一种基于窄带物联网的终端安全接入方法及终端安全接入系统与流程

本发明属于物联网技术领域，尤其是涉及一种基于窄带物联网的终端安全接入方法及终端安全接入系统。

背景技术：

物联网(internetofthings，iot)是物物相连的互联网，能够实现物品与物品、人与物品之间的互联，终端可以通过接入物联网与服务器进行信息交互。为了保证安全性，当终端发起接入请求时，服务器需要对终端进行认证，当认证通过时才允许终端接入物联网。

物联网技术已经在电力行业中被广泛使用，电力行业物联网系统安全防护工作还存在不少问题，例如在线监测如缆沟检测等系统存在安全风险。

目前电缆沟道监测系统的前端传感器与采集单元之间缺乏身份验证，采集单元如果通过有线方式连接，则会因缺乏安全防护手段导致无法接入信息内容，变成信息孤岛；采集单元如果通过无线方式连接，则需采用pki证书通过安全接入平台接入，但是对于采集单元需要有较高计算能力，而且安全接入平台无法支持海量设备。

由于物联终端海量异构，增加认证机制面临大量对接、协调工作，极大的阻碍了安全体系的部署应用及推进进度，面临大量的对接工作甚至不得不考虑放弃或降低终端安全要求，窄带物联网(narrowbandinternetofthings,nb-iot)安全的通讯模块可大大的减少安全与物联终端生产厂商的交互甚至达到不交互，便捷快速的实现物联终端安全应用及部署。

因此，亟需设计一种能够解决上述技术问题，基于窄带物联网的终端安全接入方法。

技术实现要素：

本发明的目的是提供一种结构简单、操作简单、安全性好的基于窄带物联网的终端安全接入方法及终端安全接入系统。

本发明的技术方案如下：

一种基于窄带物联网的终端安全接入方法，应用于电力物联管理平台，包括：

接收电力物联感知设备发送的身份认证请求，生成第一随机数并获取当前状态的第一时间信息；

获取电力物联管理平台的平台私钥，根据所述平台私钥对所述第一随机数以及所述第一时间信息进行签名获得第一数字签名；

将所述第一数字签名发送给所述电力物联感知设备，使所述电力物联感知设备获取所述电力物联管理平台的平台公钥，并根据所述平台公钥对所述第一数字签名进行验证；

若第一数字签名验证成功，则使所述电力物联感知设备生成第二随机数并获取当前状态的第二时间信息；

使所述电力物联感知设备获取所述电力物联感知设备的设备私钥，并根据所述设备私钥对所述第二随机数以及所述第二时间信息进行签名获得第二数字签名；

接收所述第二数字签名，获取所述电力物联感知设备的设备公钥并根据所述设备公钥验证所述第二数字签名；

若第二数字签名验证成功，则身份认证成功，则所述电力物联管理平台允许电力物联感知设备接入物联网，实现电力物联管理平台与电力物联感知设备之间的数据传输。

在上述技术方案中，接收所述电力物联感知设备发送的身份认证请求之前，还包括如下步骤：

获取平台标识信息，将所述平台标识信息发送至密钥管理和生产中心，使所述密钥管理和生产中心根据所述平台标识信息生成平台公钥以及平台私钥，并接收所述密钥管理和生产中心发送的所述平台私钥；

使所述电力物联感知设备获取电力物联感知设备的设备标识信息，并将所述设备标识信息发送至所述密钥管理和生产中心，使所述密钥管理和生产中心根据该设备标识信息生成设备公钥以及设备私钥，并将所述设备私钥发送至电力物联感知设备。

在上述技术方案中，实现电力物联管理平台与电力物联感知设备之间的数据传输包括：

接收所述电力物联感知设备发送的加密文件，根据所述加密文件获取密文信息以及加密密钥信息；其中，所述密文信息包括采用对称密钥对原始数据文件进行对称加密获得的信息，所述加密密钥信息包括采用平台公钥对所述对称密钥进行非对称加密获得的信息；

采用所述平台私钥对所述加密密钥信息进行非对称解密，获得所述对称加密；

采用所述对称加密对所述密文信息进行解密，获得所述原始数据文件。

本发明的另一个目的是提供一种基于窄带物联网的终端安全接入方法，应用于电力物联感知设备，包括：

生成身份认证请求并发送给电力物联管理平台，使所述电力物联管理平台根据所述身份认证请求生成第一随机数并获取当前状态的第一时间信息；

接收所述电力物联管理平台发送的第一数字签名，其中，第一数字签名为电力物联管理平台获取其平台私钥并根据所述平台私钥对所述第一随机数及第一时间信息进行签名获得；

获取所述电力物联管理平台的平台公钥，并根据所述平台公钥对所述第一数字签名进行验证；

若第一数字签名验证成功，则电力物联感知设备生成第二随机数并获取当前状态的第二时间信息；

获取所述电力物联感知设备的设备私钥，并根据所述设备私钥对所述第二随机数及第二时间信息进行签名而获得第二数字签名；

将所述第二数字签名发送给所述电力物联管理平台，使所述电力物联管理平台获取所述电力物联感知设备的设备公钥并根据所述设备公钥验证所述第二数字签名；

若第二数字签名验证成功，则电力物联感知设备的身份请求认证成功，从而实现电力物联感知设备与电力物联管理平台之间的数据传输。

本发明的另一个目的是提供一种基于窄带物联网的终端安全接入方法，应用于用户端，包括：

获取用户端的设备信息并发送给电力物联管理平台，使所述电力物联管理平台存储该设备信息；其中，所述设备信息包括设备指纹信息、操作系统信息和接口信息；

生成用户注册请求及成对生成的用户公钥、用户私钥；

将所述用户注册请求及用户公钥发送至所述电力物联管理平台，使所述电力物联管理平台根据所述用户注册请求获取设备信息生成标识密钥，并使用该用户公钥对生成的所述标识密钥加密；

接收加密后的所述标识密钥，并采用所述用户私钥对标识密钥解密而获得所述标识密钥；

对所述标识密钥进行分割获得第一密钥以及第二密钥，保存所述第一密钥并将所述第二密钥发送至所述电力物联管理平台保存。

在上述技术方案中，还包括：

根据所述用户端的设备信息生成待签名信息，同时生成第三随机数；

根据所述第一密钥、待签名信息及第三随机数而获得中间签名信息；

将所述中间签名信息发送至所述电力物联管理平台，使所述电力物联管理平台根据所述第二密钥、所述中间签名信息获得中间数字签名；

接收所述中间数字签名，对所述数字签名进行验证。

本发明的另一个目的是提供一种基于窄带物联网的安全接入装置，应用于电力物联管理平台，包括：

第一接收模块，用于接收电力物联感知设备发送的身份认证请求，生成第一随机数并获取当前状态的第一时间信息；

第一获取模块，用于获取电力物联管理平台的平台私钥，根据该平台私钥对所述第一随机数以及所述第一时间信息进行签名获得第一数字签名；

第一发送模块，用于将所述第一数字签名发送给电力物联感知设备，使所述电力物联感知设备获取所述电力物联管理平台的平台公钥，并根据该平台公钥对所述第一数字签名进行验证；

第一生成模块，用于第一数字签名的验证，当第一数字签名验证成功，则使所述电力物联感知设备生成第二随机数并获取当前状态的第二时间信息；

第一签名模块，用于使所述电力物联感知设备获取所述电力物联感知设备的设备私钥，并根据所述设备私钥对所述第二随机数以及所述第二时间信息进行签名获得第二数字签名；

第一验证模块，用于接收所述第二数字签名，获取所述电力物联感知设备的设备公钥并根据所述设备公钥验证所述第二数字签名；

第一传输模块，用于若验证成功，则身份认证成功，实现与所述电力物联感知设备之间的数据传输。

本发明的另一个目的是提供一种基于窄带物联网的安全接入装置，应用于电力物联感知设备，包括：

第二发送模块，用于生成身份认证请求并发送给电力物联管理平台，使所述电力物联管理平台根据所述身份认证请求生成第一随机数并获取当前状态的第一时间信息；

第二接收模块，用于接收所述电力物联管理平台发送的第一数字签名，所述第一数字签名为所述电力物联管理平台获取其平台私钥并根据所述平台私钥对所述第一随机数以及所述第一时间信息进行签名获得；

第二获取模块，用于获取所述电力物联管理平台的平台公钥，并根据所述平台公钥对所述第一数字签名进行验证；

第二生成模块，用于若验证成功，则生成第二随机数并获取当前状态的第二时间信息；

第二签名模块，用于获取所述电力物联感知设备的设备私钥，并根据所述设备私钥对所述第二随机数以及所述第二时间信息进行签名获得第二数字签名；

第二验证模块，用于将所述第二数字签名发送给所述电力物联管理平台，使所述电力物联管理平台获取所述电力物联感知设备的设备公钥并根据所述设备公钥验证所述第二数字签名；

第二传输模块，用于若验证成功，则身份认证成功，实现与所述电力物联管理平台之间的数据传输。

本发明的另一个目的是提供一种用户端，包括：

第三获取模块，用于获取用户端的设备信息并发送给电力物联管理平台，使所述电力物联管理平台存储所述设备信息；所述设备信息包括设备指纹信息、操作系统信息和接口信息；

第三生成模块，用于生成用户注册请求以及成对生成的用户公钥、用户私钥；

第三发送模块，用于将所述用户注册请求以及所述用户公钥发送至所述电力物联管理平台，使所述电力物联管理平台根据所述用户注册请求获取所述设备信息生成标识密钥，并使用所述用户公钥对所述标识密钥加密；

第三接收模块，用于接收加密后的所述标识密钥，采用所述用户私钥对所述标识密钥解密获得所述标识密钥；

分割模块，用于对所述标识密钥进行分割获得第一密钥以及第二密钥，保存所述第一密钥并将所述第二密钥发送至所述电力物联管理平台保存。

本发明的另一个目的是提供一种基于窄带物联网的终端安全接入系统，包括电力物联管理平台、电力物联感知设备和用户端，所述电力物联管理平台、电力物联感知设备和用户端之间通讯连接。

本发明具有的优点和积极效果是：

1.将cpk密钥识别技术于窄带广域网物联通信技术结合，实现设备身份认证以及传输数据加密，使设备与密钥一一对应；保证只有授权设备接入物联云是建立在双向认证过程正确的基础上进行，交互双方产生并交换各自随机数，双方各自调用密钥进行验证；每次重新连接，则重新产生会话密钥，保证一次一密。

附图说明

图1是本发明方法实施例基于窄带物联网的终端安全接入方法的流程示意图；

图2是本发明方法实施例基于窄带物联网的终端安全接入方法的流程示意图；

图3是本发明方法实施例基于窄带物联网的终端安全接入方法的流程示意图；

图4是本发明中电力物联管理平台的结构示意图；

图5是本发明中电力物联感知设备的结构示意图；

图6是本发明中用户端的结构示意图；

图7是本发明实施例的终端安全接入系统的结构示意图。

具体实施方式

以下结合具体实施例对本发明作进一步详细说明。应当理解，此处所描述的具体实施例仅仅用于解释本发明，并不用于限定本发明，决不限制本发明的保护范围。

实施例1

如图1所示，本发明的一种基于窄带物联网的终端安全接入方法，应用于电力物联管理平台，包括：

步骤101，接收电力物联感知设备发送的身份认证请求，生成第一随机数并获取当前状态的第一时间信息。

步骤102，获取电力物联管理平台的平台私钥，根据所述平台私钥对所述第一随机数以及所述第一时间信息进行签名获得第一数字签名；其中，对所述第一随机数以及所述第一时间信息进行签名时采用cpk签名方式。

步骤103，将所述第一数字签名发送给所述电力物联感知设备，使所述电力物联感知设备获取所述电力物联管理平台的平台公钥，并根据所述平台公钥对所述第一数字签名进行验证。

步骤104，若第一数字签名验证成功，则使所述电力物联感知设备生成第二随机数并获取当前状态的第二时间信息。

步骤105，使所述电力物联感知设备获取所述电力物联感知设备的设备私钥，并根据所述设备私钥对所述第二随机数以及所述第二时间信息进行签名获得第二数字签名。

步骤106，接收所述第二数字签名，获取所述电力物联感知设备的设备公钥并根据所述设备公钥验证所述第二数字签名。

步骤107，若第二数字签名验证成功，则身份认证成功，实现与所述电力物联感知设备之间的数据传输。

进一步地说，在步骤101中，接收电力物联感知设备发送的身份认证请求之前，还包括：

获取平台标识信息并将所述平台标识信息发送至密钥管理和生产中心，使所述密钥管理和生产中心根据所述平台标识信息生成所述平台公钥以及所述平台私钥，接收所述密钥管理和生产中心发送的所述平台私钥；其中所述平台公钥以及所述平台私钥为由密钥管理和生产中心生成的组合密钥。

使所述电力物联感知设备获取设备标识信息并将所述设备标识信息发送至所述密钥管理和生产中心，使所述密钥管理和生产中心根据所述设备标识信息生成所述设备公钥以及所述设备私钥，并将所述设备发送给所述电力物联感知设备。其中，所述设备公钥以及所述设备私钥为由密钥管理和生产中心生成的组合密钥。

进一步地说，首先在电力物联管理平台建立密钥管理和生产中心，通过密钥管理和生产中心为电力物联感知设备和电力物联管理平台颁发唯一标识，使设备与密钥一一对应，实现设备身份认证以及传输数据加密，保证只有授权设备接入物联云，并且在传输过程中数据全程加密。

进一步地说，在步骤107中，实现与所述电力物联感知设备之间的数据传输包括：

步骤201，接收所述电力物联感知设备发送的加密文件，根据所述加密文件获取密文信息以及加密密钥信息；所述密文信息包括采用对称密钥对原始数据文件进行对称加密获得的信息，所述加密密钥信息包括采用平台公钥对所述对称密钥进行非对称加密获得的信息；

步骤202，采用平台私钥对所述加密密钥信息进行非对称解密，获得所述对称加密；

步骤203，采用所述对称加密对所述密文信息进行解密，获得所述原始数据文件。

在电力物联感知设备到电力物理网管理平台数据交互过程中，为了保障数据的安全性，需要对数据进行加密处理，如电力物联感知设备向电力物联网管理平台发送监测数据时，为了数据安全，需要通过加解密技术来保障数据的完整性和真实性。加密签名时由传统的解析证书获取公钥转变为矩阵查询获取公钥，简化了计算复杂度；同时验证签名时无需证书链的验证，极大简化了计算的复杂度，减少了物联终端功耗及性能消耗。

将cpk密钥识别技术于窄带广域网物联通信技术(nb-iot技术)结合，实现设备身份认证以及传输数据加密，使设备与密钥一一对应；保证只有授权设备接入物联云是建立在双向认证过程正确的基础上进行，交互双方产生并交换各自随机数，双方各自调用密钥进行验证；每次重新连接，则重新产生会话密钥，保证一次一密。

实施例2

如图2所示，本发明的一种基于窄带物联网的终端安全接入方法，应用于电力物联感知设备，包括：

步骤301，生成身份认证请求并发送给电力物联管理平台，使所述电力物联管理平台根据所述身份认证请求生成第一随机数并获取当前状态的第一时间信息；

步骤302，接收所述电力物联管理平台发送的第一数字签名，所述第一数字签名为所述电力物联管理平台获取其平台私钥并根据所述平台私钥对所述第一随机数以及所述第一时间信息进行签名获得；

步骤303，获取所述电力物联管理平台的平台公钥，并根据所述平台公钥对所述第一数字签名进行验证；

步骤304，若第一数字签名验证成功，则生成第二随机数并获取当前状态的第二时间信息；

步骤305，获取所述电力物联感知设备的设备私钥，并根据所述设备私钥对所述第二随机数以及所述第二时间信息进行签名获得第二数字签名；

步骤306，将所述第二数字签名发送给所述电力物联管理平台，使所述电力物联管理平台获取所述电力物联感知设备的设备公钥并根据所述设备公钥验证所述第二数字签名；

步骤307，若第二数字签名验证成功，则身份认证成功，实现与所述电力物联管理平台之间的数据传输。

实施例3

如图3所示，本发明的一种基于窄带物联网的终端安全接入方法，应用于用户端，包括：

步骤401，获取用户端的设备信息并发送给电力物联管理平台，使所述电力物联管理平台存储所述设备信息；所述设备信息包括设备指纹信息、操作系统信息和接口信息；

步骤402，生成用户注册请求以及成对生成的用户公钥、用户私钥；

步骤403，将所述用户注册请求以及所述用户公钥发送至所述电力物联管理平台，使所述电力物联管理平台根据所述用户注册请求获取所述设备信息生成标识密钥，并使用所述用户公钥对所述标识密钥加密；

步骤404，接收加密后的所述标识密钥，采用所述用户私钥对所述标识密钥解密获得所述标识密钥；

步骤405，对所述标识密钥进行分割获得第一密钥以及第二密钥，保存所述第一密钥并将所述第二密钥发送至所述电力物联管理平台保存。

进一步地说，还包括：

步骤501，根据所述设备信息生成待签名信息，同时生成第三随机数；

步骤502，根据所述第一密钥、所述待签名信息以及所述第三随机数获得中间签名信息；

步骤503，将所述中间签名信息发送至所述电力物联管理平台，使所述电力物联管理平台根据所述第二密钥、所述中间签名信息获得数字签名；

步骤504，接收所述数字签名，对所述数字签名进行验证。

实施例4

本发明的一种电力物联管理平台，包括：

第一接收模块11，用于接收电力物联感知设备发送的身份认证请求，生成第一随机数并获取当前状态的第一时间信息；

第一获取模块12，用于获取电力物联管理平台的平台私钥，根据所述平台私钥对所述第一随机数以及所述第一时间信息进行签名获得第一数字签名；

第一发送模块13，用于将所述第一数字签名发送给所述电力物联感知设备，使所述电力物联感知设备获取所述电力物联管理平台的平台公钥，并根据所述平台公钥对所述第一数字签名进行验证；

第一生成模块14，用于若第一数字签名验证成功，则使所述电力物联感知设备生成第二随机数并获取当前状态的第二时间信息；

第一签名模块15，用于使所述电力物联感知设备获取所述电力物联感知设备的设备私钥，并根据所述设备私钥对所述第二随机数以及所述第二时间信息进行签名获得第二数字签名；

第一验证模块16，用于接收所述第二数字签名，获取所述电力物联感知设备的设备公钥并根据所述设备公钥验证所述第二数字签名；

第一传输模块17，用于若第二数字签名验证成功，则身份认证成功，实现与所述电力物联感知设备之间的数据传输。

上述实施例的电力物联管理平台用于实现前述实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

实施例5

本发明的一种电力物联感知设备，包括：

第二发送模块21，用于生成身份认证请求并发送给电力物联管理平台，使所述电力物联管理平台根据所述身份认证请求生成第一随机数并获取当前状态的第一时间信息；

第二接收模块22，用于接收所述电力物联管理平台发送的第一数字签名，所述第一数字签名为所述电力物联管理平台获取其平台私钥并根据所述平台私钥对所述第一随机数以及所述第一时间信息进行签名获得；

第二获取模块23，用于获取所述电力物联管理平台的平台公钥，并根据所述平台公钥对所述第一数字签名进行验证；

第二生成模块24，用于若验证成功，则生成第二随机数并获取当前状态的第二时间信息；

第二签名模块25，用于获取所述电力物联感知设备的设备私钥，并根据所述设备私钥对所述第二随机数以及所述第二时间信息进行签名获得第二数字签名；

第二验证模块26，用于将所述第二数字签名发送给所述电力物联管理平台，使所述电力物联管理平台获取所述电力物联感知设备的设备公钥并根据所述设备公钥验证所述第二数字签名；

第二传输模块27，用于若验证成功，则身份认证成功，实现与所述电力物联管理平台之间的数据传输。

上述实施例的电力物联感知设备用于实现前述实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

实施例6

本发明的一种用户端，包括：

第三获取模块31，用于获取用户端的设备信息并发送给电力物联管理平台，使所述电力物联管理平台存储所述设备信息；所述设备信息包括设备指纹信息、操作系统信息和接口信息；

第三生成模块32，用于生成用户注册请求以及成对生成的用户公钥、用户私钥；

第三发送模块33，用于将所述用户注册请求以及所述用户公钥发送至所述电力物联管理平台，使所述电力物联管理平台根据所述用户注册请求获取所述设备信息生成标识密钥，并使用所述用户公钥对所述标识密钥加密；

第三接收模块34，用于接收加密后的所述标识密钥，采用所述用户私钥对所述标识密钥解密获得所述标识密钥；

分割模块35，用于对所述标识密钥进行分割获得第一密钥以及第二密钥，保存所述第一密钥并将所述第二密钥发送至所述电力物联管理平台保存。

上述实施例的用户端用于实现前述实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

实施例7

本发明的一种基于窄带物联网的终端安全接入系统，包括：

如上述实施例所述的电力物联管理平台91、如上述实施例所述的电力物联感知设备92以及如上述实施例所述的用户端93。

上述实施例的系统用于实现前述实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

为简化说明和讨论，并且为了不会使本发明难以理解，在所提供的附图中可以示出或可以不示出与集成电路(ic)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本发明难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本发明的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本发明的具体实施例对本发明进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态ram(dram))可以使用所讨论的实施例。

以上对本发明做了示例性的描述，应该说明的是，在不脱离本发明的核心的情况下，任何简单的变形、修改或者其他本领域技术人员能够不花费创造性劳动的等同替换均落入本发明的保护范围。