片里,用传输密钥SK将认证密钥CK加密成密文即CK’,最后,将传感节点端智能卡芯片的标识、随机数S、认证口令I和认证密钥的密文CK’这4组认证数据,一并发送给传感节点端的传感设备,传感节点端的传感设备通过物联网将认证数据发送给物联网数据中心,物联网数据中心再转发给认证中心,认证中心端根据传感节点端智能卡芯片的标识,在传输密钥数据库中定位对应该标识的记录,再将记录中的传输密钥的密文即SK’,输入认证中心端的加密卡芯片中,并在加密卡芯片里,使用存储密钥K将SK’解密成明文即SK,用SK将接收到的认证密钥的密文CK’解密成明文,即CK,用CK加密随机数S生成认证口令2,通过对比认证口令I和认证口令2是否相同?来判别传感节点端的设备是否可信,之后,认证中心将认证“结果”即设备认证是否可信,反馈给物联网数据中心。 ·
权利要求
1.采用一种安全单钥管理技术的物联网密码认证方法,是采用单钥密码算法、安全单钥管理技术和芯片硬件技术,建立物联网密码认证系统;若在采用常用的单钥管理情况下,在传感节点端智能卡芯片里写入单钥密码算法、摘要算法、一组传输密钥、传感节点端智能卡芯片的标识、传感节点设备认证协议、传感数据的加密和数字签名协议,在认证中心端的认证服务器加密卡芯片里,写入单钥密码算法、摘要算法、全体对应认证中心端的传感节点端智能卡芯片的标识和对应的传输密钥,以及认证中心端的设备认证协议、传感数据解密和签名验证协议;当传感节点端的设备量较大时,认证中心需要部署较多的加密卡设备,来存储大量对应传感节点端的传输密钥;在传感节点端智能卡芯片里,用一组随机数作为认证密钥加密另一组随机数S,生成传感节点端的认证口令,并用传输密钥将认证密钥加密成密文后,与认证口令和随机数S—起发送给认证中心端,在认证中心端加密卡芯片里,使用对应传感节点端的传输密钥,将接收到的认证密钥的密文解密,再用解密后的认证密钥加密随机数S,生成认证中心端的认证口令,通过对比传感节点端和认证中心两端的认证口令,来确认传感节点端的设备是否真实、可信;在传感节点端智能卡芯片里,用一组随机数作为签名密钥对传感数据进行加密和数字签名,并用传输密钥将签名密钥加密成密文后,与传感数据的密文和传感数据的数字签名一起发送给认证中心端,在认证中心端加密卡芯片里,使用对应传感节点端的传输密钥,将接收到的签名密钥的密文解密,再用解密后的签名密钥,来解密传感数据的密文,并对传感数据的数字签名进行签名验证,来实现感知层的传感数据保密传输,确认传感节点端对传感数据的签名是否完整、未被篡改; 本发明是采用单钥密码算法和一种安全单钥密钥管理技术,在传感节点端和认证中心端的芯片硬件里,建立传感节点设备认证、传感数据加、解密和数字签名系统,其方法的技术特征在于 在采用一种安全单钥管理情况下,在传感节点端智能卡芯片里写入单钥密码算法、摘要算法、传感节点端智能卡芯片的标识、一组传输密钥、传感节点端的设备认证协议、传感数据加密和数字签名协议,在认证中心端认证服务器的加密卡芯片里写入单钥密码算法、摘要算法、一组存储密钥、认证中心端设备认证协议、传感数据解密和签名验证协议,在认证中心端认证服务器的硬盘存储区,存储对应认证中心端全体传感节点端智能卡芯片标识和传输密钥的密文;当传感节点端的设备量较大时,不需要在认证中心部署较多的加密卡设备,来存储大量对应传感节点端的传输密钥;采用一种安全单钥管理技术,是指采用三种密钥管理方法,其中第一种密钥为认证或签名密钥,认证密钥用来建立设备认证协议,签名密钥用来建立传感数据加密和数字签名协议;第二种密钥为传输密钥,传输密钥用于加密认证或签名密钥,保证认证或签名密钥交换传输过程的安全;第三种密钥为存储密钥,存储密钥用于分别加密对应全体传感节点端的传输密钥,保证传输密钥在认证中心端的存储安全,使用存储密钥加密传输密钥,使用传输密钥加密认证或签名密钥,再用认证密钥加密一组随机数生成认证口令,实现传感节点端的设备认证,或用签名密钥对传感数据和传感数据的“摘要”信息进行加密即数字签名,实现感知层的传感数据保密传输和完整性验证,从而,建立采用一种安全单钥管理技术的物联网密码认证系统。
2.根据权利要求I的方法,其特征在于 (I)第一种密钥即认证或签名密钥,设认证或签名密钥为CK,在传感节点端的设备认证协议、或加密和数字签名协议运行过程时,由传感节点端智能卡芯片里的随机数发生器实时产生一组128或210比特的随机数,用该组随机数作为认证或签名密钥CK,当CK作为认证密钥时,用CK来加密另一组随机数S产生认证口令,当CK作为签名密钥时,用CK对传感节点端的传感数据进行加密和数字签名,认证或签名密钥在传感节点端智能卡芯片里产生,在智能卡芯片里被使用后,并在智能卡芯片里被清除,认证或签名密钥的明文不出传感节点端智能卡芯片硬件,保证认证或签名密钥在传感节点端的运行安全; 认证或签名密钥从传感节点端传输到认证中心端之前,在传感节点端智能卡芯片里,先用传感节点端智能卡芯片里的传输密钥将认证或签名密钥加密成密文后,再从传感节点端智能卡芯片里输出并传到认证中心端,在认证中心端加密卡芯片里,使用对应传感节点端的传输密钥将认证或签名密钥的密文解密成明文,保证了认证或签名密钥的交换传输安全; (2)第二种密钥即传输密钥,设传输密钥为SKi(i = I n,n为对应认证中心的全体 传感节点端的设备总和),在密钥初始化过程中,由认证中心端加密卡芯片里的随机数发生器,生成一组128或210比特的随机数,将该组随机数作为一组传输密钥SKi (i = I n),分别输入到对应的各个传感节点端智能卡芯片里,同时,在认证中心端加密卡的芯片里,使用一组存储密钥,将全体对应传感节点端的每组传输密钥SKi (i = I n)分别加密生成密文即SKi ’(i = l n)后输出加密卡芯片,并将传输密钥SKi (i = I n)以密文即SK1’、SK2’ SKn’的形式,分别与对应传输密钥SKi (i = I n)的传感节点端智能卡芯片的标识,一起存储在认证中心端认证服务器的传输密钥数据库中; 在传感节点端智能卡芯片里,用传输密钥SKi (i = I n)来加密认证或签名密钥CK,生成认证或签名密钥密文即CK’,并将CK’发送给认证中心端,每个传感节点端对应的传输密钥SKi (i = I n)都存储在传感节点端智能卡芯片里,并在传感节点端智能卡芯片里被使用,传输密钥的明文不出传感节点端智能卡芯片,保证了传感节点端传输密钥在传感节点端的存储和运行安全; 在认证中心端,全体传感节点端对应的传输密钥,是以密文形式存放在认证中心的传输密钥数据库中,保证全体传感节点端对应的传输密钥在认证中心端的存储安全,当认证中心端对应传感节点端的传输密钥的密文SKi’(i = I n)被调用时,是在加密卡芯片里被解密成明文,并在加密卡芯片里被使用后清除,传输密钥的明文不出加密卡芯片,保证全体传感节点端对应的传输密钥在认证中心端的运行安全; (3)第三种密钥即存储密钥,设存储密钥为K,在密钥初始化过程中,存储密钥事先由认证中心端加密卡芯片里的随机数发生器,产生一组128或210比特的随机数,将该组随机数作为一组存储密钥K,并存储在加密卡芯片里,存储密钥K是一组固定的单钥,用存储密钥K分别将全体对应传感节点端的传输密钥SKi (i = I n)加密成密文即SK1’、SK2’、……、SKn’(i = I n)后,存储在认证中心端的传输密钥数据库中; 当传感节点端和认证中心端进行认证或签名密钥CK交换时,在认证中心端加密卡芯片里,使用存储密钥K将认证中心端对应加密CK的传输密钥的密文SKi,(i = I n)解密成明文,再用解密后的传输密钥SKi (i = I n),将收到传感节点端发送来的认证或签名密钥的密文CK’解密成明文即CK,存储密钥K在加密卡的芯片里产生,并存储在加密卡芯片,存储密钥K的明文在使用时不出芯片硬件,保证存储密钥K的存储和运行安全。
3.根据权利要求2的方法,其特征在于(1)认证或签名密钥是由传感节点端智能卡芯片里的随机数发生器产生,具有随机性,一次一变,且都属于一组乱码,用传输密钥SKi (i = I n)将每次产生的认证或签名密钥即CK1、CK2、……、CKm(m自然数),分别加密成密文即CK1,、CK2,、……、CKm’,(m自然数),也具有随机性,一次一变,也都属于一组乱码,无规律性,破译者无法将CK1’、CK2’、……、CKm’ (m自然数),作为破译条件一“重复报”(使用相同的单钥将多份不同的明文报文加密成密文报文),来破译认证或签名密钥即CK1、CK2、……、CKm(m自然数),或破译传输密钥SK1、SK2、……、SKn (n为对应认证中心的全体传感节点端用户的总和); (2)每组传输密钥SKi(i = I n)是在密钥初始化时,由随机数发生器产生,都具有随机性,且都属于一组乱码,用存储密钥K分别来加密每一组传输密钥SKi (i = I n)生成的传输密钥密文,即SK1’、SK2’、......、SKn’,也具有随机性,一次一变,也都属于一组乱码,破译者无法将SKI’、SK2’、……、SKn,作为破译条件——“重复报”(使用相同的单钥将多份不同的明文报文加密成密文报文)来破译传输密钥SK1、SK2、……、SKn,或者来破译存储密钥K ; (3)采用安全单钥管理(即三种密钥管理)方法,保证存放在认证中心端全体对应传感节点端传输密钥的存储安全,当用户量较大时,不需要购置大量的加密卡设备来存储大量的传输密钥,能大大节约认证中心的建设成本。
4.根据权利要求I的方法,其特征在于 (1)传感节点端的设备认证协议,由传感节点端的传感设备产生另一组随机数,设该组随机数为S,将随机数S输入传感节点端智能卡芯片里,智能卡芯片里的随机数发生器, 产生一组128比特或210比特的随机数,将该随机数作为认证密钥CK,用CK来加密随机数S,得到随机数S的密文即认证口令1,之后,在传感节点端智能卡芯片里,用传输密钥SKi (i = I n)将认证密钥CK加密成密文即CK’,最后,将传感节点端智能卡芯片的标识、随机数S、认证口令I和认证密钥的密文CK’这4组认证数据,一并发送给认证中心端; (2)认证中心端的设备认证协议,当认证中心端收到传感节点端发送来的认证数据后,认证中心端根据传感节点端智能卡芯片的标识,在传输密钥数据库中定位对应该标识的记录,再将记录中的传输密钥的密文即SKi’ (i = I n),输入认证中心端的加密卡芯片中,并在加密卡芯片里,使用存储密钥K将SKi’(i = I n)解密成明文即SKi(i = I n),用SKi (i = I n)将接收到的认证密钥的密文CK’解密成明文,S卩CK,用CK加密随机数S生成认证口令2,通过对比认证口令I和认证口令2是否相同?来判别传感节点端的设备是否可"[目。
5.根据权利要求4的方法,其特征在于 在传感节点端的设备认证协议和认证中心端的设备认证协议过程中,是在传感节点端智能卡芯片里,进行如下操作产生认证密钥,生成认证口令1,用传输密钥加密认证密钥,在认证中心端加密卡芯片里,进行如下操作用存储密钥将对应传感节点端的传输密钥密文解密,再用解密后的传输密钥对认证密钥的密文进行解密,生成认证口令2,并进行认证口令I和认证口令2的对比认证,因此,传感节点端的设备认证协议和认证中心端的设备认证协议,是“芯片级”的设备认证协议,安全性高。
6.根据权利要求I的方法,其特征在于 (I)传感节点端的传感数据加密和数字签名协议,在传感节点端,将传感节点设备采集的传感数据输入传感节点端智能卡芯片中,在传感节点端智能卡芯片里,使用摘要算法对传感数据进行“摘要”得到传感数据的“摘要”信息LI,由传感节点端智能卡芯片里的随机数发生器,产生一组128比特或210比特的随机数,将该随机数作为签名密钥CK,来加密传感数据和“摘要”信息LI,得到传感数据的密文和LI的密文即数字签名,之后,用传感节点端智能卡芯片里的传输密钥,将签名密钥CK加密成密文即CK’,最后,将传感节点端智能卡芯片的标识、传感数据的密文、传感数据的数字签名和签名密钥的密文CK’这4组数字签名数据,一并发送给认证中心端; (2)认证中心端的传感数据解密和签名验证协议,当认证中心端收到传感节点端发送来的数字签名数据后,首先,根据传感节点端智能卡芯片的标识,在传输密钥数据库中定位对应该标识的记录,再将记录中的传输密钥的密文即SKi’(i = I n)输入认证中心端的加密卡芯片中,并在加密卡芯片里,使用存储密钥K将SKi’(i = I n)解密成明文即SKi (i = I n),用SKi (i = I n)将接收到的签名密钥的密文CK’解密成明文,S卩CK,用CK解密传感数据的密文和传感数据的数字签名,得到传感数据的明文和传感数据的“摘要”信息LI,再用摘要算法对传感数据进行“摘要”,得到传感数据的“摘要”信息L2,通过对比LI和L2是否相同?来确认传感节点端对传感数据的签名是否可信、完整。
7.根据权利要求6的方法,其特征在于 在传感节点端的传感数据加密和数字签名协议和认证中心端的传感数据解密和签名验证协议过程中,是在传感节点端智能卡芯片里,进行如下操作产生签名密钥,用摘要算法对传感数据进行“摘要”,得到文件的“摘要”信息LI,用签名密钥将传感数据和“摘要”信息LI加密生成密文,其中对“摘要”信息LI的加密为数字签名,再用传输密钥加密签名密钥生成签名密钥的密文,在认证中心端加密卡芯片里,进行如下操作用存储密钥解密对应传感节点端的传输密钥密文,再用解密后的传输密钥对签名密钥的密文进行解密,用解密后的签名密钥解密传感数据和数字签名,得到传感数据的明文和“摘要”信息LI,用摘要算法对传感数据进行“摘要”,得到“摘要”信息L2,进行LI和L2的对比,因此,传感节点端的加密和数字签名协议是“芯片级”的加密和数字签名协议,认证中心端的解密和签名验证协议也是“芯片级”的解密和签名验证协议,安全性高。
8.根据权利要求I的方法,其特征在于 (1)传感节点端传感设备产生一组随机数S,将随机数S输入传感节点端智能卡芯片里,在智能卡芯片里,传感节点端的设备认证协议将接收到的随机数S加密成密文,并将产生的认证数据,发送给传感节点端的传感设备,传感节点端的传感设备通过物联网发送给物联网数据中心,物联网数据中心再转发给认证中心,认证中心端的设备认证协议,在加密卡芯片里,完成对传感节点端的设备认证后,并将设备认证“结果”即传感节点端的设备是否可信、对应的传感节点端智能卡芯片标识和当前的时间戳,一并反馈给物联网数据中心; (2)传感节点端传感设备采集的传感数据,首先,传输给传感节点端智能卡芯片里,在智能卡芯片里,传感节点端传感数据加密和数字签名协议,将接收到的传感数据进行加密和数字签名,并将产生的数字签名数据,发送给传感节点端的传感设备,传感节点端的传感设备通过物联网发送给物联网数据中心,物联网数据中心再转发给认证中心,认证中心端的传感数据解密和签名验证协议,在加密卡芯片里完成对传感数据密文的解密和对传感数据的签名验证后,并将传感数据的明文、签名验证的“结果”、对应的传感节点端智能卡芯片标识和当前的时间戳,一并反馈给物联网数据中心。
9.根据权利要求8的方法,其特征在于 传感节点端传感设备负责将智能卡产生的认证数据或签名数据,通过物联网数据中心传送给认证中心,认证中心根据认证中心端的物联网安全协议,将设备认证或数据完整性验证和解密的结果,反馈给物联网数据中心,从而,实现传感节点端的物联网安全协议和认证中心端的物联网安全协议,直接依附物联网的通信协议完成数据的传输,不需要在传感节点端智能卡和认证中心端加密卡之间,再建立单独的通信协议,这不仅,能降低在传感节点和认证中心两端加密系统硬件设备里,重新建立通信协议的成本,而且,降低物联网密码认证系统的复杂度。
10.根据权利要求I的方法,其特征在于 在芯片里,由于单钥密码算法加、解密速度比双钥密码算法快1000倍,采用安全单钥管理方法,解决了单钥密码算法在设备认证、或数字签名系统中密钥更新管理的难题,降低了单钥更新维护的成本,同时,发挥了单钥密码算法加、解密速度快的优势,有效提高物联网安全协议的运行速度,因此,基于单钥密码算法建立的传感节点端的设备认证协议、认证中心端的设备认证协议、传感节点端的传感数据加密和数字签名协议,以及认证中心端的传感数据解密和签名验证协议,速度快、效率高。
全文摘要
一种采用安全单钥管理技术的物联网密码认证方法,是采用认证或签名密钥来建立物联网安全协议,用传输密钥加密认证或签名密钥,保证认证或签名密钥交换传输过程的安全,用存储密钥分别加密全体对应传感节点端的传输密钥,保证传输密钥在认证中心端的存储安全,当传感节点设备的数量较大时,不需要购置较多的加密卡设备来存储大量的传输密钥,能大大节约认证中心的建设成本,采用安全单钥管理方法,解决了单钥密码算法在物联网安全协议中密钥更新管理的难题,降低了单钥更新维护的成本,同时,发挥了单钥密码算法加解密速度快的优势,有效提高物联网安全协议的运行速度,从而,建立一种采用安全单钥管理技术的物联网密码认证系统。
文档编号H04L9/32GK102833260SQ20121032340
公开日2012年12月19日 申请日期2012年9月5日 优先权日2012年9月5日
发明者胡祥义 申请人:胡祥义
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:胡祥义
  • 技术所有人:胡祥义
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
物联网安全技术相关技术
物联网安全技术论文相关技术
物联网信息安全技术相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2