一种物联网移动通信方法及系统与流程

本申请涉及物联网通信安全技术领域，特别是涉及一种物联网移动通信方法及系统。

背景技术：

经过二十多年的发展，物联网已经逐步融入到我们的生活中来。从应用于家庭的智能恒温器，智能电灯等设备，到与身体健康相关的智能穿戴设备。每一种智能设备的出现，都大大便利了人们的生活。但是物联网在给人们的生活带来便利的同时，也会给人们带来种种隐忧。2014年，研究人员演示了如何在15秒的时间内入侵家里的恒温控制器，通过对恒温控制器数据的收集，入侵者就可以了解到家中什么时候有人，他们的日程安排是什么等信息。许多智能电视带有摄像头，即便电视没有打开，入侵智能电视的攻击者可以使用摄像头来监视你和你的家人。攻击者在获取对于智能家庭中的灯光系统的访问后，除了可以控制家庭中的灯光外，还可以访问家庭的电力，从而可以增加家庭的电力消耗，导致极大的电费账单。种种安全问题提示人们，在享受物联网带来的方便快捷的同时，也要关注物联网的安全问题。

物联网是互联网的延伸，因此物联网的安全也是互联网安全的延伸，物联网和互联网的关系是密不可分、相辅相成的。物联网3gpp的接入安全规范已经成熟，加密算法和完整性算法已经实现标准化。3gpp网络接入安全机制有三种：根据临时身份(tmsi)识别，使用永久身份(imsi)识别，认证和密钥协商(aka)。这些机制对于用户数据和话音不给予完整性保护，且网络上的传输使用明文传输，这两个缺陷就给攻击者留下了可乘之机。

技术实现要素：

本申请提出一种物联网移动通信系统，以提高数据和话音的安全性，增加防攻击能力。

为达到上述目的，本申请如下技术方案：

一种物联网移动通信方法，包括：中转中心接收第一加密信息；所述中转中心根据其预存的第一加密密钥及第一完整性密钥解密所述第一加密信息及完整性校验获得明文信息；所述中转中心对获得的所述明文信息根据其预存的第二加密密钥及第二完整性密钥加密生成第二加密信息；所述中转中心将所述第二加密信息发送给第二移动终端。

如上所述的物联网移动通信方法，其中，优选的是，还包括：所述第二移动终端对接收到所述第二加密信息解密及完整性校验后获得所述明文信息。

如上所述的物联网移动通信方法，其中，优选的是，所述第二移动终端对所述第二加密信息解密及完整性校验具体为：通过均预存于所述第二移动终端的第二加密密钥和第二完整性密钥对所述第二加密信息解密及完整性校验。

如上所述的物联网移动通信方法，其中，优选的是，所述第一加密信息是第一移动终端根据其预存的第一加密密钥及第一完整性密钥对需要传输的明文信息加密和完整性校验生成的。

如上所述的物联网移动通信方法，其中，优选的是，所述明文信息包括数据和话音。

如上所述的物联网移动通信方法，其中，优选的是，所述中转中心接收所述第一加密信息时还接收第一imsi和第二imsi，所述中转中心根据所述第一imsi获得预存于所述中转中心的所述第一加密密钥及所述第一完整性密钥，所述中转中心根据所述第二imsi获得预存与所述中转中心的所述第二加密密钥及所述第二完整性密钥。

一种物联网移动通信系统，包括：第一移动终端、第二移动终端及中转中心；所述中转中心与所述第一移动终端和所述第二移动终端网络连接，其中，所述中转中心将所述第一移动终端的第一加密信息中转至所述第二移动终端执行上述所述方法。

如上所述的物联网移动通信系统，其中，优选的是，还包括：第一控制模块和第二控制模块；所述第一控制模块与所述第一移动终端和所述中转中心网络连接，并中转所述第一移动终端发送至所述中转中心的所述第一加密信息；所述第二控制模块与所述第二移动终端和所述中转中心网络连接，并中转所述中转中心发送至所述第二移动终端的所述第二加密信息。

如上所述的物联网移动通信系统，其中，优选的是，还包括：认证模块，所述认证模块与所述第一移动终端和所述第二移动终端网络连接，其中，所述第一移动终端根据所述认证模块下发的随机数生成第一加密密钥及第一完整性密钥，并保存至所述第一移动终端；所述第一移动终端将所述随机数发送至所述中转中心，所述中转中心根据所述随机数生成第一加密密钥及第一完整性密钥，并保存至所述中转中心；所述第二移动终端根据所述认证模块下发的随机数生成第二加密密钥及第二完整性密钥，并保存至所述第二移动终端；所述第二移动终端将所述随机数发送至所述中转中心，所述中转中心根据所述随机数生成第二加密密钥及第二完整性密钥，并保存至所述中转中心。

如上所述的物联网移动通信系统，其中，优选的是，所述第一移动终端与所述认证模块通过所述第一控制模块网络连接，所述第二移动终端与所述认证模块通过所述第二控制模块网络连接。

如上的，其中，本申请实现的有益效果如下：

在没有改变原来的网络结构上，增加了数据中转中心，确保了数据和话音在无线网络和骨干网络上传输采用密文保护，增加了完整性校验，极大的提高了数据和话音的安全性，增加了防攻击能力。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

在附图中：

图1为根据本申请公开的一种物联网移动通信方法流程图；

图2为根据本申请公开的一种物联网移动通信方法应用步骤图；

图3为根据本申请公开的一种物联网移动通信认证流程图；

图4为根据本申请公开的一种物联网移动通信系统图；

具体实施方式

本申请公开了一种物联网移动通信方法及系统。

为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

在本说明书实施例中，一种物联网移动通信方法及系统使用移动通信网络3gpp接入安全规范。

具体的，物联网(internetofthings)的定义为物联网是将物理设备、车辆、建筑物和一些其它嵌入电子设备、软件、传感器等事物与网络连接起来，使这些对象能够收集和交换数据的网络。物联网允许远端系统通过现有的网络基础设施感知和控制事物，可以将物理世界集成到基于计算机的系统，从而提高效率、准确性和经济利益。物联网是互联网的延伸，因此物联网的安全也是互联网安全的延伸，物联网和互联网的关系是密不可分、相辅相成的。但是物联网和互联网在网络的组织形态、网络功能以及性能上的要求都是不同的，物联网对实时性、安全可信性、资源保证等方面有很高的要求。物联网的安全既构建在互联网的安全上，也有因为其业务环境而具有自身的特点。总的来说，物联网安全和互联网安全的关系体现在：物联网安全不是全新的概念，物联网安全比互联网安全多了感知层，传统互联网的安全机制可以应用到物联网，物联网安全比互联网安全更复杂。

具体的，物联网的体系结构通常认为有3个层次：底层是用来感知(识别、定位)的感知层，中间是数据传输的网络层，上面是应用层。感知层包括以传感器为代表的感知设备、以rfid为代表的识别设备、gps等定位追踪设备以及可能融合部分或全部上述功能的智能终端等。感知层是物联网信息和数据的来源，从而达到对数据全面感知的目的。对于移动互联网，sim卡就是识别设备，而且具有较高的抗攻击能力。网络层包括接入网和核心网。接入网可以是无线近距离接入，如无线局域网、zigbee、蓝牙、红外，也可以是无线远距离接入，如移动通信网络、wimax等，还可能是其他形式的接入，如有线网络接入、现场总线、卫星通信等。网络层的承载是核心网，通常是ipv4网络。网络层是物联网信息和数据的传输层，将感知层采集到的数据传输到应用层进行进一步的处理。应用层对通过网络层传输过来的数据进行分析处理，最终为用户提供丰富的特定服务，如智能电网、智能物流、远程医疗、智能交通、智能家居、智慧城市等。依靠感知层提供的数据和网络层的传输，进行相应的处理后，可能再次通过网络层反馈给感知层。应用层对物联网信息和数据进行融合处理和利用，达到信息最终为人所使用的目的。

具体的，3gpp的接入安全规范已经成熟，加密算法和完整性算法已经实现标准化。基于ip的网络域的安全也已制定出相应的规范。3gpp制定的3g安全逻辑结构针对不同的攻击类型，分为五类，即网络接入安全(ⅰ)、核心网安全(ⅱ)、用户安全(ⅲ)、应用安全(ⅳ)、安全特性可见性及可配置能力(ⅴ)。

具体的，3gpp网络接入安全机制有三种：根据临时身份(tmsi)识别，使用永久身份(imsi)识别，认证和密钥协商(aka)。

具体的，3gpp为3g系统定义了10种安全算法：f0、f1、f2、f3、f4、f5、f6、f7、f8、f9、f1*、f5*，应用于不同的安全服务。身份认证与密钥分配方案中移动用户登记和认证参数的调用过程与gsm网络基本相同，不同之处在于3gpp认证向量是5元组，并实现了用户对网络的认证。aka利用f0至f5*算法，这些算法仅在鉴权中心和用户的用户身份识别模块(usim)中执行。其中，f0算法仅在鉴权中心中执行，用于产生随机数rand；f1算法用于产生消息认证码(鉴权中心中为mac-a，用户身份识别模块中为xmac-a)；f1*是重同步消息认证算法，用于产生mac-s；f2算法用于产生期望的认证应答(鉴权中心中为xres，用户身份识别模块中为res)；f3算法用于产生加密密钥ck；f4算法用于产生消息完整性密钥ik；f5算法用于产生匿名密钥ak和对序列号sqn加解密，以防止被位置跟踪；f5*是重同步时的匿名密钥生成算法。数据确保了移动台ms和无线接入控制器(rnc)之间的数据安全。

图4为根据本申请公开的一种物联网移动通信系统图；如图4所示，本申请公开了一种物联网移动通信系统，包括：

第一移动终端411、第一控制模块412、第二移动终端421、第二控制模块422、认证模块440及中转中心430。

第一移动终端411与第一控制模块412网络连接；第二移动终端421与第二控制模块422网络连接；认证模块440分别与第一控制模块412和第二控制模块422网络连接；中转中心430分别与第一控制模块412和第二控制模块422网络连接。

在本说明书实施例中，第一移动终端411、第二移动终端421分别采用移动台ms，第一控制模块412、第二控制模块422对应于无线接入控制器(rnc)，认证模块440对应于鉴权中心(auc)。

在本说明书实施例中，认证模块440负责和移动终端(第一移动终端411、第二移动终端421)进行身份认证，决定移动终端能否接入网络，并建立新的加密密钥ck和完整性密钥ik，完成对移动终端的身份识别。

具体的，身份认证及识别采用aka机制，aka机制完成移动终端和网络的相互认证，并建立新的加密密钥ck和完整性密钥ik。

在本说明书实施例中，移动终端(第一移动终端411和第二移动终端421)内部具有sim或uim模块，经过认证模块440的认证后才能接入移动互联网；入网成功后将认证模块440下发的随机数rand发送到中转中心430，并且在移动终端内部根据随机数rand计算生成加密密钥ck和完整性密钥ik，并保存在移动终端内部(第一移动终端411内部保存加密密钥ck1和完整性密钥ik1，第二移动终端421内部保存加密密钥ck2和完整性密钥ik2)。

在本说明书实施例中，中转中心430内预置卡片网络鉴权密钥ki和网络的鉴权密钥opc，根据中转中心430接收的认证模块440下发给移动终端的随机数rand计算出加密密钥ck和完整性密钥ik(中转中心430对第一移动终端411发送的随机数rand计算出加密密钥ck1和完整性密钥ik1，对第二移动终端421发送的随机数rand计算出加密密钥ck2和完整性密钥ik2)，并将加密密钥ck和完整性密钥ik保存至中转中心430。

具体的，网络的鉴权密钥opc是由鉴权密钥ki和根密钥op经过计算得来的，op为运营商的根密钥，ki是网络鉴权密钥。

具体的，加密密钥ck和完整性密钥ik计算方法如下：

ck＝f3(rand),ik＝f4(rand)；

其中，f3和f5为算法函数。

在上述基础上，中转中心430还完成两个移动终端之间数据的中转，具体以将第一移动终端411的数据传输给第二移动终端421为例进行阐述。具体的，中转中心430对第一移动终端411发来的数据解密并做完整性校验，其中解密和完整性校验使用的加密密钥ck和完整性密钥ik是保存在中转中心430中的加密密钥ck1和完整性密钥ik1；对接收的第一移动终端411的解密后的数据使用保存在中转中心430中的第二移动终端421的加密密钥ck2进行加密，并使用第二移动终端421的完整性密钥ik2计算消息认证码mac2值；将加密后的数据和消息认证码mac2值发送第二移动终端421。对于中转中心430中转第二移动终端421传输给第一移动终端411的情况与上述相同，在此不再赘述。

具体的，数据加密使用f8算法，生成密钥流块keystream。对于第一移动终端411和网络间发送的控制信令信息，使用算法f9来验证信令消息的完整性。

在本说明书实施例中，第一控制模块412负责移动性管理、呼叫处理和移交机制。具体的，第一移动终端411认证时，第一控制模块412负责第一移动终端411和认证模块440之间的双向数据转送；获得认证的第一移动终端411进行数据传输时，第一控制模块412负责第一移动终端411和中转中心430之间的双向数据转送。对于第二控制模块422与第一控制模块412的功能相同，在此就不在赘述。

图1为根据本申请公开的一种物联网移动通信方法流程图，如图1所示，物联网移动通信方法，包括以下步骤。

步骤101，第一移动终端对需要通讯的明文信息利用第一加密密钥及第一完整性密钥加密生成第一加密信息，并通过第一控制模块发送给中转中心；

步骤102，中转中心对接收到的第一加密信息解密及完整性校验获得明文信息，对获得的明文信息利用第二加密密钥及第二完整性密钥加密生成第二加密信息，并通过第二控制模块发送给第二移动终端；

步骤103，第二移动终端对接收到第二加密信息解密及完整性校验后获得明文信息。

在本说明书实施例中，如图2所示，为根据本申请公开的一种物联网移动通信方法应用步骤图，包括以下步骤：

201、移动台ms1将第一数据发送至第一控制模块rnc1；

具体的，移动台ms1将需要发送的明文信息message使用加密密钥ck1加密生成加密信息cipher1，并用完整性密钥ik1生成消息认证码mac1，加密信息cipher1、消息认证码mac1连同移动台ms1的身份识别码imsi1和移动台ms2的身份识别码imsi2作为第一数据发送到第一控制模块rnc1；

其中，移动台ms1使用的加密密钥ck1和完整性密钥ik1是保存在移动台ms1内的加密密钥ck和完整性密钥ik。具体的，是移动台ms1入网成功后，根据认证平台下发的随机数rand在移动台ms1内部计算的加密密钥ck1和完整性密钥ik1，并保存在移动台ms1内部。

202、第一控制模块rnc1转发第一数据至中转中心；

具体的，第一控制模块rnc1发送{移动台ms1的身份识别码imsi1，移动台ms2的身份识别码imsi2，加密信息cipher1，消息认证码mac1}至中转中心；

203、中转中心根据第一数据生成第二数据，并将第二数据发送至第二控制模块rnc2；

具体的，中转中心根据移动台ms1的身份识别码imsi1查找出保存在中转中心的加密密钥ck1和完整性密钥ik1；根据移动台ms2的身份识别码imsi2查找出保存在中转中心的加密密钥ck2和完整性密钥ik2；将移动台ms1发送的加密信息cipher1用查找出的加密密钥ck1解密，并使用查找出的完整性密钥ik1校验消息认证码mac1，获得明文信息message；然后，将获得的明文信息message用查找出的加密密钥ck2加密生成加密信息cipher2，并使用查找出的完整性密钥ik2生成消息认证码mac2；将加密信息cipher2、消息认证码mac2、移动台ms1的身份识别码imsi1和移动台ms2的身份识别码imsi2作为第二数据发送至第二控制模块rnc2。

在中转中心进行数据中转之前，移动台ms1和移动台ms2入网成功后，将认证平台下发的随机数rand发送至中转中心，并且在将随机数发送至中转中心的数据中携带有标识移动台的身份识别码(身份识别码imsi1和身份识别码imsi2)，根据认证平台下发的随机数rand在中转平台内部计算加密密钥ck和完整性密钥ik(加密密钥ck1、完整性密钥ik1、加密密钥ck2、完整性密钥ik2)，并保存在中转中心中。由于在将随机数发送至中转中心的数据中携带有标识移动台的身份识别码(身份识别码imsi1和身份识别码imsi2)，所以中转中心生成加密密钥ck和完整性密钥ik时就可以使用身份识别码imsi对加密密钥ck和完整性密钥ik进行标识，故上述中转中心进行数据中转时可以根据移动台ms1的身份识别码imsi1查找出加密密钥ck1和完整性密钥ik1，根据移动台ms2的身份识别码imsi2查找出加密密钥ck2和完整性密钥ik2。

204、第二控制模块rnc2转发第二数据至移动台ms2；

具体的，将中转中心发送的加密信息cipher2、消息认证码mac2、移动台ms1的身份识别码imsi1和移动台ms2的身份识别码imsi2作为第二数据转发至移动台ms2。

205、移动台ms2接收第二数据。

具体的，移动台ms2将加密信息cipher2用加密密钥ck2解密得到明文信息message，并使用完整性密钥ik2校验消息认证码mac2。

其中，移动台ms2使用的加密密钥ck2和完整性密钥ik2是保存在移动台ms2内的加密密钥ck和完整性密钥ik。具体的，是移动台ms2入网成功后，根据认证平台下发的随机数rand在移动台ms2内部计算的加密密钥ck2和完整性密钥ik2，并保存在移动台ms2内部。

图3为根据本申请公开的一种物联网移动通信方法流程图，如图3所示，物联网移动通信方法，还包括以下步骤。

在步骤301中，第一移动终端及第二移动终端之间发起通讯请求后，分别通过第一控制模块及第二控制模块向认证模块发起接入请求；

具体的，在3gpp系统中，认证模块和移动终端之间采用双向鉴权，这将通过对鉴权5元参数组(rand/xres/ck/ik/autn)进行一系列的操作来实现。

具体的，aka机制的执行分为两个阶段：第一阶段是认证向量(av)从归属环境(he)到服务网络(sn)的传送；第二阶段是sgsn/vlr和ms执行询问应答程序取得相互认证。he包括位置归属寄存器hlr和鉴权中心(auc)。认证向量含有与认证和密钥分配有关的敏感信息，在网络域的传送使用基于七号信令的mapsec协议，该协议提供了数据来源认证、数据完整性、抗重放和机密性保护等功能。

在步骤302中，获得身份认证后，第一移动终端通过第一控制模块接收认证模块发来的第一加密密钥、第一完整性密钥及第二移动终端通过第二控制模块接收认证模块发来的第二加密密钥、第二完整性密钥。

具体的，aka由sgsn/vlr发起，在鉴权中心中产生认证向量av＝(rand，xres，ck，ik，autn)和认证令牌autn＝sqn[aak]‖amf‖mac-a。vlr发送rand和autn至用户身份识别模块。用户身份识别模块计算xmac-a＝f1k(sqn‖rand‖amf)，若等于autn中的mac-a，并且sqn在有效范围，则认为对网络鉴权成功，计算res、ck、ik，发送res至vlr。vlr验证res，若与xres相符，则认为对ms鉴权成功；否则，拒绝ms接入。

本申请提出一种物联网移动通信方法及系统，实现的有益效果如下：

在没有改变原来的网络结构上，增加了数据中转中心，确保了数据和话音在无线网络和骨干网络上传输采用密文保护，增加了完整性校验，极大的提高了数据和话音的安全性，增加了防攻击能力。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。