一种气象站数据储存传输的安全保密的方法与流程

本发明涉及气象数据安全加密，特别涉及一种气象站数据储存传输的安全保密的方法。

背景技术：

1、第三代智能气象站概念图如图1所示，简称三代站。每一个三代站由智能集成处理器外加智能湿度测量仪、智能气压测量仪、智能气温测量仪、智能土壤温度测量仪、智能称重式降水测量仪、智能翻斗式雨量测量仪、智能风测量仪的7个要素测量仪组成。测量仪与集成处理器之间使用有线或者无线(zigbee)进行通过传输采集数据。三代站被广泛部署在外场，并通过4g网络将气象采集数据回传气象中心数据库。提供数据储存安全加密的软件有cryptsetup，提供数据传输加密及数字签名的技术方案的有pgp。

2、气象中心相信气象站是经过自己认证的，而非伪站。气象站往往部署在野外，无人值守，因此需要有防止被篡改伪造的技术手段。目前没有针对第三代智能气象站要求特点的认证，数据储存，传输的安全加密技术。

技术实现思路

1、本发明提供了一种气象站数据储存传输的安全保密的方法，解决野外部署气象站认证，数据储存，传输安全保密问题。

2、本发明提供了一种气象站数据储存传输的安全保密的方法，基于由气象中心数据库、集成处理器和测量仪组成的结构，所述集成处理器包括内存、4g移动物联网卡、第一加密模块和第一efuse，所述测量仪包括第二加密模块和第二efuse；所述方法具体包括：

3、进行所述集成处理器和测量仪的注册，气象中心记录所述集成处理器的公有密钥c_pub，集成处理器记录其私有秘钥c_pri和所述测量仪的公有密钥m_pub，测量仪记录其私有秘钥m_pri和集成处理器的公有密钥c_pub；

4、所述集成处理器与测量仪利用自身的adc作为随机源生成随机数，以及根据所述随机数生成会话秘钥；

5、所述集成处理器与所述测量仪利用所述会话密钥进行数据会话储存保密、传输保密、数据完整性保护。

6、进一步地，所述进行所述集成处理器和测量仪的注册，气象中心记录所述集成处理器的公有密钥c_pub，集成处理器记录其私有秘钥c_pri和所述测量仪的公有密钥m_pub，测量仪记录其私有秘钥m_pri和集成处理器的公有密钥c_pub的步骤中，所述集成处理器注册包括：

7、生成所述集成处理器非对称加密算法公有秘钥c_pub及私有秘钥c_pri；

8、生成气象中心非对称加密算法公有秘钥d_pub及私有秘钥d_pri；其中，公有秘钥d_pub在网上公开；

9、将私有秘钥c_pri烧录至集成处理器的第一efuse，第一efuse只能烧录一次数据，且烧录后不得修改；第一efuse与第一加密模块芯片绑定，软件从芯片外部无法读取第一efuse内部数据，只有第一加密模块可读；

10、第一加密模块支持对称式加密算法、非对称式加密算法、及数据哈希算法；

11、气象中心采购4g移动物联网卡，逐一登记电话号码后交付厂商，厂商安装4g移动物联网卡至集成处理器，并向气象中心发出注册请求；

12、气象中心向申请注册集成处理器4g号码发送随机验证码短信；

13、集成处理器将收到的验证码+公有秘钥c_pub用公有秘钥d_pub加密，并发回气象中心；

14、气象中心使用私有秘钥d_pri解密信息，并验证短信验证码通过后，将公有秘钥c_pub录入数据库，集成处理器完成注册。

15、进一步地，所述进行所述集成处理器和测量仪的注册，气象中心记录所述集成处理器的公有密钥c_pub，集成处理器记录其私有秘钥c_pri和所述测量仪的公有密钥m_pub，测量仪记录其私有秘钥m_pri和集成处理器的公有密钥c_pub的步骤中，所述测量仪注册包括：

16、生成测量仪非对称加密算法公有秘钥m_pub及私有秘钥m_pri；

17、私有秘钥m_pri被烧录入测量仪的第二efuse内部储存器，仅有测量仪的第二加密模块可以读取，外部软件不可读；

18、公有密钥c_pub烧录入测量仪的第二efuse，公有秘钥m_pub烧录入集成处理器的第一efuse，测量仪完成在集成处理器端的注册。

19、进一步地，所述集成处理器与测量仪利用自身的adc作为随机源生成随机数，以及根据所述随机数生成会话秘钥的步骤中，生成随机数包括：

20、使能片上adc，不连接任何输入信号，连续采样n次；

21、对比n个数据样本，其中固定不变的为有效位，剔除有效位数据，保留变化部分作为随机种子。

22、进一步地，所述集成处理器与测量仪利用自身的adc作为随机源生成随机数，以及根据所述随机数生成会话秘钥的步骤中，会话密钥为对称式加密秘钥ekey，会话秘钥仅供一次会话使用，一次完整的数据的采集、保存及传输为一次会话。

23、进一步地，所述集成处理器与所述测量仪利用所述会话密钥进行数据会话储存保密、传输保密、数据完整性保护的步骤，包括：

24、设备使用生成秘钥ekey，并使用自身的公有秘钥将ekey加密保存于内部闪存；

25、集成处理器、测量仪采集或者接收到数据data，则首先使用自身私有秘钥解密闪存中保存的ekey，然后对data实施对称式加密操作生成密文data_e并保存于内部闪存；

26、当数据积累周期完成需要传输时，设会话传输双方为a、b；其中所述a、b分别为气象中心与集成处理器，或集成处理器与测量仪，b为发送方，a为接收方；

27、b使用私有秘钥解密ekey，并使用ekey解密data_e而获得data；

28、b计算data的sha256，获得其哈希值h，并使用b_pri对h进行加密获得h_e；

29、b使用ekey对data、h_e消息进行加密获得data_e、h_ee；

30、b使用a_pub对ekey进行加密获得ekey_e，然后拼接成新消息data_e、h_ee、ekey_e，并发送给a；

31、a收到加密后的消息后，使用a_pri对ekey_e解密获得ekey；

32、a使用ekey解密获得data、h_e；

33、a使用b_pub对h_e进行解密操作，获得h，并同时计算data的sha-256哈希值h2；

34、如果h＝h2，则a认可数据来源于b，并且认可数据的完整性。

35、本发明的有益效果为：

36、本发明基于由气象中心数据库、集成处理器和测量仪组成的结构，集成处理器和测量仪的进行注册，气象中心记录集成处理器的公有密钥c_pub，集成处理器记录其私有秘钥c_pri和测量仪的公有密钥m_pub，测量仪记录其私有秘钥m_pri和集成处理器的公有密钥c_pub；集成处理器与测量仪利用自身的adc作为随机源生成随机数，根据所述随机数生成会话秘钥；集成处理器与测量仪利用所述会话密钥进行数据会话储存保密、传输保密、数据完整性保护。使得气象中心从气象站通过网络传输获得的数据可以在传输中防窃听，并且保证数据的完整性，同时在气象站中临时保存的气象数据不会被非授权泄漏；适合第三代气象站工作特点，解决野外部署气象站认证，数据储存，传输安全保密问题。