物联网终端加密方法和物联网终端加密装置的制造方法
【技术领域】
[0001]本发明涉及物联网领域,具体地,涉及一种物联网终端加密方法和一种物联网终端加密装置。
【背景技术】
[0002]在物联网系统中,由于硬件安全的限制,任意物理设备都可能被盗用。物联网终端散布范围广,是整个网络安全中的薄弱节点。物联网安全模型不仅能保证信息安全,如保护用户隐私、减少身份盗用,同时也会提高通信可靠性。
[0003]目前常用的物联网终端加密技术包括对称加密和非对称加密。在对称加密方法中,加密和解密使用相同的密钥;在非对称加密方法中,加密和解密使用不同的密钥,并且加解密的密钥成对出现。
[0004]但是,现有技术中,使用单一密钥进行通信,当攻击者对链路进行监听探测,可拦截到链路中的密钥信息,从而进一步伪造身份或利用链路发送攻击数据。
[0005]也就是说,现有技术中的加密方法的安全性较低,因此,如何提供一种更加安全的加密方法成为本领域亟待解决的技术问题。
【发明内容】
[0006]本发明的目的在于提供一种物联网终端加密方法和一种物联网终端加密装置,利用所述物联网终端加密方法对物联网的物联网终端进行加密具有较高的安全性。
[0007]为了实现上述目的,作为本发明的一个方面,提供一种物联网终端加密方法,其中,所述物联网终端加密方法包括:
[0008]构建密钥组织结构树,所述密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述根节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对和链路通信密钥对;
[0009]将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中;
[0010]利用所述密钥组织结构树生成所述物联网终端的鉴权信息;
[0011 ]将所述鉴权信息写入所述物联网终端和所述物联网后台鉴权系统中。
[0012]优选地,构建密钥组织结构树的方法包括:
[0013]生成所述根节点密钥对;
[0014]生成所述核心密钥对;
[0015]利用所述根节点密钥对的根节点私钥对所述核心密钥对的公钥进行签名,以生成该核心密钥对的签名。
[0016]优选地,利用所述密钥组织结构树生成所述物联网终端的鉴权信息的步骤包括:
[0017]生成与所述物联网终端唯一对应的内部标识符;
[0018]生成非对称密钥对;
[0019]利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名,以获得物联网终端签名,其中,
[0020]所述物联网终端的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥和所述内部标识符。
[0021]优选地,所述物联网终端加密方法还包括在构建密钥组织结构树的步骤之前进行的:
[0022]按照业务类型对所述物联网终端进行分类;其中,
[0023]在构建密钥组织结构树的步骤中,每种类型的物联网终端对应一个根节点密钥对。
[0024]优选地,所述核心密钥对还包括指令密钥对、消息密钥对和主撤销密钥对中的至少一者。
[0025]作为本发明的另一个方面,提供一种物联网终端加密装置,其中,所述物联网终端加密装置包括:
[0026]组织结构树构建模块,所述组织结构树构建模块用于构建密钥组织结构树,所述密钥组织结构树包括对应于物联网终端的根节点密钥对、对应于物联网终端的核心密钥对、和利用所述跟节点密钥对对所述核心密钥对的公钥进行签名获得的所述核心密钥对的签名,其中,所述核心密钥对至少包括终端签名密钥对和链路通信密钥对;
[0027]鉴权信息生成模块,所述鉴权信息生成模块用于根据所述组织结构树生成所述物联网终端的鉴权信息;
[0028]写入模块,所述写入模块用于将所述密钥组织结构树写入所述物联网终端和所述物联网后台服务器中,并且,所述写入模块用于将所述鉴权信息写入所述物联网终端和所述物联网后台鉴权系统中。
[0029]优选地,所述组织结构构建模块包括:
[0030]根节点密钥对生成单元,所述根节点密钥生成单元用于生成所述根节点密钥对;
[0031]核心密钥对生成单元,所述核心密钥对生成单元用于生成所述核心密钥对;
[0032]第一签名单元,所述第一签名单元的输入端与所述根节点密钥对生成单元的输出端和所述核心密钥对生成单元的输出端分别相连,以获取所述根节点密钥对的根节点私钥对所述核心密钥对,并利用所述根节点密钥对的根节点私钥对所述核心密钥对的公钥进行签名,以生成该核心密钥对的签名。
[0033]优选地,所述鉴权信息生成模块包括:
[0034]标识符生成单元,所述标识符生成单元用于生成与所述物联网终端唯一对应的内部标识符;
[0035]非对称密钥对生成单元,所述非对称密钥对生成单元用于生成非对称密钥对;
[0036]第二签名单元,所述第二签名单元的输入端分别与所述非对称密钥生成单元的输出端和所述组织结构树构件模块的输出端分别相连,以获取所述终端签名密钥对的私钥和所述非对称密钥对的公钥,并利用所述终端签名密钥对的私钥对所述非对称密钥对的公钥进行签名,以获得物联网终端签名;其中,
[0037]所述物联网终端的鉴权信息包括所述物联网终端签名、所述非对称密钥对的公钥和所述内部标识符。
[0038]优选地,所述物联网终端加密装置还包括终端分类模块,所述终端分类模块的输入端与物联网中所有物联网终端的输出端分别相连,以获取所有物联网终端的业务类型和终端信息,所述终端分类模块能够按照业务类型对物联网终端进行分类,所述终端分类模块的输出端与所述组织结构树构建模块的输入端相连,以分别将各个业务类型的物联网终端的终端信息发给所述组织结构树构建模块;其中,
[0039]所述组织结构树构建模块能够为每种类型的物联网终端都生成一个对应的根节点密钥对。
[0040]优选地,所述核心密钥对还包括指令密钥对、消息密钥对和主撤销密钥对中的至少一者。
[0041]在本发明所提供的物联网终端加密方法中,密钥组织结构树至少包括终端签名密钥对和链路通信密钥对,终端签名密钥对是对终端唯一序列号进行签名获得的,代表了物联网终端的身份信息,链路通信密钥对能够在需要建立连接的通信时,对通信连接进行加密。在所述物联网终端与物联网后台服务器进行通信时,至少包括两级加密,即,当物联网终端相物联网后台服务器发起通信时,物联网后台的鉴权系统首先根据物联网终端提供的终端签名密钥对验证物联网终端的身份信息,此为第一级加密;当验证通过后,链路通信密钥对可以对通信进行加密,防止通信信息被截获,此为第二级加密。因此,利用本发明所提供的方法对物联网终端进行加密可以使得所述物联网具有较高的安全性。
【附图说明】
[0042]附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的【具体实施方式】一起用于解释本发明,但并不构成对本发明的限制。在附图中:
[0043]图1是本发明所提供的物联网终端加密方法的流程图;
[0044]图2是本发明所提供的物联网终端加密装置的模块示意图;
[0045]图3是经过本发明所提供的物联网终端加密方法加密后的物联网终端的注册流程示意图。
[0046]附图标记说明
[0047]100:物联网终端加密装置110:组织结构树构建模块
[0048]111:根节点密钥对生成单元 112:核心密钥对生成单元
[0049]113:第一签名单元120:鉴权信息生成模块
[0050]121:标识符生成单元122:非对称密钥对生成单元[0051 ] 123:第二签名单元 130:写入模块
[0052]HO:终端分类模块200:物联网终端
[0053]300:物联网后台服务器400:物联网后台鉴权系统
【具体实施方式】
[0054]以下结合附图对本发明的【具体实施方式】进行详细说明。应当理解的是,此处所描述的【具体实施方式】仅用于说明和解释本发明,并不用于限制本发明。
[0055]作为本发明的一个方面,