一种基于密码技术的物联网安全系统和通信方法与流程

本发明属于密码技术领领域，公开了一种基于密码技术的物联网安全系统和通信方法。

背景技术：

目前，最接近的现有技术：物联网在蓬勃发展的同时,其背后隐藏的安全问题也逐渐凸显出来。物联网的应用在某种程度上需要依赖互联网或者tcp/ip网络，物联网环境中从硬件层到软件应用层均可能存在安全隐患。

目前无论是智慧城市、智能机器人、智能家居等等各种互联网+应用，都存在一个致命的核心问题：如何鉴别互联网上的身份、如何确保数据不被窃取、不被篡改。如果人-人、人-物、物-物之间通过可信的识别，通过数据的保密传输，将大大扩展了互联网的应用，甚至很快的促进物联网的蓬勃发展。

综上所述，现有技术存在的问题是：

(1)现有技术中，没有利用密码技术，解决物联网安全问题，并且不能可快速实现安全通道、安全存储、数据加密、身份认证、数字签名等功能。不能确保物联网中数据不被窃取、不被篡改，身份可信，数据能保密传输。

(2)现有技术中，终端密钥的加密存储的加密密钥kek只依赖终端本身，不能由密码机参与控制，终端与平台任何一方都不能单独生成。

(3)现有的技术中，没有区分设备的激活和签到，在设备启动初始化时，设备管控平台不能参与设备各种密钥的初始化。

解决上述技术问题的难度：

(1)不同计算和存储能力的终端设备可以选用不同的认证、加密的方式。

(2)在终端设备中加密存储的密钥等敏感参数，如何防止非法解密。

(3)不同的传输通道使用不同的安全策略。

解决上述技术问题的意义：

(1)物联网中的终端设备有自己的标识、应用标识，同一设备不同的应用方便采用不同安全级别的加密方式进行保护，方便开展多种业务和满足不同业务的安全需求，适应不同设备能力和业务的需要；

(2)物联网中的终端设备在初始化时进行认证，密码机参与密钥初始化，增强了终端设备的安全可靠性，防止第三非法使用；

(3)指令、数据采用不同的加密方式，有利于不同传输方式的业务应用。

技术实现要素：

针对现有技术存在的问题，本发明提供了一种基于密码技术的物联网安全系统和通信方法。

本发明是这样实现的，一种基于密码技术的物联网安全通信方法，包括：

在终端安全管控子系统中注册设备标识和应用标识，并产生保护密钥、签到密钥、数据密钥、指令密钥、半密钥、cpk密钥和sm9密钥；

将产生的所述保护密钥、签到密钥、数据密钥、指令密钥、半密钥、cpk密钥和sm9密钥发送注册设备，进行加密后安全存储；

所述注册设备向密码机发送携带终端标识的请求，经注册设备及密码机双方认证并协商后，进行数据加密传输；

通过所述数据加密传输，密码机子系统接到加密数据后，进行解密。

进一步，产生保护密钥的方法包括：

利用根密钥approotkey对保护密钥的分散参数进行加密，得到注册设备的保护密钥的二级根密钥，利用所述保护密钥的二级根密钥对所述设备标识和应用标识加密得到所述注册设备的本地保护密钥；

利用主密钥zmk对所述注册设备的本地保护密钥进行加密得到所述注册设备的保护密钥zmk。

进一步，产生数据密钥的方法包括：

利用根密钥approotkey对数据密钥的分散参数进行加密，得到所述注册设备的数据密钥的二级根密钥，利用所述数据密钥的二级根密钥对所述设备标识和应用标识加密得到所述注册设备的本地数据密钥，利用所述注册设备的保护密钥zmk对所述注册设备的本地数据密钥进行加密得到所述注册设备的数据密钥zmk。

进一步，所述注册设备采用设备指纹+版密钥产生密钥加密密钥kek，用所述产生的密钥加密密钥kek将全部密钥在安全芯片或内存中加密后安全存储，所述密钥加密密钥kek只在内存中使用，不存储，同时修改全部密钥状态。

进一步，所述终端标识包括：所述终端的模组组件在初始化时生成的终端随机数、所述模组组件的标识。

进一步，通过所述数据加密传输，密码机子系统接到加密数据后，进行解密的方法包括：

注册设备a向密码机子系统或第三方注册设备b安全传输数据时，注册设备a使用数据加密密钥在安全芯片或内存中对数据加密，再传输给所述密码机子系统，所述密码机子系统接到加密数据后，使用注册终端a的数据密钥解密数据；

如果是传输给第三方注册设备b的数据，密码机子系统采用第三方注册设备b的指令密钥加密消息通知第三方注册设备b，并使用第三方注册设备b的数据加密密钥对注册设备a传输给第三方注册设备b的数据转加密后传输给第三方注册设备b；第三方注册设备b接到加密消息后使用指令密钥解密消息，并使用数据密钥解密数据。

进一步，通过所述数据加密传输，密码机子系统接到加密数据后，进行解密的方法进一步包括：

注册设备a和第三方注册设备b采用sm9机制协商临时数据加密密钥cek，注册设备a使用cek加密数据并传输给第三方注册设备b,第三方注册设备b收到数据后使用cek解密数据。

本发明的另一目的在于提供一种基于密码技术的物联网安全系统，包括：

注册设备，对物联网中心密钥管理子系统产生的所述保护密钥、签到密钥、数据密钥、指令密钥、半密钥、cpk密钥和sm9密钥进行加密后安全存储；并向密码机子系统发送携带终端标识的请求；

与注册设备通信的密码机子系统，用于接收物联网终端侧设备发送的加密后的终端标识请求，并对所述终端标识请求进行解密。

进一步，所述注册设备包括多个终端；

所述终端包括：传感器、预置有该终端的主密钥或标识密钥的安全芯片或安全sdk和用于与所述物联网中心安全管理平台通信的模组组件；

所述传感器和所述安全芯片或安全sdk均与所述模组组件通信连接；

所述密码机包括：终端安全管控子系统和密钥管理子系统；

所述终端安全管控子系统与模组组件通信，密码机子系统与密钥管理子系统通信。

进一步，所述模组组件包括终端内的应用程序模块、模组安全管控装置、安全芯片接口组件和终端安全管控子系统的接口组件。

综上所述，本发明的优点及积极效果为：

本发明使用密码技术来构建信息安全的最关键防线，可以快速、经济地解决敏感数据保护的问题。本发明是使用密码技术构建物联网安全，使用对称算法(国密sm4)或标识密码算法(国密sm9算法)，结合一系列软硬件产品，整体解决物联网安全，可快速实现安全通道、安全存储、数据加密、身份认证、数字签名等功能。

本发明确保了物联网中数据不被窃取、不被篡改，身份可信，数据能保密传输。

附图说明

图1是本发明实施例提供的基于密码技术的物联网安全系统的结构示意图；

图中：1、物联网终端侧设备；2、物联网中心安全管理平台；3、终端；4、终端安全管控子系统；5、密钥管理子系统；6、密码机；7、模组组件；7-1、模组安全管控装置；7-2、安全芯片接口组件；7-3终端安全管控子系统的接口组件；7-4、终端内的应用程序模块；8、传感器；9、安全芯片。

图2是本发明实施例提供的基于密码技术的物联网安全通信方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

现有技术中，没有利用密码技术，解决物联网安全问题，并且不能可快速实现安全通道、安全存储、数据加密、身份认证、数字签名等功能。不能确保物联网中数据不被窃取、不被篡改，身份可信，数据能保密传输过度引入部分：

针对现有技术存在的问题，本发明提供了一种基于密码技术的物联网安全系统和方法，下面结合附图对本发明作详细的描述。

如图1所示，本发明实施例提供的基于密码技术的物联网安全系统包括：

物联网终端侧设备(注册设备)1，用于对物联网中心安全管理平台产生的所述保护密钥、签到密钥、数据密钥、指令密钥、半密钥、cpk密钥和sm9密钥进行加密后安全存储；并向密码机发送携带终端标识的请求；

与物联网终端侧设备1通信的物联网中心安全管理平台(密码机子系统)2，用于接收物联网终端侧设备发送的加密后的终端标识请求，并对所述终端标识请求进行解密。

在本发明实施例中，

所述物联网终端侧设备1包括：多个终端3。

每一终端3包括：传感器8、预置有该终端的主密钥或标识密钥的安全芯片9(或安全sdk)和用于与所述物联网中心安全管理平台通信的模组组件7；所述传感器和所述安全芯片(或安全sdk)均与所述模组组件通信连接。

所述物联网中心安全管理平台2包括：终端安全管控子系统4和密钥管理子系统5。

所述终端安全管控子系统4与模组组件7通信，密码机6与密钥管理子系统5通信。

在本发明实施例中，所述模组组件7包括：终端内的应用程序模块7-4，模组安全管控装置7-1、安全芯片接口组件7-2和终端安全管控子系统的接口组件7-3。

如图2所示，本发明实施例提供的基于密码技术的物联网安全通信方法包括：

s101，注册：在终端安全管控子系统中注册设备标识(dev_id)和应用标识(app_id)，并产生保护密钥、签到密钥、数据密钥、指令密钥、半密钥、cpk密钥和sm9密钥。

s102，激活：将产生的所述保护密钥、签到密钥、数据密钥、指令密钥、半密钥、cpk密钥和sm9密钥发送注册设备，进行加密后安全存储。

s103，签到：所述注册设备向密码机发送携带终端标识的请求，经注册设备及密码机双方认证并协商后，进行数据加密传输。

s104，数据加密传输：通过所述数据加密传输，密码机接到加密数据后，进行解密。

在本发明实施例中，步骤s101产生保护密钥的方法包括：

利用根密钥approotkey对保护密钥的分散参数进行加密，得到注册设备的保护密钥的二级根密钥，利用所述保护密钥的二级根密钥对所述设备标识和应用标识加密得到所述注册设备的本地保护密钥；

利用主密钥zmk对所述注册设备的本地保护密钥进行加密得到所述注册设备的保护密钥zmk。

在本发明实施例中，步骤s101产生数据密钥的方法包括：

利用根密钥approotkey对数据密钥的分散参数进行加密，得到所述注册设备的数据密钥的二级根密钥，利用所述数据密钥的二级根密钥对所述设备标识和应用标识加密得到所述注册设备的本地数据密钥，利用所述注册设备的保护密钥zmk对所述注册设备的本地数据密钥进行加密得到所述注册设备的数据密钥zmk。

在本发明实施例中，步骤s101产生所述设备的签到密钥、指令密钥和半密钥、cpk密钥和sm9密钥的方法与产生保护密钥的方法相同。

在本发明实施例中，步骤s101所述终端标识包括：所述终端的模组组件在初始化时生成的终端随机数、所述模组组件的标识。

在本发明实施例中，步骤s102注册设备采用设备指纹+版密钥产生密钥加密密钥kek，用所述产生的密钥加密密钥kek将全部密钥在安全芯片或内存中加密后安全存储，所述密钥加密密钥kek只在内存中使用，不存储，同时修改全部密钥状态。所述密钥存储包括：设备id、应用id、密钥值、校验值、状态

在本发明实施例中，步骤s104通过所述数据加密传输，密码机接到加密数据后，进行解密的方法包括：

注册设备a向密码机或第三方注册设备b安全传输数据时，注册设备a使用数据加密密钥在安全芯片或内存中对数据加密，再传输给所述密码机，所述密码机接到加密数据后，使用注册终端a的数据密钥解密数据。

如果是传输给第三方注册设备b的数据，密码机采用第三方注册设备b的指令密钥加密消息通知第三方注册设备b，并使用第三方注册设备b的数据加密密钥对注册设备a传输给第三方注册设备b的数据转加密后传输给第三方注册设备b；第三方注册设备b接到加密消息后使用指令密钥解密消息，并使用数据密钥解密数据。

在本发明实施例中，步骤s104，通过所述数据加密传输，密码机接到加密数据后，进行解密的方法进一步包括：

注册设备a和第三方注册设备b采用sm9机制协商临时数据加密密钥cek，注册设备a使用cek加密数据并传输给第三方注册设备b,第三方注册设备b收到数据后使用cek解密数据。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。